單線單臺連接服務(wù)器與路由器映射

在圖1所示的案例 中，heuet.com是在Internet申請的合法域名，其中名為view的A記 錄，指 向防火墻外網(wǎng)的IP地址222.223.233.162。 在View連接服務(wù)器所在的企業(yè)局域網(wǎng)內(nèi)，也使用域名heuet.com，內(nèi)部DNS地 址為 172.30.6.1。View連 接服務(wù)器加入到heuet.com的域，是域中的成員服務(wù)器，而Composer與View安全服務(wù)器，則不需要加入到域。View連接服務(wù)器、安全服務(wù)器、Composer服務(wù)器都是一個網(wǎng)卡。表1為示例IP地址信息。

圖1 單臺View連接服務(wù)器、單外網(wǎng)IP的拓撲圖

說明：許多初學者在規(guī)劃網(wǎng)絡(luò)的時候，將“View安全服務(wù)器”配置為兩個網(wǎng)卡，一個網(wǎng)卡是局域網(wǎng)的IP地址，另一個網(wǎng)卡配置廣域網(wǎng)的IP地址，連接Internet。在這種規(guī)劃中，將View安全服務(wù)器當成NAT設(shè)備，這樣的規(guī)劃是不正確的。View安全服務(wù)器需要由出口的防火墻進行轉(zhuǎn)發(fā)，而不是處于網(wǎng)絡(luò)的邊緣。

例如，對于第一個案例的記錄如表1所示。

在圖1中，處于Internet的用戶如果想訪問View桌面，則需要有兩種方式：

以HTML以Web方式訪問：https://view.heuet.com。

使用Horizon View Client，則登錄地址為view.heuet.com。

Internet的用戶，需要將view.heuet.com的域名解析成222.223.233.162，如果你的DNS解析不能生效，將編輯本機hosts文件（默認保存在C:windowssystem32driversetchosts），添加以下一行：

222.223.233.162 View.heuet.com

對于局域網(wǎng)內(nèi)的用戶，只要DNS設(shè)置為172.30.6.1，則可以使用vcs.heuet.com訪問View桌面，此時只需要“View連接服務(wù)器”，不需要View安全服務(wù)器。在局域網(wǎng)內(nèi)，vcs.heuet.com會解 析到172.30.6.2。

表1 示例IP地址或域名與你的信息

了解了拓撲關(guān)系，我們分別介紹View連接服務(wù)器、防火墻（或路由器）的配置。

在View Administrator界面配置

安裝好View安全服務(wù)器之后，登錄View Administrator管理界面，檢查并配置View連接服務(wù)器、View安全服務(wù)器，主要步驟如下。

1.登 錄ViewAdministrator，在“View配置→服務(wù)器”清單中，在“連接服務(wù)器”選項卡中，單擊“編輯”按鈕，在“編輯View連接服務(wù)器設(shè)置”對話框，在“標記”文本框中為View連接服務(wù)器設(shè)置一個標記，如vcs，View連接服務(wù)器為局域網(wǎng)用戶提供服務(wù)的，配置截圖如圖2所示，設(shè)置之后單擊“確定”按鈕。

注意：在輸入IP地址及端口時，以及用到的冒號（：）都應(yīng)該是英文半角字符，不能使用中文或全角字符。

圖2 編輯連接服務(wù)器設(shè)置

選中“使用安全加密鏈路連接計算機”，在“外部URL”中輸入當前View連接服務(wù)器的DNS名稱，在此為https://vcs.heuet.com:443，在 此必須使用域名。

選中“PCoIP安全網(wǎng)關(guān)”，在“PCoIP外部URL”中輸入連接服務(wù)器的IP地址，在本示例為172.30.6.2:4172。

選 中“使 用Blast安全網(wǎng)關(guān)對計算機進行HTML Access”， 在“Blast外 部URL”中以View連接服務(wù)器域名方式輸入，本示例為https://vcs.heuet.com:8443。

關(guān)鍵點：在圖2中的“連接服務(wù)器”設(shè)置中，HTTPS安全加密鏈路與Blast安全網(wǎng)關(guān)配置選項應(yīng)該輸入域名，并且此域名應(yīng)該能讓內(nèi)部客戶端解析到連接服務(wù)器的IP地址，而PCoIP安全網(wǎng)關(guān)設(shè)置需要使用IP地址，并且是連接服務(wù)器的IP地址，該IP地址是內(nèi)網(wǎng)IP地址。

2.返回到ViewAdministrator，在“安 全服務(wù)器”中單擊“編輯”按鈕，在“編輯安全服務(wù)器-View”對話框的“HTTP（S）安全加密鏈路”選項中，以域名的方式，輸入發(fā)布到Internet的域名及端口，在此輸入https://view.heuet.com:443；在“PCoIP安全網(wǎng)關(guān)”選項中，以IP地址的方式，輸入外部URL，在本示例中為222.223.233.162:4172。在“Blast安全網(wǎng)關(guān)”選項中，以域名的方式輸入，在本示例中為https://view.heuet.com:8443。設(shè)置之后，單擊“確定”按鈕。

關(guān)鍵點：在“安全服務(wù)器”設(shè)置中，HTTPS安全加密鏈路與Blast安全網(wǎng)關(guān)配置選項應(yīng)該輸入域名，并且此域名應(yīng)該能讓“外部客戶端”解析到連接服務(wù)器所屬網(wǎng)絡(luò)出口的“公網(wǎng)IP地址”，而PCoIP安全網(wǎng)關(guān)設(shè)置需要使用IP地址，并且是連接服務(wù)器所屬網(wǎng)絡(luò)出口的公網(wǎng)IP地址，該IP地址不能是安全服務(wù)器的內(nèi)部IP地址。

修改路由器發(fā)布View安全服務(wù)器到Internet

最后，登錄防火墻或路由器，將TCP的443、8443端口、TCP與UDP的4172端口映射到View安全服務(wù)器的IP地址，本例為172.16.17.51，我們以TP-Link路由器為例進行介紹。

1.登錄路由器的管理界面，在“轉(zhuǎn)發(fā)規(guī)則→虛擬服務(wù)器”中，單擊“添加新條目”。

2.在“服務(wù)器端口號”文本中輸入第一個映射的端口443，IP地址為View安全服務(wù)器的地址172.16.17.51，協(xié)議選擇TCP，然后單擊“保存”按鈕。

圖3 添加映射

也有的TP-Link路由器，在做端口轉(zhuǎn)發(fā)的時候，可以設(shè)置“外部端口”、“內(nèi)部端口”及端口范圍，例如TL-ER5120，如果這種路由器，外部端口（外網(wǎng)IP映射的端口，本示例中為222.223.233.162）寫443-443（表示只使用443這個端口），內(nèi)部端口（映射到的內(nèi)部IP地址，本示例中為172.16.17.51）寫443-443。

此功能可以將外部端口映射到內(nèi)部不同的端口。例如，你可以將外網(wǎng)222.223.233.162的1234映射到內(nèi)網(wǎng)172.16.17.51的2345。如果進行此類映射，則訪問222.223.233.162:1234將訪問172.16.17.51的2345端口。

3.之后再添加4172、8443到172.16.17.51的映射，其中在添加端口4172的映射時需要選擇ALL（包括TCP與UDP協(xié)議），添加之后如圖3所示。

經(jīng)過這樣設(shè)置，Horizon View Client，在使用域名view.heuet.com訪問View桌面時，只要view.heuet.com域名能正確解析、網(wǎng)絡(luò)連接正常，就可以訪問到路由器后面的View桌面。