雙線兩臺(tái)連接服務(wù)器配置

如果你的網(wǎng)絡(luò)有多條出口線路，例如，大多數(shù)的單位分別有電信與聯(lián)通的出口。在這種情況下，網(wǎng)絡(luò)規(guī)劃的原則是讓電信線路的用戶，以電信的地址訪問(wèn)View桌面；而網(wǎng)通線路的用戶則以網(wǎng)通的地址訪問(wèn)View桌面。每個(gè)“View安全服務(wù)器”只能指定一個(gè)外網(wǎng)的IP地址。所以，對(duì)于有兩個(gè)不同出口的View桌面，則需要配置兩個(gè)View安全服務(wù)器。

圖4 雙線出口的View桌面拓?fù)?/p>

圖4是這個(gè)配置的簡(jiǎn)單拓?fù)鋱D，其中的防火墻是采用的Forefront TMG 2010，這個(gè)TMG配置有3個(gè)網(wǎng)卡，一個(gè)網(wǎng)卡設(shè)置110.249.253.163的IP地址，另一個(gè)網(wǎng)卡設(shè)置110.249.253.164的IP地址（在實(shí)際的生產(chǎn)環(huán)境中，在此應(yīng)該配置另一個(gè)出口線路的IP地址），第三個(gè)網(wǎng)卡用于局域網(wǎng)，設(shè)置為172.16.17.254的IP地址。

說(shuō)明：在這個(gè)示例中，用的是同一網(wǎng)段的兩個(gè)公網(wǎng)的IP地址，而在實(shí)際的生產(chǎn)環(huán)境中，這兩個(gè)公網(wǎng)的IP地址應(yīng)該是不同網(wǎng)段的IP地址，具有不同的網(wǎng)關(guān)。

圖5 編輯連接服務(wù)器設(shè)置

兩 個(gè)View安 全服務(wù)器的IP地址分別 是172.16.17.51、172.16.17.52，View 連接服務(wù)器的IP地址是172.16.17.53。在本示例中，發(fā)布到Internet的View桌面使用兩個(gè)域名，分別是dx.heuet.com，解析到110.249.253.163。另一個(gè)域名是wt.heuet.com，解析到110.249.253.164。如果你的域名支持DNS智能解析，也可以采用一個(gè)域名例如 view.heuet.com，并將該域名指向110.249.253.163與110.249.253.164這兩個(gè)IP地址。本示例中相關(guān)計(jì)算機(jī)名稱、域名、IP地址如表2所示。

View連接服務(wù)器與安全服務(wù)器配置

在安裝好1臺(tái)View連接服務(wù)器、2臺(tái)安全服務(wù)器之后，登錄View Administrator，配置View連接服務(wù)器及安全服務(wù)器。主要步驟如下。

1.登 錄ViewAdministrator，在“View配置→服務(wù)器”清單中，在“連接服務(wù)器”選項(xiàng)卡中，單擊“編輯”按鈕，在“編輯View連接服務(wù)器設(shè)置”對(duì)話框，在“標(biāo)記”文本框中為View連接服務(wù)器設(shè)置一個(gè)標(biāo)記，如vcs，View連接服務(wù)器為局域網(wǎng)用戶提供服務(wù)的，配置截圖如圖5所示，設(shè)置之后單擊“確定”按鈕。

注意：在輸入IP地址及端口時(shí)，以及用到的冒號(hào)（：）都應(yīng)該是英文半角字符，不能使用中文或全角字符。

選中“使用安全加密鏈路連接計(jì)算機(jī)”，在“外部URL”中輸入當(dāng)前View連接服務(wù)器的DNS名稱，在此 為https://vcs.heuet.com:443，在此必須要使用域名。

表2 雙線View桌面相關(guān)域名與IP地址

選中“PCoIP安全網(wǎng)關(guān)”，在“PCoIP外部URL”中輸入連接服務(wù)器的IP地址，在本示例為172.16.17.53:4172。

選 中“使 用Blast安全網(wǎng)關(guān)對(duì)計(jì)算機(jī)進(jìn)行HTML Access”， 在“Blast外 部URL”中以View連接服務(wù)器域名方式輸入，本示例為https://vcs.heuet.com:8443。

