飞连服务分为管理后台(服务端)与员工客户端,当企业购买飞连后,企业管理员需要在飞连管理后台配置组织架构、企业内网等资源,之后企业员工即可使用飞连客户端连接企业内网进行办公。本文提供产品的基础功能使用步骤,帮助企业管理员快速了解如何使用飞连构建安全高效的数字化办公平台。
已开通并购买飞连。具体操作,请参见购买飞连。
如果您在购买飞连服务时,选购了 VPN 管理或者 Wi-Fi 管理功能,则在配置飞连时会涉及 VPN 节点或者 RADIUS 节点的部署。节点部署架构如下图所示。
其中,各节点服务器的防火墙策略说明如下:
为确保飞连服务的正常使用,飞连针对各节点的服务器部署提供了建议与要求。
服务器资源配置参考
服务器的配置参考如下表。表格列举了 VPN 单节点的参考配置资源,其中并发是指的单节点能够同时承载的用户数量;最大并发是指最大的单节点并发承载量,在该并发量下 VPN Server 的 CPU、内存高负载运行。如果您对并发数的需求超出 1000,则需要部署多个 VPN 节点。
(建议)操作系统版本 | 最低配置 | 最大并发 |
---|---|---|
CentOS 7、Debian 9 及以上 | 4 核 CPU、4 G 内存 | 1000 |
注意
请使用全新的服务器部署飞连 VPN 节点。避免与其他运行中的应用服务发生冲突,而引起预期之外的网络转发问题。
网络要求
IP 地址要求
服务器 | 是否对公网开放 | IP 地址示例 | 数量 | 备注 |
---|---|---|---|---|
VPN Server | 是 | 201.23.10.2(公网映射) | N,以订单中节点数量为准。 | 固定公网 IP 地址。 |
否 | 192.168.1.2(内网) | N,以订单中节点数量为准。 | 固定内网 IP 地址。 |
网络端口开放要求
目的 IP | 目的端口 | 协议 | 源 IP | 是否可以修改 | 备注 |
---|---|---|---|---|---|
VPN Server 映射到公网的 IP | 8001 | TCP | 任意 | 是 | VPN 控制端口,外网开放。 |
443 | TCP、UDP | 任意 | 是 | VPN 数据端口,外网开放。 |
注意
VPN 节点需要访问飞连租户域名的 TCP 443 端口。因此,如果您的 VPN 服务器配置了较为严格的防火墙规则(未全部放行出站规则),则需要在出站规则放行 TCP 443 端口,并指定 IP 地址为飞连租户域名解析对应的 IP 地址。
为确保飞连服务的正常使用,飞连针对各节点的服务器部署提供了建议与要求。
RADIUS 服务器资源配置参考
服务器的配置参考如下表,其中 QPS 为每秒认证用户数,QPS 为 300/s 即每秒认证 300 个用户,如果有 400 个用户,则有 100 个用户排队到下一秒进行认证,不会挤掉已经通过认证的用户。
(建议)操作系统版本 | 配置 | QPS |
---|---|---|
CentOS 7、Debian 9 及以上 | 2 核 CPU、2 G 内存 | 300/s |
4 核 CPU、4 G 内存 | 600/s | |
8 核 CPU、8 G 内存 | 1000/s |
注意
请使用全新的服务器部署飞连 RADIUS 节点。避免与其他运行中的应用服务发生冲突,而引起预期之外的网络转发问题。
网络要求
IP 地址要求
服务器 | 是否对公网开放 | IP 地址示例 | 数量 | 备注 |
---|---|---|---|---|
RADIUS Server | 建议仅开放内网 | 192.168.1.3 | N,以订单中节点数量为准。 | 固定外网与内网 IP 地址。 |
网络端口开放要求
目的 IP | 目的端口 | 协议 | 源 IP | 是否可以修改 | 备注 |
---|---|---|---|---|---|
RADIUS Server IP | 1812 | UDP | 无线控制器 | 是 | 员工 Wi-Fi 认证端口,内网开放。若 RADIUS Server 和无线控制器通过互联网通信,则对互联网开放。 |
1813 | UDP | 无线控制器 | 是 | 员工 Wi-Fi 计费端口,内网开放。若 RADIUS Server 和无线控制器通过互联网通信,则对互联网开放。 | |
2812 | UDP | 有线交换机 | 是 | 有线网络认证端口,内网开放。若 RADIUS Server 和有线交换机通过互联网通信,则对互联网开放。 | |
