在圖1所示的案例 中,heuet.com是在Internet申請的合法域名,其中名為view的A記 錄,指 向防火墻外網(wǎng)的IP地址222.223.233.162。 在View連接服務(wù)器所在的企業(yè)局域網(wǎng)內(nèi),也使用域名heuet.com,內(nèi)部DNS地 址為 172.30.6.1。View連 接服務(wù)器加入到heuet.com的域,是域中的成員服務(wù)器,而Composer與View安全服務(wù)器,則不需要加入到域。View連接服務(wù)器、安全服務(wù)器、Composer服務(wù)器都是一個(gè)網(wǎng)卡。表1為示例IP地址信息。
圖1 單臺(tái)View連接服務(wù)器、單外網(wǎng)IP的拓?fù)鋱D
說明:許多初學(xué)者在規(guī)劃網(wǎng)絡(luò)的時(shí)候,將“View安全服務(wù)器”配置為兩個(gè)網(wǎng)卡,一個(gè)網(wǎng)卡是局域網(wǎng)的IP地址,另一個(gè)網(wǎng)卡配置廣域網(wǎng)的IP地址,連接Internet。在這種規(guī)劃中,將View安全服務(wù)器當(dāng)成NAT設(shè)備,這樣的規(guī)劃是不正確的。View安全服務(wù)器需要由出口的防火墻進(jìn)行轉(zhuǎn)發(fā),而不是處于網(wǎng)絡(luò)的邊緣。
例如,對于第一個(gè)案例的記錄如表1所示。
在圖1中,處于Internet的用戶如果想訪問View桌面,則需要有兩種方式:
以HTML以Web方式訪問:https://view.heuet.com。
使用Horizon View Client,則登錄地址為view.heuet.com。
Internet的用戶,需要將view.heuet.com的域名解析成222.223.233.162,如果你的DNS解析不能生效,將編輯本機(jī)hosts文件(默認(rèn)保存在C:windowssystem32driversetchosts),添加以下一行:
222.223.233.162 View.heuet.com
對于局域網(wǎng)內(nèi)的用戶,只要DNS設(shè)置為172.30.6.1,則可以使用vcs.heuet.com訪問View桌面,此時(shí)只需要“View連接服務(wù)器”,不需要View安全服務(wù)器。在局域網(wǎng)內(nèi),vcs.heuet.com會(huì)解 析到172.30.6.2。
表1 示例IP地址或域名與你的信息
了解了拓?fù)潢P(guān)系,我們分別介紹View連接服務(wù)器、防火墻(或路由器)的配置。
安裝好View安全服務(wù)器之后,登錄View Administrator管理界面,檢查并配置View連接服務(wù)器、View安全服務(wù)器,主要步驟如下。
1.登 錄ViewAdministrator,在“View配置→服務(wù)器”清單中,在“連接服務(wù)器”選項(xiàng)卡中,單擊“編輯”按鈕,在“編輯View連接服務(wù)器設(shè)置”對話框,在“標(biāo)記”文本框中為View連接服務(wù)器設(shè)置一個(gè)標(biāo)記,如vcs,View連接服務(wù)器為局域網(wǎng)用戶提供服務(wù)的,配置截圖如圖2所示,設(shè)置之后單擊“確定”按鈕。
注意:在輸入IP地址及端口時(shí),以及用到的冒號(:)都應(yīng)該是英文半角字符,不能使用中文或全角字符。
圖2 編輯連接服務(wù)器設(shè)置
選中“使用安全加密鏈路連接計(jì)算機(jī)”,在“外部URL”中輸入當(dāng)前View連接服務(wù)器的DNS名稱,在此為https://vcs.heuet.com:443,在 此必須使用域名。
選中“PCoIP安全網(wǎng)關(guān)”,在“PCoIP外部URL”中輸入連接服務(wù)器的IP地址,在本示例為172.30.6.2:4172。
