永远的儿子

Citrix 网关的 AlwaysOn 功能可确保用户始终连接到企业网络。这种持久的 VPN 连接是通过自动建立 VPN 隧道来实现的。

注意事项

永远信息功能支持思杰 ADC 的专用门户网站 12.0 构建 51.24 及更高版本。

何时使用

如果您需要根据用户位置提供无缝 VPN 连接,并且必须防止未连接到 VPN 的用户进行网络访问,请使用 AlwaysOn。  

下面的情况说明了使用永远的。  

  • 员工在企业网络外启动笔记本电脑,需要帮助来建立 VPN 连接。
    解决方案: 当笔记本电脑在企业网络之外启动时,AlwaysOn 无缝建立隧道并提供 VPN 连接。
  • 使用 VPN 连接的员工进入企业网络。员工切换到企业网络,但仍然连接到 VPN 隧道,这不是理想的状态。
    解决方案: 当员工进入企业网络时,AlwaysOn 会破解 VPN 隧道,将员工无缝切换到企业网络。
  • 员工移动到企业网络之外并关闭笔记本电脑(不关闭)。员工需要帮助,以便在笔记本电脑上恢复工作时建立 VPN 连接。
    解决方案:当员工移动到企业网络之外时,AlwaysOn 无缝建立隧道并提供 VPN 连接。
  • 企业希望在其用户未连接到 VPN 隧道时对其提供的网络访问进行规范。
    解决方案: 根据配置,AlwaysOn 限制访问,允许用户仅访问网关网络。

了解永远架构

AlwaysOn 会自动将用户连接到客户端先前建立的 VPN 隧道。用户首次需要 VPN 隧道时,用户必须连接到 Citrix 网关 URL 并建立隧道。将 AlwaysOn 配置下载到客户端后,此配置将推动隧道的后续建立。

Citrix 网关客户端可执行文件始终在客户端计算机上运行。当用户登录或网络更改时,Citrix Gateway 客户端将确定用户笔记本电脑是否位于企业网络上。根据位置和配置,Citrix 网关客户端可以建立隧道或拆除现有隧道。

只有在用户登录到计算机后才启动隧道建立。Citrix 网关客户端使用配置的身份验证机制并尝试建立隧道。如果身份验证方法不涉及用户提示,则无缝建立隧道。

自动重建隧道

在以下情况下触发隧道的自动重建:

  • VPN 隧道被 Citrix 网关拆除
  • Citrix 网关客户端已中止

注意事项

在终端点分析失败或其他一些故障中,Citrix Gateway 客户端不会重新尝试建立隧道,但会显示错误消息。如果身份验证失败,Citrix 网关客户端会提示用户输入凭据。

支持的无缝隧道建立用户认证方法

支持的用户身份验证方法如下:

  • 用户名 + AD 密码:如果 Windows 用户名和密码用于身份验证,Citrix 网关客户端将使用这些凭据无缝建立隧道。
  • 用户证书:如果用户证书进行身份验证,且计算机上只有一个证书,Citrix Gateway 客户端将使用此证书无缝建立隧道。如果安装了多个客户端证书,则在用户选择首选证书后建立隧道。Citrix 网关客户端将此首选项用于后来建立的隧道。
  • 用户证书和用户名 + AD 密码:此身份验证方法是之前描述的身份验证方法的组合。

注意事项

支持所有其他身份验证机制,但隧道建立不适用于任何其他身份验证方法。所有其他身份验证方法都需要用户干预。

永远的配置要求

企业管理员必须对托管设备强制执行以下操作:

  • 用户不能为特定配置结束进程/服务
  • 用户必须无法卸载软件包进行特定配置
  • 用户必须无法更改指定的注册表项

注意事项

如果用户具有管理权限(如非托管设备的情况),该功能可能无法按预期工作。

启用永远自动功能时的注意事项

在启用 “永远信息” 功能之前,请查看以下部分。

主网络访问:隧道建立后,根据分段隧道配置确定企业网络的流量。不提供其他配置来覆盖此行为。

客户端计算机的代理设置:连接到网关服务器时忽略客户端计算机的代理设置。

注意事项

Citrix ADC 设备的代理配置不会被忽略。仅忽略客户端计算机的代理设置。在其系统上配置了代理的用户会收到通知,该 VPN 插件已忽略其代理设置。

当配置值设置为 “拒绝” 时,将适用以下更改:

  • 客户端 UI-禁用插件上下文菜单和插件 UI 中的注销和退出选项。不允许用户更改网关 URL。
  • 浏览器登录-不允许浏览器登录到其他网关。客户端控件已禁用。

永远配置

要配置始终生,请在 Citrix 网关设备上创建始终生配置文件并应用该配置文件。

要创建一个永远的配置文件,请执行以下操作:

  1. 在 Citrix ADC GUI 中,导航到 “配置” > “思杰网关” > “策略” > “永远生成”。
  2. 在 “永远新配置文件” 页上,单击 “ 添加”。
  3. 在创建永远配置文件页面上,输入以下详细信息:
    • 名称 — 您的配置文件的名称。
    • 基于位置的 VPN — 选择以下设置之一:
      • 远程 使客户端能够检测它是否在企业网络中,如果不在企业网络中,则建立隧道。此为默认设置。
      • 无论客户端位置如何, 可以让客户端跳过位置检测并建立隧道
    • 客户端控制 — 选择以下设置之一:
      • 拒绝 以阻止用户注销并连接到另一个网关。此为默认设置。
      • 允许 用户注销并连接到另一个网关。
    • VPN 故障上的网络访问 — 选择以下设置之一:
      • 当未建立隧道时,允许网络流量流入客户端和流出客户端的完 全访问权限。此为默认设置。
      • 仅限到网关 ,以防止网络流量流入或流出客户端时未建立隧道。但是,允许流入或流出网关 IP 地址的流量。
  4. 单击 创建 完成您的个人资料的创建。

要应用永远的配置文件,请执行以下操作:

  1. 在 Citrix ADC 接口中,选择 配置 > Citrix 网关 > 全局设置
  2. 在 “全局设置” 页上,单击 “ 更改全局设置 ” 链接,然后选择 “ 客户端体验 ” 选项卡。
  3. AlwaysOn 配置文件名称 下拉菜单中,选择新创建的配置文件,然后单 击确定

注意事项

可以在会话配置文件中进行类似的配置,以便在组级别、服务器杠杆或用户级别应用策略。

管理员用户和非管理员用户不同配置的行为摘要

下表总结了不同配置的行为。它还详细介绍了某些用户操作的可能性,这可能会影响 AlwaysOn 功能。

网络访问 VPN 故障 客户端控制 非管理员用户 管理员用户
全面接触 允许 隧道自动建立。用户可以注销并停留网络。用户还可以指向另一个 Citrix 网关。 隧道自动建立。用户可以注销并停留在企业网络之外。用户还可以指向另一个 Citrix 网关。
全面接触 拒绝 隧道自动建立。用户无法注销或指向另一个 Citrix 网关。 隧道自动建立。用户可以卸载 Citrix 网关客户端或移动到另一个 Citrix 网关。
只有网关 允许 隧道自动建立。用户可以注销(无网络访问)。用户还可以指向另一个 Citrix 网关,在这种情况下,访问权限仅给予新指向的 Citrix 网关。 隧道自动建立。用户可以卸载 Citrix 网关客户端或移动到另一个 Citrix 网关。
只有网关 拒绝 隧道自动建立。用户无法注销或指向另一个 Citrix 网关。 隧道自动建立。用户可以卸载 Citrix 网关客户端或移动到另一个 Citrix 网关。