Một số loại VPN Router

Sử dụng xác thực RADIUS Server, người dùng có thể sử dụng ngay mật khẩu AD để truy xuất từ xa tới và đăng nhập vào VPN Server trên Router. Hơn nữa, sau khi xác thực với RADIUS Server thành công, người dùng có thể truy cập được ngay vào các tài nguyên trên mạng nội bộ như các thư mục chia sẻ, máy in... mà không cần phải đăng nhập lại. Quản trị mạng có thể quản lý và kiểm tra việc sử dụng của từng người dùng thông qua file log (text / MS SQL) trên RADIUS Server....
Nội dung trích xuất từ tài liệu:
Một số loại VPN RouterMộtsốloạiVPNRouter(vídụDraytekV27xx,V29xx,V33xxhoặcCiscoASA5510,18xx,28xx,38xx...)mặcdùđều chophéptạoUserProfilengaytrênrouternhưngcónhược điểmlàsốlượngngườidùngbịgiớihạn(thườngkhoảng 30100ngườidùng)và nhấtlà gâykhó khăntrongviệcsử dùngbởingườidùngphảinhớ nhiềuloạimậtkhẩu(mậtkhẩuđăngnhậpvàoVPNServer,mậtkhẩuđăngnhậpvàoAD...)SửdụngxácthựcRADIUSServer,ngườidùngcóthểsửdụngngaymậtkhẩuADđểtruyxuấttừxatớivàđăngnhậpvàoVPNServertrênRouter.Hơnnữa,saukhixácthựcvớiRADIUSServerthànhcông,ngườidùngcó thể truycậpđượcngayvàocáctàinguyêntrênmạngnộibộnhưcácthưmụcchiasẻ,máyin...màkhôngcầnphảiđăngnhậplại. Quảntrị mạngcó thể quảnlý và kiểmtraviệcsử dụngcủatừngngườidùngthôngquafilelog(text/MSSQL)trên RADIUSServer.Ngoàira,RADIUSServercònđượcsửdụngđểcungcấpdịchvụxácthựcngườidùngchonhiềuloạiNetworkAccessServer(NAS)khácnhư RemoteDesktopGateway(xácthựcngườidùngkhitruycậpmáytínhtừ ra),DHCPServer(cấpphátIPdựatrênxácthựcngườidùng)...VìsaocầnsửdụngRADIUSserverđểxácthựcngườidùng?1.Trongmôitrườngdomain,vìlýdotăngcườngmứcđộbảomậttakhôngmuốnjoinmáyVPNserverhoặcISAservervàodomain.VậylàmsaoVPN/ISAservercóthểxácthựcđượcngườidùng(usercủadomain)?2.NếutasửdụngVPNserverhoặcfirewallcứng(khôngphảilàmáytínhcàiWindowsđểjoindomain)thìtươngtựnhưtrênlàmsaoVPN/firewallcóthểxácthựcđượcngườidùng(usercủadomain)?VậyđểxácthựcngườidùngtacầnmộtservertrunggiangiữaDCvàVPN/ISAserver(servernàyjoindomainđểcóthểtruycậpđượcAD).ServernàynhậnyêucầuxácthựctừVPN/ISAservervàtruycậpAD đểxácthựcrồitrảkếtquảvềchoVPN/ISAserver.ServernàygọilàRADIUSserver.Bên ngoài Hosted RADIUS serverNhiều tổ chức có một xác thực người dùng hiện hành hoặc máy chủ thư mục mà họ muốn sử dụng để kiểm soáttruy cập mạng LAN không dây. Các loại máy chủ phổ biến bao gồm LDAP và Active. Bất kỳ loại máy chủ xácthực với một giao diện RADIUS có thể được tích hợp với một mạng không dây Meraki. MCC cho phép một quảntrị viên để cấu hình các máy chủ RADIUS nhiều để chuyển đổi dự phòng.Khi một máy chủ RADIUS bên ngoài tổ chức được sử dụng với một trong hai kiểm soát truy cập dựa trên MAChoặc WPA2 Enterprise với xác thực 802.1x, AP Meraki phải có khả năng để tiếp cận với máy chủ RADIUS. MCCcung cấp một công cụ kiểm tra cho phép một quản trị viên để xác minh kết nối của tất cả các AP Meraki đến máychủ RADIUS, và để kiểm tra một tập hợp các thông tin người dùng chống lại các máy chủ RADIUS. Các công cụkiểm tra xuất hiện dưới tab Configure trên trang Access Control.Khi một máy chủ RADIUS bên ngoài tổ chức được sử dụng với đăng nhập trên trang splash, một quản trị viên cóthể cấu hình Meraki mạng không dây để sử dụng một máy chủ RADIUS bên ngoài tổ chức để xác thực ngườidùng. MCC hoạt động như một trung gian trong cấu hình này để cung cấp (1) kinh nghiệm người dùng một kếtthúc phù hợp (ví dụ, người sử dụng không dây không được trình bày với các trang splash một lần nữa nếu anh talại cộng khác AP) và (2) tính năng kế toán RADIUS.Nếu trang đăng nhập splash được lưu trữ bởi MCC, cuộc trò chuyện là RADIUS một trao đổi đơn giản giữa cácMCC và RADIUS máy chủ bên ngoài.Nếu các dấu hiệu trên splash trang bản thân nó là bên ngoài tổ chức, cuộc trò chuyện liên quan đến việc trao đổigiữa các máy chủ trang splash, MCC, và máy chủ RADIUS. Cụ thể là:1. Khách hàng liên kết không dây với mạng không dây Meraki.2. Người sử dụng làm cho một yêu cầu ban đầu cho một URL trong trình duyệt web của mình.3. AP Meraki chuyển hướng người dùng đến một URL trên máy chủ trang splash. (Quản trị viên cấu hìnhURL này trong MCC, dưới tab Configure trên trang Trang Splash) Khi AP Meraki chuyển hướng người dùng đếnmáy chủ trang splash, nó bao gồm các thông số sau đây HTTP chuyển hướng HTTP:a. continue_url: URL mà người dùng yêu cầu ban đầu. Tham số này có thể được giải thích bởi cácmáy chủ trang splash để quyết định nơi người sử dụng nên được chuyển hướng nếu ông xác thực thành công.b. LOGIN_URL: URL ở MCC máy chủ trang splash nên gửi một HTTP POST với các thông tin thuthập được từ người sử dụng (xem Bước 4). Tham số này là chạy thoát để bao gồm các continue_url nhúng bêntrong nó, và không nên được hiểu bởi các máy chủ trang splash.c. ap_mac: địa chỉ MAC của AP Meraki mà người sử dụng có liên quan.d. ap_name: Tên của AP Meraki mà người dùng có liên quan (nếu cấu hình).e. ap_tags: Tags (nếu cấu hình) áp dụng cho AP Meraki mà người sử dụng có liên quan.f. mauth: Một chuỗi mờ được sử dụng bởi MCC để xác thực và an ninh.4. Splash trang chủ bên ngoài h ...