[MOXA] MRC - Remote Connect Server介紹與設定說明
MOXA MRC包含MRC Server、MRC Gateway、與MRC Clinet三部分,其餘兩部分說明請參考:
[MRC] Moxa Remote Connect Client使用說明
[MRC] Moxa Remote Connect Gateway介紹與設定說明
MRC結合了MRC Server、MRC Gateway、MRC Client三方面;MRC Gateway提供了高安全性的閘道機制,將乙太網路設備連接到網際網路上的MRC Server;MRC Client是一個輕便的軟體,可以將工程師的電腦連接到MRC Server;MRC Server則會負責安全的管理這之間所有的連線,透過MRC Server,工程師便如同在現場一般連線到網路設備當中進行檢修。
MRC的架構提供了諸多優點,諸如利用VPN的技術,打破過去網際網路與資安的對立,而且隨插即用的便利性使現場人員與工程師不需要VPN的專業知識就可以使用;同時也減少IT人員負擔,MRC不需要更改網路安全策略,且內嵌的防火牆可以設定允許遠端存取的白名單,既有的網路配置也不需要任何的更動,透過虛擬IP的映射技術,使所有被納管的設備都可以安全地被遠端存取。
領域會由系統管理者分配領域管理者、領域期限、與領域節點上限,節點代表每個連線到MRC Server的設備就為一個節點,系統管理者也可以針對領域進行各項管理;領域管理者則可以建立群組,並指定群組管理者、群組虛擬IP、群組期限、與群組節點上限;而群組管理者可以建立MRC Gateway與MRC Client,並且針對兩者間的連線進行管理;因為MOXA原廠提供的測試帳號只有群組管理者的權限,故系統管理與領域管理請參見使用手冊第五、第六章(Moxa Remote Connect Server Software User’s Manual)。
Lock to MAC Address
MRC gateway能設定鎖定MAC,在這之後生成的啟用金鑰只能使用在有該MAC的MRC gateway。
Auto IP Mapping
為了防止現場設備IP與現場網路設定發生衝突,建議使用Auto IP Mapping功能;啟用該功能後,MRC gateway與連接的設備將會分配一個設備群組內的虛擬IP,MRC client便可以透過虛擬IP存取每個設備。
Broadcast Forwarding and Multicast Forwarding
MRC gateway與MRC portal支援不同的工業通訊,某些工業通訊程式可能需要廣播搜尋或多播轉發。
Gateway to Gateway
禁用Gateway to Gateway會阻擋來自連接其他MRC gateway的設備的流量,他只允許MRC client存取MRC gateway後面的設備;相反的,啟用該功能會允許設備與設備透過MRC gateway通訊;下圖為禁用Gateway to Gateway的示意圖。
WAN-LAN mode
使用ADSL數據機提供MRC Gateway的WAN存取;MRC Gateway的WAN埠連接到ADSL數據機,LAN埠直接連到設備的乙太網路埠或透過交換機連接到本地設備網路。此模式中,MRC Gateway的WAN設定支援透過DHCP、靜態IP、PPPoE存取網際網路。
WAN-LAN with NAT Mode
將網路設備與原來的網路隔離,並在兩者之間安裝MRC Gateway;將MRC Gateway的WAN埠連接到原本可以存取網際網路的工廠網路中,將LAN埠連接到乙太網路設備;如果有多個設備,可以使用交換機;在這種狀況下,儘管網路設備與原始網路隔離,但從網路設備到原始網路其他設備的通訊並不會受到影響,MRC Gateway會利用NAT維持網路設備對外通訊;如果要由外存取乙太網路設備,可能需要設定對外的NAT IP給設備。
Transparent-LAN mode
MRC Gateway安裝在網路設備與原始網路之間,MRC Gateway的WAN埠連接到原始網路,透過原始網路的ISP存取網際網路;MRC Gateway的LAN埠連接到乙太網路設備,並且不用更改設備網路設定。
Cellular-WAN mode
MRC Gateway安裝SIM卡後,LAN埠連接到乙太網路設備,若有多個設備可使用交換機。此時MRC Gateway使用行動網路作為網際網路存取,兩個乙太網路埠都會作為LAN埠使用,可用於連接本地設備。
MRC gateway提供Ping Check或Port Link進行設備健康檢查,如果設備透過交換機連接到MRC gateway,建議使用Ping Check;如果設備直接連到MRC gateway LAN埠,可使用Port Link;遠程存取將僅限於列表中的設備,一個設備群組最多可設定25個設備;設備的service中,可以編輯僅讓遠端可存取哪些服務,或有哪些MRC client可以存取;如果是site to site網路,設備列表留白可讓遠程存取MRC gateway LAN子網網段中的所有設備,例如MRC gateway的LAN為192.168.127.254/24,則遠端可以存取192.168.127.X的所有設備。
完成之後,可以在Gateway management介面看到剛才建立的MRC Gateway,點選Settings可下載認證金鑰;可以選擇下載儲存認證檔案在USB中(需格式化為FAT, FAT32, 與NTFS.),或複製金鑰於MRC Gateway的web console中輸入。
