Network Deployment Modes บน IAG (Route, Bridge, Single Arm, Bypass)

บทนำ

Sangfor IAG รองรับ Deployment Mode 4 รูปแบบ ได้แก่ Route Mode, Bridge Mode, Single Arm Mode และ Bypass Mode แต่ละรูปแบบเหมาะสมกับ Network Topology ที่แตกต่างกัน การเลือก Deployment Mode ที่ถูกต้องเป็นสิ่งสำคัญเพื่อให้อุปกรณ์ทำงานได้อย่างมีประสิทธิภาพและไม่กระทบต่อระบบเครือข่ายเดิม บทความนี้อธิบายรายละเอียดของแต่ละ Mode พร้อมข้อดีข้อเสีย และวิธีการตั้งค่า

ข้อกำหนดเบื้องต้น

• สามารถเข้าถึง Web Console ของ IAG ได้
• มีบัญชี Administrator
• เข้าใจ Network Topology ของระบบเครือข่ายปัจจุบัน

ตารางเปรียบเทียบ Deployment Modes

1. Route Mode

ใน Route Mode อุปกรณ์ทำหน้าที่เป็น Router/Gateway โดยวางอยู่ที่ทางออกของระบบ Intranet หรือด้านหลัง Router เพื่อจัดการการเข้าถึง Internet สำหรับผู้ใช้ภายใน

ลักษณะสำคัญ:

• อุปกรณ์ทำหน้าที่เป็น Router ที่ทางออก Internet
• รองรับฟีเจอร์ทั้งหมดของ IAG รวมถึง NAT, VPN, Firewall
• รองรับการเชื่อมต่อ WAN แบบ Static IP, DHCP (Auto Assign) และ PPPoE
• IP Address ของ WAN, LAN และ DMZ ต้องอยู่คนละ Subnet
• PC ของ User ต้องชี้ Gateway มาที่ LAN Interface ของ IAG

ขั้นตอนการตั้งค่า:

1. Login เข้า Web Console ของ IAG
2. ไปที่ System > Network > Deployment แล้วคลิก Settings
3. เลือก Route Mode แล้วคลิก Next
4. กำหนด Interface โดย Add Network Interface เข้าสู่ LAN Interface List, WAN Interface List และ DMZ Interface List ตามต้องการ
5. ตั้งค่า IP Address ของ LAN Interface (eth0) เช่น 192.168.20.1/255.255.255.0
6. ตั้งค่า WAN Interface (eth2) โดยเลือก Address Type:
   • Specified - สำหรับ Static IP ที่ได้รับจาก ISP
   • Auto assign - สำหรับ DHCP
   • PPPoE - สำหรับ ADSL/DSL พร้อมกรอก Username และ Password
7. ตั้งค่า DMZ Interface (eth1) หากมีการใช้งาน
8. ตั้งค่า IPv4 SNAT (Source NAT) เพื่อให้ User ภายในสามารถเข้าถึง Internet ได้
9. ตรวจสอบข้อมูลทั้งหมดแล้วคลิก Commit
10. คลิก Yes เพื่อ Restart อุปกรณ์และใช้งานการตั้งค่าใหม่
11. เพิ่ม Static Route ที่ Network > Static Routes หาก Intranet มีหลาย Subnet

2. Bridge Mode

ใน Bridge Mode อุปกรณ์ทำหน้าที่เป็นสะพานเครือข่าย (Network Bridge) ที่มีความสามารถในการ Filter โดยวางระหว่าง Gateway เดิมกับ User ภายใน ไม่ต้องเปลี่ยนแปลง Network Topology เดิม

ลักษณะสำคัญ:

• อุปกรณ์ทำงานที่ Layer 2 (Data Link Layer) ของ OSI Model
• ไม่ต้องเปลี่ยน Gateway Address ของ PC
• อุปกรณ์มองไม่เห็นจากมุมมองของ Network (Transparent)
• ไม่รองรับ NAT และ VPN
• รองรับ VLAN Trunk Penetration
• รองรับทั้ง Single Bridge (1 input, 1 output) และ Multi-Bridge (สำหรับ VRRP/HSRP)

ขั้นตอนการตั้งค่า:

1. Login เข้า Web Console ของ IAG
2. ไปที่ System > Network > Deployment แล้วคลิก Settings
3. เลือก Bridge Mode แล้วคลิก Next
4. เลือก LAN Interface และ WAN Interface เพื่อสร้าง Bridge Pair (เช่น eth0 <-> eth2)
5. เปิดใช้งาน Enable bridge state propagation (แนะนำ) เพื่อให้สถานะของ Interface ทั้งสองฝั่งซิงค์กัน
6. ตั้งค่า Bridge IP Address (ใช้ IP ที่ว่างอยู่ใน Subnet เดียวกับ Network)
7. เลือก Manage Interface (เช่น eth1) และตั้ง IP Address สำหรับการเข้าถึงอุปกรณ์
8. ตั้งค่า Default Gateway, DNS และเลือก Bypass firewall rule (แนะนำ)
9. ตรวจสอบข้อมูลแล้วคลิก Commit จากนั้นคลิก Yes เพื่อ Restart

