本主題說明如何在 Edge 防火牆或路由器上指定出口 NAT 位址,以定義內部網路的範圍。以此方式定義您的內部網路,可讓 Universal Broker 服務套用網路特定原則,例如略過內部使用者的雙因素驗證。

若要為 Universal Broker 定義您的內部網路,請使用代理頁面中的網路範圍索引標籤,指定對應至內部使用者流量之出口 NAT 位址的所有範圍。

Universal Broker 服務會將您 Edge 路由器或防火牆上的指定出口 NAT 位址範圍辨識為源自您的內部網路。從這些範圍內來源連線的使用者會被視為內部使用者。從這些範圍外來源連線的使用者會被視為外部使用者。

重要: 如果您的網路組態有所變更,且將任何指定的位址範圍移除而不再使用,您必須從 [網路範圍] 清單中手動刪除未使用的範圍。 Universal Broker 服務不會偵測位址範圍是否使用中,且不會自動從清單中移除任何範圍。

必要條件

識別 Edge 路由器或防火牆上與內部使用者流量對應的出口網路位址轉譯 (NAT) 位址。

程序

  1. 選取設定 > 代理
  2. 在 [代理] 頁面中,按一下網路範圍索引標籤。
    系統會顯示與您的內部使用者流量對應的位址範圍清單。
    備註: 即使 [網路範圍] 索引標籤參考公用 IP 範圍,這些項目在技術上並非公用 IP 位址。這些項目實際上是 Edge 路由器或防火牆上的出口 NAT 位址。
  3. 若要將出口 NAT 位址範圍新增至清單,請按一下新增。輸入 CIDR 格式的範圍,允許的範圍為 /1 與 /32 之間。然後,按一下儲存
  4. 繼續將更多出口 NAT 位址範圍新增至清單,直到您定義了內部網路流量的完整範圍為止。

下一步

您可以使用 [網路範圍] 索引標籤中的控制項,來編輯刪除清單中的範圍。

備註: 從清單中刪除範圍之前,請考量以下幾點:
  • 當您刪除出口 NAT 位址範圍後,Universal Broker 會將該範圍視為外部網路的一部分。
  • 如果您刪除了清單中的所有範圍,則 Universal Broker 會將所有使用者視為外部使用者。即使您已為網繭設定內部 Unified Access Gateway 執行個體,仍無法再將原則套用至內部使用者,例如略過雙因素驗證 (如果已啟用)。