跨境企业需要在合规前提下，实现高效稳定的全球互联，但受政策监管、带宽瓶颈、网络复杂性影响，跨境访问常遇高延迟、丢包、抖动等问题，影响云应用和核心业务运行。飞连提供 SD-WAN 全球加速线路，助力企业快速、合规地优化跨境访问体验。

• 跨境 SaaS 与云应用访问优化
  全球化办公离不开 Office 365、Salesforce、Google Workspace、Zoom、Teams 等 SaaS 应用，但国内互联网直接访问往往受高延迟、丢包等影响，体验不佳。
• 外贸、供应链与电商业务访问优化
  跨境电商、国际物流、供应链企业依赖亚马逊、eBay、SAP 等海外平台，但网络不稳定可能影响交易和运营效率。

实现应用加速的核心逻辑是构建一条从流量入口（上车点）​到业务出口（下车点）​的确定性路径。配置流程分为以下四个关键维度：

1. 识别加速目标 #

在系统执行调度前，必须首先定义“需要被加速的对象”。

• 操作：在管理后台将目标应用（如 ChatGPT、Salesforce 等域名）注册为系统可识别的域名资源。
• 目的：确保系统能从海量访问请求中，精准识别出需要进入“加速通道”的特定请求。

2. 建立出入通道 #

这是构建“网络路径”的物理基础，解决流量“从哪进、从哪出”的问题。

• 上车点（入口网关）
  • 工区接入：若员工在办公室内办公，建议部署物理硬件网关（CPE）作为流量进入 SD-WAN 系统的入口。硬件设备更契合办公室复杂的物理接线环境，能提供更稳定的本地网络承载。
  • 移动接入：若员工为居家或移动办公，则无需部署物理上车点，流量直接通过客户端进入云 VPN 节点。
• 下车点（出口网关）
  必选。在海外或目标应用所在地部署分支网关。建议在海外公有云（如 AWS）部署软件版分支网关，作为流量离开加密隧道、访问目标应用的最后出口。

3. 开通用户权限 #

针对移动办公（即需要通过飞连客户端远程接入）场景，配置员工如何合法地“进入”加速网络。若仅需优化工区内的固定设备访问则可跳过此步。

• 操作：创建员工账号，确立流量归属的身份实体，并为其分配 VPN 连接权限与特定应用的访问策略。
• 目的：确保加速资源仅对授权员工开放，防止链路被非法占用或产生安全风险。

4. 实施智能调度 #

将前三个维度的配置进行逻辑关联，解决“流量如何分流”的问题。

• 操作：通过创建应用调度策略，建立**[员工身份/上车点] + [目标应用] —> [下车点]​**的映射规则。
• 目的：当符合条件的访问请求触发时，系统自动将流量通过 SD-WAN 隧道定向引导至最优的出口（下车点），从而实现加速访问。

本文提供了云 VPN 加速访问 SaaS 应用的示例场景，该场景中存在一个企业 A，需要使用飞连 SD-WAN 来满足如下应用访问需求：

• 全体员工，登录飞连云 VPN 后，可访问 AI 应用 ChatGPT。
• 员工张三，登录飞连云 VPN 后，可访问应用 YouTube。

准备工作 #

在海外公有云平台（如 AWS、阿里云）购买一台配置为 4C/16G+ 的虚拟机，作为 VPN 连接的下车点。
本案例假设下车点为新加坡 AWS 上的某台虚拟机。虚拟机配置推荐：

操作步骤 #

步骤一：创建加速应用 #

1. 登录飞连管理后台。
2. 定义加速应用。
   为了实现应用加速，首先需要识别出需要加速的应用。配置方式如下：
   1. 在左侧导航栏，选择系统设置 > 资源管理 > 地址管理。
   2. 在域名地址页签，单击添加域名资源，并创建 ChatGPT 应用。
      按照如下配置后，单击确认。
      • 域名资源名称：chatgpt资源
      • 域名资源标签：保留为空，不配置
      • 域名地址：在地址框内输入域名地址 chatgpt.com
   3. 继续单击添加域名资源，并创建 YouTube 应用。
      按照如下配置后，单击确认。
      • 域名资源名称：youtube
      • 域名资源标签：保留为空，不配置
      • 域名地址：在地址框内输入域名地址 youtube.com

步骤二：创建分支网关 #

创建流量下车 CPE。

1. 您需要创建 AWS 虚拟机（该部分的具体配置请参考对应产品官网提供的帮助指南），并 SSH 登录到 AWS 虚拟机。

2. 保持 AWS 虚拟机登录状态的同时，前往飞连管理后台，在左侧导航栏选择办公组网 ＞ 分支网关。

3. 在分支网关页面右上角，选择添加分支 ＞ 软件版。
   

4. 在基本配置界面，完成以下配置项，并单击下一步。

   配置项	说明	示例配置
   分支名称（中文）	自定义分支网关的中文名称名称，用于标识该网关	新加坡下车点
   分支名称（英文）	自定义分支网关的英文名称，用于标识该网关。	CPE-SP
   分支网关类型	用于标识该分支网关对应的企业机构。可选： 企业分支：表示与企业的分支机构相关联的网关。 企业总部：表示与企业总部相关联的网关。 IDC 机房：表示与互联网数据中心（IDC）机房相关联的网关。 公有云：表示与公有云服务提供商相关联的网关。 其他：这是一个通用选项，用于标识其他类型的企业机构或网络位置。	企业分支
   设备高可靠	启用设备高可靠增加了系统的冗余性和可靠性，如果一个节点出现故障或中断，另一个节点可以接管工作，确保分支的连续性和可用性： 启用：启用设备高可靠后，该分支会自动生成两个分支节点，两个 CPE 节点之间可采用浮动 IP 实现设备高可靠，支持选择公有云 AWS 或私有化服务器。 不启用：不启用设备高可靠意味着系统不会自动生成额外的分支节点，也不支持浮动 IP 实现高可靠。在这种情况下，如果一个节点发生故障，可能会导致分支的中断或不可用。	不启用

5. 在部署安装界面，根据界面提供的组件安装命令，在相应的 Linux 系统服务器内安装飞连分支网关组件，并单击下一步。
   
   同时，需要 SSH 登录到新加坡的下车点机器上，执行如下命令：

   序号	操作类型	操作说明
   1	进入 root 权限	执行命令 sudo -s。
   2	下载 vCPE 安装包	在上述的飞连管理后台部署安装页面，复制步骤一中的命令。 在下车点机器上，执行上一步复制的命令，完成 vCPE 安装包的下载。
   3	解压 vCPE 安装包	在上述的飞连管理后台部署安装页面，复制步骤二中的第 1 个命令，在下车点机器上执行。
   4	安装 vCPE	在上述的飞连管理后台部署安装页面，复制步骤二中的第 2、3 个命令，在下车点机器上执行。
   5	安装过程中输入开局密钥	在部署过程中，需要输入开局密钥，密钥在上述的飞连管理后台部署安装页面，步骤三中获取（ID、Sercet）。 复制到下车点机器内使用：

6. 在联通性测试界面，根据界面提示信息完成连通性测试，确保分支网关组件所在的服务器与飞连网络互通。然后单击下一步。
   

7. 在资源发布页面，单击选择资源，并选择已定义的内容资源，选择预选创建好的资源 chatgpt资源，单击确认。

   配置项	说明	备注
   IP 资源发布	启用后，分支 IP 资源发布至 SD-WAN，其他分支可访问。不启用则不可访问。	本案例仅配置海外下车点，故不启用 IP资源发布到SD-WAN网络 配置。
   域名资源发布	启用后，系统自动为分支创建选路策略，发布后将域名资源调度到该分支网关。若不启用，可在创建分支网关后，在办公组网 > 应用调度里配置策略。	本案例需要把域名资源发布给所有办公人员，故启用域名资源发布到 SD-WAN 网络。
   是否启用 DNS 代理	当分支网关作为上车点时需启用，应用调度域名用飞连中心 DNS 解析，其他域名用此处配置的 DNS 代理服务器。	案例仅作为海外下车点，DNS 代理无需配置。
   路由优先级	当目标应用同时发布 IP 和域名资源时，设置优先策略。	保持默认值，选中域名调度优化。

   配置完成如下图所示。
   

8. 在完成页面，单击前往云 VPN，跳转至新的浏览器 tab 页。在原来的页面，单击结束完成分支网关的创建。
   

步骤三：配置云 VPN 相关 #

1. 配置员工接入账号。
   在飞连管理后台的身份 > 部门与成员功能页，为相关的移动用户配置对应的登录账户。 具体配置操作请参见管理员工。
2. 配置云 VPN 节点。
   1. 登录飞连管理后台零信任接入 > 接入网关 > VPN 网关，选中云 VPN 节点（Cloud VPN）卡片。
   2. 在基本信息页面，修改云 VPN DNS 服务配置。
      
      • 全局 DNS 服务器（主用）：配置企业内网自己的 DNS 服务器，若没有则可配置为公网 DNS 服务器，当前案例中配置为 114.114.114.114。
      • 全局 DNS 服务器（备用）：配置企业内网自己的 DNS 服务器，若没有则可配置为公网 DNS 服务器，当前案例中配置为 223.5.5.5。
   3. 在网络模式页面，仅开启极速模式，把全局模式取消。
      
3. 配置 VPN 访问权限。
   本案例没有对访问权限提出要求，故只需要在 VPN 策略 > 访问权限中，单击切换模式，将模式设置为默认开放模式。
   

步骤四：配置应用调度策略 #

1. 在飞连管理后台的身份 > 部门与成员功能页，创建名为 张三 的员工账号。
2. 为 张三 用户，创建员工选路策略。

   1. 在左侧导航栏打开办公组网 > 应用调度，在员工选路页签右侧单击添加策略。

   2. 在新增页面，完成以下配置，并单击确认。

      信息项	说明	示例配置
      策略名称	当前策略的名称。	张三的调度策略
      匹配优先级	当前策略的优先级，您可以单击数值修改优先级。 若同一个应用存在多个选路策略，则策略根据优先级生效。数值越高优先级越高，当相同优先级策略被命中时，则执行最新创建或最近更新的选路策略。	80
      生效对象	当前策略生效的范围，支持按部门维度或角色维度设置。	选中 张三
      目标应用	当前策略关联的应用。	选中 youtube
      出口分支网关	当前策略关联的出口分支网关。	选中 新加坡下车点

步骤五：登录云 VPN 并访问相关应用 #

如果用户需要访问应用，还需要安装飞连客户端并且登录。

1. 安装飞连客户端。
2. 登录飞连客户端。
   1. 输入企业识码。
      
      若不知道企业识别码，可以在飞连管理后台首页的信息概览中查看。
      
   2. 使用 张三 的员工账号登录飞连。
      
   3. 在飞连客户端的概览功能页，选择当前 VPN 服务器。
      选择 云 VPN，并单击确认连接。
   4. 开启 VPN 网络连接。
      
   5. 完成 VPN 登录后，打开浏览器输入 https://chat.openai.com/ 访问 ChatGPT 应用。