随着企业全球化发展,员工在海外出差时,需要随时访问公司内网资源(如文件服务器、数据库、内部应用等)来保持工作效率,然而跨境访问内网时,常常面临网络延迟高、带宽不足、数据安全风险等问题。为了解决这些问题,飞连 SD-WAN 通过分布全球的 POP 点助力出差员工高速访问公司应用。
- 海外商务旅行
员工在海外出差时,需要快速访问公司内部的邮件系统、文档管理平台、财务系统等。 - 全球团队协作
团队成员分布在不同地区,飞连 SD-WAN 可帮助团队成员顺畅访问公司资源,协同工作。
飞连的云 VPN 功能访问内网资源配置流程如下:
- 创建分支网关(必须配置)
为实现数据中心与飞连 SD-WAN 之间的高效连接,需要在数据中心部署软件版分支网关。操作步骤:- 准备虚拟机。
在数据中心内准备一台 Linux 虚拟机,用于安装 vCPE 软件。 - 创建分支网关。
在飞连管理后台的网络 > 办公组网 > 分支网关页面,创建分支网关并配置网络设置。 - 安装 vCPE 软件。
在准备好的虚拟机上,下载并安装 vCPE 软件,完成与飞连 SD-WAN 的连接。
- 准备虚拟机。
- 配置云 VPN(必须配置)
为实现用户登录云 VPN 后可访问内网资源,需要配置云 VPN 节点相关配置。操作步骤:- 配置员工接入账号。
在飞连管理后台的身份 > 部门与成员页面,为每位员工分配唯一的接入账号,确保其身份安全。 - 配置云 VPN 节点,为云 VPN 节点定义 DNS 服务器、网络模式、可见对象等配置。
在飞连管理后台的 VPN 管理 > 节点管理页面,选中云 VPN 卡片后,需做如下配置:- 云 VPN 基本信息配置。
需要配置内网 DNS 服务器地址,以确保访问的应用域名能够正常进行 DNS 解析。 - 云 VPN 网络模式配置。
- 网络模式:取消全局模式的配置,仅开启极速模式。
- 极速模式下单节点资源:启用,并且配置内网的资源,若为域名资源,需统一配置为静态域名资源。
- 云 VPN 可见对象配置(可选配置)。
云 VPN 可见对象默认全员可见,若需要改成部分可见,需修改云 VPN 可见对象相关配置。 - 云 VPN 客户端限速配置(可选配置)。
客户端限速默认不启用,若需要对个别员工进行 VPN 限速,则在此处进行配置。
- 云 VPN 基本信息配置。
- 配置 VPN 访问权限。根据企业安全策略,为员工配置不同的访问权限,确保只有授权人员能够访问相关应用。
在飞连管理后台的 VPN 管理 > 访问权限页面,先创建网络资源,再创建访问策略。
- 配置员工接入账号。
本文提供了通过云 VPN 加速访问国内内网资源的示例场景,该场景中,企业 A 配置了云 VPN 加速访问,使海外出差员工登录使用飞连云 VPN 后,可访问部署在国内的 OA、ERP 等系统。
准备工作
在国内数据中心内网准备一台配置为 4C/16G+ 的虚拟机,作为 VPN 连接的下车点。虚拟机配置推荐:
类型 | 跨境流量 | 推荐OS | CPU | 内存 | 磁盘 |
|---|---|---|---|---|---|
vCPE | 0~100Mb |
| 4C | 4G | 100G |
100~200Mb | 8C | 8G | 100G | ||
200~500Mb | 12C | 16G | 100G |
操作步骤
步骤一:创建分支网关
- 创建流量下车 CPE。
- 在数据中心创建虚拟机,并通过 SSH 登录到此虚拟机。
说明
该步骤需要您根据实际情况自行完成配置。
- 保持虚拟机 SSH 登录状态的同时,登录飞连管理后台。
- 在左侧导航栏,选择办公组网 > 分支网关。
在分支网关页面右上角,选择添加分支 > 软件版。
在基本配置界面,完成以下配置项,并单击下一步。
配置项
说明
示例配置
分支名称(中文)
自定义分支网关的中文名称名称,用于标识该网关。
北京数据中心
分支名称(英文)
自定义分支网关的英文名称,用于标识该网关。
Beijing
分支网关类型
用于标识该分支网关对应的企业机构。可选:
- 企业分支:表示与企业的分支机构相关联的网关。
- 企业总部:表示与企业总部相关联的网关。
- IDC 机房:表示与互联网数据中心(IDC)机房相关联的网关。
- 公有云:表示与公有云服务提供商相关联的网关。
- 其他:这是一个通用选项,用于标识其他类型的企业机构或网络位置。
企业总部
设备高可靠
启用设备高可靠增加了系统的冗余性和可靠性,如果一个节点出现故障或中断,另一个节点可以接管工作,确保分支的连续性和可用性:
- 启用:启用设备高可靠后,该分支会自动生成两个分支节点,两个 CPE 节点之间可采用浮动 IP 实现设备高可靠,支持公有云 AWS 或私有化服务器。
- 不启用:不启用设备高可靠意味着系统不会自动生成额外的分支节点,也不支持浮动 IP 实现高可靠。在这种情况下,如果一个节点发生故障,可能会导致分支的中断或不可用。
不启用
在部署安装界面,根据界面提供的组件安装命令,在相应的 Linux 系统服务器内安装飞连分支网关组件,并单击下一步。
同时需要 SSH 登录到下车点机器上,执行如下命令。序号
操作类型
操作说明
1
进入 root 权限
执行命令
sudo -s。2
下载 vCPE 安装包
- 在上述的飞连管理后台部署安装页面,复制步骤一中的命令。
- 在下车点机器上,执行上一步复制的命令,完成 vCPE 安装包的下载。
3
解压 vCPE 安装包
在上述的飞连管理后台部署安装页面,复制步骤二中的第 1 个命令,在下车点机器上执行。
4
安装 vCPE
在上述的飞连管理后台部署安装页面,复制步骤二中的第 2、3 个命令,在下车点机器上执行。
5
安装过程中输入开局密钥
在部署过程中,需要输入开局密钥,密钥在上述的飞连管理后台部署安装页面,步骤三中获取(ID、Sercet)。
复制到下车点机器内使用:- 在上述的飞连管理后台部署安装页面,复制步骤一中的命令。
在联通性测试界面,根据界面提示信息完成连通性测试,确保分支网关组件所在的服务器与飞连网络互通,然后单击下一步。
在资源发布界面,按照要求做如下配置后,单击下一步。
配置项
说明
示例配置
IP 资源发布
启用后,分支 IP 资源发布至 SD-WAN,其他分支可访问。不启用则不可访问。
启用 IP 资源发布到 SD-WAN 网络开关,并在分支网段列表内,输入业务网段
10.10.168.0/24。域名资源发布
启用后,系统自动为分支创建选路策略,发布后将域名资源调度到该分支网关。若不启用,可在创建分支网关后在办公组网 > 应用调度配置策略。
不启用域名资源发布到 SD-WAN 网络。
是否启用 DNS 代理
当分支网关作为上车点时需启用,应用调度域名用飞连中心 DNS 解析,其他域名用此处配置的 DNS 代理服务器。
不启用
路由优先级
当目标应用同时发布 IP 和域名资源时,设置优先策略。
域名调度优先
在完成界面,单击前往云 VPN,跳转至新的浏览器 tab 页。在原来的页面,单击结束完成分支网关的创建。
- 在数据中心创建虚拟机,并通过 SSH 登录到此虚拟机。
步骤二:配置云 VPN
- 配置员工接入账号。
在飞连管理后台的身份 > 部门与成员功能页,为相关的移动用户配置对应的登录账户。 具体配置操作请参见管理员工。 - 配置云 VPN 节点。
- 登录飞连管理后台 VPN 管理 > 节点管理,选中云 VPN 节点(Cloud VPN)卡片。
- 在基本信息页面,修改云 VPN DNS 服务配置。
- 全局 DNS 服务器(主用):配置企业内网自己的 DNS 服务器,若没有则可配置为公网 DNS 服务器,当前案例中配置为
10.10.168.200。 - 全局 DNS 服务器(备用):配置企业内网自己的 DNS 服务器,若没有则可配置为公网 DNS 服务器,当前案例中配置为
10.10.168.201。
- 在网络模式页面,仅开启极速模式,把全局模式取消。
- 启用极速模式下单节点资源开关,并单击新增资源,配置内网的资源。
- 资源名称:例如
内网资源。 - 资源类型: 选中域名。
- 在静态域名列表内,输入需要给用户访问的域名地址,本案例需要访问
feilian.com,oa.com相关域名。 - 域名对应 IP 列表:保持为空。
- 单击确认,完成配置。
- 资源名称:例如
- 全局 DNS 服务器(主用):配置企业内网自己的 DNS 服务器,若没有则可配置为公网 DNS 服务器,当前案例中配置为
- VPN 访问权限配置。
本案例没有对访问权限提出要求,故只需要在 VPN 管理 > 访问权限中,单击切换模式,将模式设置为默认开放模式。
步骤三:登录云 VPN 客户端
如果用户需要访问应用,还需要安装飞连客户端并且登录。
- 安装飞连客户端。
- 登录飞连客户端。
- 输入企业识码。
若不知道企业识别码,可以在飞连管理后台的首页 > 概览中查看。 - 使用员工账号登录飞连。
- 在飞连客户端的概览功能页,选择当前 VPN 服务器。
选择云 VPN,并单击确认连接。
之后可看到 VPN 连接成功状态。 - 访问应用。
完成 VPN 登录后,即可开始访问对应的内网资源。
- 输入企业识码。