本文档旨在指导管理员如何配置飞连 VPN 的各项高级策略。通过这些配置，您可以精细化地调整 VPN 的连接参数、客户端行为以及在不同网络环境下的智能响应策略。

此区域用于配置 VPN 连接的基础技术参数。

1. 登录管理后台。

2. 在左侧导航栏，选择零信任接入 ＞ VPN 策略 ＞ 高级策略。

3. 在高级策略页面的参数设置区域右上角，单击编辑。

4. 根据下表调整 VPN 参数。

   配置项	说明
   VPN MTU	最大传输单元 (Maximum Transmission Unit)，影响 VPN 隧道的数据包大小。
   客户端超时时间	客户端连接 VPN 节点时的最大等待时间，超时后将提示连接失败。
   设备数限制	限制单个员工账号可以同时连接 VPN 的设备数量上限。
   隧道心跳超时时间	客户端与服务端的心跳超时阈值。超过此时间未收到心跳，服务端将主动断开该 VPN 连接。
   IP 地址排除	适用于 Windows 和 macOS 客户端。指定一个或多个 IP 地址/地址段。访问这些目标的流量将绕过 VPN 隧道，直接通过本地网络传输。此功能用于优化对特定本地资源或公网服务的访问性能。 配置说明： IP 地址的格式支持 CIDR（例如，10.10.0.0/24）、 IP 地址范围（例如，10.10.10.0-10.10.10.255），多个 IP 地址段之间用逗号或者空格间隔。 排除路由下发到客户端后按照最长掩码规则匹配，若客户端使用极速模式登录 VPN，排除 IP 的地址段需要小于极速路由发布的地址段。例如：极速路由发布 1.1.0.0/16，若需要排除 IP 地址段，仅支持排除 1.1.0.0/17 以及更小的 IP 地址段，否则排除路由将不生效。
   桌面端仅连接 VPN 内网 IP	开启后，当 Window、macOS、Linux 客户端在内网发起 VPN 连接时，仅通过您所配置的 VPN 节点的内网 IP 地址进行连接，确保数据流量完全在内网传输，避免绕行公网。

5. 完成调整后单击页面右下角的确定。

6. 在高级策略页面的参数设置区域，单击连接 VPN 时，触发二次认证区域的修改，会跳转到多因素认证功能页，选择配置员工连接 VPN 时的二次认证策略。相关操作请参见配置多因素认证。

此策略用于定义客户端在选择 Auto（自动）节点时的选路逻辑，以实现负载均衡和高可用。

1. 登录管理后台。
2. 在左侧导航栏，选择零信任接入 ＞ VPN 策略 ＞ 高级策略。
3. 在高级策略页面的客户端 Auto 策略区域右上角，单击编辑。
4. 在客户端 Auto 策略对话框，完成以下策略配置。
   • 节点并发上限：开启后，需输入数量上限，取值范围 1~65535。当节点的并发连接数超过此阈值时，该节点将暂时不参与 Auto 选路。
   • 节点 IP 池使用率上限：开启后，需输入使用率上限，取值范围 1~100%，不支持小数。当节点的 IP 地址池使用率超过此百分比时，该节点将暂时不参与 Auto 选路。
   • 指定节点不进入 Auto：开启后，将指定的节点永久性地从 Auto 选路池中排除。
5. 点击右下角确定，完成配置。

VPN 永久在线是指系统默认在用户登录飞连客户端时自动连接 VPN，再结合客户端防退出功能，所实现的 VPN 永久在线能力。

1. 登录管理后台。

2. 在左侧导航栏，选择零信任接入 ＞ VPN 策略 ＞ 高级策略。

3. 在高级策略页面的 VPN 永久在线配置区域右侧，单击编辑。

4. 开启 VPN 永久在线设置的开关。

   说明

   后续不再需要使用该功能时，关闭开关并保存设置即可。

5. 开启后，完成以下配置：

   配置项	子项	配置说明
   基本设置	VPN 默认网络模式设置	设置用户登录客户端自动连接 VPN 时，所选的网络模式，可选择极速模式或者全局模式。 极速模式：当企业员工通过 VPN 连接企业内网后，仅指定网络资源的访问流量通过 VPN 隧道，其他访问流量使用本地网络进行访问。该模式下仅对指定网络资源做数据加密，但同时节省企业带宽，并减少 VPN 节点负载压力，提升了员工访问网络时的体验。 全局模式：当企业员工通过 VPN 连接企业内网后，终端上所有网络访问流量均通过 VPN 隧道。该模式下全量数据加密，可以保障员工的账号与数据安全，但会增加 VPN 节点的负载压力。 说明 如果飞连内所有节点的网络模式仅启用了某一种模式，则当前配置项将被禁用，无法选择。
   	是否允许员工切换 VPN 网络模式	开启后，员工可以在客户端自行切换极速模式、全局模式。 说明 如果飞连内所有节点的网络模式仅启用了某一种模式，则当前配置项将被禁用，无法开启。 如果同步开启了客户端隐藏开关，则员工无法在客户端切换 VPN 网络模式。
   	配置防退出功能	如需确保永久在线设置不被打断，单击通用配置 - 客户端配置，可跳转至客户端配置页面，开启账号防退出功能。
   高级设置	仅桌面端在工区内生效	默认关闭，即无论设备处于内网还是外网环境，VPN 将始终保持连接状态。 开启后，Windows、macOS、Linux 客户端会自动检测设备所处的网络环境，仅当设备进入工区内网范围时，客户端才强制启动 VPN 连接并保持连接；当设备离开工区内网后，强制策略自动解除。 注意 为确保非内网环境下用户可正常手动连接 VPN，此配置项与“是否开启客户端隐藏”配置项不可同时开启。如需启用此功能，请先确保“客户端隐藏”配置已关闭。
   	是否开启客户端隐藏	默认关闭，即终端用户可以与客户端正常交互，手动控制 VPN 的连接或断开。 开启后，客户端自动连接 VPN 的同时，操作界面将对用户隐藏，用户无法执行任何手动操作。 开启时请按照设备、分组的维度设置该配置项的生效范围。 注意 此配置项与“仅桌面端在工区内生效”配置项互斥。如需启用此功能，请先确保“仅桌面端在工区内生效”配置已关闭。
   生效对象	/	支持以员工或设备的维度限制当前配置的生效范围。 选择按员工生效时，您需要通过部门或角色限制员工范围。 选择按设备生效时，您需要通过设备、分组限制设备范围。

6. 点击右下角确定，完成配置。

选择内网环境的检测方式，用于全局定义“什么是内网环境”。此处的配置将作为“内网动态资源排除”和“VPN 自动连接/断开策略”等后续功能的核心判断依据。

1. 登录管理后台。
2. 在左侧导航栏，选择零信任接入 ＞ VPN 策略 ＞ 高级策略。
3. 在内网识别策略区域右上角，单击编辑。
4. 在右侧弹出的抽屉页中，开启功能开关，选择一种或多种内网检测方式。满足任一条件即视为内网。
   • VPN 节点内网地址：通过 VPN 节点的内网地址进行识别。点击配置可快速跳转至 VPN 节点详情页面进行查看或配置。
   • Wi-Fi SSID：通过匹配设备当前连接的 Wi-Fi 网络名称 (SSID) 是否在预设列表中来判断。选中后，需在下方 Wi-Fi SSID 集合输入框中，输入一个或多个用于标识内网环境的 Wi-Fi SSID。匹配此集合中的任意一个 SSID，则判定为内网环境。
   • 指定内网 IP 地址：通过判断客户端的 IP 地址是否在指定范围内来进行识别。选中后，需在下方指定内网 IP 地址输入框中输入用于标识内网环境的一个或多个 IP 地址。客户端登录 VPN 后，若任意一个地址可连通，则判定为内网环境。
5. 点击右下角确定，完成配置。

启用此功能后，当客户端根据“内网识别策略”判断自身处于内网环境时，将保持 VPN 连接，但访问您在此处指定的特定应用或资源时，其流量将绕过 VPN 隧道，直接通过本地内网进行传输。

1. 登录管理后台。

2. 在左侧导航栏，选择零信任接入 ＞ VPN 策略 ＞ 高级策略。

3. 在内网动态资源排除策略区域右上角，单击编辑。

4. 在右侧弹出的抽屉页中开启功能开关，并完成以下配置。

   配置项	说明
   生效节点	定义此策略在哪些 VPN 节点上生效。 全部节点：策略对所有已配置的 VPN 节点生效。 指定节点：策略仅对您在下方节点列表中选择的特定 VPN 节点生效。
   选择需要排除的动态资源	定义当处于内网时，哪些资源的访问流量需要绕过 VPN。支持通过以下两种维度进行选择，可多选： 资源名称：在下拉列表中，精确选择一个或多个已在 VPN 应用中定义的具体网络资源。 资源标签：在下拉列表中，选择一个或多个已在 VPN 应用中定义的资源标签。所有归属于这些标签下的网络资源都将被排除。 资源及标签管理入口位于零信任接入 ＞ 应用管理 ＞ VPN 应用。

5. 点击右下角确定，完成配置。

此模块统一管理基于场景触发（进入工区、连接超时、无流量）的 VPN 自动化行为。通过配置本策略，您可以实现员工入网的无感化，并有效优化企业互联网出口带宽。

1. 登录管理后台。
2. 在左侧导航栏，选择零信任接入 ＞ VPN 策略 ＞ 高级策略。
3. 在高级策略页签内的 VPN 自动连接与断开策略区域右上角，单击编辑。
   
4. 在右侧弹出的策略配置抽屉页中，根据实际需求选择对应页签并完成配置。

内网连接/断开策略 #

本策略用于定义客户端在检测到内网环境（工区）时的自动化动作。

1. 选择内网连接/断开页签，单击右上角 ＋ 添加策略。
   

2. 在添加策略页面，完成以下配置。

   • 基本信息

     配置项	说明
     策略名称	为策略设置一个唯一的名称，用于标识该策略。
     策略状态	设置策略的启用或禁用状态。默认为启用。
     优先级	定义策略的执行顺序（0-100），数值越高，越先被匹配。当相同优先级策略被命中时，则执行最新创建或更新的策略。

