You need to enable JavaScript to run this app.
导航

VPN 管理最佳实践

最近更新时间2024.03.07 16:10:06

首次发布时间2022.08.09 14:29:54

本文为企业管理员提供了多个 VPN 典型场景的配置教程。如果您是企业管理员,则可以参考本文并结合企业实际需求完成飞连 VPN 功能的相关配置。

背景信息

飞连管理后台的 VPN 管理模块包含配置 VPN 节点、VPN 权限管理、VPN 访问控制以及配置极速模式等操作。完成 VPN 管理模块配置后,飞连会授权相应员工的 VPN 使用权限以及连接 VPN 后的访问权限。
本文提供以下场景化教程,适用于企业管理员在配置 VPN 管理功能模块时参考使用。

场景一:配置企业全员可访问全部网络资源的VPN节点

场景介绍

本场景将配置一个 VPN 节点,该节点全员可用,且员工连接 VPN 后可以访问全部网络资源。

操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. (可选)添加 VPN 节点。
    您需要根据企业实际情况,在飞连管理后台添加 VPN 节点。具体操作,请参见添加节点。如果您已经添加了 VPN 节点,则可以跳过本步骤。
  3. 设置全员开启 VPN 使用权限。
    1. 在左侧导航栏,选择 VPN 管理使用权限
    2. VPN 使用权限页面右上角,单击全员启用
      图片
    3. 提示对话框,单击确定
  4. 设置 VPN 访问权限为默认开放模式
    1. 在左侧导航栏,选择 VPN 管理访问权限
    2. VPN 访问权限页面,选择默认开放模式
      • 如果您是首次配置,则需要在页面内单击默认开放模式,并单击下一步
        图片
        在创建网络资源页面,单击跳出流程。后续您可以自行添加网络资源以及访问策略。
      • 如果您之前已创建过网络资源以及访问策略,则需要在页面左上角单击切换模式,并在弹出的对话框中选择默认开放模式
        图片

操作结果

企业员工登录飞连客户端后,连接 VPN 即可访问企业内网进行远程办公。

场景二:配置VPN极速模式并限制指定部门的网络访问权限

场景介绍

本场景中配置一个 VPN 节点,该节点仅开启极速模式。此外,在 VPN 访问权限中添加策略,限制指定部门内的员工在连接 VPN 后不可访问的网络资源范围。
VPN 全局模式和极速模式说明如下:

  • 全局模式:当员工通过 VPN 连接企业内网后,终端上所有网络访问流量均通过企业内网。该模式下全量数据加密,可以保障员工数据安全。
  • 极速模式:当员工通过 VPN 连接企业内网后,仅指定站点的访问流量通过企业内网,其他网络访问流量仍旧使用员工终端的本地网络进行访问。该模式下仅对指定站点做数据加密,但同时节省企业带宽,并减少 VPN 节点负载压力,提升了员工访问网络时的体验。

操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. (可选)添加 VPN 节点。
    您需要根据企业实际情况,在飞连管理后台添加 VPN 节点。具体操作,请参见添加节点。如果您已经添加了 VPN 节点,则可以跳过本步骤。
  3. 配置极速模式的全局资源。
    1. 在左侧导航栏,选择 VPN 管理高级配置
    2. VPN 高级配置页面的极速模式区域,单击新增资源
    3. 新增资源界面,根据实际需要配置走 VPN 加密隧道的网络资源,并单击确定
      您可以选择只配置域名或者 IP 地址,也可以同时配置。例如,您只需要域名www.example.com走 VPN 加密隧道,则您在静态域名列表中添加www.example.com,并设置域名对应的 IP 列表。
      图片
  4. 设置 VPN 节点仅开启极速模式。
    1. 在左侧导航栏,选择 VPN 管理节点管理
    2. VPN 节点管理页面,找到已配置的 VPN 节点,单击节点卡片进入节点详情页。
    3. 在节点详情页,单击网络模式页签。
    4. 在页面右侧单击编辑,并在网络模式区域仅选中极速模式
      选中极速模式后,页面内会出现极速模式下单节点资源开关,本示例场景中不需要开启该开关。

