使用 SSL VPN-Plus 索引標籤上的 [私人網路] 畫面設定私人網路。私人網路是您想讓 VPN 用戶端在遠端使用者使用其 VPN 用戶端和 SSL VPN 通道進行連線時可存取的網路。將在 VPN 用戶端的路由表中安裝已啟用的私人網路。
私人網路是 Edge 閘道後方您要針對 VPN 用戶端加密流量或排除在加密之外的所有可連線 IP 網路的清單。必須將需要透過 SSL VPN 通道存取的每個私人網路新增為個別項目。您可以使用路由摘要技術來限制項目數。
- SSL VPN-Plus 可讓遠端使用者根據 IP 集區在畫面上的資料表中所顯示的自上而下順序來存取私人網路。新增私人網路至畫面上的資料表後,您可以使用向上和向下箭頭調整其在資料表中的位置。
- 如果您選取以針對私人網路啟用 TCP 最佳化,處於主動模式的一些應用程式 (例如 FTP) 可能在該子網路內無法運作。若要新增在主動模式下設定的 FTP 伺服器,必須為該 FTP 伺服器新增其他私人網路,並針對該私人網路停用 TCP 最佳化。此外,該 FTP 伺服器的私人網路必須處於啟用狀態,並顯示在畫面上的資料表中 TCP 最佳化私人網路上方。
必要條件
程序
- 在 SSL VPN-Plus 索引標籤上,按一下私人網路。
- 按一下新增 () 按鈕。
- 設定私人網路設定。
選項 動作 網路 以 CIDR 格式輸入私人網路 IP 位址,例如 192169.1.0/24。 描述 (選擇性) 輸入網路的說明。 傳送流量 指定想要讓 VPN 用戶端傳送私人網路和網際網路流量的方式。 - 透過通道
VPN 用戶端會透過已啟用 SSL VPN-Plus 的 Edge 閘道傳送私人網路和網際網路流量。
- 略過通道
VPN 用戶端略過 Edge 閘道,直接將流量傳送至私人伺服器。
啟用 TCP 最佳化 (選擇性) 若要最佳化網際網路速度,則在選取透過通道傳送流量的同時,也必須選取啟用 TCP 最佳化 選取此選項可提高 VPN 通道內 TCP 封包的效能,但無法改善 UDP 流量的效能。
傳統的完整存取 SSL VPN 通道會透過網際網路傳送第二個 TCP/IP 堆疊中的 TCP/IP 資料以進行加密。此傳統方法會將應用程式層資料封裝在兩個單獨的 TCP 資料流中。如果發生封包遺失 (即使在最佳網際網路條件下仍會發生),會產生稱為 TCP-over-TCP 潰敗的效能降低影響。在 TCP-over-TCP 潰敗過程中,兩個 TCP 儀器會更正相同的單一 IP 資料封包,從而減弱網路輸送量並導致連線逾時。選取啟用 TCP 最佳化可降低此 TCP-over-TCP 問題發生的風險。
備註: 啟用 TCP 最佳化時:- 您必須輸入想要最佳化網際網路流量的連接埠號碼。
- SSL VPN 伺服器會代表 VPN 用戶端開啟 TCP 連線。當 SSL VPN 伺服器開啟 TCP 連線時,會套用第一個自動產生的 Edge 防火牆規則,以允許從 Edge 閘道開啟的所有連線均可傳遞。未最佳化的流量將由一般 Edge 防火牆規則進行評估。預設產生的 TCP 規則為允許任何連線。
連接埠 選取透過通道時,輸入您要開啟供遠端使用者存取內部伺服器的連接埠號碼範圍,例如 20-21 (針對 FTP 流量) 和 80-81 (針對 HTTP 流量)。 若要為使用者提供無限制的存取權,請將此欄位保留空白。
狀態 啟用或停用私人網路。 - 透過通道
- 按一下保留。
- 按一下儲存變更,將組態儲存至系統。
下一步
新增驗證伺服器。請參閱在 NSX Data Center for vSphere Edge 閘道上設定 SSL VPN-Plus 的驗證服務。
重要: 新增對應的防火牆規則,以允許您在此畫面中已新增之私人網路的傳入網路流量。請參閱
新增 NSX Data Center for vSphere Edge 閘道防火牆規則。