ภาพรวม
Sangfor IAG รองรับการตั้งค่า GRE Tunnel สำหรับสร้าง Tunnel เชื่อมต่อระหว่างอุปกรณ์ข้ามเครือข่าย และ Open Ports on WAN Interface สำหรับควบคุมการเข้าถึงอุปกรณ์ผ่าน WAN Interface บทความนี้อธิบายวิธีการตั้งค่าทั้ง 2 ฟีเจอร์
GRE Tunnel
GRE (Generic Routing Encapsulation) Tunnel ใช้สำหรับสร้าง Tunnel เชื่อมต่อระหว่างอุปกรณ์ โดยรองรับ 3 รูปแบบ:
- GRE OVER IP - GRE Tunnel ผ่าน IP
- GRE OVER OSPF - GRE Tunnel ผ่าน OSPF Routing
- GRE OVER IPSEC VPN - GRE Tunnel ผ่าน IPSEC VPN
การเข้าถึงหน้า GRE Tunnel
ไปที่ System > Network > Advanced > GRE Tunnels จะแสดงรายการ GRE Tunnel ที่มีอยู่ พร้อมข้อมูล Tunnel ID, Tunnel Alias, Added To Zone, IP Address, Src Address, Dst Address, GRE Key, MTU, Message Checksum, Link State และ Delete
การเพิ่ม GRE Tunnel
คลิก Add จะแสดงหน้า Add Tunnel โดยมีฟิลด์ดังนี้:
- Tunnel Alias - ตั้งชื่อ Alias สำหรับ Tunnel Port
- IP Address - ระบุ IP Address ของ Tunnel ใหม่ โดย Network Segment ต้องอยู่ใน OSPF Running Network Segment
-
Zone - เลือก Zone ที่ Outbound Interface อยู่
- LAN Zone - สำหรับเชื่อมต่อกับเครือข่ายภายใน
- WAN Zone - สำหรับเชื่อมต่อกับเครือข่ายภายนอก
Tunneling Settings:
- Src Address - ระบุ Source Address ซึ่งเป็น Public IP ของ Outbound Interface ที่ Source Port เช่น 172.200.16.1(eth0)
- Dst Address - ระบุ Destination Address ซึ่งเป็น Public IP ของ Inbound Interface ที่ปลายทาง
- Use GRE Key - เปิดใช้งานเพื่อกำหนด Shared Key ที่ต้องตรงกันทั้ง 2 ฝั่ง
- GRE Key - ระบุ Shared Key สำหรับยืนยันตัวตน
Advanced Settings ของ GRE Tunnel
คลิก Advanced เพื่อตั้งค่าขั้นสูง:
- MTU - กำหนดค่า Maximum Transmission Unit ของ Tunnel (ค่าเริ่มต้น 1460)
- Message Checksum - เลือก Enable หรือ Disable สำหรับการตรวจสอบ Checksum ของ Message
-
Link state detection - เปิดใช้งานเพื่อตรวจสอบสถานะการเชื่อมต่อของ Tunnel
- Interval (second) - ระยะเวลาระหว่างการตรวจสอบ (1-32767 ค่าเริ่มต้น 10 วินาที)
- Maximum Attempts - จำนวนครั้งสูงสุดที่ตรวจสอบก่อนถือว่า Link Down (1-255 ค่าเริ่มต้น 3 ครั้ง)
คลิก Commit เพื่อบันทึกการตั้งค่า GRE Tunnel
Open Ports on WAN Interface
ใช้สำหรับควบคุมการเปิด/ปิด Port บน WAN Interface ของอุปกรณ์ เพื่อจำกัดหรืออนุญาตการเข้าถึงอุปกรณ์จากภายนอก
การเข้าถึงหน้า Open Ports on WAN Interface
ไปที่ System > Network > Advanced > Open Ports on WAN Interface จะแสดงรายการ Port ที่มีอยู่ พร้อม Port Number, Description และ Status
โดยค่าเริ่มต้นจะมี 4 Port ที่ติดตั้งมาพร้อมอุปกรณ์ (ปิดอยู่):
- 54320 - [HA] Heartbeat port
- 22345 - [Others] Remote Tech Support
- 161 - [Others] snmpagent port
- 51112 - [Others] One-click authorization
การเปิด/ปิด Port
- เลือก Port ที่ต้องการแล้วคลิก Enable เพื่อเปิด (Status จะเปลี่ยนเป็นเครื่องหมายถูกสีเขียว)
- เลือก Port ที่ต้องการแล้วคลิก Disable เพื่อปิด (Status จะเปลี่ยนเป็นเครื่องหมายกากบาทสีแดง)
- คลิก Commit เพื่อบันทึกการเปลี่ยนแปลง
การเพิ่ม Port ใหม่
คลิก Add จะแสดงหน้าต่าง Add Open Port:
- Port - ระบุหมายเลข Port ที่ต้องการเปิด เช่น 9998
- Description - คำอธิบายของ Port
คลิก Commit เพื่อบันทึก Port จะถูกเปิดโดยอัตโนมัติ
การลบ Port
เลือก Port ที่ต้องการลบแล้วคลิก Delete (สามารถลบได้เฉพาะ Port ที่เพิ่มเอง Port ที่ติดตั้งมาพร้อมอุปกรณ์ไม่สามารถลบได้)
การค้นหา Port
ใช้ช่อง Search เพื่อค้นหา Port ตาม Port Number หรือ Description
ข้อควรระวัง
- การเปิด Port บน WAN Interface จะเพิ่มช่องทางการเข้าถึงอุปกรณ์จากภายนอก ควรเปิดเฉพาะ Port ที่จำเป็น
- สำหรับ Device Correlation กับ Cyber Command ใน Route Mode ต้องเปิด TCP Port 9998
- Port สำหรับ Remote Tech Support (22345) ควรเปิดเฉพาะเมื่อต้องการให้ Sangfor Technical Support เข้าถึงอุปกรณ์ระยะไกล
- GRE Tunnel ต้องกำหนด GRE Key ให้ตรงกันทั้ง 2 ฝั่งเพื่อให้ Tunnel ทำงานได้
- ค่า MTU ของ GRE Tunnel ควรตั้งต่ำกว่า MTU ของ Physical Interface เนื่องจากมี GRE Header เพิ่มเข้ามา
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น