在图1所示的案例 中,heuet.com是在Internet申请的合法域名,其中名为view的A记 录,指 向防火墙外网的IP地址222.223.233.162。 在View连接服务器所在的企业局域网内,也使用域名heuet.com,内部DNS地 址为 172.30.6.1。View连 接服务器加入到heuet.com的域,是域中的成员服务器,而Composer与View安全服务器,则不需要加入到域。View连接服务器、安全服务器、Composer服务器都是一个网卡。表1为示例IP地址信息。
图1 单台View连接服务器、单外网IP的拓扑图
说明:许多初学者在规划网络的时候,将“View安全服务器”配置为两个网卡,一个网卡是局域网的IP地址,另一个网卡配置广域网的IP地址,连接Internet。在这种规划中,将View安全服务器当成NAT设备,这样的规划是不正确的。View安全服务器需要由出口的防火墙进行转发,而不是处于网络的边缘。
例如,对于第一个案例的记录如表1所示。
在图1中,处于Internet的用户如果想访问View桌面,则需要有两种方式:
以HTML以Web方式访问:https://view.heuet.com。
使用Horizon View Client,则登录地址为view.heuet.com。
Internet的用户,需要将view.heuet.com的域名解析成222.223.233.162,如果你的DNS解析不能生效,将编辑本机hosts文件(默认保存在C:windowssystem32driversetchosts),添加以下一行:
222.223.233.162 View.heuet.com
对于局域网内的用户,只要DNS设置为172.30.6.1,则可以使用vcs.heuet.com访问View桌面,此时只需要“View连接服务器”,不需要View安全服务器。在局域网内,vcs.heuet.com会解 析到172.30.6.2。
表1 示例IP地址或域名与你的信息
了解了拓扑关系,我们分别介绍View连接服务器、防火墙(或路由器)的配置。
安装好View安全服务器之后,登录View Administrator管理界面,检查并配置View连接服务器、View安全服务器,主要步骤如下。
1.登 录ViewAdministrator,在“View配置→服务器”清单中,在“连接服务器”选项卡中,单击“编辑”按钮,在“编辑View连接服务器设置”对话框,在“标记”文本框中为View连接服务器设置一个标记,如vcs,View连接服务器为局域网用户提供服务的,配置截图如图2所示,设置之后单击“确定”按钮。
注意:在输入IP地址及端口时,以及用到的冒号(:)都应该是英文半角字符,不能使用中文或全角字符。
图2 编辑连接服务器设置
选中“使用安全加密链路连接计算机”,在“外部URL”中输入当前View连接服务器的DNS名称,在此为https://vcs.heuet.com:443,在 此必须使用域名。
选中“PCoIP安全网关”,在“PCoIP外部URL”中输入连接服务器的IP地址,在本示例为172.30.6.2:4172。
选 中“使 用Blast安全网关对计算机进行HTML Access”, 在“Blast外 部URL”中以View连接服务器域名方式输入,本示例为https://vcs.heuet.com:8443。
关键点:在图2中的“连接服务器”设置中,HTTPS安全加密链路与Blast安全网关配置选项应该输入域名,并且此域名应该能让内部客户端解析到连接服务器的IP地址,而PCoIP安全网关设置需要使用IP地址,并且是连接服务器的IP地址,该IP地址是内网IP地址。
2.返回到ViewAdministrator,在“安 全服务器”中单击“编辑”按钮,在“编辑安全服务器-View”对话框的“HTTP(S)安全加密链路”选项中,以域名的方式,输入发布到Internet的域名及端口,在此输入https://view.heuet.com:443;在“PCoIP安全网关”选项中,以IP地址的方式,输入外部URL,在本示例中为222.223.233.162:4172。在“Blast安全网关”选项中,以域名的方式输入,在本示例中为https://view.heuet.com:8443。设置之后,单击“确定”按钮。
关键点:在“安全服务器”设置中,HTTPS安全加密链路与Blast安全网关配置选项应该输入域名,并且此域名应该能让“外部客户端”解析到连接服务器所属网络出口的“公网IP地址”,而PCoIP安全网关设置需要使用IP地址,并且是连接服务器所属网络出口的公网IP地址,该IP地址不能是安全服务器的内部IP地址。
最后,登录防火墙或路由器,将TCP的443、8443端口、TCP与UDP的4172端口映射到View安全服务器的IP地址,本例为172.16.17.51,我们以TP-Link路由器为例进行介绍。
1.登录路由器的管理界面,在“转发规则→虚拟服务器”中,单击“添加新条目”。
2.在“服务器端口号”文本中输入第一个映射的端口443,IP地址为View安全服务器的地址172.16.17.51,协议选择TCP,然后单击“保存”按钮。
图3 添加映射
也有的TP-Link路由器,在做端口转发的时候,可以设置“外部端口”、“内部端口”及端口范围,例如TL-ER5120,如果这种路由器,外部端口(外网IP映射的端口,本示例中为222.223.233.162)写443-443(表示只使用443这个端口),内部端口(映射到的内部IP地址,本示例中为172.16.17.51)写443-443。
此功能可以将外部端口映射到内部不同的端口。例如,你可以将外网222.223.233.162的1234映射到内网172.16.17.51的2345。如果进行此类映射,则访问222.223.233.162:1234将访问172.16.17.51的2345端口。
3.之后再添加4172、8443到172.16.17.51的映射,其中在添加端口4172的映射时需要选择ALL(包括TCP与UDP协议),添加之后如图3所示。
经过这样设置,Horizon View Client,在使用域名view.heuet.com访问View桌面时,只要view.heuet.com域名能正确解析、网络连接正常,就可以访问到路由器后面的View桌面。