3. Single Arm Mode

ใน Single Arm Mode อุปกรณ์ทำหน้าที่เป็น Proxy Server โดยเชื่อมต่อกับ Switch เพียงพอร์ตเดียว ไม่ต้องเปลี่ยนแปลง Network Topology เดิม ข้อมูลของ User จะถูก Proxy ผ่านอุปกรณ์

ลักษณะสำคัญ:

• อุปกรณ์เชื่อมต่อกับ Switch โดยไม่เปลี่ยน Network Topology
• ทำหน้าที่เป็น Proxy Server สำหรับควบคุมและตรวจสอบการเข้าถึง Internet
• รองรับฟีเจอร์ส่วนใหญ่ของ IAG
• หากอุปกรณ์ Down ผู้ใช้ยังสามารถเข้าถึง Internet ได้ (แต่ไม่ผ่านการควบคุม)

ขั้นตอนการตั้งค่า:

1. Login เข้า Web Console ของ IAG
2. ไปที่ System > Network > Deployment แล้วคลิก Settings
3. เลือก Single Arm Mode แล้วคลิก Next
4. เลือก Interface (เช่น eth0) ที่จะเชื่อมต่อกับ Switch และตั้งค่า IP Address, Default Gateway และ DNS
5. เลือก Manage Interface (เช่น eth1) สำหรับการเข้าถึงอุปกรณ์ผ่าน Web Console และตั้งค่า IP Address
6. ตรวจสอบข้อมูลแล้วคลิก Commit จากนั้นคลิก Yes เพื่อ Restart

4. Bypass Mode

ใน Bypass Mode อุปกรณ์เชื่อมต่อกับ Mirror Port ของ Switch หรือ Hub เพื่อ Monitor และควบคุมข้อมูลการเข้าถึง Internet โดยไม่กระทบต่อ Network Topology เดิม เหมาะสำหรับการ Monitor เป็นหลัก

ลักษณะสำคัญ:

• อุปกรณ์เชื่อมต่อกับ Mirror Port ของ Switch เพื่อรับ Copy ของ Traffic
• ไม่เปลี่ยนแปลง Network Topology และไม่ทำให้ Network หยุดทำงาน
• หากอุปกรณ์ Down จะไม่มีผลกระทบต่อ Network
• รองรับเฉพาะ TCP Traffic (ไม่รองรับ UDP)
• ฟีเจอร์บางส่วนใช้งานไม่ได้เนื่องจากข้อจำกัดในการควบคุม
• เหมาะสำหรับ Monitoring, Web Authentication และ Audit

ขั้นตอนการตั้งค่า:

1. Login เข้า Web Console ของ IAG
2. ไปที่ System > Network > Deployment แล้วคลิก Settings
3. เลือก Bypass Mode แล้วคลิก Next
4. เลือก Manage Interface (เช่น eth0) และตั้งค่า IP Address, Default Gateway และ DNS
   • ใช้ DMZ Interface เชื่อมต่อกับ Intranet Switch เพื่อให้อุปกรณ์สื่อสารกับ Network ได้
5. ตั้งค่า Listened IP Addresses เพื่อกำหนดช่วง IP ที่ต้องการ Monitor
6. ตรวจสอบข้อมูลแล้วคลิก Commit จากนั้นคลิก Yes เพื่อ Restart

การเชื่อมต่อทางกายภาพสำหรับแต่ละ Mode

การตรวจสอบ

• หลังจากตั้งค่า Deployment Mode แล้ว ให้ Login กลับเข้า Web Console เพื่อตรวจสอบว่า Deployment Mode แสดงถูกต้อง
• ทดสอบว่า User สามารถเข้าถึง Internet ได้ตามปกติ
• ตรวจสอบ Dashboard ว่ามี Traffic Flow ผ่านอุปกรณ์

หมายเหตุ

• การเปลี่ยน Deployment Mode จะต้อง Restart อุปกรณ์ทุกครั้ง ควรวางแผนช่วงเวลาที่เหมาะสม
• ใน Route Mode: IP Address ของ WAN, LAN และ DMZ ต้องอยู่คนละ Subnet
• ใน Bridge Mode: ไม่รองรับ NAT และ VPN แต่รองรับ VLAN Trunk Penetration
• ใน Bridge Mode: หากต้องการใช้ฟีเจอร์ที่ต้อง Redirect เช่น Web Authentication หรือ Ingress ต้องเพิ่ม Indirect Route สำหรับ Subnet ของ Intranet
• ใน Bypass Mode: ไม่รองรับ UDP Traffic และฟีเจอร์การควบคุมบางส่วนจะจำกัด
• แนะนำให้เพิ่ม User Group หรือ Authentication Policy หลังจากตั้งค่า Deployment Mode เสร็จสิ้น เพื่อป้องกันปัญหาการเข้าถึง Internet