本文为企业管理员提供了多个 VPN 典型场景的配置教程。如果您是企业管理员,则可以参考本文并结合企业实际需求完成飞连 VPN 功能的相关配置。
背景信息
飞连管理后台的 VPN 管理模块包含配置 VPN 节点、VPN 权限管理、VPN 访问控制以及配置极速模式等操作。完成 VPN 管理模块配置后,飞连会授权相应员工的 VPN 使用权限以及连接 VPN 后的访问权限。
本文提供以下场景化教程,适用于企业管理员在配置 VPN 管理功能模块时参考使用。
场景一:配置企业全员可访问全部网络资源的VPN节点
场景介绍
本场景将配置一个 VPN 节点,该节点全员可用,且员工连接 VPN 后可以访问全部网络资源。
操作步骤
- 登录飞连管理后台。
您需要使用企业管理员账号登录飞连管理后台。 - (可选)添加 VPN 节点。
您需要根据企业实际情况,在飞连管理后台添加 VPN 节点。具体操作,请参见添加节点。如果您已经添加了 VPN 节点,则可以跳过本步骤。 - 设置全员开启 VPN 使用权限。
- 在左侧导航栏,选择 VPN 管理 > 使用权限。
- 在 VPN 使用权限页面右上角,单击全员启用。
- 在提示对话框,单击确定。
- 设置 VPN 访问权限为默认开放模式。
- 在左侧导航栏,选择 VPN 管理 > 访问权限。
- 在 VPN 访问权限页面,选择默认开放模式。
- 如果您是首次配置,则需要在页面内单击默认开放模式,并单击下一步。
在创建网络资源页面,单击跳出流程。后续您可以自行添加网络资源以及访问策略。 - 如果您之前已创建过网络资源以及访问策略,则需要在页面左上角单击切换模式,并在弹出的对话框中选择默认开放模式。
操作结果
企业员工登录飞连客户端后,连接 VPN 即可访问企业内网进行远程办公。
场景二:配置VPN极速模式并限制指定部门的网络访问权限
场景介绍
本场景中配置一个 VPN 节点,该节点仅开启极速模式。此外,在 VPN 访问权限中添加策略,限制指定部门内的员工在连接 VPN 后不可访问的网络资源范围。
VPN 全局模式和极速模式说明如下:
- 全局模式:当员工通过 VPN 连接企业内网后,终端上所有网络访问流量均通过企业内网。该模式下全量数据加密,可以保障员工数据安全。
- 极速模式:当员工通过 VPN 连接企业内网后,仅指定站点的访问流量通过企业内网,其他网络访问流量仍旧使用员工终端的本地网络进行访问。该模式下仅对指定站点做数据加密,但同时节省企业带宽,并减少 VPN 节点负载压力,提升了员工访问网络时的体验。
操作步骤
- 登录飞连管理后台。
您需要使用企业管理员账号登录飞连管理后台。 - (可选)添加 VPN 节点。
您需要根据企业实际情况,在飞连管理后台添加 VPN 节点。具体操作,请参见添加节点。如果您已经添加了 VPN 节点,则可以跳过本步骤。 - 配置极速模式的全局资源。
- 在左侧导航栏,选择 VPN 管理 > 高级配置。
- 在 VPN 高级配置页面的极速模式区域,单击新增资源。
- 在新增资源界面,根据实际需要配置走 VPN 加密隧道的网络资源,并单击确定。
您可以选择只配置域名或者 IP 地址,也可以同时配置。例如,您只需要域名www.example.com
走 VPN 加密隧道,则您在静态域名列表中添加www.example.com
,并设置域名对应的 IP 列表。
- 设置 VPN 节点仅开启极速模式。
- 在左侧导航栏,选择 VPN 管理 > 节点管理。
- 在 VPN 节点管理页面,找到已配置的 VPN 节点,单击节点卡片进入节点详情页。
- 在节点详情页,单击网络模式页签。
- 在页面右侧单击编辑,并在网络模式区域仅选中极速模式。
选中极速模式后,页面内会出现极速模式下单节点资源开关,本示例场景中不需要开启该开关。
说明
如果您开启该开关,则当前 VPN 节点需要设置独立的路由资源,且您在步骤 3 配置的极速模式全局资源不会下发至该 VPN 节点。
- 单击保存。
- 配置访问策略,限制指定部门的网络访问权限。
- 在左侧导航栏,选择 VPN 管理 > 访问权限。
