Verwenden Sie den Bildschirm „Private Netzwerke“ auf der Registerkarte SSL VPN-Plus, um die privaten Netzwerke im VMware Cloud Director Service Provider Admin Portal zu konfigurieren. Die privaten Netzwerke sind diejenigen, auf die die VPN-Clients Zugriff haben sollen, wenn die Remotebenutzer eine Verbindung über ihre VPN-Clients und den SSL-VPN-Tunnel herstellen. Die aktivierten privaten Netzwerke werden in der Routing-Tabelle des VPN-Clients installiert.
- SSL VPN-Plus ermöglicht Remotebenutzern den Zugriff auf private Netzwerke, basierend auf der Reihenfolge von oben nach unten, in der die IP-Pools in der Tabelle auf dem Bildschirm angezeigt werden. Nachdem Sie die privaten Netzwerke zur Tabelle auf dem Bildschirm hinzugefügt haben, können Sie ihre Positionen in der Tabelle mit den Pfeiltasten nach oben und unten anpassen.
- Wenn Sie für ein privates Netzwerk „TCP-Optimierung aktivieren“ auswählen, funktionieren möglicherweise einige Anwendungen wie z. B. FTP im aktiven Modus nicht innerhalb dieses Subnetzes. Zum Hinzufügen eines im aktiven Modus konfigurierten FTP-Servers müssen Sie ein weiteres privates Netzwerk für den FTP-Server hinzufügen und die TCP-Optimierung für dieses private Netzwerk deaktivieren. Außerdem muss das private Netzwerk für diesen FTP-Server aktiviert sein und in der Tabelle auf dem Bildschirm über dem TCP-optimierten privaten Netzwerk angezeigt werden.
Voraussetzungen
- Navigieren zum Bildschirm „SSL-VPN Plus“ eines NSX Data Center for vSphere-Edge-Gateways im VMware Cloud Director Service Provider Admin Portal.
- Erstellen eines IP-Pools für die Verwendung mit SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway im VMware Cloud Director Service Provider Admin Portal.
Prozedur
- Klicken Sie auf der Registerkarte SSL VPN-Plus auf Private Netzwerke.
- Klicken Sie auf die Schaltfläche Hinzufügen ().
- Konfigurieren Sie die Einstellungen des privaten Netzwerks.
Option Aktion Netzwerk Geben Sie die IP-Adresse des privaten Netzwerks im CIDR-Format ein, wie z. B. 192169.1.0/24. Beschreibung (Optional) Geben Sie eine Beschreibung für das Netzwerk ein. Datenverkehr senden Geben Sie an, wie der VPN-Client den Datenverkehr des privaten Netzwerks und des Internets senden soll. - Über Tunnel
Der VPN-Client sendet den Datenverkehr des privaten Netzwerks und des Internets über das Edge-Gateway, auf dem SSL VPN-Plus aktiviert ist.
- Bypass für Tunnel
Der VPN-Client umgeht das Edge-Gateway und sendet den Datenverkehr direkt an den privaten Server.
TCP-Optimierung aktivieren (Optional) Zur bestmöglichen Optimierung der Internetgeschwindigkeit müssen Sie, wenn Sie für das Senden des Datenverkehrs Über Tunnel auswählen, auch die Option TCP-Optimierung aktivieren auswählen. Durch die Auswahl dieser Option wird die Leistung von TCP-Paketen innerhalb des VPN-Tunnels verbessert, nicht jedoch die Leistung des UDP-Datenverkehrs.
Bei einem konventionellen SSL-VPN-Tunnel mit Vollzugriff werden TCP/IP-Daten in einem zweiten TCP/IP-Stack zwecks Verschlüsselung über das Internet übertragen. Diese konventionelle Methode kapselt die Daten der Anwendungsschicht in zwei getrennte TCP-Streams. Wenn Paketverluste auftreten, was selbst unter optimalen Internetbedingungen passieren kann, kommt es zu einer Leistungsbeeinträchtigung mit der Bezeichnung „TCP-over-TCP Meltdown“. Bei Vorliegen von „TCP-over-TCP Meltdown“ korrigieren zwei TCP-Instrumente dasselbe einzelne Paket von IP-Daten, was den Netzwerkdurchsatz beeinträchtigt und Verbindungszeitüberschreitungen verursacht. Durch die Auswahl von TCP-Optimierung aktivieren wird verhindert, dass dieses TCP-over-TCP-Problem auftritt.
Hinweis: Wenn Sie die TCP-Optimierung aktivieren, gilt Folgendes:- Sie müssen die Portnummern eingeben, für die der Internetdatenverkehr optimiert werden soll.
- Der SSL VPN-Server öffnet die TCP-Verbindung im Namen des VPN-Clients. Wenn der SSL-VPN-Server die TCP-Verbindung öffnet, wird die erste automatisch generierte Edge-Firewallregel angewendet, mit der alle über das Edge-Gateway geöffneten Verbindungen übergeben werden können. Nicht optimierter Datenverkehr wird durch die regulären Edge-Firewallregeln ausgewertet. Mit der standardmäßig generierten TCP-Regel werden beliebige Verbindungen zugelassen.
Ports Wenn Sie Über Tunnel auswählen, geben Sie einen Bereich von Portnummern ein, die für den Remotebenutzer für den Zugriff auf interne Server geöffnet sein sollen, wie z. B. 20-21 für FTP-Datenverkehr und 80-81 für HTTP-Datenverkehr. Um Benutzern uneingeschränkten Zugriff zu gewähren, lassen Sie das Feld leer.
Status Aktivieren oder deaktivieren Sie das private Netzwerk. - Über Tunnel
- Klicken Sie auf Behalten.
- Klicken Sie auf Änderungen speichern, um die Konfiguration im System zu speichern.
Nächste Maßnahme
Fügen Sie einen Authentifizierungsserver hinzu. Weitere Informationen finden Sie unter Konfigurieren eines Authentifizierungsdiensts für SSL VPN-Plus auf einem NSX Data Center for vSphere-Edge-Gateway im VMware Cloud Director Service Provider Admin Portal.