2.返回到ViewAdministrator， 在“安 全服務(wù)器”中，列出了當(dāng)前系統(tǒng)中安裝的安全服務(wù)器，在此有兩個(gè)安全服務(wù)器，需要一一修改配置。先選中security1的安全服務(wù)器，單擊“編輯”按鈕。

3.在“編輯安全服務(wù)器-View”對(duì)話框中，在“HTTP（S）安全加密鏈路”選項(xiàng)中，以域名的方式，輸入發(fā)布到Internet的域名及端口。

圖6 編輯View安全服務(wù)器

圖7 第二個(gè)安全服務(wù)器

如果你的域名支持DNS智能解析，你采用了一個(gè)域名，則這兩個(gè)安全服務(wù)器都采用同一個(gè)域名，例 如view.heuet.com，則在此輸入https://view.heuet.com:443。如果你采用的是兩個(gè)域名，例如dx.heuet.com與wt.heuet.com，如果第一個(gè)安全服務(wù)器對(duì)應(yīng)dx.heuet.com，則輸 入https://dx.heuet.com:443。

在“PCoIP安全網(wǎng)關(guān)”選項(xiàng)中，以IP地址的方式，輸入外部URL，在本示例中為110.249.253.163:4172。

在“Blast安全網(wǎng)關(guān)”選項(xiàng)中，以域名的方式輸入，在本示例中為https://view.heuet.com:8443。此域名要與“外部URL”的域名相同。設(shè)置之后，單擊“確定”按鈕（如圖6）。

說(shuō)明：在圖6中，在“HTTP（S）安全加密鏈路”選項(xiàng)中，輸入的是https://view.heuet.com:8442，在此采用的是8442而不是443端口，是因?yàn)槲覀冞@個(gè)示例中采用的是Forefront TMG防火墻并采用SSL Web站點(diǎn)轉(zhuǎn)發(fā)的原因。如果你使用的是普通的路由器，路由器到內(nèi)網(wǎng)IP采用的是443端口的映射，則可以采用443端口。

4.返回到ViewAdministrator，修改第二個(gè)安全服務(wù)器的對(duì)外域名、IP地址。

在“HTTP（S）安全加密鏈路”選項(xiàng)中，輸入https://view.heuet.com:443或https://wt.heuet.com:443。

在“PCoIP安全網(wǎng)關(guān)”選項(xiàng)中，以IP地址的方式，輸入外部URL，在本示例中為110.249.253.164:4172。

在“Blast安全網(wǎng)關(guān)”選項(xiàng)中，以域名的方式輸入，在本示例中為https://view.heuet.com:8443或https://wt.heuet.com:8443（如 圖7）。同樣，在本示例中因?yàn)椴捎玫氖荈orefront TMG防火墻的原因，外部URL的端口換成8442。

在Forefront TMG中發(fā)布View安全服務(wù)器

對(duì)于發(fā)布雙線View桌面，我們需要理解如下的關(guān)系：

Internet用戶以“view.heuet.com”訪問(wèn)View桌面，該域名要解析成110.249.253.163與164；或者Internet用戶訪問(wèn)dx.heuet.com解析成110.249.253.163；訪問(wèn)wt.heuet.com解析成110.249.253.164。

對(duì)于防火墻來(lái)說(shuō)，需要將110.249.253.163的TCP的 443端 口、TCP與UDP的4172端口、8443端口映射到第一臺(tái)View安全服務(wù)器的地址172.16.17.51；需要將110.249.253.164的TCP的443端口、TCP與UDP的4172端口、8443端口映射到第一臺(tái)View安全服務(wù)器的地址172.16.17.52。

