ภาพรวม Advanced Settings
Advanced Settings ประกอบด้วย LAN Services, VPN Interface, LDAP Server และ Radius Server Settings ซึ่งเป็นการตั้งค่าขั้นสูงสำหรับ VPN บน IAG
LAN Services
IAG สามารถกำหนดสิทธิ์การเข้าถึง (Access Permissions) ให้กับ VPN Users ได้ โดยอนุญาตให้ IP Address เฉพาะหรือ Mobile User ใน Intranet ของ Branch เข้าถึงเฉพาะ Intranet Services ที่กำหนด รวมถึงตั้งค่า Service Parameters ของ Inbound และ Outbound Policies สำหรับ Third-party Device Interconnection เพื่อจัดการ VPN Channel Security
ขั้นตอนการกำหนด Intranet Service Permissions
การกำหนด Intranet Service Permissions มี 2 ขั้นตอน คือ สร้าง LAN Services และกำหนดสิทธิ์ให้กับ Users (ค่าเริ่มต้นระบบจะไม่จำกัดสิทธิ์การเข้าถึงของ VPN Users)
ตัวอย่าง: Branch User branch1 ที่มี Intranet IP 172.16.1.200 สามารถเข้าถึงเฉพาะ FTP Server ของ HQ (IP 192.168.1.20) เท่านั้น โดย Request จาก IP อื่นและ Request สำหรับ Service อื่นจะถูกปฏิเสธ
ขั้นตอนที่ 1: สร้าง LAN Service
ในหน้า LAN Services คลิก Add เพื่อเปิด Edit LAN Service Dialog Box:
- Name - กำหนดชื่อที่จดจำได้ง่าย (เช่น branch1)
- Description - เพิ่มคำอธิบาย
- Protocol - เลือก Protocol (TCP, UDP, ICMP)
คลิก Add ใน Protocol Tab เพื่อเปิด Edit IP/Port Box:
- Source IP Address - Intranet IP ของ Peer End (เช่น 172.16.1.200)
- Source Port - ช่วง Port ต้นทาง (1-65535)
- Destination IP Address - IP ของ Server ที่ HQ Intranet (เช่น 192.168.1.20)
- Destination Port - FTP Service Port (20 หรือ 21)
ขั้นตอนที่ 2: กำหนดสิทธิ์ให้ User
- เลือก Branch1 ในหน้า User Management แล้วคลิก Permission Settings
- ในหน้า Permission Settings ย้าย Service ที่ตั้งค่าสำหรับ Branch1 ไปทางขวาและเลือก Allow
- ตั้งค่า Default Action เป็น Reject เพื่อปฏิเสธ Service อื่นทั้งหมด
หมายเหตุ: การตั้งค่า Intranet Service เป็นเพียง Definition เท่านั้น ต้องกำหนด Intranet Permissions ให้กับบัญชี User ในหน้า User Management ด้วย การตั้งค่าเหล่านี้สามารถใช้เป็น Parameters สำหรับ Local Service ใน Outbound Policy และ Peer Service ใน Inbound Policy สำหรับ Third-party Interconnection ได้
VPN Interface
ตั้งค่า Intranet Interface Mask ของ IPSec VPN Service และ IP Address/Mask ของ VPN Virtual Network Adapter สำหรับอุปกรณ์
VPN Intranet Settings (Interfaces)
แจ้ง Peer VPN Device เกี่ยวกับ Mask ของ Local VPN Network Segment หากเลือก Interface Mask จะแจ้ง Network Segment ที่ตรงกับ Mask ไปยัง Peer VPN Device หาก Network Segment ที่เชื่อมต่อกับ DMZ Port ต้องการเข้าถึง VPN ให้เลือก DMZ Port และตั้งค่า Subnet Mask
คลิก Add เพื่อเพิ่ม Idle Intranet Interface และตั้งค่า Intranet Mask ของ Local VPN Device ค่า 0.0.0.0 หมายความว่าใช้ Mask ของ Network Port
Local VPN Interface IP Settings
ตั้งค่า IP Address และ Mask ของ VPN Virtual Network Adapter โดยทั่วไปแนะนำให้ใช้ Auto (Automatically Assigned VPN Interface IP Address) หาก IP ขัดแย้งกัน ให้คลิก Specified แล้วกรอก IP Address ที่ไม่ได้ใช้งาน
หมายเหตุ: VPN Interface เป็น Virtual Interface ของอุปกรณ์ ไม่ใช่ Physical Interface
Multicast Service
เพื่อรองรับ Application เช่น VoIP และ Video Conferencing SANGFOR VPN Gateway รองรับ Inter-channel Multicast Service โดยสามารถกำหนด Multicast Service ได้ ช่วง IP Address คือ 224.0.0.1 - 239.255.255.255 และช่วง Port Number คือ 1 - 65535
การสร้าง Multicast Service
- คลิก Add เพื่อเปิดหน้าแก้ไข Multicast Service
- กำหนด Name และ Description
- คลิก Add เพื่อเพิ่ม IP Address และ Port Number:
- Start IP / End IP - ช่วง Multicast IP Address
- Port Number - ช่วง Port
- Description - คำอธิบาย
- คลิก Save
เมื่อสร้าง User ในหน้า User Management ให้เลือก Multicast Service ใน Multicast Service
LDAP Server Settings
ตั้งค่า LDAP Server สำหรับ Authentication โดยกำหนดข้อมูลการเชื่อมต่อกับ LDAP Server เพื่อใช้ในการ Import Users และ Authenticate VPN Users ผ่าน LDAP Protocol
Radius Server Settings
ตั้งค่า RADIUS Server สำหรับ Authentication โดยกำหนดข้อมูลการเชื่อมต่อกับ RADIUS Server เพื่อใช้ในการ Authenticate VPN Users ผ่าน RADIUS Protocol รองรับการตั้งค่า Primary และ Secondary RADIUS Server สำหรับ Redundancy
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น