Citrix ADC 支持 Microsoft 直接访问部署

Microsoft 直接访问是一种技术,使远程用户能够无缝安全地连接到企业的内部网络,而无需建立单独的 VPN 连接。与需要用户干预才能打开和关闭连接的 VPN 连接不同,只要客户端连接到 Internet,启用了 Direct Access 的客户端就会自动连接到企业的内部网络。

管理输出是 Microsoft 直接访问功能,允许企业网络内的管理员连接到网络外的直接访问客户端并对其进行管理(例如,执行管理任务,例如,调度服务更新,并提供远程支持。

在直接访问部署中,Citrix ADC 设备可提供高可用性、可扩展性、高性能和安全性。Citrix ADC 负载平衡功能通过最合适的服务器发送客户端流量。设备还可以通过正确的路径转发管理输出流量以达到客户端。

体系结构

Microsoft 直接访问部署的体系结构包括启用了直接访问的客户端、直接访问服务器、应用程序服务器以及内部和外部 Citrix ADC 设备。客户端通过直接访问服务器连接到应用程序服务器。外部 Citrix ADC 设备负载平衡客户端流量到直接访问服务器,内部 Citrix ADC 设备将客户端流量从直接访问服务器转发到目标应用程序服务器。直接访问用于通过 IPv4 网络隧道客户端的 IPv6 流量。外部 Citrix ADC 设备上的 IPv4 负载平衡虚拟服务器负载平衡客户端到其中一个直接访问服务器的隧道流量。直接访问服务器从接收到的客户端的 IPv4 数据包中提取 IPv6 数据包,并通过内部 Citrix ADC 设备将这些数据包发送到目标应用程序服务器。内部 Citrix ADC 设备具有转发会话规则,启用源路由缓存选项,用于存储来自直接访问服务器的客户端流量的第 2 层和第 3 层连接信息。Citrix ADC 设备将以下第 2 层和第 3 层信息存储在称为源路由缓存表的表中:

  • 接收数据包的源 IP 地址
  • 发送数据包的直接访问服务器的 MAC 地址
  • 接收数据包的 Citrix ADC 设备的 VLAN ID
  • 接收数据包的 Citrix ADC 设备的接口 ID

Citrix ADC 设备使用源路由缓存表中的信息将响应转发到同一直接访问服务器,因为它具有连接到客户端的隧道信息。此外,内部设备还使用源路由缓存表将应用程序服务器的管理输出流量转发到相应的直接访问服务器,以便到达特定客户端。

本地化后的图片

在 Microsoft 直接访问部署中配置内部 Citrix ADC 设备

要将内部 Citrix ADC 设备配置为将应用程序服务器的响应和管理出流量转发到相应的直接访问网关,请配置转发会话规则。在每个规则中,将源代码缓存参数设置为“已启用”。

要使用 CLI 创建转发会话规则,请执行以下操作:

在命令提示窗口中,键入:

  • add forwardingSession <name> ((<network> [<netmask>]) | -acl6name <string> | -aclname <string>) -sourceroutecache ( ENABLED | DISABLED ]
  • 显示转发会话 <name>

示例配置:

在以下示例中,将在内部 Citrix ADC 设备上创建转发会话规则 MS-DA-FW-1。转发会话存储从直接访问服务器与源 IPv6 前缀 2001:DB8:: /96 匹配的任何传入 IPv6 数据包的第 2 层和第 3 层信息。

> add forwardingSession MS-DA-FW-1 2001:DB8::/96 -sourceroutecache -ENABLED
Done

显示源路由缓存表

您可以显示源路由缓存表,用于监视或检测直接访问服务器与应用程序服务器之间的任何不需要的连接。

使用 CLI 显示源路由缓存表:

在命令提示窗口中,键入:

  • 显示可源性

示例:

    > show sourceroutecachetable
    SOURCEIP            MAC                 VLAN    INTERFACE
    2001:DB8:5001:10    56:53:24:3d:02:eb    30        1/2
    2001:DB8:5003:30    60:54:35:3e:04:bd    60        1/3
    Done

清除源路由缓存表

您可以清除 Citrix ADC 设备上源路由缓存表中的所有条目。

使用 CLI 清除源路由缓存表:

在命令提示窗口中,键入:

  • 冲洗 ns 可酸性