You need to enable JavaScript to run this app.
导航

VPN 管理最佳实践

最近更新时间2024.01.09 19:18:49

首次发布时间2022.08.09 14:29:54

本文为企业管理员提供了多个 VPN 典型场景的配置教程。如果您是企业管理员,则可以参考本文并结合企业实际需求完成飞连 VPN 功能的相关配置。

背景信息

飞连管理后台的 VPN 管理模块包含配置 VPN 节点、VPN 权限管理、VPN 访问控制以及配置极速模式等操作。完成 VPN 管理模块配置后,飞连会授权相应员工的 VPN 使用权限以及连接 VPN 后的访问权限。
本文提供以下场景化教程,适用于企业管理员在配置 VPN 管理功能模块时参考使用。

场景一:配置企业全员可访问全部网络资源的 VPN 节点

场景介绍

本场景将配置一个 VPN 节点,该节点全员可用,且员工连接 VPN 后可以访问全部网络资源。

操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. (可选)添加 VPN 节点。
    您需要根据企业实际情况,在飞连管理后台添加 VPN 节点。具体操作,请参见添加节点。如果您已经添加了 VPN 节点,则可以跳过本步骤。
  3. 设置全员开启 VPN 使用权限。
    1. 在左侧导航栏,选择 VPN 管理 > 使用权限
    2. VPN 使用权限页面右上角,单击全员启用
      图片
    3. 提示对话框,单击确定
  4. 设置 VPN 访问权限为默认开放模式
    1. 在左侧导航栏,选择 VPN 管理 > 访问权限
    2. VPN 访问权限页面,选择默认开放模式
      • 如果您是首次配置,则需要在页面内单击默认开放模式,并单击下一步
        图片
        在创建网络资源页面,单击跳出流程。后续您可以自行添加网络资源以及访问策略。
      • 如果您之前已创建过网络资源以及访问策略,则需要在页面左上角单击切换模式,并在弹出的对话框中选择默认开放模式
        图片

操作结果

企业员工登录飞连客户端后,连接 VPN 即可访问企业内网进行远程办公。

场景二:配置 VPN 极速模式并限制指定部门的网络访问权限

场景介绍

本场景中配置一个 VPN 节点,该节点仅开启极速模式。此外,在 VPN 访问权限中添加策略,限制指定部门内的员工在连接 VPN 后不可访问的网络资源范围。
VPN 全局模式和极速模式说明如下:

  • 全局模式:当员工通过 VPN 连接企业内网后,终端上所有网络访问流量均通过企业内网。该模式下全量数据加密,可以保障员工数据安全。
  • 极速模式:当员工通过 VPN 连接企业内网后,仅指定站点的访问流量通过企业内网,其他网络访问流量仍旧使用员工终端的本地网络进行访问。该模式下仅对指定站点做数据加密,但同时节省企业带宽,并减少 VPN 节点负载压力,提升了员工访问网络时的体验。

操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. (可选)添加 VPN 节点。
    您需要根据企业实际情况,在飞连管理后台添加 VPN 节点。具体操作,请参见添加节点。如果您已经添加了 VPN 节点,则可以跳过本步骤。
  3. 配置极速模式的全局资源。
    1. 在左侧导航栏,选择 VPN 管理 > 高级配置
    2. VPN 高级配置页面的极速模式区域,单击新增资源
    3. 新增资源界面,根据实际需要配置走 VPN 加密隧道的网络资源,并单击确定
      您可以选择只配置域名或者 IP 地址,也可以同时配置。例如,您只需要域名www.example.com走 VPN 加密隧道,则您在静态域名列表中添加www.example.com,并设置域名对应的 IP 列表。
      图片
  4. 设置 VPN 节点仅开启极速模式。
    1. 在左侧导航栏,选择 VPN 管理 > 节点管理
    2. VPN 节点管理页面,找到已配置的 VPN 节点,单击节点卡片进入节点详情页。
    3. 在节点详情页,单击网络模式页签。
    4. 在页面右侧单击编辑,并在网络模式区域仅选中极速模式
      选中极速模式后,页面内会出现极速模式下单节点资源开关,本示例场景中不需要开启该开关。

    说明

    如果您开启该开关,则当前 VPN 节点需要设置独立的路由资源,且您在步骤 3 配置的极速模式全局资源不会下发至该 VPN 节点。

    1. 单击保存
  5. 配置访问策略,限制指定部门的网络访问权限。
    1. 在左侧导航栏,选择 VPN 管理 > 访问权限
    2. 在 VPN 访问权限页面,将模式配置为默认开放模式
      • 如果您是首次配置,则需要在页面内单击默认开放模式,并单击下一步
        图片
        在创建网络资源页面,单击跳出流程。后续您可以自行添加网络资源以及访问策略。
      • 如果您之前已创建过网络资源以及访问策略,则需要在页面左上角单击切换模式,并在弹出的对话框中选择默认开放模式
        图片
    3. 网络资源页签,单击新增资源
    4. 新增资源对话框,设置资源名称资源类型以及协议栈等配置项,并单击确定
      此处创建的网络资源仅用于后续添加访问策略时的资源配置。您可以根据实际情况,选择配置域名或者 IP 地址。例如,您需要将域名www.example.com添加为网络资源,则您在资源类型配置项选择域名,并在域名列表中添加www.example.com即可。
    5. VPN 访问权限页面,单击访问策略页签。
    6. 访问策略页签,单击新增策略
    7. 在新增访问策略对话框,完成以下配置,并单击确定
      图片
      配置项说明:
      • 单击切换,设置限制员工访问权限
      • 自定义配置策略名称
      • 选择资源配置项,选择已创建好的www.example.com网络资源。
      • 配置策略的绝对优先级100。数值越高则策略生效的优先级越高。
      • 不可访问对象配置项中,选择部门,并选取指定的部门范围(例如选择A部门)。在部门范围内的成员将是当前策略的生效对象。

操作结果

企业内A部门下的员工登录飞连客户端并连接 VPN 后,无法访问www.example.com。其他部门员工登录飞连客户端并连接 VPN 后,可正常访问www.example.com

场景三:配置多个 VPN 节点

场景介绍

如果您购买了多个 VPN 节点配额,则在 VPN 管理功能中可以添加多个 VPN 节点以保证高可用性。当员工通过飞连客户端连接 VPN 时,可以在多个 VPN 节点中进行选择。

操作步骤

  1. 在飞连管理后台,添加多个 VPN 节点。
    具体的配置操作,请参见场景一:配置企业全员可访问全部网络资源的 VPN 节点。您需要重复场景一中的操作创建多个 VPN 节点。
  2. 检查并确保各个 VPN 节点的运行状态均为运行中。
    • VPN 管理 > 节点管理页面,查看各个节点运行状态。
      图片
    • 开放平台 > 组件管理页面,查看 VPN 组件的运行状态。
      图片

操作结果

企业员工登录飞连客户端,在连接 VPN 时支持选择不同的节点进行连接。即使有 VPN 节点出现故障导致连接超时,员工也可以选择其他正常运行的 VPN 节点进行连接。

场景四:配置默认拒绝的 VPN 访问模式

场景介绍

VPN 的访问模式分为默认开放模式默认拒绝模式

  • 默认开放模式是指员工可以访问全部网络资源,配置的访问策略用于限制不可访问的网络资源范围。
  • 默认拒绝模式是指员工禁止访问全部网络资源,配置的访问策略用于开放员工可以访问的网络资源范围。

本场景中将 VPN 访问模式设置为默认拒绝模式,并配置访问策略使员工在连接 VPN 后可以访问指定的网络资源。

操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. (可选)添加 VPN 节点。
    您需要根据企业实际情况,在飞连管理后台添加 VPN 节点。具体操作,请参见添加节点。如果您已经添加了 VPN 节点,则可以跳过本步骤。
  3. 为 VPN 的主备 DNS 的 53 端口配置放行的访问策略。
    在设置默认拒绝模式之前,您需要先添加一个访问策略, 放行 VPN 主备 DNS 的 53 端口。否则在设置为默认拒绝模式之后将导致域名资源无法访问。
    1. 在左侧导航栏,选择 VPN 管理 > 访问权限
    2. 单击网络资源页签,并单击新增资源
    3. 新增资源对话框,完成以下配置,并单击确定
      图片
      配置项说明:
      • 自定义资源名称
      • 资源类型选择 IP 地址
      • IP 列表中添加 VPN 节点下 DNS 主备服务器的 IP 地址。
      • 端口列表中添加 53 端口。
    4. VPN 访问权限页面,单击访问策略页签。
    5. 在页签内单击新增策略
    6. 新增访问策略对话框,完成以下配置,并单击确定
      图片
      配置项说明:
      • 单击切换,设置授予员工访问权限
      • 自定义策略名称
      • 选择资源下拉列表,选择配置了 VPN 节点 DNS 服务器 IP 地址的网络资源。
      • 绝对优先级设置为 100。数值越高则策略生效的优先级越高。
      • 可访问对象设置为全选部门。
  4. VPN 访问权限页面,单击切换模式
  5. 切换默认模式对话框,单击默认拒绝模式,并单击确定
    图片
  6. 提示对话框,单击确定
  7. 添加放行的访问策略。
    当 VPN 的访问模式切换为默认拒绝模式后,默认情况下员工无法访问任何网络资源,您需要根据企业实际需求添加访问策略放行指定的网络资源。后续员工通过 VPN 连接企业内网后即可访问策略生效范围内的网络资源。
    1. VPN 访问权限页面,单击网络资源页签。
    2. 在页签内单击新增资源
    3. 新增资源对话框,配置网络资源,并单击确定
      支持设置域名或者 IP 地址。例如,您需要将域名www.example.com设置为网络资源,则在资源类型区域选择域名,并在域名列表中添加www.example.com
    4. VPN 访问权限页面,单击访问策略页签。
    5. 在页签内单击新增策略
    6. 新增访问策略对话框,完成以下配置,并单击确定
      图片
      配置项说明:
      • 单击切换,设置授予员工访问权限
      • 自定义策略名称
      • 选择资源下拉列表,选择需要放行的www.example.com网络资源。
      • 绝对优先级设置为 100。数值越高则策略生效的优先级越高。
      • 可访问对象选择指定的生效范围,例如选择A部门

操作结果

企业内A部门下的所有员工登录飞连客户端并连接 VPN 后,可访问www.example.com。其他部门的员工登录飞连客户端并连接 VPN 后,无法访问网络资源。

场景五:为 VPN 节点配置独立的极速模式单节点资源

场景介绍

在飞连的 VPN 管理中,除了为 VPN 节点配置极速模式全局资源,还可以为 VPN 节点设置独立的极速模式单节点资源。当 VPN 节点使用极速模式单节点资源后,该 VPN 节点将不再接收极速模式全局资源,而只接收单节点资源,从而实现特定 VPN 节点访问特定网络资源。
本场景将介绍如何为 VPN 节点配置独立的极速模式单节点资源。您可以重复本场景的操作步骤,配置多个 VPN 节点并使用极速模式单节点资源。以两个 VPN 节点为例,示例配置以及最终效果说明如下表所示。

VPN 节点

示例配置

最终效果

节点 A

  • 开启极速模式
  • 将域名 A 添加为极速模式单节点资源

员工在飞连客户端选择节点 A 进行 VPN 连接,即可通过企业内网流量访问域名 A。

节点 B

  • 开启极速模式
  • 将域名 B 添加为极速模式单节点资源

员工在飞连客户端选择节点 B 进行 VPN 连接,即可通过企业内网流量访问域名 B。

操作步骤

  1. 登录飞连管理后台。
    您需要使用企业管理员账号登录飞连管理后台。
  2. (可选)添加 VPN 节点。
    您需要根据企业实际情况,在飞连管理后台添加 VPN 节点。具体操作,请参见添加节点。如果您已经添加了 VPN 节点,则可以跳过本步骤。
  3. 在左侧导航栏,选择 VPN 管理 > 节点管理
  4. VPN 节点管理页面,找到已配置的 VPN 节点,单击节点卡片进入节点详情页。
  5. 在节点详情页,单击网络模式页签。
  6. 在页面右侧单击编辑,完成以下配置,并单击保存
    图片
    配置项说明:
    • 网络模式:仅选择极速模式
    • 开启极速模式下单节点资源开关。

    说明

    开启该开关后,当前 VPN 节点仅使用极速模式单节点资源,而不会使用高级配置中的极速模式全局资源。

    • 单击新增资源,在右侧新增资源界面添加指定的单节点资源,并单击确定
      您可以选择只配置域名或者 IP 地址,也可以同时配置。例如,您只需要域名www.example.com走 VPN 隧道,则您在静态域名列表中添加www.example.com,并设置域名对应的 IP 列表。
      图片

操作结果

当员工登录飞连客户端并连接该 VPN 时,仅访问www.example.com时走 VPN 加密隧道。