ภาพรวมของ Correlation Connection
Correlation Connection บน Sangfor IAG ใช้สำหรับเชื่อมต่อกับอุปกรณ์ Third-party เพื่อทำงานร่วมกัน ซึ่งรวมถึง Controller Docking, RADIUS Authentication Server และการดึง MAC Address ข้าม Layer 3 Network ฟีเจอร์นี้เหมาะสำหรับองค์กรที่ใช้ Wireless Controller หรือ RADIUS Server ร่วมกับ IAG เพื่อจัดการ Authentication แบบรวมศูนย์
Controllers
Controller Docking รองรับทั้งการเชื่อมต่อกับอุปกรณ์ Sangfor และ Third-party Controller เหมาะสำหรับ Scenario แบบ Multi-branch
Sangfor Appliance
เมื่อ IAG ทำหน้าที่เป็น Authentication Center สามารถเชื่อมต่อกับอุปกรณ์ Sangfor ที่สาขาเพื่อทำ Managed Authentication ได้ โดยกำหนดค่าดังนี้:
- Pre-Shared Key: Key ที่ใช้สำหรับเชื่อมต่อกับอุปกรณ์ Sangfor ที่สาขา ต้องตรงกันทั้งสองฝั่ง
- Interface: Port ที่ใช้สำหรับสื่อสารระหว่าง IAG Authentication Center กับอุปกรณ์สาขา ค่าเริ่มต้นคือ 390 สามารถเปลี่ยนได้แต่ต้องตรงกันทั้งสองฝั่ง
- Enable Whitelist: กำหนดรายการ IP/Domain ที่จะถูก Push ไปยังอุปกรณ์ IAM ทุกตัว
หมายเหตุ: หลังจากตั้งค่า Authentication Center แล้ว จำเป็นต้องไปตั้งค่า Managed Authentication ที่อุปกรณ์ IAG สาขาด้วย
Third-party Appliance
สำหรับการเชื่อมต่อกับ Third-party Wireless Controller ให้ไปที่ Access Mgt > Authentication > Correlation Connection > Controllers แล้วคลิก Add เพื่อเพิ่ม Third-party Server โดยกำหนดค่าดังนี้:
Wireless Controller:
- Name: ชื่อของ Third-party Portal Server
- Description: คำอธิบายของ Server
- Protocol: เลือกประเภท Portal Protocol ที่รองรับ ได้แก่ CMCC 1.0, CMCC 2.0, Huawei Portal 2.0/IMC, Cisco External Portal Web Authentication Protocol และ Aruba Protocol
- Request URL: URL ที่ระบบสร้างให้อัตโนมัติหลังเลือก Protocol
- Controller IP: IP Address ของ Third-party Controller สามารถระบุ Port ได้ หากไม่ระบุจะใช้ Port 2000 เป็นค่าเริ่มต้น
- Use external RADIUS server: เลือกเมื่อข้อมูลผู้ใช้อยู่บน Third-party RADIUS Server หากใช้ IAG เป็น RADIUS Server ไม่ต้องเลือก ต้องตั้งค่า Port เป็น 1812 และ Key ให้ตรงกับ Controller ที่ Access Mgt > Authentication > Correlation Connection > RADIUS Auth Server
Captive Portal Client:
- IP Address Field: วิธีการดึง IP Address ของ Client สามารถเลือก Captured from data packet หรือ Acquired from URL
- MAC Address Field: ข้อมูล MAC Address จาก Third-party Controller
- VLAN 1 Field / VLAN 2 Field: ข้อมูล VLAN ที่อยู่ใน Data Packet ของ Controller
- BSSID Field: ข้อมูล BSSID ที่ต้องตรงกับ Controller
- Redirection URL: URL สำหรับ Redirect ก่อน Authentication
- APMAC Field: ข้อมูล AP MAC Address
RADIUS Server
IAG สามารถทำหน้าที่เป็น RADIUS Server ได้ โดย Accounting Port และ Authentication Port จะใช้ Key แยกกัน (Mutually Exclusive) การตั้งค่ามีดังนี้:
ไปที่ Access Mgt > Authentication > Correlation Connection > RADIUS Server
- Enable: เลือกเพื่อเปิดใช้งาน IAG เป็น RADIUS Server (รองรับเฉพาะ PAP)
- Authentication Port: Port สำหรับ Authentication (ค่าเริ่มต้น 1812)
- Authentication Shared Secret: Secret Key สำหรับ Authentication
- Accounting Port: Port สำหรับ Accounting (ค่าเริ่มต้น 1813)
- Accounting Shared Secret: Secret Key สำหรับ Accounting
MAC Address Acquisition
ฟีเจอร์นี้ใช้สำหรับดึง MAC Address ข้าม Layer 3 Network มี 2 วิธี:
วิธีที่ 1: Enable MAC acquisition across L3 network
เลือก MAC address is acquired from captured ARP packets or DHCP packets แล้วเชื่อมต่อ Network Port ของ IAG ที่ว่างกับ Switch ทำ Mirror เพื่อส่ง ARP/DHCP Packet มายัง IAG วิธีนี้ไม่จำเป็นต้องเปิด SNMP บน Switch
วิธีที่ 2: Get MAC by configuring across L3 (SNMP)
ใช้ SNMP ในการดึง MAC Address Table จาก L3 Switch โดย IAG จะส่ง SNMP Request ไปยัง Switch เป็นระยะ ขั้นตอนมีดังนี้:
- เปิดใช้งาน SNMP บน L3 Switch
- เลือก Enable MAC filtering across the L3 switch
- คลิก Add ใน SNMP Servers แล้วกำหนดค่า:
- IP Address: IP ของ L3 Switch
- IP OID / MAC OID: ค่า OID สำหรับดึงข้อมูล IP และ MAC
- Community: SNMP Community String (ค่าเริ่มต้น public)
- Timeout / Interval: ระยะเวลา Timeout และ Interval ในการ Query
- Max MAC Addresses: จำนวน MAC Address สูงสุดที่จะดึง
Excluded MAC Address: สามารถกำหนด MAC Address ของ L3 Switch ที่ต้องการยกเว้นไม่ให้ถูกนำมาใช้ในการ Binding ได้
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น