對(duì)于局域網(wǎng)用戶，則需要訪問(wèn)vcs.heuet.com，該域名解析到172.16.17.53。

圖8 證書不匹配造成身份驗(yàn)證失敗

圖9 選擇服務(wù)器

在本示例中，以防火墻是Forefront TMG為例進(jìn)行介紹。

說(shuō)明：在Forefront TMG作外部防火墻時(shí)，因?yàn)榭梢詫?duì)443端口以“域名”的方式，進(jìn)行多次映射，所以要為Forefront TMG申請(qǐng)“通配符證書，在本示例中為*.heuet.com”，但這個(gè)證書映射到安全服務(wù)器的證書為view.heuet.com，這會(huì)導(dǎo)致使用Horizon View Client使用443進(jìn)行轉(zhuǎn)發(fā)時(shí)失敗（如圖8）。 為了解決這個(gè)問(wèn)題，我們除了將443端口以view.heuet.com映射到172.16.17.51與172.16.17.52之外，為View安全服務(wù)器指定了另一個(gè)端口8442，這樣，在進(jìn)行驗(yàn)證驗(yàn)證時(shí)使用8442（端口一對(duì)一映射，直接使用View安全服務(wù)器證書進(jìn)行驗(yàn)證），不存在通配符證書的驗(yàn)證問(wèn)題。如果你是使用普通的路由器，并且采用端口映射的方式，可以使用443而不是使用本示例中的另一個(gè)端口8442即可。當(dāng)然，如果你的Forefront TMG專門為安全服務(wù)器配置，不采用通配符證書，并且直接使用443端口進(jìn)行映射，也不需要修改端口為8442。

1.映射8443與4172端口

登 錄Forefront TMG防火墻，將TCP的8442端口、TCP與 UDP的 4172端 口、8443端口映射到View安全服務(wù)器的地址，本例為172.16.17.51、172.16.17.52，主要步驟如下（本文以Forefront TMG 2010防火墻為例介紹）。

在Forefront TMG控制臺(tái)中，右擊“防火墻策略”，選擇“新建→非Web服務(wù)器協(xié)議發(fā)布規(guī)則”。在“歡迎使用新建服務(wù)器發(fā)布規(guī)則向?qū)А睂?duì)話框中，為規(guī)則設(shè)置個(gè)名稱，在此設(shè)置為“view.heuet.com_163->172.16.17.51”。

在“選擇服務(wù)器”對(duì)話框中，設(shè)置要發(fā)布的服務(wù)器地址，在此設(shè)置View安全服務(wù)器的地址172.16.17.51（如圖 9）。在“選擇協(xié)議”對(duì)話框中，單擊“新建”按鈕，圖10所示為8442、4172端口新建協(xié)議。

在“歡迎使用新建協(xié)議定義向?qū)А睂?duì)話框中，設(shè)置協(xié)議名稱，在此設(shè)置名稱為View-4172_8443，表示新建協(xié)議使用端口4172與8443。在“首要連接信息”對(duì)話框，單擊“新建”按鈕，添加協(xié)議類型為TCP、方向?yàn)椤叭胝尽钡?172、8443協(xié)議，添加協(xié)議類型為UDP、方向?yàn)椤敖邮瞻l(fā)送”的4172協(xié)議。

返回到“選擇協(xié)議”對(duì)話框，選擇前文創(chuàng)建的協(xié)議。在“網(wǎng)絡(luò)偵聽器IP地址”對(duì)話框中，選擇“外部”，單擊“地址”，在彈出的“外部 網(wǎng)絡(luò)偵聽器 IP選擇”對(duì)話框中，將110.249.253.163添加到“選擇的IP地址”列表中（如圖11）。進(jìn)行此項(xiàng)設(shè)置，表示將110.249.253.163映射到172.16.17.51。在“正在完成新建服務(wù)器發(fā)布規(guī)則向?qū)А睂?duì)話框，單擊“完成”按鈕。

圖10 新建協(xié)議

圖11 選擇偵聽器地址

之后參照上面的步驟，為另一個(gè)服務(wù)器，創(chuàng)建服務(wù)器發(fā)布規(guī)則，將110.249.253.164映射到172.16.17.52，這些不一一介紹。

2.映射8442到安全服務(wù)器的443端口

參照上面的步驟，新建規(guī)則，將TCP的8442轉(zhuǎn)發(fā)到172.16.17.51的443端口，主要步驟如下（下面只介紹不同的地方，相同地方則不再介紹）。

新建非Web服務(wù)器發(fā)布規(guī)則，設(shè)置規(guī)則名稱 為“view_163:8442->172.16.17.51:443”。新 建一個(gè)協(xié)議，設(shè)置協(xié)議端口范圍為8442～8442、協(xié)議類型為TCP、方向?yàn)槿胝尽Ｔ凇斑x擇協(xié)議”對(duì)話框中，選擇新建的協(xié)議，單擊“端口”按鈕，在彈出的“端口”對(duì)話框中，在“發(fā)布的服務(wù)器端口”選項(xiàng)中，選中“將請(qǐng)求發(fā)送到發(fā)布的服務(wù)器上的此端口”單選按鈕，修改端口為443。

在“網(wǎng) 絡(luò)偵聽器IP地址”對(duì)話框，選擇“外部”，同樣選擇綁定110.249.253.163的IP地址。之后參照上面的步驟，為另一個(gè)服務(wù)器，創(chuàng)建服務(wù)器發(fā)布規(guī)則，將110.249.253.164映射到172.16.17.52，這些不一一介紹。

3.創(chuàng)建SSL偵聽器

如果在你的Forefront TMG中，TCP的 443端口要“復(fù)用”，即443端口除了發(fā)布View桌面，還用于其他Web服務(wù)器的身份驗(yàn)證，則需要?jiǎng)?chuàng)建“網(wǎng)站發(fā)布規(guī)則”。如果443端口只用于View桌面，則可以依照前面的內(nèi)容，創(chuàng)建“非Web服務(wù)器協(xié)議發(fā)布規(guī)則”，將“HTTPS服務(wù)器”發(fā)布到172.16.17.52（同樣綁定110.249.253.164的IP地址）。本文介紹“網(wǎng)站發(fā)布規(guī)則”。

（1）在Forefront TMG控制臺(tái)中，在“防火墻策略”節(jié)點(diǎn)中，在右側(cè)的“工具箱”選項(xiàng)卡中，單擊“新建”菜單，選擇“Web偵聽器”命令（如圖 12）。

（2）在“歡迎使用新建Web偵聽器向?qū)А睂?duì)話框，在“Web偵聽器名稱”文本框中，為新建的Web偵聽器設(shè)置一個(gè)名稱，在本示例中為“SSL Web-164”。

（3）在“客戶端連接安全設(shè)置”對(duì)話框，單擊“需要與客戶端建立SSL安全連接”單選框。

（4） 在“Web偵聽器IP地址”對(duì)話框選擇“外部”，單擊“選擇IP地址”，在彈出的“外部網(wǎng)絡(luò)偵聽器 IP選擇”對(duì)話框中，選擇110.249.253.164。

（5）在“偵聽器SSL證書”對(duì)話框，單擊“選擇證書”按鈕，彈出“選擇證書”對(duì)話框，從列表中選擇一個(gè)證書，在本示例中，該證書為*.heuet.com，這是一個(gè)“通配符”證書。

圖12 新建Web偵聽器

圖13 選擇偵聽器

說(shuō)明：你需要申請(qǐng)一個(gè)名為*.heuet.com的服務(wù)器證書，并且保存在“計(jì)算機(jī)存儲(chǔ)”而不是“用戶存儲(chǔ)”中。

（6）在“選擇Web偵聽器”對(duì)話框中，選擇新建的Web偵聽器（如圖13）。

（7）在“身份驗(yàn)證設(shè)置”對(duì)話框，在“選擇客戶端將如何向Forefront TMG提供憑據(jù)”下拉列表中選擇“無(wú)身份驗(yàn)證”。

（8）在“正在完成新建Web偵聽器向?qū)А睂?duì)話框，單擊“完成”按鈕，創(chuàng)建偵聽器完成。

之后參照上面的步驟，為另一個(gè)服務(wù)器，創(chuàng)建偵聽器，偵聽地址是110.249.253.163，這些不再一一介紹。

4.創(chuàng)建Web服務(wù)器發(fā)布規(guī)則

在完成SSL Web偵聽器創(chuàng)建后，就可以發(fā)布SSL Web站點(diǎn)了，步驟如下。

（1）在Forefront TMG控制臺(tái)中，右擊“防火墻策略”，在彈出的快捷菜單中選擇“新建→網(wǎng)站發(fā)布規(guī)則”， 在“歡迎使用新建Web發(fā)布規(guī)則向?qū)А睂?duì)話框，為Web發(fā)布規(guī)則設(shè)置一個(gè)名稱，在此為“view.heuet.com->172.16.17.52”。

（3）在“發(fā)布類型”對(duì)話框選擇“發(fā)布單個(gè)網(wǎng)站或負(fù)載平衡器”。

（4）在“服務(wù)器連接安全”對(duì)話框，選擇“使用SSL連接到發(fā)布的Web服務(wù)器或服務(wù)器場(chǎng)”示。

（5）在“內(nèi)部發(fā)布詳細(xì)信息”對(duì)話框，輸入內(nèi)部站點(diǎn)名稱 view.heuet.com，并選中“使用計(jì)算機(jī)名稱或IP地址連接到發(fā)布的服務(wù)器”，并指定服務(wù)器的IP地址為172.16.17.52。

（6）在“公共名稱細(xì)節(jié)”對(duì)話框，輸入公共名稱view.heuet.com。

（7）在“選擇Web偵聽器”對(duì)話框，選擇“SSL Web-164”。

（8）其他選擇默認(rèn)值，直到發(fā)布規(guī)則創(chuàng)建完成，最后單擊“應(yīng)用”按鈕，讓設(shè)置生效。

之后參照上面的步驟，為另一個(gè)服務(wù)器，創(chuàng)建服務(wù)器發(fā)布規(guī)則，將110.249.253.163映 射到172.16.17.51，這些不一一介紹。全部配置完成之后如圖14所示。

為TMG選擇出口線路

在做了端口映射之后，還需要修改Forefront TMG的網(wǎng)絡(luò)規(guī)則， 讓172.16.17.51的出口使用110.249.253.163，讓172.16.17.52的出口使用110.249.253.164，這樣才能實(shí)現(xiàn)從外網(wǎng)到內(nèi)網(wǎng)地址的雙向映射（即Internet的用戶，從那個(gè)公網(wǎng)的地址進(jìn)來(lái)，服務(wù)器返回的時(shí)候，返回的出口也是這個(gè)出口的IP地址）。

在Microsoft Forefront TMG 2010中，可以通過(guò)創(chuàng)建網(wǎng)絡(luò)訪問(wèn)規(guī)則、并指定NAT轉(zhuǎn)換地址的方法解決，步驟如下。

圖14 設(shè)置完成

圖15 安全服務(wù)器1出口IP地址

1.在Microsoft Forefront TMG 2010中，打開Forefront TMG控制臺(tái)，右擊“網(wǎng)絡(luò)連接”，在彈出的快捷菜單中選擇“新建→網(wǎng)絡(luò)規(guī)則”。

2.在“網(wǎng)絡(luò)規(guī)則名稱”頁(yè)，為新建的規(guī)則設(shè)置一個(gè)名稱，例如“172.16.17.51->110.249.253.163”。

3.在“網(wǎng)絡(luò)通訊源”頁(yè)，新建計(jì)算機(jī)規(guī)則元素，為“View安全服務(wù)器1”添加 “計(jì)算機(jī)”實(shí)體，該計(jì)算機(jī)對(duì)應(yīng)的IP地址為172.16.17.51，然后將添加到規(guī)則源

4.在“網(wǎng)絡(luò)通訊目標(biāo)”頁(yè)，添加“外部”。在“網(wǎng)絡(luò)關(guān)系”頁(yè)，選擇“網(wǎng)絡(luò)地址轉(zhuǎn)換”。在“NAT地址選擇”頁(yè)，選擇“使用指定的IP地址”，并且選擇要為“View安全服務(wù)器1”指定的出口IP地址，在本示例中為110.249.253.163。

5.在“正在完成新建網(wǎng)絡(luò)規(guī)則向?qū)А表?yè)，選擇“完成”。

之后參照上面的內(nèi)容，添 加172.16.17.52到110.249.253.164的出口規(guī)則，這些不一一介紹。

然后定位到“網(wǎng)絡(luò)連接→網(wǎng)絡(luò)規(guī)則”頁(yè)，如果新添加的規(guī)則在“Internet訪問(wèn)”規(guī)則后面，則將其移動(dòng)到“Internet訪問(wèn)規(guī)則”前面，因?yàn)樵凇癐nternet訪問(wèn)規(guī)則”中的“內(nèi)部”包括了View安全服務(wù)器的地。

配置完成之后，在172.1 6.1 7.5 1與172.16.17.52的計(jì)算機(jī)上，打開IE瀏覽器，登錄www.ip138.com，可以看到這兩臺(tái)機(jī)器顯示的IP地址分別 是110.249.253.163和110.249.253.164（如 圖15）。

經(jīng)過(guò)上述設(shè)置，View桌面（Internet用戶）即不會(huì)出現(xiàn)“黑屏”的現(xiàn)象。