2813 | UDP | 有线交换机 | 是 | 有线网络计费端口,内网开放。若 RADIUS Server 和有线交换机通过互联网通信,则对互联网开放。 |
注意
RADIUS 节点需要访问飞连租户域名的 TCP 443 端口。因此,如果您的 RADIUS 服务器配置了较为严格的防火墙规则(未全部放行出站规则),则需要在出站规则放行 TCP 443 端口,并指定 IP 地址为飞连租户域名解析对应的 IP 地址。
本文适用于企业管理员参考与操作。当企业管理员在飞连管理后台完成各功能配置后,再以员工身份登录飞连客户端查看客户端功能。
当您购买飞连后,需要先完成企业识别码、初始管理员等初始化配置。
.feilian.cn
后缀组成。本章节介绍如何手动添加企业部门与成员。请参考管理部门和管理成员。
测试部门1
。字节跳动
。测试部门1
名称,然后在页面右侧单击+添加成员。测试员工A
的成员,角色为测试
,归属测试部门1
部门。飞连的 VPN 节点用于企业员工远程连接企业内网进行办公。您可以根据企业实际需要,选配 VPN 节点。关于 VPN 节点的部署架构以及节点服务器的配置要求,请参见节点部署说明。
操作步骤
配置基本信息,然后单击下一步。
配置项说明:
说明
涉及 IP 地址的配置项,您需要根据实际环境与配置完成填写。
中国-杭州
,英文名称为 CN-HZ
。0
,代表不限速。0
,代表不限速。根据页面提示,在 VPN 节点对应的服务器中完成部署安装,然后单击下一步。
在部署 VPN 节点前,请确保部署 VPN 节点的宿主机已经关闭 firewalld 服务和 SELinux。检查以及关闭服务的命令如下:
// 关闭 firewalld: sudo systemctl status firewalld // 检查状态是否为活跃(active)状态。 sudo systemctl stop firewalld // 关闭 firewalld 服务。 sudo systemctl disable firewalld // 禁止开机启动。 sudo systemctl status firewalld // 再次检查状态是否为加载(loaded)状态。 // 关闭 SELinux: sudo getenforce // 检查 SELinux 状态是否为 Enforcing,如果是则执行下一条命令临时关闭 SELinux。 sudo setenforce 0 // 临时关闭 SELinux,否则会影响日志自动 rotate。该方式在机器重启后会重新打开 SELinux。
说明
永久关闭 SELinux 方式:vi /etc/selinux/config
编辑文件,将文件内 SELINUX=enforcing
修改为 SELINUX=disabled
,保存退出文件,并重启机器。
进行连通性测试,确保 VPN 节点所在服务器可以正常通信后,单击完成。
您可以在飞连管理后台配置 VPN 节点在企业内的使用范围,以及员工连接该 VPN 节点后可访问的网络资源范围。
操作步骤
测试部门1
进行搜索,然后选择测试部门1
并单击确认。www.example.com
网络资源。测试员工A
禁止访问www.example.com
网络资源。测试员工A
访问www.example.com
网络资源,结果为不可访问。飞连的 Wi-Fi 管理模块提供了员工 Wi-Fi、访客 Wi-Fi、RADIUS 服务器、无线 AC 或交换机的对接配置。您可以根据企业实际需要,选择配置企业的 Wi-Fi 网络、有线网络。本章节以配置企业 Wi-Fi 网络为例,介绍具体操作步骤。关于 RADIUS 节点的部署架构以及节点服务器的配置要求,请参见节点部署说明。
RADIUS节点1
。192.168.1.3
。说明
说明
使用 SSH 登录 AC。
在命令行中运行以下命令进行配置。
system-view radius dynamic-author server client ip <RADIUS 服务器 IP 地址> key simple <共享密钥> port 3799
其中:
<RADIUS 服务器 IP 地址>
在飞连管理后台相应的 RADIUS 节点中获取。<共享密钥>
在飞连管理后台相应的无线路由中获取。测试员工A
的信息。说明
iOS 客户端会直接上架在 App Store,此处主要设置更新策略。
说明
企业管理员可登录飞连控制台获取各个操作系统的安装包。此外,企业管理员也可以联系飞连技术人员获取安装包。在获取安装包后,请勿修改文件名,否则将影响飞连自动读取版本号。