You need to enable JavaScript to run this app.
导航
飞连
  • 文档首页
    • /飞连/管理员指南/VPN 管理/管理 VPN 高级配置
管理 VPN 高级配置
最近更新时间:2025.05.30 11:25:08首次发布时间:2022.11.29 10:24:02
我的收藏
有用
有用
无用
无用

在 VPN 管理的高级配置功能页,您可以手动调整 VPN 相关参数(最大传输单元、客户端超时时间、设备会话数限制等),以及管理客户端 Auto 策略、永久在线以及无流量自动断开等高级配置。

编辑 VPN 参数

参数设置包括 VPN MTU(即最大传输单元)、客户端超时时间、隧道心跳超时时间、VPN 连接二次认证、设备会话数限制、IP 地址排除。

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择 VPN 管理高级配置

  3. 高级配置页面的参数设置区域右上角,单击编辑
    编辑页面,支持调整以下 VPN 参数。

    配置项

    说明

    VPN MTU

    最大传输单元。

    客户端超时时间

    员工连接 VPN 节点时如果超过指定时间未响应,则在客户端提示连接超时。

    设备会话数限制

    限制单个员工账号可以同时连接 VPN 的设备数量上限。

    隧道心跳超时时间

    飞连根据客户端心跳判断 VPN 使用状态,在指定时间未检测到客户端心跳即判断为停止使用,并自动断开设备的 VPN 连接。

    IP 地址

    输入需要排除的 IP 地址,被排除的 IP 地址,其网络路由将优先选择本地网络连接进行数据传输,而不会经过 VPN 隧道。该配置可以精准地控制特定 IP 地址或地址段的流量走向,确保某些关键业务或本地资源访问不受 VPN 连接的影响,同时仍能利用 VPN 连接其他网络资源。
    配置说明:

    • IP 地址的格式支持 CIDR(例如,10.10.0.0/24)、 IP 地址范围(例如,10.10.10.0-10.10.10.255),多个 IP 地址段之间用逗号或者空格间隔。
    • 排除路由下发到客户端后按照最长掩码规则匹配,若客户端使用极速模式登录 VPN,排除 IP 的地址段需要小于极速路由发布的地址段。例如:极速路由发布1.1.0.0/16,若需要排除 IP 地址段,仅支持排除1.1.0.0/17以及更小的 IP 地址段,否则排除路由将不生效。

  4. 完成调整后单击页面右下角的确定

  5. 高级配置页面的参数设置区域,单击连接 VPN 时,触发二次认证区域的修改,会跳转到多因素认证功能页,选择配置员工连接 VPN 时的二次认证策略。相关操作请参见配置多因素认证

编辑客户端 Auto 策略

飞连客户端的 VPN 服务器节点可选择 Auto(即自动连接),本章节介绍如何编辑客户端 Auto 对应的自动连接策略。

  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择 VPN 管理高级配置
  3. 高级配置页面的客户端 Auto 策略区域右上角,单击编辑
  4. 客户端 Auto 策略对话框,完成以下策略配置。
    • 节点并发上限:开启后,需输入数量上限,取值范围 1~65535。当节点并发连接设备数超过配置数值时,此节点将不进入客户端 Auto 列表参加动态选路。
    • 节点 IP 池使用率上限:开启后,需输入使用率上限,取值范围 1~100%,不支持小数。当节点 IP 池用量超过配置的比例时,此节点将不进入客户端 Auto 列表参加动态选路
    • 指定节点不进入 Auto:开启后,所选的 VPN 节点不会参与 Auto 选路。
  5. 配置完成后,在对话框右下角单击确定

编辑 VPN 永久在线配置

VPN 永久在线是指系统默认在用户登录飞连客户端时自动连接 VPN,再结合客户端防退出功能,所实现的 VPN 永久在线能力。开启该能力后,您需要编辑默认网络模式、生效对象、客户端隐藏 VPN 连接等配置项。

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择 VPN 管理高级配置

  3. 高级配置页面的 VPN 永久在线配置区域右上角,单击编辑

  4. 开启 VPN 永久在线设置的开关。

    说明

    后续不再需要使用该功能时,关闭开关并保存设置即可。

  5. 开启后,编辑以下配置项,并在页面右下角单击确定

    配置项

    配置说明

    VPN 默认网络模式设置

    设置用户登录客户端自动连接 VPN 时,所选的网络模式,可选择极速模式或者全局模式

    • 极速模式:当企业员工通过 VPN 连接企业内网后,仅指定网络资源的访问流量通过 VPN 隧道,其他访问流量使用本地网络进行访问。该模式下仅对指定网络资源做数据加密,但同时节省企业带宽,并减少 VPN 节点负载压力,提升了员工访问网络时的体验。
    • 全局模式:当企业员工通过 VPN 连接企业内网后,终端上所有网络访问流量均通过 VPN 隧道。该模式下全量数据加密,可以保障员工的账号与数据安全,但会增加 VPN 节点的负载压力。

    说明

    如果飞连内所有节点的网络模式仅启用了某一种模式,则当前配置项将被禁用,无法选择。

    是否允许员工切换 VPN 网络模式

    开启后,员工可以在客户端自行切换极速模式、全局模式。

    说明

    • 如果飞连内所有节点的网络模式仅启用了某一种模式,则当前配置项将被禁用,无法开启。
    • 如果同步开启了客户端隐藏开关,则员工无法在客户端切换 VPN 网络模式。

    配置防退出功能

    如需确保永久在线设置不被打断,单击通用配置 - 客户端配置,可跳转至客户端配置页面,开启账号防退出功能。

    生效对象

    支持以员工或设备的维度限制当前配置的生效范围。

    • 选择按员工生效时,您需要通过部门角色限制员工范围。
    • 选择按设备生效时,您需要通过设备分组限制设备范围。

    客户端隐藏

    开启客户端隐藏开关后,员工登录飞连客户端后自动连接 VPN,同时无法查看到 VPN 操作页面。开启后,需要按照设备分组的维度设置该配置项的生效范围。

编辑内网环境检测

向 VPN 节点内网 IP 进行登录环境检测,若判断为内网环境,客户端则按照内网环境检测设定的处置策略进行处置。

注意

请确保 VPN 节点已配置内网 IP。

  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择 VPN 管理高级配置
  3. 高级配置页面的内网环境检测区域右上角,单击编辑
  4. 开启内网环境检测开关。
  5. 在处置策略区域,根据需要选择以下策略。
    • 断开 VPN:若检测到内网环境,则断开 VPN 连接。
    • 动态排除指定 VPN 资源:当检测到客户端处于内网环境,所指定的 VPN 应用将被 VPN 动态排除,当用户访问这些资源的时候,数据直接走内网,不再通过 VPN 访问。选择该策略时需要选择资源:

      注意

      该功能仅支持 VPN 极速模式,且客户端系统需要为 Windows、Mac 或 Linux。

      • 资源名称:选中后,需要选择指定的网络资源,网络资源是指在 VPN 管理 > 访问权限 > 网络资源功能页所添加的资源。
      • 资源标签:选中后,需要选择指定的网络资源标签,网络资源标签是指在 VPN 管理 > 访问权限 > 网络资源功能页左侧列表中添加的标签。

编辑无流量自动断开

该功能用于配置用户在连续超过指定时间段内没有 VPN 访问行为时,自动断开 VPN 连接。

  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择 VPN 管理高级配置
  3. 高级配置页面的无流量自动断开区域右上角,单击编辑
  4. 开启无流量自动断开开关。
  5. 根据需要选择策略模式。
    • 基于全局生效:即企业全员生效,您需要在页面内配置超时时间
    • 基于策略生效:您可以单击添加,添加策略,在策略内设置策略名称优先级超时时间,以及当前策略的生效范围。策略配置说明:
      • 仅在生效范围内的员工设备,会在连续超过指定时间段内没有 VPN 访问行为时,自动断开 VPN 连接。
      • 若同一员工或设备存在于多个策略生效范围内,则优先命中最高优先级的策略,相同优先级策略则按策略的创建和更新时间,生效最近一条策略。
  6. 完成编辑后,单击页面右下角的确定

编辑在线时间超时断开

该功能用于配置用户连接 VPN 的在线时长超过指定时间时,自动断开 VPN 连接。

  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择 VPN 管理高级配置
  3. 高级配置页面的在线时间超时断开区域右上角,单击编辑
  4. 开启在线时间超时断开开关。
  5. 根据需要选择策略模式。
    • 基于全局生效:即企业全员生效,您需要在页面内配置超时时间
    • 基于策略生效:您可以单击添加,添加策略,在策略内设置策略名称优先级超时时间,以及当前策略的生效范围。策略配置说明:
      • 仅在生效范围内的员工设备,会在连接 VPN 的在线时长超过指定时间时,自动断开 VPN 连接。
      • 若同一员工或设备存在于多个策略生效范围内,则优先命中最高优先级的策略,相同优先级策略则按策略的创建和更新时间,生效最近一条策略。
  6. 完成编辑后,单击页面右下角的确定