- 在 VPN 访问权限页面,将模式配置为默认开放模式。
- 如果您是首次配置,则需要在页面内单击默认开放模式,并单击下一步。
在创建网络资源页面,单击跳出流程。后续您可以自行添加网络资源以及访问策略。 - 如果您之前已创建过网络资源以及访问策略,则需要在页面左上角单击切换模式,并在弹出的对话框中选择默认开放模式。
- 在网络资源页签,单击新增资源。
- 在新增资源对话框,设置资源名称、资源类型以及协议栈等配置项,并单击确定。
此处创建的网络资源仅用于后续添加访问策略时的资源配置。您可以根据实际情况,选择配置域名或者 IP 地址。例如,您需要将域名www.example.com
添加为网络资源,则您在资源类型配置项选择域名,并在域名列表中添加www.example.com
即可。 - 在 VPN 访问权限页面,单击访问策略页签。
- 在访问策略页签,单击新增策略。
- 在新增访问策略对话框,完成以下配置,并单击确定。
配置项说明:
- 单击切换,设置限制员工访问权限。
- 自定义配置策略名称。
- 在选择资源配置项,选择已创建好的
www.example.com
网络资源。 - 配置策略的绝对优先级为
100
。数值越高则策略生效的优先级越高。 - 在不可访问对象配置项中,选择部门,并选取指定的部门范围(例如选择
A部门
)。在部门范围内的成员将是当前策略的生效对象。
操作结果
企业内A部门
下的员工登录飞连客户端并连接 VPN 后,无法访问www.example.com
。其他部门员工登录飞连客户端并连接 VPN 后,可正常访问www.example.com
。
场景三:配置多个VPN节点
场景介绍
如果您购买了多个 VPN 节点配额,则在 VPN 管理功能中可以添加多个 VPN 节点以保证高可用性。当员工通过飞连客户端连接 VPN 时,可以在多个 VPN 节点中进行选择。
操作步骤
- 在飞连管理后台,添加多个 VPN 节点。
具体的配置操作,请参见场景一:配置企业全员可访问全部网络资源的 VPN 节点。您需要重复场景一中的操作创建多个 VPN 节点。 - 检查并确保各个 VPN 节点的运行状态均为运行中。
- 在 VPN 管理 > 节点管理页面,查看各个节点运行状态。
- 在开放平台 > 组件管理页面,查看 VPN 组件的运行状态。
操作结果
企业员工登录飞连客户端,在连接 VPN 时支持选择不同的节点进行连接。即使有 VPN 节点出现故障导致连接超时,员工也可以选择其他正常运行的 VPN 节点进行连接。
场景四:配置默认拒绝的VPN访问模式
场景介绍
VPN 的访问模式分为默认开放模式和默认拒绝模式。
- 默认开放模式是指员工可以访问全部网络资源,配置的访问策略用于限制不可访问的网络资源范围。
- 默认拒绝模式是指员工禁止访问全部网络资源,配置的访问策略用于开放员工可以访问的网络资源范围。
本场景中将 VPN 访问模式设置为默认拒绝模式,并配置访问策略使员工在连接 VPN 后可以访问指定的网络资源。
操作步骤
- 登录飞连管理后台。
您需要使用企业管理员账号登录飞连管理后台。 - (可选)添加 VPN 节点。
您需要根据企业实际情况,在飞连管理后台添加 VPN 节点。具体操作,请参见添加节点。如果您已经添加了 VPN 节点,则可以跳过本步骤。 - 为 VPN 的主备 DNS 的 53 端口配置放行的访问策略。
在设置默认拒绝模式之前,您需要先添加一个访问策略,放行 VPN 主备 DNS 的 53 端口。否则在设置为默认拒绝模式之后将导致域名资源无法访问。
- 在左侧导航栏,选择 VPN 管理 > 访问权限。
- 单击网络资源页签,并单击新增资源。
- 在新增资源对话框,完成以下配置,并单击确定。
配置项说明:
- 自定义资源名称。
- 资源类型选择 IP 地址。
- IP 列表中添加 VPN 节点下 DNS 主备服务器的 IP 地址。
- 端口列表中添加 53 端口。
- 在 VPN 访问权限页面,单击访问策略页签。
- 在页签内单击新增策略。