在MRC Server可對MRC Gateway進行管理以及監控,在Gateway List的Status可以看到目前所有MRC Gateway的狀態,包括進、出流量、連線設備、虛擬IP分配等資訊;在Settings中,可以Deactivating MRC Gateway與啟用或停用MRC Gateway Service;Deactivating是永久性的解除指定的MRC Gateway,若要再次啟用這個MRC Gateway,MRC Server必須重新生成金鑰給MRC Gateway;停用MRC Gateway Service是暫時性的,基於管理上的安全,MRC Server可以暫時停用某些不需要遠端協助的MRC Gateway。
建立一個用戶端相當簡單,只需要輸入電子信箱、ID、密碼之後,便可建立MRC Client。
建立完成之後便可在Client Management查詢,Client List中Status會列出目前這個群組中所有的Clinet的狀況,包括是否上線中、進、出的流量、虛擬IP的分配等;Settings可以啟用或停用這個用戶以及下載用戶金鑰檔,每個用戶會有自己的金鑰檔,透過MRC Clinet software輸入用戶金鑰後才能登入MRC Server。
[MRC] Moxa Remote Connect Client使用說明
[MRC] Moxa Remote Connect Gateway介紹與設定說明
Moxa Remote Connect
過去對於現場的網路設備,設備工程師都必須連上現場網路之後,才可以進行維護、除錯、狀態檢測等工作;對於緊急的設備異常狀況,很難在第一時間了解狀況,進行排除;Moxa Remote Connect(簡稱MRC)提供了一種使用簡單、安全性高、且適用各種狀況的網路解決方案,針對工業應用的特性,使工程師無須抵達現場,就可以連接設備進行維護作業。MRC結合了MRC Server、MRC Gateway、MRC Client三方面;MRC Gateway提供了高安全性的閘道機制,將乙太網路設備連接到網際網路上的MRC Server;MRC Client是一個輕便的軟體,可以將工程師的電腦連接到MRC Server;MRC Server則會負責安全的管理這之間所有的連線,透過MRC Server,工程師便如同在現場一般連線到網路設備當中進行檢修。
MRC的架構提供了諸多優點,諸如利用VPN的技術,打破過去網際網路與資安的對立,而且隨插即用的便利性使現場人員與工程師不需要VPN的專業知識就可以使用;同時也減少IT人員負擔,MRC不需要更改網路安全策略,且內嵌的防火牆可以設定允許遠端存取的白名單,既有的網路配置也不需要任何的更動,透過虛擬IP的映射技術,使所有被納管的設備都可以安全地被遠端存取。
MRC Server
MRC Server提供了三層的管理架構,分別為系統管理者(System Administrator)、領域管理者(Domain Administrators)、群組管理者(Group Administrators);系統管理者可以管理服務領域與領域管理者、網域管理者可以管理群組與群組管理者,群組管理者可以管理MRC Gateway、MRC Client、以及遠端連線。領域會由系統管理者分配領域管理者、領域期限、與領域節點上限,節點代表每個連線到MRC Server的設備就為一個節點,系統管理者也可以針對領域進行各項管理;領域管理者則可以建立群組,並指定群組管理者、群組虛擬IP、群組期限、與群組節點上限;而群組管理者可以建立MRC Gateway與MRC Client,並且針對兩者間的連線進行管理;因為MOXA原廠提供的測試帳號只有群組管理者的權限,故系統管理與領域管理請參見使用手冊第五、第六章(Moxa Remote Connect Server Software User’s Manual)。
MRC Gateway Management
以群組管理者身分登入MRC Server之後,進入Wizard可以看到兩項功能,Create Gateway與Create Client,點選Create Gateway建立閘道器;透過MRC Server建立MRC Gateway後,可透過下載的金鑰直接使MRC Gateway套用設定,免去人工設定的麻煩,相關的操作將於之後敘述。Step 1.
首先需建立MRC Gateway的基本設定,包括一些設備的基本資訊,如名稱、地點等,因為MRC是遠端管理,所以也提供欄位讓管理者設定經緯度;在其他的選項欄位中,有幾個比較需要特別注意的選項。Lock to MAC Address
MRC gateway能設定鎖定MAC,在這之後生成的啟用金鑰只能使用在有該MAC的MRC gateway。
Auto IP Mapping
為了防止現場設備IP與現場網路設定發生衝突,建議使用Auto IP Mapping功能;啟用該功能後,MRC gateway與連接的設備將會分配一個設備群組內的虛擬IP,MRC client便可以透過虛擬IP存取每個設備。
Broadcast Forwarding and Multicast Forwarding
MRC gateway與MRC portal支援不同的工業通訊,某些工業通訊程式可能需要廣播搜尋或多播轉發。
Gateway to Gateway
禁用Gateway to Gateway會阻擋來自連接其他MRC gateway的設備的流量,他只允許MRC client存取MRC gateway後面的設備;相反的,啟用該功能會允許設備與設備透過MRC gateway通訊;下圖為禁用Gateway to Gateway的示意圖。
Step 2.
