×
ข้ามไปยังเนื้อหาหลัก

การจัดการ VPN Users และ Connections บน IAG

ปรับปรุงเมื่อ

ภาพรวมการจัดการ VPN Local Users

New VPN User creation form
VPN Local Users management list

ฟังก์ชัน Local User บน IAG ใช้สำหรับจัดการข้อมูลบัญชี VPN Connection โดยสามารถกำหนด Username และ Password ที่ใช้เชื่อมต่อ VPN รวมถึงเปิดใช้งาน Hardware Authentication หรือ DKEY Authentication ได้ นอกจากนี้ยังสามารถเลือกใช้ Virtual IP Address, กำหนด Encryption Algorithm, ตั้งค่าระยะเวลาใช้งานบัญชี, จัดกลุ่มผู้ใช้ และกำหนด Common Attributes สำหรับสมาชิกในกลุ่มได้

การค้นหาและจัดการ Users

สามารถป้อน Username หรือ User Group แล้วคลิก Search เพื่อค้นหา User หรือ User Group ที่ต้องการ โดย User ที่พบจะถูกไฮไลท์แสดง

คลิก Advanced Search เพื่อตั้งค่าตัวกรองในการค้นหา User โดยสามารถเลือก Fuzzy Match ได้ (หากไม่เลือกจะเป็น Exact Keyword Match) แยกคำค้นหาด้วยเครื่องหมายจุลภาค ผลการค้นหาจะประกอบด้วย:

  • User Group - กลุ่มของผู้ใช้
  • Group Attribute - Unlimited, Enabled หรือ Disabled
  • Status - Unlimited, Enabled หรือ Disabled
  • Type - Unlimited, Mobile หรือ Branch
  • DKEY Status - Unlimited, Enabled หรือ Disabled
  • User Idleness Duration - Unlimited, One Year, One Month, One Week หรือ User-defined

การสร้าง New User

คลิก New User เพื่อตั้งค่าข้อมูลบัญชี โดยมีฟิลด์ดังนี้:

Username - กำหนดชื่อผู้ใช้ หากวิธี Authentication เป็น Certificate Authentication ชื่อผู้ใช้จะต้องตรงกับฟิลด์ Issued to ของ Site Certificate

Password / Confirm Password - ตั้งค่ารหัสผ่านและยืนยันรหัสผ่าน

Description - เพิ่มคำอธิบายเกี่ยวกับ User ใหม่เพื่อช่วยในการจัดการ

Authentication - กำหนดประเภท Authentication ได้แก่ Local Authentication (Hardware Device Authentication), LDAP Authentication, RADIUS Authentication และ Certificate Authentication

Algorithm - เลือก Encryption Algorithm ได้แก่ DES, 3DES, AES, SANGFOR_DES, AES192 และ AES256 โดย Peer ทั้งสองฝั่งต้องใช้ Algorithm เดียวกัน

User Type - กำหนดประเภทของผู้ใช้ (Mobile User หรือ Branch User)

Inherit Group Attributes - เมื่อเลือกตัวเลือกนี้ การตั้งค่า User Group จะถูกเปิดใช้งาน สามารถเพิ่ม User เข้ากลุ่มเพื่อให้ใช้ Common Attributes ของกลุ่มได้ เมื่อเพิ่มเข้ากลุ่มแล้ว Algorithm, Enable My Network Places, Permission Settings และ Advanced จะไม่สามารถตั้งค่าแยกได้

Enable Hardware Authentication - ตั้งค่า Certificate Authentication ตาม Hardware Features โดยเลือก Certificate File (*.id) ที่ตรงกับ User

Enable DKEY - เปิดใช้งาน DKEY Authentication สำหรับ Mobile Users โดยเชื่อมต่อ DKEY กับ USB Port ของเครื่องคอมพิวเตอร์แล้วคลิก Generate DKEY

Enable Virtual IP Address - กำหนด Virtual IP Address ให้กับ Mobile User หากเลือก Mobile และกำหนด Virtual Intranet IP Address (ภายใน Virtual IP Address Pool) ด้วยตนเอง User จะใช้ IP นั้น หาก Virtual IP เป็น 0.0.0.0 ระบบจะกำหนด Intranet IP Address จาก Virtual IP Address Pool โดยอัตโนมัติ

Effective Time / Enable Expiry Time - ตั้งค่าระยะเวลาใช้งานและวันหมดอายุของบัญชี

ตัวเลือกเพิ่มเติม:

  • Enabled - เปิดใช้งานบัญชี
  • Enable My Network Places - เปิดใช้งาน My Network Service (ต้องเลือกตัวเลือกนี้)
  • Enable Compression - ใช้ Encryption Algorithm เพื่อเข้ารหัสข้อมูลที่ถ่ายโอนระหว่าง Gateway และ User (เป็นเทคโนโลยี VPN เฉพาะของ SANGFOR ช่วยเพิ่มประสิทธิภาพการใช้ Bandwidth)
  • Not Allow Internet Access Once Connected - ใช้สำหรับ Mobile Users เท่านั้น เมื่อเลือกจะสามารถเข้าถึง VPN ได้แต่ไม่สามารถเข้าถึง Internet
  • Allow Users to Log In Concurrently - อนุญาตให้ผู้ใช้หลายคนล็อกอินด้วยบัญชีเดียวกัน
  • Not Allow Password Change Online - กำหนดว่า Mobile User สามารถเปลี่ยนรหัสผ่านหลังล็อกอินเข้า VPN ได้หรือไม่