- 在新增访问策略对话框,完成以下配置,并单击确定。
配置项说明:
- 单击切换,设置授予员工访问权限。
- 自定义策略名称。
- 在选择资源下拉列表,选择配置了 VPN 节点 DNS 服务器 IP 地址的网络资源。
- 绝对优先级设置为 100。数值越高则策略生效的优先级越高。
- 可访问对象设置为全选部门。
- 在 VPN 访问权限页面,单击切换模式。
- 在切换默认模式对话框,单击默认拒绝模式,并单击确定。
- 在提示对话框,单击确定。
- 添加放行的访问策略。
当 VPN 的访问模式切换为默认拒绝模式后,默认情况下员工无法访问任何网络资源,您需要根据企业实际需求添加访问策略放行指定的网络资源。后续员工通过 VPN 连接企业内网后即可访问策略生效范围内的网络资源。
- 在 VPN 访问权限页面,单击网络资源页签。
- 在页签内单击新增资源。
- 在新增资源对话框,配置网络资源,并单击确定。
支持设置域名或者 IP 地址。例如,您需要将域名www.example.com
设置为网络资源,则在资源类型区域选择域名,并在域名列表中添加www.example.com
。 - 在 VPN 访问权限页面,单击访问策略页签。
- 在页签内单击新增策略。
- 在新增访问策略对话框,完成以下配置,并单击确定。
配置项说明:
- 单击切换,设置授予员工访问权限。
- 自定义策略名称。
- 在选择资源下拉列表,选择需要放行的
www.example.com
网络资源。 - 绝对优先级设置为 100。数值越高则策略生效的优先级越高。
- 可访问对象选择指定的生效范围,例如选择
A部门
。
操作结果
企业内A部门
下的所有员工登录飞连客户端并连接 VPN 后,可访问www.example.com
。其他部门的员工登录飞连客户端并连接 VPN 后,无法访问网络资源。
场景五:为VPN节点配置独立的极速模式单节点资源
场景介绍
在飞连的 VPN 管理中,除了为 VPN 节点配置极速模式全局资源,还可以为 VPN 节点设置独立的极速模式单节点资源。当 VPN 节点使用极速模式单节点资源后,该 VPN 节点将不再接收极速模式全局资源,而只接收单节点资源,从而实现特定 VPN 节点访问特定网络资源。
本场景将介绍如何为 VPN 节点配置独立的极速模式单节点资源。您可以重复本场景的操作步骤,配置多个 VPN 节点并使用极速模式单节点资源。以两个 VPN 节点为例,示例配置以及最终效果说明如下表所示。
VPN 节点 | 示例配置 | 最终效果 |
---|
节点 A | | 员工在飞连客户端选择节点 A 进行 VPN 连接,即可通过企业内网流量访问域名 A。 |
节点 B | | 员工在飞连客户端选择节点 B 进行 VPN 连接,即可通过企业内网流量访问域名 B。 |
操作步骤
- 登录飞连管理后台。
您需要使用企业管理员账号登录飞连管理后台。 - (可选)添加 VPN 节点。
您需要根据企业实际情况,在飞连管理后台添加 VPN 节点。具体操作,请参见添加节点。如果您已经添加了 VPN 节点,则可以跳过本步骤。 - 在左侧导航栏,选择 VPN 管理 > 节点管理。
- 在 VPN 节点管理页面,找到已配置的 VPN 节点,单击节点卡片进入节点详情页。
- 在节点详情页,单击网络模式页签。
- 在页面右侧单击编辑,完成以下配置,并单击保存。
配置项说明:
- 网络模式:仅选择极速模式。
- 开启极速模式下单节点资源开关。
说明
开启该开关后,当前 VPN 节点仅使用极速模式单节点资源,而不会使用高级配置中的极速模式全局资源。
- 单击新增资源,在右侧新增资源界面添加指定的单节点资源,并单击确定。
您可以选择只配置域名或者 IP 地址,也可以同时配置。例如,您只需要域名www.example.com
走 VPN 隧道,则您在静态域名列表中添加www.example.com
,并设置域名对应的 IP 列表。
操作结果
当员工登录飞连客户端并连接该 VPN 时,仅访问www.example.com
时走 VPN 加密隧道。