之後便要決定MRC Gateway的連線模式,總共有四種模式可選,使用者必須依照MRC Gateway、網際網路、與現場網路連線的狀況去選擇適合的模式。WAN-LAN mode
使用ADSL數據機提供MRC Gateway的WAN存取;MRC Gateway的WAN埠連接到ADSL數據機,LAN埠直接連到設備的乙太網路埠或透過交換機連接到本地設備網路。此模式中,MRC Gateway的WAN設定支援透過DHCP、靜態IP、PPPoE存取網際網路。
WAN-LAN with NAT Mode
將網路設備與原來的網路隔離,並在兩者之間安裝MRC Gateway;將MRC Gateway的WAN埠連接到原本可以存取網際網路的工廠網路中,將LAN埠連接到乙太網路設備;如果有多個設備,可以使用交換機;在這種狀況下,儘管網路設備與原始網路隔離,但從網路設備到原始網路其他設備的通訊並不會受到影響,MRC Gateway會利用NAT維持網路設備對外通訊;如果要由外存取乙太網路設備,可能需要設定對外的NAT IP給設備。
Transparent-LAN mode
MRC Gateway安裝在網路設備與原始網路之間,MRC Gateway的WAN埠連接到原始網路,透過原始網路的ISP存取網際網路;MRC Gateway的LAN埠連接到乙太網路設備,並且不用更改設備網路設定。
Cellular-WAN mode
MRC Gateway安裝SIM卡後,LAN埠連接到乙太網路設備,若有多個設備可使用交換機。此時MRC Gateway使用行動網路作為網際網路存取,兩個乙太網路埠都會作為LAN埠使用,可用於連接本地設備。
Step 3 & 4.
設定完畢網路模式之後,接著依照現場狀況進行網路設定,包括Static IP、NAT、DHCP、PPPoE等;之後依照模式的不同,可能需要設定管理用LAN IP,LAN的IP與Subnet mask的設定必須與連接到MRC Gateway的設備設定相同。Step 5.
下一步,依照現場的狀態建立連線到MRC Gateway的設備列表,如果啟用Auto IP Mapping,所有基於IP的機器都會自動分配一個虛擬IP;如果停用Auto IP Mapping,設備會使用原本IP。如果乙太網路設備是L2設備,請輸入MAC取代IP。MRC gateway提供Ping Check或Port Link進行設備健康檢查,如果設備透過交換機連接到MRC gateway,建議使用Ping Check;如果設備直接連到MRC gateway LAN埠,可使用Port Link;遠程存取將僅限於列表中的設備,一個設備群組最多可設定25個設備;設備的service中,可以編輯僅讓遠端可存取哪些服務,或有哪些MRC client可以存取;如果是site to site網路,設備列表留白可讓遠程存取MRC gateway LAN子網網段中的所有設備,例如MRC gateway的LAN為192.168.127.254/24,則遠端可以存取192.168.127.X的所有設備。
Step 6.
最後選擇何時要建立連線通道,Permanent connection會持續保持連線通道的存在,Controlled by USB Key會只在USB金鑰插入MRC Gateway時才建立連線,一旦拔除USB金鑰就會中斷VPN連線;Controlled by DI ON可以在MRC Gateway設備上的DI點被觸發(ON)時才建立連線通道,一旦觸發狀態解除(OFF)便會中斷連線。完成之後,可以在Gateway management介面看到剛才建立的MRC Gateway,點選Settings可下載認證金鑰;可以選擇下載儲存認證檔案在USB中(需格式化為FAT, FAT32, 與NTFS.),或複製金鑰於MRC Gateway的web console中輸入。
在MRC Server可對MRC Gateway進行管理以及監控,在Gateway List的Status可以看到目前所有MRC Gateway的狀態,包括進、出流量、連線設備、虛擬IP分配等資訊;在Settings中,可以Deactivating MRC Gateway與啟用或停用MRC Gateway Service;Deactivating是永久性的解除指定的MRC Gateway,若要再次啟用這個MRC Gateway,MRC Server必須重新生成金鑰給MRC Gateway;停用MRC Gateway Service是暫時性的,基於管理上的安全,MRC Server可以暫時停用某些不需要遠端協助的MRC Gateway。
MRC Client Management
以群組管理者身分登入MRC Server之後,進入Wizard可以看到兩項功能,Create Gateway與Create Client,點選Create Client建立用戶端;用戶端可使用MRC Client Software連線MRC Server,MRC Server會協助用戶端建立與MRC Gateway下設備的連線,存取同群組中所有遠端的設備。建立一個用戶端相當簡單,只需要輸入電子信箱、ID、密碼之後,便可建立MRC Client。
建立完成之後便可在Client Management查詢,Client List中Status會列出目前這個群組中所有的Clinet的狀況,包括是否上線中、進、出的流量、虛擬IP的分配等;Settings可以啟用或停用這個用戶以及下載用戶金鑰檔,每個用戶會有自己的金鑰檔,透過MRC Clinet software輸入用戶金鑰後才能登入MRC Server。
謝謝你 寫的很清楚
回覆刪除謝謝你
刪除