單線單臺連接服務器與路由器映射

在圖1所示的案例 中，heuet.com是在Internet申請的合法域名，其中名為view的A記 錄，指 向防火墻外網的IP地址222.223.233.162。 在View連接服務器所在的企業局域網內，也使用域名heuet.com，內部DNS地 址為 172.30.6.1。View連 接服務器加入到heuet.com的域，是域中的成員服務器，而Composer與View安全服務器，則不需要加入到域。View連接服務器、安全服務器、Composer服務器都是一個網卡。表1為示例IP地址信息。

圖1 單臺View連接服務器、單外網IP的拓撲圖

說明：許多初學者在規劃網絡的時候，將“View安全服務器”配置為兩個網卡，一個網卡是局域網的IP地址，另一個網卡配置廣域網的IP地址，連接Internet。在這種規劃中，將View安全服務器當成NAT設備，這樣的規劃是不正確的。View安全服務器需要由出口的防火墻進行轉發，而不是處于網絡的邊緣。

例如，對于第一個案例的記錄如表1所示。

在圖1中，處于Internet的用戶如果想訪問View桌面，則需要有兩種方式：

以HTML以Web方式訪問：https://view.heuet.com。

使用Horizon View Client，則登錄地址為view.heuet.com。

Internet的用戶，需要將view.heuet.com的域名解析成222.223.233.162，如果你的DNS解析不能生效，將編輯本機hosts文件（默認保存在C:windowssystem32driversetchosts），添加以下一行：

222.223.233.162 View.heuet.com

對于局域網內的用戶，只要DNS設置為172.30.6.1，則可以使用vcs.heuet.com訪問View桌面，此時只需要“View連接服務器”，不需要View安全服務器。在局域網內，vcs.heuet.com會解 析到172.30.6.2。

表1 示例IP地址或域名與你的信息

了解了拓撲關系，我們分別介紹View連接服務器、防火墻（或路由器）的配置。

在View Administrator界面配置

安裝好View安全服務器之后，登錄View Administrator管理界面，檢查并配置View連接服務器、View安全服務器，主要步驟如下。

1.登 錄ViewAdministrator，在“View配置→服務器”清單中，在“連接服務器”選項卡中，單擊“編輯”按鈕，在“編輯View連接服務器設置”對話框，在“標記”文本框中為View連接服務器設置一個標記，如vcs，View連接服務器為局域網用戶提供服務的，配置截圖如圖2所示，設置之后單擊“確定”按鈕。

注意：在輸入IP地址及端口時，以及用到的冒號（：）都應該是英文半角字符，不能使用中文或全角字符。

圖2 編輯連接服務器設置

選中“使用安全加密鏈路連接計算機”，在“外部URL”中輸入當前View連接服務器的DNS名稱，在此為https://vcs.heuet.com:443，在 此必須使用域名。

選中“PCoIP安全網關”，在“PCoIP外部URL”中輸入連接服務器的IP地址，在本示例為172.30.6.2:4172。

選 中“使 用Blast安全網關對計算機進行HTML Access”， 在“Blast外 部URL”中以View連接服務器域名方式輸入，本示例為https://vcs.heuet.com:8443。

關鍵點：在圖2中的“連接服務器”設置中，HTTPS安全加密鏈路與Blast安全網關配置選項應該輸入域名，并且此域名應該能讓內部客戶端解析到連接服務器的IP地址，而PCoIP安全網關設置需要使用IP地址，并且是連接服務器的IP地址，該IP地址是內網IP地址。

2.返回到ViewAdministrator，在“安 全服務器”中單擊“編輯”按鈕，在“編輯安全服務器-View”對話框的“HTTP（S）安全加密鏈路”選項中，以域名的方式，輸入發布到Internet的域名及端口，在此輸入https://view.heuet.com:443；在“PCoIP安全網關”選項中，以IP地址的方式，輸入外部URL，在本示例中為222.223.233.162:4172。在“Blast安全網關”選項中，以域名的方式輸入，在本示例中為https://view.heuet.com:8443。設置之后，單擊“確定”按鈕。

關鍵點：在“安全服務器”設置中，HTTPS安全加密鏈路與Blast安全網關配置選項應該輸入域名，并且此域名應該能讓“外部客戶端”解析到連接服務器所屬網絡出口的“公網IP地址”，而PCoIP安全網關設置需要使用IP地址，并且是連接服務器所屬網絡出口的公網IP地址，該IP地址不能是安全服務器的內部IP地址。

修改路由器發布View安全服務器到Internet

最后，登錄防火墻或路由器，將TCP的443、8443端口、TCP與UDP的4172端口映射到View安全服務器的IP地址，本例為172.16.17.51，我們以TP-Link路由器為例進行介紹。

1.登錄路由器的管理界面，在“轉發規則→虛擬服務器”中，單擊“添加新條目”。

2.在“服務器端口號”文本中輸入第一個映射的端口443，IP地址為View安全服務器的地址172.16.17.51，協議選擇TCP，然后單擊“保存”按鈕。

圖3 添加映射

也有的TP-Link路由器，在做端口轉發的時候，可以設置“外部端口”、“內部端口”及端口范圍，例如TL-ER5120，如果這種路由器，外部端口（外網IP映射的端口，本示例中為222.223.233.162）寫443-443（表示只使用443這個端口），內部端口（映射到的內部IP地址，本示例中為172.16.17.51）寫443-443。

此功能可以將外部端口映射到內部不同的端口。例如，你可以將外網222.223.233.162的1234映射到內網172.16.17.51的2345。如果進行此類映射，則訪問222.223.233.162:1234將訪問172.16.17.51的2345端口。

3.之后再添加4172、8443到172.16.17.51的映射，其中在添加端口4172的映射時需要選擇ALL（包括TCP與UDP協議），添加之后如圖3所示。

經過這樣設置，Horizon View Client，在使用域名view.heuet.com訪問View桌面時，只要view.heuet.com域名能正確解析、網絡連接正常，就可以訪問到路由器后面的View桌面。