更新时间:2022-01-08
『用户管理』用于管理 VPN 接入账号信息,设置允许接入 VPN 的用户账号、密码、设置账号使用的加密算法、用户的类型(移动或分支)、对用户进行分组并设置组成员的公共属性、是否启用硬件捆绑鉴权或 USB-KEY 认证、设置移动虚拟 IP、账号有效时间、账号的内网权限、组播设置、隧道内流控设置、隧道内 NAT 设置、最后登录时间及最后使用时间等用户策略。页面如下:
点击检测 USB-Key 将检测当前登录网关控制台的计算机是否插入了 USB-Key,如没有安装 USB-Key 驱动则提示用户是否需要下载,用户可以点击下载 USB-Key 驱动直接下载安装。
注意: 生成 USB-Key 前必须安装好 USB-Key 驱动, 否则计算机无法识别USB-Key 硬件,为避免因程序冲突导致 USB-Key 驱动无法正常安装,请在安装过程中关闭第三方杀毒软件、防火墙等程序。
点击查询可对输入的用户名进行查找,以便对查找出来的用户进行编辑操作。查找到的用户会用黄色高亮显示,页面如下:
点击高级查询可对查询的用户增加一些过滤条件进行查找,包括用户所属的用户组、组属性(启用/禁用)、用户状态(启用/禁用)、用户类型(移动/分支)、是否启用 DKey(启用/不启用)、用户的闲置时间等等。页面如下:
点击删除可对勾选的用户进行删除操作。
点击新增用户可依次设置接入账号的『用户名』、『密码』、『描述』、『算法』、『类型』等信息,页面如下:
『认证方式』用于设置用户认证类型,可选本地认证(即硬件设备认证)、LDAP 认证、Radius 认证、证书认证。
注意:
1.使用 Radius 认证和 LDAP 认证之前,请先在『LDAP 认证』或『Radius 认证』里设置好对应的认证服务器。
2.使用证书认证,用户的用户名必须要与分支端证书的“颁发给”字段一样选择证书认证之后,需要选择好对应的证书。当分支端使用的证书与本端的证书不是同一个CA 机构颁发时,需要先将对端的 CA 根证导入到证书列表中,并在指定对端根证中选择对应的 CA 证书。
3.如果是有多个用户需要使用证书认证的情况,可以不需要逐个增加证书认证的用户,启用缺省用户并选择为证书认证,配置对应的规则,即可满足证书认证用户的接入, 且能通过规则限制哪些用户可以接入,哪些用户不能接入。显示如下:
[使用组属性]用于对用户进行分组,如勾选[使用组属性],则可激活选择『用户组』设置,选择将该用户加入到某一个用户组并使用这个组的公共属性。
注意:设置『使用组属性』前请先新增用户组。用户加入用户组后,该用户的『加密算法』、『启用网上邻居』、『权限设置』、『高级』将无法单独设置。
『启用硬件捆绑鉴权』用于设置基于硬件特性的证书认证,启用后请选择对应此用户 的证书文件(*.id)。
[启用 DKEY]用于设置是否对移动用户启用 DKey 认证,启用后请先将 DKey 插入计算机的 USB 接口再点击生成 DKEY。
[启用虚拟 IP]用于给移动用户分配虚拟 IP。当选择用户类型为“移动”的时候,如果为该用户手动设定好一个虚拟内网 IP 地址(该 IP 必须在虚拟 IP 池范围内),则该用户接入后,会使用这个 IP 作为虚拟的内网 IP 地址。如果虚拟 IP 设置为 0.0.0.0,则系统会自动为该用户从虚拟 IP 池中分配一个内网 IP 地址。
『有效时间』和[启用过期时间]用于设置“接入账号”的有效时间及过期时间。 如 VPN 接入用户需要使用网上邻居服务,则必须勾选[启用网上邻居]。
[启用压缩]用于设置对网关设备与该用户之间传输的数据使用压缩算法进行压缩。
注意:该设置是 SANGFOR VPN 的独特技术,在低带宽的环境下能有效利用有限带宽,加速数据传输,但并不适用于所有网络环境,实际应用中可根据实际情况进行设置。
[接入总部后禁止该用户上网]只对移动用户生效。勾选该选项,则可以让移动用户在 连通 VPN 后,只能访问服务端 VPN 内网,而不能访问互联网。