選 中“使 用Blast安全網(wǎng)關(guān)對計(jì)算機(jī)進(jìn)行HTML Access”, 在“Blast外 部URL”中以View連接服務(wù)器域名方式輸入,本示例為https://vcs.heuet.com:8443。
關(guān)鍵點(diǎn):在圖2中的“連接服務(wù)器”設(shè)置中,HTTPS安全加密鏈路與Blast安全網(wǎng)關(guān)配置選項(xiàng)應(yīng)該輸入域名,并且此域名應(yīng)該能讓內(nèi)部客戶端解析到連接服務(wù)器的IP地址,而PCoIP安全網(wǎng)關(guān)設(shè)置需要使用IP地址,并且是連接服務(wù)器的IP地址,該IP地址是內(nèi)網(wǎng)IP地址。
2.返回到ViewAdministrator,在“安 全服務(wù)器”中單擊“編輯”按鈕,在“編輯安全服務(wù)器-View”對話框的“HTTP(S)安全加密鏈路”選項(xiàng)中,以域名的方式,輸入發(fā)布到Internet的域名及端口,在此輸入https://view.heuet.com:443;在“PCoIP安全網(wǎng)關(guān)”選項(xiàng)中,以IP地址的方式,輸入外部URL,在本示例中為222.223.233.162:4172。在“Blast安全網(wǎng)關(guān)”選項(xiàng)中,以域名的方式輸入,在本示例中為https://view.heuet.com:8443。設(shè)置之后,單擊“確定”按鈕。
關(guān)鍵點(diǎn):在“安全服務(wù)器”設(shè)置中,HTTPS安全加密鏈路與Blast安全網(wǎng)關(guān)配置選項(xiàng)應(yīng)該輸入域名,并且此域名應(yīng)該能讓“外部客戶端”解析到連接服務(wù)器所屬網(wǎng)絡(luò)出口的“公網(wǎng)IP地址”,而PCoIP安全網(wǎng)關(guān)設(shè)置需要使用IP地址,并且是連接服務(wù)器所屬網(wǎng)絡(luò)出口的公網(wǎng)IP地址,該IP地址不能是安全服務(wù)器的內(nèi)部IP地址。
最后,登錄防火墻或路由器,將TCP的443、8443端口、TCP與UDP的4172端口映射到View安全服務(wù)器的IP地址,本例為172.16.17.51,我們以TP-Link路由器為例進(jìn)行介紹。
1.登錄路由器的管理界面,在“轉(zhuǎn)發(fā)規(guī)則→虛擬服務(wù)器”中,單擊“添加新條目”。
2.在“服務(wù)器端口號”文本中輸入第一個(gè)映射的端口443,IP地址為View安全服務(wù)器的地址172.16.17.51,協(xié)議選擇TCP,然后單擊“保存”按鈕。
圖3 添加映射
也有的TP-Link路由器,在做端口轉(zhuǎn)發(fā)的時(shí)候,可以設(shè)置“外部端口”、“內(nèi)部端口”及端口范圍,例如TL-ER5120,如果這種路由器,外部端口(外網(wǎng)IP映射的端口,本示例中為222.223.233.162)寫443-443(表示只使用443這個(gè)端口),內(nèi)部端口(映射到的內(nèi)部IP地址,本示例中為172.16.17.51)寫443-443。
此功能可以將外部端口映射到內(nèi)部不同的端口。例如,你可以將外網(wǎng)222.223.233.162的1234映射到內(nèi)網(wǎng)172.16.17.51的2345。如果進(jìn)行此類映射,則訪問222.223.233.162:1234將訪問172.16.17.51的2345端口。
3.之后再添加4172、8443到172.16.17.51的映射,其中在添加端口4172的映射時(shí)需要選擇ALL(包括TCP與UDP協(xié)議),添加之后如圖3所示。
經(jīng)過這樣設(shè)置,Horizon View Client,在使用域名view.heuet.com訪問View桌面時(shí),只要view.heuet.com域名能正確解析、網(wǎng)絡(luò)連接正常,就可以訪問到路由器后面的View桌面。