配置地址池

在某些情况下,使用 Citrix 网关插件连接的用户需要 Citrix 网关的唯一 IP 地址。例如,在 Samba 环境中,连接到映射网络驱动器的每个用户都需要看起来来自不同的 IP 地址。为组启用地址池(也称为 IP 池)时,Citrix Gateway 可以为每个用户分配唯一的 IP 地址别名。

您可以使用 Intranet IP 地址配置地址池。以下类型的应用程序可能需要使用从 IP 池中绘制的唯一 IP 地址:

  • IP 语音
  • 活动 FTP
  • 即时通讯
  • 安全外壳 (SSH)
  • 虚拟网络计算 (VNC) 连接到计算机桌面
  • 远程桌面 (RDP) 连接到客户端桌面

您可以将 Citrix 网关配置为将内部 IP 地址分配给连接到 Citrix 网关的用户。静态 IP 地址可以分配给用户,也可以将一系列 IP 地址分配给组、虚拟服务器或全局系统。

Citrix 网关允许您将内部网络中的 IP 地址分配给远程用户。远程用户可以通过内部网络上的 IP 地址寻址。如果您选择使用一系列 IP 地址,系统会根据需要将该范围内的 IP 地址动态分配给远程用户。

配置地址池时,请注意以下事项:

  • 分配的 IP 地址需要正确路由。要确保正确的路由,请考虑以下事项:
    • 如果不启用拆分隧道,请确保 IP 地址可以通过网络地址转换 (NAT) 设备路由。
    • 通过具有 Intranet IP 地址的用户连接访问的任何服务器都必须配置适当的网关来访问这些网络。
    • 在 Citrix 网关上配置网关或静态路由,以便将来自用户软件的网络流量路由到内部网络。
  • 分配 IP 地址范围时,只能使用连续子网掩码。范围的子集可以分配给较低级别的实体。例如,如果 IP 地址范围绑定到虚拟服务器,则将范围的子集绑定到组。
  • IP 地址范围不能绑定到绑定级别内的多个实体。例如,绑定到组的地址范围的子集不能绑定到第二个组。
  • Citrix Gateway 不允许您在用户会话主动使用的 IP 地址时删除或取消绑定。
  • 内部网络 IP 地址通过使用以下层次结构分配给用户:
    • 用户的直接绑定
    • 组分配的地址池
    • 虚拟服务器分配的地址池
    • 全球地址范围
  • 在分配地址范围时,只能使用连续子网掩码。但是,分配范围的子集可能会进一步分配给较低级别的实体。绑 定的全局地址范围可以具有绑定到以下内容的范围:
    • 虚拟服务器
    • 小组
    • 用户
  • 绑定的虚拟服务器地址范围可以具有绑定到以下内容的子集:
    • 小组
    • 用户

绑定组地址范围可以绑定到用户的子集。

将 IP 地址分配给用户时,该地址将保留用于用户下次登录,直到地址池范围已耗尽。地址用尽后,Citrix 网关会从从 Citrix 网关注销时间最长的用户处回收 IP 地址。

如果无法回收地址并且所有地址正在使用,Citrix Gateway 将不允许用户登录。当所有其他 IP 地址都不可用时,您可以允许 Citrix Gateway 使用映射的 IP 地址作为 Intranet IP 地址来防止这种情况。

内联网 IP 域名注册

如果将 Intranet IP 分配给客户端计算机,并在 VIP 隧道建立后,VPN 插件会检查该客户端计算机是否已加入域。如果客户端计算机是已加入域的计算机,则 VPN 插件将启动 DNS 注册过程,以将计算机的主机名 Intranet 与分配的 Intranet IP 地址联系起来。该登记将在隧道拆除前恢复。

要成功注册 DSN,请确保设置了以下 nsapimgr 旋钮。还请确保将权威 DNS 服务器设置为允许 “非安全” DNS 更新。

  • nsapimgr-ys 启用 _vpn_dns_override=1:此标志与其他配置参数一起发送到 NetScaler 网关 VPN 客户端。如果此标志未设置,并且 VPN 客户端拦截 DNS/WINS 请求时,它会通过隧道向 NetScaler 网关虚拟服务器发送相应的 “GET /DNS” http-请求以获取已解析的 IP 地址。但是,如果设置了 ‘启用 _vpn_dnstruncate_fix’ 标志,VPN 客户端将 DNS/WINS 请求透明地转发到 NetScaler 网关虚拟服务器。在这种情况下,DNS 数据包按原样通过 VPN 隧道发送到 NetScaler 网关虚拟服务器。当从 NetScaler 网关中配置的名称服务器返回的 DNS 记录很大并且不适合 UPD 响应数据包时,这将有所帮助。在这种情况下,当客户端回退到使用 TCP-DNS 时,此 TCP-DNS 数据包按原样到达 NetScaler 网关服务器,因此 NetScaler 网关服务器对 DNS 服务器进行 TCP-DNS 查询。

  • nsapimgr-ys 启用 _vpn_dnstruncate_fix = 1:此标志由 NetScaler 网关服务器本身使用。如果设置此标志,NetScaler 网关会覆盖 “DNS 端口上的 TCP 连接” 的目标到 NetScaler 网关上配置的 DNS 服务器(而不是尝试将它们发送到最初存在于传入 TCP-DNS 数据包中的 DNS 服务器 IP)。对于 UDP DNS 请求,默认情况下使用配置的 DNS 服务器进行 DNS 解析。

有关设置这些旋钮的更多信息,请参阅https://support.citrix.com/article/CTX200243

配置地址池