使用 SSL VPN-Plus 选项卡上的“专用网络”屏幕配置专用网络。当远程用户使用自己的 VPN 客户端和 SSL VPN 通道连接时,专用网络是您希望 VPN 客户端有权访问的网络。激活的专用网络将安装在 VPN 客户端的路由表中。

专用网络是 Edge 网关后面您要加密 VPN 客户端的流量,或者拒绝加密的所有可访问 IP 网络的列表。必须将需要通过 SSL VPN 通道访问的每个专用网络添加为单独的条目。您可以使用路由汇总技术限制条目数。
  • 通过 SSL VPN-Plus,远程用户将基于 IP 池在屏幕上的表中显示的自上而下的顺序访问专用网络。将专用网络添加到屏幕上的表后,您可以使用向上和向下箭头调整它们在表中的位置。
  • 如果您选择为某个专用网络激活 TCP 优化,则某些应用程序(例如主动模式下的 FTP)可能无法在该子网中正常运行。要添加在主动模式下配置的 FTP 服务器,必须为该 FTP 服务器添加其他专用网络并针对该专用网络停用 TCP 优化。此外,适用于该 FTP 服务器的专用网络必须激活并显示在屏幕上的表中的 TCP 优化专用网络上方。

前提条件

过程

  1. SSL VPN-Plus 选项卡上,单击专用网络
  2. 单击添加 (创建按钮) 按钮。
  3. 配置此专用网络设置。
    选项 操作
    网络 采用 CIDR 格式键入专用网络 IP 地址,例如 192.169.1.0/24
    描述 (可选)键入网络描述。
    发送流量 指定希望 VPN 客户端发送专用网络和 Internet 流量的方式。
    • 通过通道

      VPN 客户端将通过激活了 SSL VPN-Plus 的 Edge 网关发送专用网络和 Internet 流量。

    • 绕过通道

      VPN 客户端绕过 Edge 网关,直接将流量发送到专用服务器。

    启用 TCP 优化 (可选)要更好地优化 Internet 速度,则在选择通过通道发送流量的同时,也必须选择启用 TCP 优化

    选择此选项可提高 VPN 通道内 TCP 数据包的性能,但不会提高 UDP 流量的性能。

    常规完全访问 SSL VPN 通道会借助于第二个 TCP/IP 堆栈发送 TCP/IP 数据以通过 Internet 进行加密。此常规方法将应用程序层数据封装在两个单独的 TCP 流中。丢失数据包(在最佳的 Internet 条件下也会发生)时,将发生性能降级影响,称为 TCP-over-TCP 危机。在 TCP-over-TCP 危机中,两个 TCP 设备更正同一个 IP 数据包,这会削弱网络吞吐量,并导致连接超时。选择启用 TCP 优化可消除发生此 TCP-over-TCP 问题的风险。

    注: 激活 TCP 优化时:
    • 必须输入要针对其优化 Internet 流量的端口号。
    • SSL VPN 服务器会代表 VPN 客户端打开 TCP 连接。SSL VPN 服务器打开 TCP 连接时,将应用第一个自动生成的 Edge 防火墙规则,以允许从 Edge 网关打开的所有连接通过。未优化的流量将通过常规 Edge 防火墙规则进行评估。默认生成的 TCP 规则将允许任何连接。
    端口 选择通过通道后,键入希望打开的端口号范围以便远程用户访问内部服务器,例如 20-21(适用于 FTP 流量),80-81(适用于 HTTP 流量)。

    要向用户授予无限制访问权限,请将此字段留空。

    状态 激活或停用专用网络。
  4. 单击保留
  5. 单击保存更改将配置保存到系统。

下一步做什么

添加身份验证服务器。请参见为 NSX Data Center for vSphere Edge 网关上的 SSL VPN-Plus 配置身份验证服务

重要说明: 添加相应的防火墙规则,以允许流入在此屏幕中添加的专用网络的网络流量。请参见 添加 NSX Data Center for vSphere Edge 网关防火墙规则