使用 SSL VPN-Plus 选项卡上的“专用网络”屏幕配置专用网络。当远程用户使用自己的 VPN 客户端和 SSL VPN 通道连接时,专用网络是您希望 VPN 客户端有权访问的网络。激活的专用网络将安装在 VPN 客户端的路由表中。
专用网络是 Edge 网关后面您要加密 VPN 客户端的流量,或者拒绝加密的所有可访问 IP 网络的列表。必须将需要通过 SSL VPN 通道访问的每个专用网络添加为单独的条目。您可以使用路由汇总技术限制条目数。
- 通过 SSL VPN-Plus,远程用户将基于 IP 池在屏幕上的表中显示的自上而下的顺序访问专用网络。将专用网络添加到屏幕上的表后,您可以使用向上和向下箭头调整它们在表中的位置。
- 如果您选择为某个专用网络激活 TCP 优化,则某些应用程序(例如主动模式下的 FTP)可能无法在该子网中正常运行。要添加在主动模式下配置的 FTP 服务器,必须为该 FTP 服务器添加其他专用网络并针对该专用网络停用 TCP 优化。此外,适用于该 FTP 服务器的专用网络必须激活并显示在屏幕上的表中的 TCP 优化专用网络上方。
前提条件
过程
- 在 SSL VPN-Plus 选项卡上,单击专用网络。
- 单击添加 () 按钮。
- 配置此专用网络设置。
选项 操作 网络 采用 CIDR 格式键入专用网络 IP 地址,例如 192.169.1.0/24。 描述 (可选)键入网络描述。 发送流量 指定希望 VPN 客户端发送专用网络和 Internet 流量的方式。 - 通过通道
VPN 客户端将通过激活了 SSL VPN-Plus 的 Edge 网关发送专用网络和 Internet 流量。
- 绕过通道
VPN 客户端绕过 Edge 网关,直接将流量发送到专用服务器。
启用 TCP 优化 (可选)要更好地优化 Internet 速度,则在选择通过通道发送流量的同时,也必须选择启用 TCP 优化 选择此选项可提高 VPN 通道内 TCP 数据包的性能,但不会提高 UDP 流量的性能。
常规完全访问 SSL VPN 通道会借助于第二个 TCP/IP 堆栈发送 TCP/IP 数据以通过 Internet 进行加密。此常规方法将应用程序层数据封装在两个单独的 TCP 流中。丢失数据包(在最佳的 Internet 条件下也会发生)时,将发生性能降级影响,称为 TCP-over-TCP 危机。在 TCP-over-TCP 危机中,两个 TCP 设备更正同一个 IP 数据包,这会削弱网络吞吐量,并导致连接超时。选择启用 TCP 优化可消除发生此 TCP-over-TCP 问题的风险。
注: 激活 TCP 优化时:- 必须输入要针对其优化 Internet 流量的端口号。
- SSL VPN 服务器会代表 VPN 客户端打开 TCP 连接。SSL VPN 服务器打开 TCP 连接时,将应用第一个自动生成的 Edge 防火墙规则,以允许从 Edge 网关打开的所有连接通过。未优化的流量将通过常规 Edge 防火墙规则进行评估。默认生成的 TCP 规则将允许任何连接。
端口 选择通过通道后,键入希望打开的端口号范围以便远程用户访问内部服务器,例如 20-21(适用于 FTP 流量),80-81(适用于 HTTP 流量)。 要向用户授予无限制访问权限,请将此字段留空。
状态 激活或停用专用网络。 - 通过通道
- 单击保留。
- 单击保存更改将配置保存到系统。
下一步做什么
添加身份验证服务器。请参见为 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配置身份验证服务。
重要说明: 添加相应的防火墙规则,以允许流入在此屏幕中添加的专用网络的网络流量。请参见
添加 NSX Data Center for vSphere Edge 网关防火墙规则。