TCP/UDP 应用的 NetScaler Gateway 配置
您可以使用适用于 Web/SaaS 应用的 NetScaler Gateway 配置中概述的过程来配置 TCP/UDP 应用程序。要为 TCP/UDP 应用程序配置网关,必须通过在脚本中为启用 TCP/UDP 应用程序类型支持参数输入 Y 来启用 TCP/UDP 支持。
下图显示了为支持 TCP/UDP 而启用的“启用 TCP/UDP 应用程序类型支持”参数。
更新 TCP/UDP 应用程序的现有 NetScaler Gateway 配置
如果您要将配置从早期版本更新到 2407,建议您手动更新配置。有关详细信息,请参阅更新现有 NetScaler Gateway 配置的示例命令。此外,您必须更新 NetScaler Gateway 虚拟服务器和会话操作设置。
NetScaler Gateway 虚拟服务器设置
添加或更新现有 NetScaler Gateway 虚拟服务器时,请确保将以下参数设置为定义值。有关示例命令,请参阅更新现有 NetScaler Gateway 配置的示例命令。此外,您必须更新 NetScaler Gateway 虚拟服务器和会话操作设置。
添加虚拟服务器:
- tcpProfileName:nstcp_default_XA_XD_profile
- deploymentType:ICA_STOREFRONT(仅在
add vpn vserver命令中可用) - icaOnly:OFF
更新虚拟服务器:
- tcpProfileName:nstcp_default_XA_XD_profile
- icaOnly:OFF
有关虚拟服务器参数的详细信息,请参阅 vpn-sessionAction。
NetScaler Gateway 会话操作设置
会话操作绑定到具有会话策略的网关虚拟服务器。创建或更新会话操作时,请确保将以下参数设置为定义的值。有关示例命令,请参阅更新现有 NetScaler Gateway 配置的示例命令。此外,您必须更新 NetScaler Gateway 虚拟服务器和会话操作设置。
-
transparentInterception:开 -
SSO:开 -
ssoCredential:PRIMARY -
useMIP:NS -
useIIP:关 -
icaProxy:关 -
ClientChoices:开 -
ntDomain:mydomain.com - 用于 SSO(可选) -
defaultAuthorizationAction:ALLOW -
authorizationGroup:SecureAccessGroup -
clientlessVpnMode:关 -
clientlessModeUrlEncoding:TRANSPARENT -
SecureBrowse:ENABLED
更新现有 NetScaler Gateway 配置的示例命令
注意:
如果您要手动更新现有配置,则除了以下命令外,还必须使用
nsapimgr_wr.sh -ys ns_vpn_enable_spa_tcp_udp_apps=3命令更新 /nsconfig/rc.netscaler 文件。
-
添加 VPN 会话操作以支持基于 Citrix Secure Access 的连接。
add vpn sessionAction AC_AG_PLGspaonprem -splitDns BOTH -splitTunnel ON -transparentInterception ON -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -ClientChoices ON -ntDomain gwonprem.corp -clientlessVpnMode OFF -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -
添加 VPN 会话策略以支持基于 Citrix Secure Access 的连接。
add vpn sessionPolicy PL_AG_PLUGINspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT && HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"plugin\")" AC_AG_PLGspaonprem -
将会话策略绑定到 VPN 虚拟服务器以支持基于 Citrix Secure Access 的连接。
bind vpn vserver spaonprem -policy PL_AG_PLUGINspaonprem -priority 115 -gotoPriorityExpression NEXT -type REQUEST -
添加 HTTP 标注策略以支持对基于 TCP/UDP 的连接进行授权验证。
add policy httpCallout SecureAccess_httpCallout_TCP -IPAddress 10.109.224.159 -port 443 -returnType BOOL -httpMethod POST -hostExpr "\"spa.gwonprem.corp\"" -urlStemExpr "\"/secureAccess/authorize\"" -headers Content-Type("application/json") X-Citrix-SecureAccess-Cache("dstip="+HTTP.REQ.HEADER("CSIP").VALUE(0)+"&sessid="+aaa.user.sessionid) -bodyExpr q/"{"+"\"userName\":\""+aaa.USER.NAME.REGEX_REPLACE(re#\\#,"\\\\",ALL)+"\","+"\"domain\":\""+aaa.USER.DOMAIN+"\","+"\"customTags\":\""+http.REQ.HEADER("X-Citrix-AccessSecurity").VALUE(0)+"\","+"\"gatewayAddress\":\"ns224158.gwonprem.corp\","+"\"userAgent\":\"CitrixSecureAccess\","+"\"applicationDomain\":\""+http.REQ.HEADER("CSHOST").VALUE(0)+"\","+"\"smartAccessTags\":\""+aaa.user.attribute("smartaccess_tags")+"\",\"applicationType\":\"ztna\",\"applicationDetails\":{\"destinationIp\":\""+HTTP.REQ.HEADER("CSIP").VALUE(0)+"\",\"destinationPort\":\""+HTTP.REQ.HEADER("PORT").VALUE(0)+"\",\"protocol\":\"TCP\"}}"/ -scheme https -resultExpr "http.RES.HEADER(\"X-Citrix-SecureAccess-Decision\").contains(\"ALLOW\")" -
添加授权策略以支持基于 TCP/UDP 的连接。
add authorization policy SECUREACCESS_AUTHORIZATION_TCP "HTTP.REQ.URL.EQ(\"/cs\") && HTTP.REQ.HEADER(\"PRTCL\").EQ(\"TCP\") && sys.HTTP_CALLOUT(SecureAccess_httpCallout_TCP)" ALLOW -
将授权策略绑定到身份验证和授权组,以支持基于 TCP/UDP 的应用程序。
bind aaa group SecureAccessGroup -policy SECUREACCESS_AUTHORIZATION_TCP -priority 1010 -gotoPriorityExpression END
其他信息
有关用于 Secure Private Access 的 NetScaler Gateway 的更多信息,请参阅以下主题: