本文档旨在指导管理员如何配置飞连 VPN 的各项高级策略。通过这些配置，您可以精细化地调整 VPN 的连接参数、客户端行为以及在不同网络环境下的智能响应策略。

此区域用于配置 VPN 连接的基础技术参数。

1. 登录管理后台。

2. 在左侧导航栏，选择零信任接入 ＞ VPN 策略 ＞ 高级策略。

3. 在高级策略页面的参数设置区域右上角，单击编辑。

4. 根据下表调整 VPN 参数。

   配置项	说明
   VPN MTU	最大传输单元 (Maximum Transmission Unit)，影响 VPN 隧道的数据包大小。
   客户端超时时间	客户端连接 VPN 节点时的最大等待时间，超时后将提示连接失败。
   设备数限制	限制单个员工账号可以同时连接 VPN 的设备数量上限。
   隧道心跳超时时间	客户端与服务端的心跳超时阈值。超过此时间未收到心跳，服务端将主动断开该 VPN 连接。
   IP 地址排除	适用于 Windows 和 macOS 客户端。指定一个或多个 IP 地址/地址段。访问这些目标的流量将绕过 VPN 隧道，直接通过本地网络传输。此功能用于优化对特定本地资源或公网服务的访问性能。 配置说明： IP 地址的格式支持 CIDR（例如，10.10.0.0/24）、 IP 地址范围（例如，10.10.10.0-10.10.10.255），多个 IP 地址段之间用逗号或者空格间隔。 排除路由下发到客户端后按照最长掩码规则匹配，若客户端使用极速模式登录 VPN，排除 IP 的地址段需要小于极速路由发布的地址段。例如：极速路由发布 1.1.0.0/16，若需要排除 IP 地址段，仅支持排除 1.1.0.0/17 以及更小的 IP 地址段，否则排除路由将不生效。
   桌面端仅连接 VPN 内网 IP	开启后，当 Window、macOS、Linux 客户端在内网发起 VPN 连接时，仅通过您所配置的 VPN 节点的内网 IP 地址进行连接，确保数据流量完全在内网传输，避免绕行公网。

5. 完成调整后单击页面右下角的确定。

6. 在高级策略页面的参数设置区域，单击连接 VPN 时，触发二次认证区域的修改，会跳转到多因素认证功能页，选择配置员工连接 VPN 时的二次认证策略。相关操作请参见配置多因素认证。

此策略用于定义客户端在选择 Auto（自动）节点时的选路逻辑，以实现负载均衡和高可用。

1. 登录管理后台。
2. 在左侧导航栏，选择零信任接入 ＞ VPN 策略 ＞ 高级策略。
3. 在高级策略页面的客户端 Auto 策略区域右上角，单击编辑。
4. 在客户端 Auto 策略对话框，完成以下策略配置。
   • 节点并发上限：开启后，需输入数量上限，取值范围 1~65535。当节点的并发连接数超过此阈值时，该节点将暂时不参与 Auto 选路。
   • 节点 IP 池使用率上限：开启后，需输入使用率上限，取值范围 1~100%，不支持小数。当节点的 IP 地址池使用率超过此百分比时，该节点将暂时不参与 Auto 选路。
   • 指定节点不进入 Auto：开启后，将指定的节点永久性地从 Auto 选路池中排除。
5. 点击右下角确定，完成配置。

VPN 永久在线是指系统默认在用户登录飞连客户端时自动连接 VPN，再结合客户端防退出功能，所实现的 VPN 永久在线能力。

1. 登录管理后台。

2. 在左侧导航栏，选择零信任接入 ＞ VPN 策略 ＞ 高级策略。

3. 在高级策略页面的 VPN 永久在线配置区域右侧，单击编辑。

4. 开启 VPN 永久在线设置的开关。

   说明

   后续不再需要使用该功能时，关闭开关并保存设置即可。

5. 开启后，完成以下配置：

   配置项	子项	配置说明
   基本设置	VPN 默认网络模式设置	设置用户登录客户端自动连接 VPN 时，所选的网络模式，可选择极速模式或者全局模式。 极速模式：当企业员工通过 VPN 连接企业内网后，仅指定网络资源的访问流量通过 VPN 隧道，其他访问流量使用本地网络进行访问。该模式下仅对指定网络资源做数据加密，但同时节省企业带宽，并减少 VPN 节点负载压力，提升了员工访问网络时的体验。 全局模式：当企业员工通过 VPN 连接企业内网后，终端上所有网络访问流量均通过 VPN 隧道。该模式下全量数据加密，可以保障员工的账号与数据安全，但会增加 VPN 节点的负载压力。 说明 如果飞连内所有节点的网络模式仅启用了某一种模式，则当前配置项将被禁用，无法选择。
   	是否允许员工切换 VPN 网络模式	开启后，员工可以在客户端自行切换极速模式、全局模式。 说明 如果飞连内所有节点的网络模式仅启用了某一种模式，则当前配置项将被禁用，无法开启。 如果同步开启了客户端隐藏开关，则员工无法在客户端切换 VPN 网络模式。
   	配置防退出功能	如需确保永久在线设置不被打断，单击通用配置 - 客户端配置，可跳转至客户端配置页面，开启账号防退出功能。
   高级设置	仅桌面端在工区内生效	默认关闭，即无论设备处于内网还是外网环境，VPN 将始终保持连接状态。 开启后，Windows、macOS、Linux 客户端会自动检测设备所处的网络环境，仅当设备进入工区内网范围时，客户端才强制启动 VPN 连接并保持连接；当设备离开工区内网后，强制策略自动解除。 注意 为确保非内网环境下用户可正常手动连接 VPN，此配置项与“是否开启客户端隐藏”配置项不可同时开启。如需启用此功能，请先确保“客户端隐藏”配置已关闭。
   	是否开启客户端隐藏	默认关闭，即终端用户可以与客户端正常交互，手动控制 VPN 的连接或断开。 开启后，客户端自动连接 VPN 的同时，操作界面将对用户隐藏，用户无法执行任何手动操作。 开启时请按照设备、分组的维度设置该配置项的生效范围。 注意 此配置项与“仅桌面端在工区内生效”配置项互斥。如需启用此功能，请先确保“仅桌面端在工区内生效”配置已关闭。
   生效对象	/	支持以员工或设备的维度限制当前配置的生效范围。 选择按员工生效时，您需要通过部门或角色限制员工范围。 选择按设备生效时，您需要通过设备、分组限制设备范围。

6. 点击右下角确定，完成配置。

选择内网环境的检测方式，用于全局定义“什么是内网环境”。此处的配置将作为“内网动态资源排除”和“VPN 自动断开策略”等后续功能的核心判断依据。

1. 登录管理后台。
2. 在左侧导航栏，选择零信任接入 ＞ VPN 策略 ＞ 高级策略。
3. 在内网识别策略区域右上角，单击编辑。
4. 在右侧弹出的抽屉页中，开启功能开关，选择一种或多种内网检测方式。满足任一条件即视为内网。
   • VPN 节点内网地址：通过 VPN 节点的内网地址进行识别。点击配置可快速跳转至 VPN 节点详情页面进行查看或配置。
   • Wi-Fi SSID：通过匹配设备当前连接的 Wi-Fi 网络名称 (SSID) 是否在预设列表中来判断。选中后，需在下方 Wi-Fi SSID 集合输入框中，输入一个或多个用于标识内网环境的 Wi-Fi SSID。匹配此集合中的任意一个 SSID，则判定为内网环境。
   • 指定内网 IP 地址：通过判断客户端的 IP 地址是否在指定范围内来进行识别。选中后，需在下方指定内网 IP 地址输入框中输入用于标识内网环境的一个或多个 IP 地址。客户端登录 VPN 后，若任意一个地址可连通，则判定为内网环境。
5. 点击右下角确定，完成配置。

启用此功能后，当客户端根据“内网识别策略”判断自身处于内网环境时，将保持 VPN 连接，但访问您在此处指定的特定应用或资源时，其流量将绕过 VPN 隧道，直接通过本地内网进行传输。

1. 登录管理后台。

2. 在左侧导航栏，选择零信任接入 ＞ VPN 策略 ＞ 高级策略。

3. 在内网动态资源排除策略区域右上角，单击编辑。

4. 在右侧弹出的抽屉页中开启功能开关，并完成以下配置。

   配置项	说明
   生效节点	定义此策略在哪些 VPN 节点上生效。 全部节点：策略对所有已配置的 VPN 节点生效。 指定节点：策略仅对您在下方节点列表中选择的特定 VPN 节点生效。
   选择需要排除的动态资源	定义当处于内网时，哪些资源的访问流量需要绕过 VPN。支持通过以下两种维度进行选择，可多选： 资源名称：在下拉列表中，精确选择一个或多个已在 VPN 应用中定义的具体网络资源。 资源标签：在下拉列表中，选择一个或多个已在 VPN 应用中定义的资源标签。所有归属于这些标签下的网络资源都将被排除。 资源及标签管理入口位于零信任接入 ＞ 应用管理 ＞ VPN 应用。

5. 点击右下角确定，完成配置。

此模块统一管理所有基于场景触发（进入内网、连接超时、无流量）的 VPN 自动断开行为。您可以创建多条策略，为不同的员工或设备群体，应用差异化的自动断开规则。

1. 登录管理后台。
2. 在左侧导航栏，选择零信任接入 ＞ VPN 策略 ＞ 高级策略。
3. 在高级策略页签内的 VPN 自动断开策略区域右上角，单击编辑。
4. 在右侧弹出的策略配置抽屉页中，根据实际需求选择对应页签并完成配置。

内网断开策略

此策略用于在客户端检测到内网环境时，自动执行断开 VPN 的操作，以实现网络性能优化和用户体验提升。

1. 选择内网断开页签，单击右上角 ＋ 添加策略。

2. 在添加策略页面，完成以下配置。

   区域	配置项	说明
   基本信息	策略名称	为策略设置一个唯一的名称，用于标识该策略。
   	策略状态	设置策略的启用或禁用状态。默认为启用。
   	优先级	定义策略的执行顺序（0-100），数值越高，越先被匹配。当相同优先级策略被命中时，则执行最新创建或更新的策略。
   匹配条件	生效节点	选择此策略生效的 VPN 节点范围，可选择全部节点或指定节点。
   处置方式	处置方式	配置检测到内网后的处置方式。 自动断开 VPN：检测到内网后，系统将立即断开 VPN 连接，并向用户弹出一条系统通知，通知内容如下图所示。 提示用户断开 VPN：检测到内网后，系统将弹窗提示用户是否要断开 VPN，用户可自主选择是否保持连接。客户端提示如图所示。
   	断开后是否允许用户再次手动连接	设置在策略自动断开 VPN 后，是否允许用户手动重新连接。 允许：用户在被自动断开后，仍可以手动重新连接 VPN。选择此项后，需配置一个豁免时长（1-24 小时或 1-7 天）。在此期间，自动断开策略将对该用户暂时失效。 禁止：用户在被自动断开后，将无法手动重新连接 VPN。
   生效对象	生效对象	选择策略的应用范围。支持按员工（部门/角色/成员）或按设备（设备/操作系统/分组）进行精细化设置。
   	排除对象	启用后，可以从生效对象中排除特定的员工或设备。

3. 点击确定完成创建。

4. 返回策略列表页，可针对该策略执行调整优先级、启用、禁用、编辑、删除等操作。

超时断开策略

该功能用于配置用户连接 VPN 的在线时长超过指定时间时，自动断开 VPN 连接。

1. 选择超时断开页签，点击右侧编辑，开启功能开关。
2. 根据需要选择策略模式。
   • 基于全局生效：即企业全员生效，您需要在下方配置超时时间。
   • 基于策略生效：您可以单击右侧 ＋ 添加，添加策略，设置不同的生效范围。配置后，
     • 仅在生效范围内的员工或设备，会在连接 VPN 的在线时长超过指定时间时，自动断开 VPN 连接。
     • 若同一员工或设备存在于多个策略生效范围内，则优先命中最高优先级的策略。当相同优先级策略被命中时，则执行最新创建或更新的策略。
     • 在策略列表页，可针对某条策略执行调整优先级、编辑、删除等操作。
3. 点击右上角保存，完成配置。

无流量断开策略

该功能用于配置用户在连续超过指定时间段内没有 VPN 访问行为时，自动断开 VPN 连接。

1. 选择无流量断开页签，点击右侧编辑，开启功能开关。
2. 根据需要选择策略模式。
   • 基于全局生效：即企业全员生效，您需要在下方配置超时时间。
   • 基于策略生效：您可以单击右侧 ＋ 添加，添加策略，设置不同的生效范围。配置后，
     • 仅在生效范围内的员工或设备，会在连续超过指定时间段内没有 VPN 访问行为时，自动断开 VPN 连接。
     • 若同一员工或设备存在于多个策略生效范围内，则优先命中最高优先级的策略。当相同优先级策略被命中时，则执行最新创建或更新的策略。
     • 在策略列表页，可针对某条策略执行调整优先级、编辑、删除等操作。
3. 点击右上角保存，完成配置。