[启用多用户登录]用于设置是否允许多个用户同时共用该账号登录 VPN。
[禁止在线修改密码]用于设置移动用户是否能够在连上 VPN 后自行修改移动端登录密码,不勾选表示允许用户自行修改密码。
『权限设置』用于设置用户接入 VPN 后的访问权限,即设置用户只能访问某些服务, 默认不做限制。
注意:使用『权限设置』前,请先在『内网服务』处添加所需服务。添加方法请参考5.9。
高级用于设置用户接入 VPN 后的一些高级属性,包括启用组播服务、启用隧道内流控、启用隧道内 NAT 等。组播服务主要是满足服务端和分支间有视频等需要组播协议支持的应用需求、隧道内流控主要是避免某个接入的分支 VPN 流量过大的问题、隧道内 NAT 主要是解决两个内网网段相同的分支同时接入到服务端时的地址冲突问题。设置页面如 下:
『选路策略设置』请参照章节 5.7 选路策略。
『组播服务设置』请参见章节 5.10 组播服务。
『隧道参数设置』包括了 VPN 隧道超时时间、动态隧道探测、隧道内流控等内容。
『VPN 隧道超时时间』,在网络时延较大、丢包率较高的环境下,SANGFOR VPN 可以针对这些网络设置专门的超时时间,每个隧道的超时时间以服务端配置为准,默认超时时间为 20s,若在较差的网络环境中可适当延长超时时间。
[启用隧道动态速度探测],在本端或对端拥有多线路情况下有效,此时 SANGFOR VPN 设备将会定时探测多线路里各条线路的延时及丢包情况综合选择最优线路进行数据传输。
[启用隧道内流控]用在多个 VPN 分支或者移动用户接入时,为了避免其中某一个分支或者移动用户将服务端带宽全部占满导致其他分支或者移动用户访问速度变慢,可以针对 每个接入的用户分配一个上下行带宽,从而保证所有用户都能得到较理想的访问速度。
[启用隧道内流控]设置的限制值只是一个范围值,而不是准确值,例如:流控设为 100k,则实际流量会控制在 80-120k 的范围内,在 100k 左右上下小幅波动。
『隧道内 NAT 设置』:用于对多个冲突的分支网段进行 SNAT 功能,以实现在不修改各个分支的具体网段情况下,各个分支均能接入服务端并和服务端正常通信。
注意:只有分支类型的用户才能启用隧道内 NAT 功能。
点击新增,即可在对话框中输入这条规则所需要匹配原子网网段、代理子网网段、子网掩码,也可以让设备自动从虚拟 IP 池中分配一个 IP 网段,页面如下:
『原子网网段』:分支真实的内网子网网段。
『代理子网网段』:分支转换后的虚拟网段。
『子网掩码』:分支真实的内网子网掩码。
注意:
1.配置时需要注意子网掩码一定要匹配,隧道内 NAT 只对掩码网段进行 NAT, 主机号保持不变。
2.使用 里的隧道内 NAT 功能前,请先在『虚拟 IP 池』添加所需的分支虚拟IP 网段。
点击新增组可设置用户组名称、描述以及组成员公共属性,页面如下:
内网权限和高级与新增用户里的内网权限和高级按钮一致,请参见新增用户里的对应描述。
点击导入域用户,可以从 LDAP 服务器中导入用户帐户(导入之前请先在『LDAP 设置』页面中设置好 LDAP 服务器,具体设置请参照 5.13 章节),导入的用户默认使用 LDAP
认证方式且不包含密码,页面如下:
勾选需要导入的用户,选择用户类型是移动用户还是分支用户、是否属于某个用户组、选择加密算法、是否启用压缩及网上邻居等选项后,点击导入,即可将用户从 LDAP 服务器中导入到 VPN 设备中,页面如下:
点击导入文本用户可以从 TXT 或 CSV 文件中导入用户信息,可以选择选择把用户导入到某个用户组并使用组属性,同时还可以设置导入的用户类型是移动还是分支。TXT 文件的格式为“用户名,,密码”,用户其他信息无法导入。CSV 文件格式同 TXT 文件,把英文逗号换成空列即可。如下图所示:
点击导出用户可从设备上将用户导出到本地进行保存,并可选择导出的用户密码是加密还是不加密。页面如下: