本文介绍从开通飞连到使用基本功能的全流程,帮助您快速完成飞连的初始化。
节点部署说明 #
当您在对飞连进行初始化操作时,需配置 VPN 节点和 RADIUS 节点。各节点与其他资源的通信架构以及防火墙策略如下图所示:
前提条件 #
已完成飞连服务的开通与购买。具体操作,请参见创建飞连租户。
已登录飞连管理后台。
身份管理 #
身份管理模块包含对企业子公司、部门、成员、角色的注册、删除、更新、查询功能。通过身份管理模块,可以在系统平台中配置生成和企业当前组织架构相同的部门人员结构。身份管理模块包含三种信息录入方式:手动录入、标准模板导入、第三方数据源导入。 本章节的主要指导您如何在飞连中创建、导入本地账号或者从第三方源导入账号。
在使用飞连的功能之前,首先需要保证飞连的组织架构中存在对应的成员账号。
部门与成员 #
创建部门与子公司
在身份管理 > 部门与成员页面,点击部门架构右侧加号(+),即可为企业添加部门或子公司。子公司仅支持在根组织下添加,子部门支持在子公司和各级子部门下添加。如下图所示:
创建或导入本地账号
在添加完子公司或部门之后,进入到对应的子公司或部门进行账号创建或者导入。
方式一:手动创建本地账号
在指定的部门页面中,单击添加成员。
在添加成员对话框,填写成员信息,然后单击确认。
方式二:批量导入账号
在指定的部门页面中,单击批量导入。
下载批量导入的模板。
打开并编辑模板内容。
将本地已编辑完成的模板上传至飞连后台。
成功上传后,即可在部门的员工列表查看上传的员工信息。
账号配置 #
在身份管理 > 账号配置页面单击数据接入页签,然后单击添加配置对接第三方源导入账号。
说明
目前支持对接的第三方源应用为钉钉、飞书。 详细的配置步骤请参考飞连实施人员提供的第三方应用对接配置手册。
Wi-Fi 管理 #
Wi-Fi 管理模块提供员工 Wi-Fi 、RADIUS 服务器、无线 AC/交换机的对接配置。
使用配置 #
在内部员工连接员工 Wi-Fi 之前,需要先在飞连上配置好 RADIUS 认证服务器以及对接的无线 AC 设备。
RADIUS 服务器资源配置参考
接入飞连的 RADIUS 服务器,建议配置如下表:
| 配置 | QPS |
|---|---|
| 2核 CPU、2 G 内存 | 300/s |
| 4核 CPU、4 G 内存 | 600/s |
| 8核 CPU、8 G 内存 | 1200/s |
其中 QPS 为每秒认证用户数,QPS 为 300/s 即每秒认证 300 个用户,如果有 400 个用户,则有 100 个用户排队到下一秒进行认证,不会挤掉已经通过认证的用户。
RADIUS 服务器网络要求
IP地址要求
服务器 是否对公网开放 IP 地址示例 数量 备注 RADIUS Server 建议仅开放内网 192.168.1.3 N,以订单中节点数量为准。 固定外网/内网 IP 地址。 网络端口开放要求
目的 IP 目的端口 协议 源 IP 是否可以修改 备注 RADIUS Server IP
1812
UDP
无线控制器
是
员工 Wi-Fi 认证端口,内网开放。若 RADIUS Server 和无线控制器通过互联网通信,则对互联网开放。
1813 UDP 无线控制器 是 员工 Wi-Fi 计费端口,内网开放。若 RADIUS Server 和无线控制器通过互联网通信,则对互联网开放。 2812 UDP 有线交换机 是 有线网络认证端口,内网开放。若 RADIUS Server 和有线交换机通过互联网通信,则对互联网开放。 2813 UDP 有线交换机 是 有线网络计费端口,内网开放。若 RADIUS Server 和有线交换机通过互联网通信,则对互联网开放。 注意
RADIUS 节点需要访问飞连租户域名的 TCP 443 端口。因此,如果您的 RADIUS 服务器配置了较为严格的防火墙规则(未全部放行出站规则),则需要在出站规则放行 TCP 443 端口,并指定 IP 地址为飞连租户域名解析对应的 IP 地址。
配置步骤
在 Wi-Fi 管理 > 使用配置页面的 RADIUS 服务器页签,单击点击配置。
在配置 RADIUS 服务器界面,完成以下配置。
配置 RADIUS 基本信息,然后单击下一步。
在 RADIUS 服务器中,根据界面提示进行部署安装,完成后单击下一步。
进行连通性测试,确保服务器配置无问题后单击完成。
配置无线 AC 设备以及 SSID。
在 Wi-Fi 管理 > 使用配置页面的路由设备页签,单击无线路由。
在添加无线路由设备对话框,编辑设备信息,然后单击完成。
在 Wi-Fi 管理 > 使用配置页面的 SSID 页签,单击添加,并设置Wi-Fi SSID。
说明
在飞连侧完成 Wi-Fi 配置后,您还需要在对应 AC 上完成 Wi-Fi 的配置,这样才可正常使用员工 Wi-Fi。
员工入网 #
Wi-Fi 账号
在身份管理模块中存在对应的账号时,对应的 Wi-Fi 账号也会自动生成。
权限配置
在权限配置页面对员工的入网权限进行管控,支持从成员、部门、角色三个维度,配置员工访问员工 Wi-Fi 或有线网络的权限,可选择全员启用或部分启用。
您可以单击创建权限组,创建自定义权限配置。
VPN管理 #
VPN 管理功能模块,包含 VPN 节点、VPN 功能使用权限、连接 VPN 后的访问控制、极速模式配置操作。完成 VPN 管理模块配置后,能够管控用户的 VPN 使用权限,以及使用 VPN 后访问的资源。
节点管理 #
在使用 VPN 之前,需要先创建 VPN 节点。
VPN 服务器资源配置参考
接入飞连的 VPN 服务器,建议配置如下表:
| 配置 | 推荐并发 | 最大并发 |
|---|---|---|
| 4 核 CPU、4 G 内存 | 500 | 1000 |
| 8 核 CPU、8 G 内存 | 1000 | 2000 |
| 16 核 CPU、16 G 内存 | 2000 | 4000 |
上表为 VPN 单节点的配置资源参考,并发是指单节点能够同时承载的用户数量。其中:
推荐并发:推荐的单节点并发承载量,在该并发量下能够保障 VPN Server 的 CPU、内存中低负载运行。
最大并发:最大的单节点并发承载量,在该并发量下 VPN Server 的 CPU、内存高负载运行。
网络要求
IP 地址要求
服务器 是否对公网开放 IP 地址示例 数量 备注 VPN Server 是 201.23.10.2(公网映射) N,以订单中节点数量为准。 固定公网 IP 地址。 否 192.168.1.2 N,以订单中节点数量为准。 固定内网 IP 地址。 网络端口开放要求
目的 IP 目的端口 协议 源 IP 是否可以修改 备注 VPN Server 映射到公网的 IP 8001 TCP 任意 是 VPN控制端口,外网开放。 443 TCP、UDP 任意 是 VPN数据端口,外网开放。 注意
VPN 节点需要访问飞连租户域名的 TCP 443 端口。因此,如果您的 VPN 服务器配置了较为严格的防火墙规则(未全部放行出站规则),则需要在出站规则放行 TCP 443 端口,并指定 IP 地址为飞连租户域名解析对应的 IP 地址。
配置步骤
在 VPN 管理 > 节点管理页面的可配置节点卡片中,单击点击配置。
在配置 VPN 节点界面,完成以下配置。
配置基本信息,然后单击下一步。
配置项说明:节点名称:节点对用户展示的名字。
DNS 服务器(主用):通过 VPN 节点下发的 DNS IP 地址,一般填写内网的 DNS IP 地址。
DNS 服务器(备用):不支持重复输入与主用 DNS 服务器相同 IP。
内网 IP :VPN 节点的内网 IP 地址。
公网 IP :VPN 节点映射的公网 IP 地址。
控制端口(TCP):客户端探活及配置下发的端口,建议填写为 8001 ,可以修改。
数据端口(TCP / UDP):VPN 数据传输的端口,建议 443 ,可以修改。
是否启用网络地址转换( NAT ):
启用:若使用虚拟 IP 地址池, IP 地址池的地址可以设为内网未规划的网段,例如内网的 IP 范围是 192.168.0.0/16,则 IP 地址池设置为 10.10.10.0/24。
不启用:若使用虚拟 IP 地址池,IP 地址池的地址可以设置为内网已规划且未使用的网段。例如原来网络规划是 192.168.10.0/24 ,此时需要在本企业的内网交换机配置 192.168.20.0/24 网段的路由网关为 VPN 节点的内网 IP。
IP 池:不能和企业内网的现有地址段冲突。
传输协议:飞连客户端封包类型,建议保持默认设置(即自动选择TCP或者UDP),因为某些网络会丢弃 UDP 包。
客户端上行限速:限制单个用户最大上行速度为 xxx KB/s。
客户端下行限速:限制单个用户最大下行速度为 xxx KB/s。
说明
管理平台将持续检测节点部署状态,当服务器上部署安装 VPN 节点成功后。VPN 节点将自动拉取配置。
在 VPN 服务器中,根据界面提示完成部署安装,然后点击下一步。
说明
在部署VPN节点前,请确保部署VPN节点的宿主机已经关闭firewalld服务,检查以及关闭方法如下:
sudo systemctl status firewalld /// 检查状态是否为活跃状态(active)
sudo systemctl stop firewalld /// 关闭firewalld服务
sudo systemctl disable firewalld ///禁止开机启动
sudo systemctl status firewalld /// 再次检查状态是否为加载状态(loaded)
进行连通性测试,确保服务器配置无问题后单击完成。
使用权限 #
在配置完 VPN 节点且 VPN 节点已经成功上线之后,需要对能访问 VPN 的权限进行划分。 在 VPN 使用权限部分启用的情况下,管理员可以通过部门、个人、角色的维度,管理 VPN 使用权限。
访问权限 #
管理员可以配置用户连接 VPN 后的网络资源访问策略,即身份 A(部门、角色、成员)是否能访问资源 B(IP 资源、域名资源)。
新增 VPN 资源。
在 VPN 管理 > 访问权限页面的网络资源页签,单击新增资源。
在新增资源对话框,完成配置然后单击确定。
配置访问策略。
在 VPN 管理 > 访问权限页面的访问策略页签,单击新增策略。
在新增访问策略对话框,完成配置然后单击确定。
在 VPN 访问权限页面顶部,设置 VPN 访问策略默认模式,设置为默认开放(初始化部署时建议默认开放)。
高级配置 #
如果您希望只有部分 PC 流量进入 VPN 隧道,可以在此处配置极速模式资源。在飞连客户端选择了极速模式的情况下,只有匹配到极速资源的目的地址解析,流量才会进入 VPN 隧道进行转发。
在 VPN 管理 > 高级配置页面的极速模式区域,单击新增资源。
在新增资源界面,完成配置然后单击确定。
说明
全局模式和极速模式的区别:全局模式下全部流量走 VPN 隧道,即全流量代理访问。极速模式下部分流量走 VPN 隧道,即局部代理访问。
版本管理 #
在飞连管理后台的左侧导航栏,单击版本发布。 发布企业专属客户端安装包(安装包请到用户火山控制台—进入飞连产品后获取)。
在版本发布页面,您可以单击新建版本,为指定的操作系统发布新的飞连版本。
各配置项说明如下:系统:选择要上传安装包的系统,支持 Mac(Intel/M1)、Windows、Android、iOS。
说明
iOS 客户端会直接上架在 App Store,此处主要设置更新策略。
上传包文件:将本地的更新包上传至飞连后台(管理员拿到包之后,请勿修改文件名)。
说明
管理员拿到包之后,请勿修改文件名,否则将影响飞连自动读取版本号。
版本号:安装包上传完成之后,飞连将自动读取版本号,支持管理员再次修改。
Build Number:仅当创建了一个重复的版本号时,需要填写 Build Number。该字段会在飞连文件名称中附带,以区分新旧版本。
更新信息、更新信息(英文):输入更新信息,在客户端推送更新通知时,该信息将会展示给客户端用户。
生效对象:该版本生效范围,全员即全量生效,部分即灰度生效。如果设置部分生效,则还需要指定生效的部分或角色范围。
上线状态:设置该版本的上线状态,上线后将会被展示在客户端下载页面。
提示更新:开启后,如果用户当前处于非最新版本,将会收到提示更新的弹窗,并非强制用户更新。
强制更新:该配置项在编辑存量版本时出现。对于同一个操作系统的不同版本,您可以在存量的旧版本上设置强制更新的逻辑。当强制更新开启后,系统会检测用户可升级到的最新版本。
其中关于版本号与生效对象、提示更新、强制更新的关系,将通过以下示例进行说明。
例如,各配置项对应关系如下表所示:版本号 生效对象 提示更新 强制更新 V2.0.10 灰度 A 部门 开启 关闭 V2.0.9 灰度 B 部门 关闭 开启 V2.0.8 全量上线 开启 开启 V2.0.7 全量上线 开启 开启 则最终的结果如下:
A 部门成员收到更新提示的弹窗,员工如果选择升级,则会升级到 V2.0.10 版本;如果直接关闭弹窗,则停留在当前版本。弹窗效果如下图所示:
B 部门成员收到更新提示的弹窗,会被强制更新到 V2.0.9 版本。弹窗效果如下图所示:
其他部门的成员将会收到更新提示的弹窗,会被强制更新到 V2.0.8 版本。
版本上线完成后,在系统设置 > 企业配置页面,复制自助安装方式的链接,然后可以发送给用户自助进行客户端下载。
打开下载链接后效果如下:
