飞连服务分为管理后台(服务端)与员工客户端,当企业购买飞连后,企业管理员需要在飞连管理后台配置组织架构、企业内网等资源,之后企业员工即可使用飞连客户端连接企业内网进行办公。本文提供产品的基础功能使用步骤,帮助企业管理员快速了解如何使用飞连构建安全高效的数字化办公平台。
已开通并购买飞连。具体操作,请参见购买飞连。
如果您在购买飞连服务时,选购了 VPN 管理或者 Wi-Fi 管理功能,则在配置飞连时会涉及 VPN 节点或者 RADIUS 节点的部署。节点部署架构如下图所示。
其中,各节点服务器的防火墙策略说明如下:
为确保飞连服务的正常使用,飞连针对各节点的服务器部署提供了建议与要求。
服务器资源配置参考
服务器的配置参考如下表。表格列举了 VPN 单节点的参考配置资源,其中并发是指的单节点能够同时承载的用户数量;最大并发是指最大的单节点并发承载量,在该并发量下 VPN Server 的 CPU、内存高负载运行。如果您对并发数的需求超出 1000,则需要部署多个 VPN 节点。
(建议)操作系统版本 | 最低配置 | 最大并发 |
---|---|---|
CentOS 7、Debian 9 及以上 | 4 核 CPU、4 G 内存 | 1000 |
注意
请使用全新的服务器部署飞连 VPN 节点。避免与其他运行中的应用服务发生冲突,而引起预期之外的网络转发问题。
网络要求
IP 地址要求
服务器 | 是否对公网开放 | IP 地址示例 | 数量 | 备注 |
---|---|---|---|---|
VPN Server | 是 | 201.23.10.2(公网映射) | N,以订单中节点数量为准。 | 固定公网 IP 地址。 |
否 | 192.168.1.2(内网) | N,以订单中节点数量为准。 | 固定内网 IP 地址。 |
网络端口开放要求
目的 IP | 目的端口 | 协议 | 源 IP | 是否可以修改 | 备注 |
---|---|---|---|---|---|
VPN Server 映射到公网的 IP | 8001 | TCP | 任意 | 是 | VPN 控制端口,外网开放。 |
443 | TCP、UDP | 任意 | 是 | VPN 数据端口,外网开放。 |
注意
VPN 节点需要访问飞连租户域名的 TCP 443 端口。因此,如果您的 VPN 服务器配置了较为严格的防火墙规则(未全部放行出站规则),则需要在出站规则放行 TCP 443 端口,并指定 IP 地址为飞连租户域名解析对应的 IP 地址。
为确保飞连服务的正常使用,飞连针对各节点的服务器部署提供了建议与要求。
RADIUS 服务器资源配置参考
服务器的配置参考如下表,其中 QPS 为每秒认证用户数,QPS 为 300/s 即每秒认证 300 个用户,如果有 400 个用户,则有 100 个用户排队到下一秒进行认证,不会挤掉已经通过认证的用户。
(建议)操作系统版本 | 配置 | QPS |
---|---|---|
CentOS 7、Debian 9 及以上 | 2 核 CPU、2 G 内存 | 300/s |
4 核 CPU、4 G 内存 | 600/s | |
8 核 CPU、8 G 内存 | 1000/s |
注意
请使用全新的服务器部署飞连 RADIUS 节点。避免与其他运行中的应用服务发生冲突,而引起预期之外的网络转发问题。
网络要求
IP 地址要求
服务器 | 是否对公网开放 | IP 地址示例 | 数量 | 备注 |
---|---|---|---|---|
RADIUS Server | 建议仅开放内网 | 192.168.1.3 | N,以订单中节点数量为准。 | 固定外网与内网 IP 地址。 |
网络端口开放要求
目的 IP | 目的端口 | 协议 | 源 IP | 是否可以修改 | 备注 |
---|---|---|---|---|---|
RADIUS Server IP | 1812 | UDP | 无线控制器 | 是 | 员工 Wi-Fi 认证端口,内网开放。若 RADIUS Server 和无线控制器通过互联网通信,则对互联网开放。 |
1813 | UDP | 无线控制器 | 是 | 员工 Wi-Fi 计费端口,内网开放。若 RADIUS Server 和无线控制器通过互联网通信,则对互联网开放。 | |
2812 | UDP | 有线交换机 | 是 | 有线网络认证端口,内网开放。若 RADIUS Server 和有线交换机通过互联网通信,则对互联网开放。 | |
2813 | UDP | 有线交换机 | 是 | 有线网络计费端口,内网开放。若 RADIUS Server 和有线交换机通过互联网通信,则对互联网开放。 |
注意
RADIUS 节点需要访问飞连租户域名的 TCP 443 端口。因此,如果您的 RADIUS 服务器配置了较为严格的防火墙规则(未全部放行出站规则),则需要在出站规则放行 TCP 443 端口,并指定 IP 地址为飞连租户域名解析对应的 IP 地址。
本文适用于企业管理员参考与操作。当企业管理员在飞连管理后台完成各功能配置后,再以员工身份登录飞连客户端查看客户端功能。
当您购买飞连后,需要先完成企业识别码、初始管理员等初始化配置。
.feilian.cn
后缀组成。本章节介绍如何手动添加企业部门与成员。您也可以从第三方数据源导入账号,具体请参见同步第三方数据源。
测试部门1
。字节跳动
。测试部门1
名称,然后在页面右侧单击+添加成员。测试员工A
的成员,角色为测试
,归属测试部门1
部门。飞连的 VPN 节点用于企业员工远程连接企业内网进行办公。您可以根据企业实际需要,选配 VPN 节点。关于 VPN 节点的部署架构以及节点服务器的配置要求,请参见节点部署说明。
操作步骤
配置基本信息,然后单击下一步。
配置项说明:
说明
涉及 IP 地址的配置项,您需要根据实际环境与配置完成填写。
配置项 | 说明 |
---|---|
节点名称 | 设置 VPN 节点的中文名称以及英文名称。例如,中文名称为 |
标签 | 您可以通过标签标识 VPN 节点的用途,用户在客户端选择节点时,可以通过展示的标签辅助选择 VPN 节点。
|
DNS 服务器(主用) | 通过 VPN 节点下发的 DNS 地址,一般输入为内网 DNS 地址。 |
DNS 服务器(备用) | 备用节点的 DNS 服务器 IP 地址,不能配置与主用 DNS 服务器相同的 IP 地址。 |
公网地址 | VPN 节点映射的公网 IP 地址,支持域名或者 IPv4 格式,不能同时输入域名和 IP 地址。
|
内网 IP | VPN 节点的内网 IP 地址,支持 IPv4 格式。 |
控制端口(TCP) | 客户端探活及配置下发的端口,建议填写为 443,支持修改为其他端口号。 |
数据端口(TCP / UDP) | VPN 数据传输的端口,建议填写为 80,支持修改为其他端口号。 |
是否启用网络地址转换(NAT) |
|
IP 池 | 指定具体的 IP 池范围,填写 CIDR (例如,10.8.8.0/24)。不能和企业内网的现有地址段冲突。IP 池总量不能超过 1, 024,如需配置大于 1, 024 个 IP,则要添加多个 VPN 节点。 说明 如果您需要添加 IPv6 格式地址,您可以勾选 IPv6 并在 IP 池添加 IPv6 格式地址。 |
传输协议 | 飞连客户端封包类型,支持选择自动选择 TCP 与 UDP、仅 TCP 或者仅 UDP。建议保持默认设置(即自动选择 TCP 与 UDP),以防 UDP 包被丢弃。 |
选路策略 | 在 VPN 节点配置了多个公网 IP 地址的情况下,您可以根据业务需求选择以下两种选路策略:
|
客户端上行限速 KB/s | 限制单个用户最大上行速度,单位 KB/s。取值为 |
客户端下行限速 KB/s | 限制单个用户最大下行速度,单位 KB/s。取值为 |
根据页面提示,在 VPN 节点对应的服务器中完成部署安装,然后单击下一步。
在部署 VPN 节点前,请确保部署 VPN 节点的宿主机已经关闭 firewalld 服务和 SELinux。检查以及关闭服务的命令如下:
// 关闭 firewalld: sudo systemctl status firewalld // 检查状态是否为活跃(active)状态。 sudo systemctl stop firewalld // 关闭 firewalld 服务。 sudo systemctl disable firewalld // 禁止开机启动。 sudo systemctl status firewalld // 再次检查状态是否为加载(loaded)状态。 // 关闭 SELinux: sudo getenforce // 检查 SELinux 状态是否为 Enforcing,如果是则执行下一条命令临时关闭 SELinux。 sudo setenforce 0 // 临时关闭 SELinux,否则会影响日志自动 rotate。该方式在机器重启后会重新打开 SELinux。
说明
永久关闭 SELinux 方式:vi /etc/selinux/config
编辑文件,将文件内 SELINUX=enforcing
修改为 SELINUX=disabled
,保存退出文件,并重启机器。
进行连通性测试,确保 VPN 节点所在服务器可以正常通信后,单击完成。
您可以在飞连管理后台配置 VPN 节点在企业内的使用范围,以及员工连接该 VPN 节点后可访问的网络资源范围。
配置使用权限
在飞连管理后台左侧导航栏,选择 VPN 管理 > 使用权限。
在使用权限页签右上角,单击添加权限。
在添加 VPN 使用权限对话框,完成以下配置,并单击确定。
配置项说明:
配置项 | 说明 |
---|---|
生效对象 | 以部门或者角色维度,设置生效的员工范围。 |
生效时长 | 可选永久生效、7 天、30 天、90 天、180 天或者自定义。如果选择自定义,还需要设置指定的天数。 |
配置访问权限
www.example.com:80
网络资源。详细的参数说明请参见管理 VPN 访问权限。测试员工A
禁止访问www.example.com
网络资源。测试员工A
访问www.example.com
网络资源,结果为不可访问。飞连的 Wi-Fi 管理模块提供了员工 Wi-Fi、访客 Wi-Fi、RADIUS 服务器、无线 AC 或交换机的对接配置。您可以根据企业实际需要,选择配置企业的 Wi-Fi 网络、有线网络。本章节以配置企业 Wi-Fi 网络为例,介绍具体操作步骤。关于 RADIUS 节点的部署架构以及节点服务器的配置要求,请参见节点部署说明。
配置 RADIUS 基本信息,并单击下一步。
配置项说明:
配置项 | 说明 |
---|---|
RADIUS 名称 | 自定义名称,用于标识当前 RADIUS 服务器。示例值: |
内网 IP | 配置 RADIUS 服务器的内部网络 IP 地址,以便在内网中根据该 IP 地址识别 RADIUS 服务器,并且支持 IPv4 格式。例如: |
员工 Wi-Fi 认证端口 | RADIUS 服务器通过该端口对客户端员工 Wi-Fi 进行身份认证。默认占用 1812 端口,支持自定义修改端口。本示例操作中保持默认配置。 |
员工 Wi-Fi 计费端口 | RADIUS 服务器通过该端口实现客户端员工 Wi-Fi 的计费。默认占用 1813 端口,支持自定义修改端口。本示例操作中保持默认配置。 |
有线网络认证端口 | RADIUS 服务器通过该端口对客户端员工有线网络进行身份认证。默认占用 2812 端口,支持自定义修改端口。本示例操作中保持默认配置。 |
有线网络计费端口 | RADIUS 服务器通过该端口实现员工客户端有线网络的计费。默认占用 2813 端口,支持自定义修改端口。本示例操作中保持默认配置。 |
访客 Wi-Fi 认证端口 | RADIUS 服务器通过该端口对客户端访客 Wi-Fi 进行身份认证。默认占用 3812 端口,支持自定义修改端口。本示例操作中保持默认配置。 |
访客 Wi-Fi 计费端口 | RADIUS 服务器通过该端口实现客户端访客 Wi-Fi 的计费。默认占用 3813 端口,支持自定义修改端口。本示例操作中保持默认配置。 |
在 RADIUS 服务器内,根据界面命令提示,部署安装 RADIUS 组件,然后单击下一步。
进行连通性检测,确保节点配置无问题后,单击完成。
说明
说明
使用 SSH 登录 AC。
在命令行中运行以下命令进行配置。
system-view radius dynamic-author server client ip <RADIUS 服务器 IP 地址> key simple <共享密钥> port 3799
其中:
<RADIUS 服务器 IP 地址>
在飞连管理后台相应的 RADIUS 节点中获取。<共享密钥>
在飞连管理后台相应的无线路由中获取。在飞连管理后台的左侧导航栏底部,单击版本发布。
在安装包管理页面,在安装包列表中,您可以查看各个操作系统的飞连客户端安装包信息。
默认为飞连自动同步的各个操作系统的安装包。
单击操作列的编辑,配置升级策略并上线版本,单击确定。
配置项 | 说明 |
---|---|
安装包信息 |
|
升级策略 | 支持如下 3 种升级策略,您可以选择一种或多种:
策略中的参数说明如下:
说明 若某用户被授权了多个升级策略,则生效的优先级为:静默升级 > 弹窗提示,员工不可关闭 > 弹窗提示,员工可关闭。 |
版本上线 | 将版本上线状态设置为开启。 |
单击通用配置页签,复制首次推广区域的地址并分发给企业员工,员工无需登录即可下载安装包。
说明