Edit LAN Service Access Right

LAN Service access rights selection

กำหนดสิทธิ์การเข้าถึง Service สำหรับ User ที่เชื่อมต่อ VPN โดยระบุ Service ที่ User สามารถเข้าถึงได้ ค่าเริ่มต้นจะไม่มีข้อจำกัด ก่อนกำหนดสิทธิ์ ให้เพิ่ม Service ที่ต้องการใน Select LAN Service ก่อน

Advanced Settings สำหรับ User

VPN Tunnel Parameter settings

ตั้งค่า Advanced Attributes สำหรับ User ที่เชื่อมต่อ VPN ประกอบด้วย:

Multiline Policy - ตั้งค่า Route Selection Policy เพื่อเลือก Transmission Line ที่ดีที่สุดจากหลาย Line ตามสภาพ Line

Multicast Service - รองรับ Application เช่น Video ที่ใช้ Multicast Protocol ระหว่าง Server และ Branch

Tunnel Parameter - ควบคุม Traffic ของ Branch VPN ประกอบด้วย:

  • Timeout - ตั้งค่า Timeout Interval สำหรับ SANGFOR VPN เมื่อ Network มี Delay สูงและ Packet Loss Rate สูง ค่าเริ่มต้นคือ 20 วินาที สำหรับ Network ที่ไม่ดีสามารถเพิ่มค่า Timeout ได้
  • Enable Tunnel Dynamic Probe - เมื่อเปิดใช้งาน SANGFOR VPN จะตรวจสอบ Delay และ Packet Loss Rate ของแต่ละ Line เป็นประจำ แล้วเลือก Line ที่ดีที่สุดสำหรับ Data Transmission
  • Enable Tunnel Traffic Control - ป้องกันไม่ให้ Branch หรือ User ใช้ Bandwidth ทั้งหมด สามารถกำหนด Upstream และ Downstream Bandwidth สำหรับแต่ละ Connected User ได้

Tunnel NAT - ใช้สำหรับทำ SNAT บน Network Segment ที่ขัดแย้งกันระหว่างหลาย Site เพื่อให้แต่ละ Site สามารถเข้าถึง Server ได้โดยไม่ต้องแก้ไข Network Segment เฉพาะ (ใช้ได้เฉพาะ Site Users เท่านั้น)

คลิก Add เพื่อกำหนด Source Subnet, Proxy Subnet Segment (Virtual Segment ที่แปลง) และ Subnet Mask

การจัดการ User Groups

คลิก New Group เพื่อกำหนดชื่อ User Group, Description และ Common Attributes ของสมาชิกในกลุ่ม โดยสามารถตั้งค่า Encryption Algorithm และ Enable My Network Places ได้ ปุ่ม LAN Service และ Advanced มีการทำงานเหมือนกับใน New User

การ Import Users

Import From LDAP Server - นำเข้าบัญชี User จาก LDAP Server (ต้องตั้งค่า LDAP Server ในหน้า LDAP Settings ก่อน) User ที่นำเข้าจะใช้ LDAP Authentication เป็นค่าเริ่มต้นและไม่มี Password สามารถเลือก User Type (Mobile หรือ Branch), User Group, Encryption Algorithm, Compression และ Network Neighborhood ก่อนคลิก Import

Import From Text - นำเข้าข้อมูล User จากไฟล์ TXT หรือ CSV โดยรูปแบบไฟล์ TXT คือ username, password (คั่นด้วย comma) สำหรับไฟล์ CSV ใช้รูปแบบเดียวกัน โดยแทนที่ English comma ด้วย Empty Column

Export - ส่งออกข้อมูล User จากอุปกรณ์เพื่อบันทึกในเครื่อง สามารถเลือกว่าจะ Export Password เป็น Plaintext หรือ Ciphertext

Default User

Default User จะถูกใช้เมื่อไม่พบ User ใน User List และ Authentication Method ตรงกับ Default User นอกจากนี้เมื่อมีหลาย Site ที่ใช้ Certificate Authentication ใน LAN โดยเปิดใช้งาน Default User และเลือก Certificate Authentication พร้อมตั้งค่า Rule ที่เกี่ยวข้อง จะไม่จำเป็นต้องเพิ่ม Certificate Authentication Users ทีละคน สามารถตั้งค่า Certificate-based Rule เพื่อ Resolve Peer Certificate สำหรับ Rule Matching ได้

Connections

เพื่อเชื่อมต่อหลาย Network Node เข้าด้วยกันเป็น Mesh Network บน IAG มีฟังก์ชันสำหรับจัดการและตั้งค่า Network Node Interconnection ผ่านหน้า Connection

ฟังก์ชันนี้ต้องเปิดใช้งานเฉพาะเมื่ออุปกรณ์ถูกใช้เป็น Branch และต้องเชื่อมต่อกับ HQ Devices เท่านั้น ไม่จำเป็นต้องเปิดใช้งานหากอุปกรณ์เป็น HQ Device

คลิก Add เพื่อเพิ่ม Link ไปยัง HQ โดยกำหนด Outgoing Connection, Primary WebAgent และ Secondary WebAgent พร้อม Username และ Protocol

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น