   • 处置方式

     处置方式	说明	适用场景	客户端提示展示
     自动连接 VPN	客户端检测到内网后立即触发 VPN 自动连接。开启后需配置以下参数： VPN 默认网络模式设置：选择客户端自动连接 VPN 时所使用的网络模式。可选极速模式（推荐）​或全局模式。 是否开启客户端隐藏：开启后，客户端 VPN 状态卡片及操作按钮将隐藏。此模式下，系统将忽略环境检测，用户登录飞连并完成身份认证后，即在后台静默自动建立 VPN 连接。 连接后是否允许用户再次手动断开：定义在被系统自动连接后，用户是否拥有临时断开的权限。若开启客户端隐藏，则默认禁止；若客户端界面可见，可选择“允许”，以提供网络调试的灵活性。 手动断开后，自动连接策略加白时长：若用户手动断开 VPN，系统将在设定的时长内（1-24 小时或 1-7 天）暂停执行自动连接逻辑。 注意 自动连接 VPN 功能仅在桌面客户端（Windows、macOS、Linux） 3.2.16 及以上版本生效。	防止员工在工区内仍使用外网节点绕路公网，通过强制回切内网节点来节省公网带宽。适用于要求“全量审计”，即员工在内网也必须通过 VPN 隧道访问业务的场景。	允许断开 不允许断开
     自动断开 VPN	客户端检测到内网后，系统将立即断开 VPN 连接。开启后需配置以下参数： 断开后是否允许用户再次手动连接：定义在被系统自动断开后，用户是否拥有临时重连的权限。 手动连接后，自动断开策略加白时长：当用户在内网手动重连 VPN 后，系统将在设定的时长内（1-24 小时或 1-7 天）暂停执行自动断开逻辑。	通过让流量回归本地物理网络，完全不占用 VPN 网关及公网出口。适用于不需要对内网流量进行 VPN 二次加密审计的场景。	允许手动重连 不允许手动重连
     提示用户断开 VPN	当客户端检测到进入内网环境后，不立即强制断开，而是弹出系统通知，询问用户是否断开 VPN 连接。	适用于企业希望引导（非强制）员工在办公区切换至本地网络以节省带宽，但又允许部分有特殊需求的用户自主保持在线的场景。

   • 匹配条件

     配置项	说明
     生效节点	仅在处置方式为“自动断开/提示断开”时显示，用于定义哪些正在运行的 VPN 链路会触发断开动作。可选择全部节点或指定节点。 场景示例：若仅希望员工在进入工区后断开“公网接入节点”，而不影响“海外专用节点”，请在此处精确选择对应的节点范围。

   • 生效对象

     配置项	说明
     生效对象	选择策略的应用范围。支持按员工（部门/角色/成员）或按设备（设备/操作系统/分组）进行精细化设置。
     排除对象	启用后，可以从生效对象中排除特定的员工或设备。

3. 点击确定完成创建。

4. 返回策略列表页，可针对该策略执行调整优先级、启用、禁用、编辑、删除等操作。

超时断开策略 #

该功能用于配置用户连接 VPN 的在线时长超过指定时间时，自动断开 VPN 连接。

1. 选择超时断开页签，点击右侧编辑，开启功能开关。
2. 根据需要选择策略模式。
   • 基于全局生效：即企业全员生效，您需要在下方配置超时时间。
   • 基于策略生效：您可以单击右侧 ＋ 添加，添加策略，设置不同的生效范围。配置后，
     • 仅在生效范围内的员工或设备，会在连接 VPN 的在线时长超过指定时间时，自动断开 VPN 连接。
     • 若同一员工或设备存在于多个策略生效范围内，则优先命中最高优先级的策略。当相同优先级策略被命中时，则执行最新创建或更新的策略。
     • 在策略列表页，可针对某条策略执行调整优先级、编辑、删除等操作。
3. 点击右上角保存，完成配置。

无流量断开策略 #

该功能用于配置用户在连续超过指定时间段内没有 VPN 访问行为时，自动断开 VPN 连接。

1. 选择无流量断开页签，点击右侧编辑，开启功能开关。
2. 根据需要选择策略模式。
   • 基于全局生效：即企业全员生效，您需要在下方配置超时时间。
   • 基于策略生效：您可以单击右侧 ＋ 添加，添加策略，设置不同的生效范围。配置后，
     • 仅在生效范围内的员工或设备，会在连续超过指定时间段内没有 VPN 访问行为时，自动断开 VPN 连接。
     • 若同一员工或设备存在于多个策略生效范围内，则优先命中最高优先级的策略。当相同优先级策略被命中时，则执行最新创建或更新的策略。
     • 在策略列表页，可针对某条策略执行调整优先级、编辑、删除等操作。
3. 点击右上角保存，完成配置。