    说明

    如果您开启该开关,则当前 VPN 节点需要设置独立的路由资源,且您在步骤 3 配置的极速模式全局资源不会下发至该 VPN 节点。

    1. 单击保存
  5. 配置访问策略,限制指定部门的网络访问权限。
    1. 在左侧导航栏,选择 VPN 管理访问权限
    2. 在 VPN 访问权限页面,将模式配置为默认开放模式
      • 如果您是首次配置,则需要在页面内单击默认开放模式,并单击下一步
        图片
        在创建网络资源页面,单击跳出流程。后续您可以自行添加网络资源以及访问策略。
      • 如果您之前已创建过网络资源以及访问策略,则需要在页面左上角单击切换模式,并在弹出的对话框中选择默认开放模式
        图片
    3. 网络资源页签,单击新增资源
    4. 新增资源对话框,设置资源名称资源类型以及协议栈等配置项,并单击确定
      此处创建的网络资源仅用于后续添加访问策略时的资源配置。您可以根据实际情况,选择配置域名或者 IP 地址。例如,您需要将域名www.example.com添加为网络资源,则您在资源类型配置项选择域名,并在域名列表中添加www.example.com即可。
    5. VPN 访问权限页面,单击访问策略页签。
    6. 访问策略页签,单击新增策略
    7. 在新增访问策略对话框,完成以下配置,并单击确定
      图片
      配置项说明:
      • 单击切换,设置限制员工访问权限
      • 自定义配置策略名称
      • 选择资源配置项,选择已创建好的www.example.com网络资源。
      • 配置策略的绝对优先级100。数值越高则策略生效的优先级越高。
      • 不可访问对象配置项中,选择部门,并选取指定的部门范围(例如选择A部门)。在部门范围内的成员将是当前策略的生效对象。

操作结果

企业内A部门下的员工登录飞连客户端并连接 VPN 后,无法访问www.example.com。其他部门员工登录飞连客户端并连接 VPN 后,可正常访问www.example.com

场景三:配置多个VPN节点

场景介绍

如果您购买了多个 VPN 节点配额,则在 VPN 管理功能中可以添加多个 VPN 节点以保证高可用性。当员工通过飞连客户端连接 VPN 时,可以在多个 VPN 节点中进行选择。

操作步骤

  1. 在飞连管理后台,添加多个 VPN 节点。
    具体的配置操作,请参见场景一:配置企业全员可访问全部网络资源的 VPN 节点。您需要重复场景一中的操作创建多个 VPN 节点。
  2. 检查并确保各个 VPN 节点的运行状态均为运行中。
    • VPN 管理节点管理页面,查看各个节点运行状态。
      图片
    • 开放平台组件管理页面,查看 VPN 组件的运行状态。
      图片

操作结果

企业员工登录飞连客户端,在连接 VPN 时支持选择不同的节点进行连接。即使有 VPN 节点出现故障导致连接超时,员工也可以选择其他正常运行的 VPN 节点进行连接。

场景四:配置默认拒绝的VPN访问模式

场景介绍

VPN 的访问模式分为默认开放模式默认拒绝模式

  • 默认开放模式是指员工可以访问全部网络资源,配置的访问策略用于限制不可访问的网络资源范围。
  • 默认拒绝模式是指员工禁止访问全部网络资源,配置的访问策略用于开放员工可以访问的网络资源范围。

本场景中将 VPN 访问模式设置为默认拒绝模式,并配置访问策略使员工在连接 VPN 后可以访问指定的网络资源。

操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. (可选)添加 VPN 节点。
    您需要根据企业实际情况,在飞连管理后台添加 VPN 节点。具体操作,请参见添加节点。如果您已经添加了 VPN 节点,则可以跳过本步骤。
  3. 为 VPN 的主备 DNS 的 53 端口配置放行的访问策略。
    在设置默认拒绝模式之前,您需要先添加一个访问策略,放行 VPN 主备 DNS 的 53 端口。否则在设置为默认拒绝模式之后将导致域名资源无法访问。
    1. 在左侧导航栏,选择 VPN 管理访问权限
    2. 单击网络资源页签,并单击新增资源
    3. 新增资源对话框,完成以下配置,并单击确定
      图片
      配置项说明:
      • 自定义资源名称
      • 资源类型选择 IP 地址
      • IP 列表中添加 VPN 节点下 DNS 主备服务器的 IP 地址。
      • 端口列表中添加 53 端口。
    4. VPN 访问权限页面,单击访问策略页签。
    5. 在页签内单击新增策略
    6. 新增访问策略对话框,完成以下配置,并单击确定
      图片
      配置项说明:
      • 单击切换,设置授予员工访问权限
      • 自定义策略名称
      • 选择资源下拉列表,选择配置了 VPN 节点 DNS 服务器 IP 地址的网络资源。
      • 绝对优先级设置为 100。数值越高则策略生效的优先级越高。
      • 可访问对象设置为全选部门。
  4. VPN 访问权限页面,单击切换模式
  5. 切换默认模式对话框,单击默认拒绝模式,并单击确定
    图片
  6. 提示对话框,单击确定
  7. 添加放行的访问策略。
    当 VPN 的访问模式切换为默认拒绝模式后,默认情况下员工无法访问任何网络资源,您需要根据企业实际需求添加访问策略放行指定的网络资源。后续员工通过 VPN 连接企业内网后即可访问策略生效范围内的网络资源。
    1. VPN 访问权限页面,单击网络资源页签。
    2. 在页签内单击新增资源
    3. 新增资源对话框,配置网络资源,并单击确定
      支持设置域名或者 IP 地址。例如,您需要将域名www.example.com设置为网络资源,则在资源类型区域选择域名,并在域名列表中添加www.example.com
    4. VPN 访问权限页面,单击访问策略页签。
    5. 在页签内单击新增策略
    6. 新增访问策略对话框,完成以下配置,并单击确定
      图片
      配置项说明:
      • 单击切换,设置授予员工访问权限
      • 自定义策略名称
      • 选择资源下拉列表,选择需要放行的www.example.com网络资源。
      • 绝对优先级设置为 100。数值越高则策略生效的优先级越高。
      • 可访问对象选择指定的生效范围,例如选择A部门

操作结果

企业内A部门下的所有员工登录飞连客户端并连接 VPN 后,可访问www.example.com。其他部门的员工登录飞连客户端并连接 VPN 后,无法访问网络资源。

场景五:为VPN节点配置独立的极速模式单节点资源

场景介绍

在飞连的 VPN 管理中,除了为 VPN 节点配置极速模式全局资源,还可以为 VPN 节点设置独立的极速模式单节点资源。当 VPN 节点使用极速模式单节点资源后,该 VPN 节点将不再接收极速模式全局资源,而只接收单节点资源,从而实现特定 VPN 节点访问特定网络资源。
本场景将介绍如何为 VPN 节点配置独立的极速模式单节点资源。您可以重复本场景的操作步骤,配置多个 VPN 节点并使用极速模式单节点资源。以两个 VPN 节点为例,示例配置以及最终效果说明如下表所示。

VPN 节点

示例配置

最终效果

节点 A

  • 开启极速模式
  • 将域名 A 添加为极速模式单节点资源

员工在飞连客户端选择节点 A 进行 VPN 连接,即可通过企业内网流量访问域名 A。

节点 B

  • 开启极速模式
  • 将域名 B 添加为极速模式单节点资源

员工在飞连客户端选择节点 B 进行 VPN 连接,即可通过企业内网流量访问域名 B。

操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. (可选)添加 VPN 节点。
    您需要根据企业实际情况,在飞连管理后台添加 VPN 节点。具体操作,请参见添加节点。如果您已经添加了 VPN 节点,则可以跳过本步骤。
  3. 在左侧导航栏,选择 VPN 管理节点管理
  4. VPN 节点管理页面,找到已配置的 VPN 节点,单击节点卡片进入节点详情页。
  5. 在节点详情页,单击网络模式页签。
  6. 在页面右侧单击编辑,完成以下配置,并单击保存
    图片
    配置项说明:
    • 网络模式:仅选择极速模式
    • 开启极速模式下单节点资源开关。

    说明

    开启该开关后,当前 VPN 节点仅使用极速模式单节点资源,而不会使用高级配置中的极速模式全局资源。

    • 单击新增资源,在右侧新增资源界面添加指定的单节点资源,并单击确定
      您可以选择只配置域名或者 IP 地址,也可以同时配置。例如,您只需要域名www.example.com走 VPN 隧道,则您在静态域名列表中添加www.example.com,并设置域名对应的 IP 列表。
      图片

操作结果

当员工登录飞连客户端并连接该 VPN 时,仅访问www.example.com时走 VPN 加密隧道。