快速入门 |
您所在的位置:网站首页 › 飞书如何退出登陆 › 快速入门 |
飞连服务分为管理后台(服务端)与员工客户端,当企业购买飞连后,企业管理员需要在飞连管理后台配置组织架构、企业内网等资源,之后企业员工即可使用飞连客户端连接企业内网进行办公。本文提供产品的基础功能使用步骤,帮助企业管理员快速了解如何使用飞连构建安全高效的数字化办公平台。 前提条件已开通并购买飞连。具体操作,请参见购买飞连。 节点部署说明如果您在购买飞连服务时,选购了 VPN 管理或者 Wi-Fi 管理功能,则在配置飞连时会涉及 VPN 节点或者 RADIUS 节点的部署。节点部署架构如下图所示。 为确保飞连服务的正常使用,飞连针对各节点的服务器部署提供了建议与要求。 服务器资源配置参考 注意 请使用全新的服务器部署飞连 VPN 节点。避免与其他运行中的应用服务发生冲突,而引起预期之外的网络转发问题。 服务器的配置参考如下表: (建议)操作系统版本 最低配置 最大并发 CentOS 7、Debian 9 及以上 4 核 CPU、4 G 内存 1000 上表为 VPN 单节点的配置资源参考,并发是指的单节点能够同时承载的用户数量。最大并发是指最大的单节点并发承载量,在该并发量下 VPN Server 的 CPU、内存高负载运行。如果您对并发数的需求超出 1000,则需要部署多个 VPN 节点。 网络要求 IP 地址要求 服务器 是否对公网开放 IP 地址示例 数量 备注 VPN Server 是 201.23.10.2(公网映射) N,以订单中节点数量为准。 固定公网 IP 地址。 否 192.168.1.2(内网) N,以订单中节点数量为准。 固定内网 IP 地址。 网络端口开放要求 目的 IP 目的端口 协议 源 IP 是否可以修改 备注 VPN Server 映射到公网的 IP 8001 TCP 任意 是 VPN控制端口,外网开放。 443 TCP、UDP 任意 是 VPN数据端口,外网开放。 注意 VPN 节点需要访问飞连租户域名的 TCP 443 端口。因此,如果您的 VPN 服务器配置了较为严格的防火墙规则(未全部放行出站规则),则需要在出站规则放行 TCP 443 端口,并指定 IP 地址为飞连租户域名解析对应的 IP 地址。 部署 RADIUS 节点的建议与要求为确保飞连服务的正常使用,飞连针对各节点的服务器部署提供了建议与要求。 RADIUS 服务器资源配置参考 注意 请使用全新的服务器部署飞连 RADIUS 节点。避免与其他运行中的应用服务发生冲突,而引起预期之外的网络转发问题。 服务器的配置参考如下表: (建议)操作系统版本 配置 QPS CentOS 7、Debian 9 及以上 2核 CPU、2 G 内存 300/s 4核 CPU、4 G 内存 600/s 8核 CPU、8 G 内存 1000/s 其中 QPS 为每秒认证用户数,QPS 为 300/s 即每秒认证 300 个用户,如果有 400 个用户,则有 100 个用户排队到下一秒进行认证,不会挤掉已经通过认证的用户。 网络要求 IP 地址要求 服务器 是否对公网开放 IP 地址示例 数量 备注 RADIUS Server 建议仅开放内网 192.168.1.3 N,以订单中节点数量为准。 固定外网与内网 IP 地址。 网络端口开放要求 目的 IP 目的端口 协议 源 IP 是否可以修改 备注 RADIUS Server IP 1812 UDP 无线控制器 是 员工 Wi-Fi 认证端口,内网开放。若 RADIUS Server 和无线控制器通过互联网通信,则对互联网开放。 1813 UDP 无线控制器 是 员工 Wi-Fi 计费端口,内网开放。若 RADIUS Server 和无线控制器通过互联网通信,则对互联网开放。 2812 UDP 有线交换机 是 有线网络认证端口,内网开放。若 RADIUS Server 和有线交换机通过互联网通信,则对互联网开放。 2813 UDP 有线交换机 是 有线网络计费端口,内网开放。若 RADIUS Server 和有线交换机通过互联网通信,则对互联网开放。 注意 RADIUS 节点需要访问飞连租户域名的 TCP 443 端口。因此,如果您的 RADIUS 服务器配置了较为严格的防火墙规则(未全部放行出站规则),则需要在出站规则放行 TCP 443 端口,并指定 IP 地址为飞连租户域名解析对应的 IP 地址。 操作指引本文适用于企业管理员参考与操作。当企业管理员在飞连管理后台完成各功能配置后,再以员工身份登录飞连客户端查看客户端功能。操作步骤概览如下: 企业管理员操作步骤一:初始化飞连步骤二:配置企业部门与成员步骤三:管理企业 VPN步骤四:管理企业 Wi-Fi步骤五:发布飞连客户端版本企业员工操作步骤六:安装并登录飞连客户端步骤一:初始化飞连当您购买飞连后,需要先完成企业识别码、初始管理员等初始化配置。 登录飞连控制台。在填写企业识别码及域名区域,完成以下配置,并单击提交。![]() ![]() 本章节介绍如何手动添加企业部门与成员。此外飞连支持导入第三方数据源,您可以将钉钉或者飞书中的企业组织架构导入飞连。具体操作,请参见导入第三方数据源。 通过管理后台的登录地址,登录飞连管理后台。在左侧导航栏,选择身份管理 > 部门与成员。说明 如果您在导航栏未查看到相应的功能模块,可以在导航栏单击全部功能进行查找。 在部门架构右侧,单击加号(+),并单击部门。![]() ![]() 飞连的 VPN 节点用于企业员工远程连接企业内网进行办公。您可以根据企业实际需要,选配 VPN 节点。关于 VPN 节点的部署架构以及节点服务器的配置要求,请参见节点部署说明。操作步骤 在飞连管理后台的左侧导航栏,选择 VPN 管理 > 节点管理。在 VPN 节点管理页面的可配置节点卡片中,单击点击配置。![]() 配置基本信息,然后单击下一步。 说明 涉及 IP 地址的配置项,您需要根据实际环境与配置完成填写。 节点名称:设置 VPN 节点的中文名称以及英文名称。例如,中文名称为中国-杭州,英文名称为 CN-HZ。DNS 服务器(主用):通过 VPN 节点下发的 DNS 地址,一般输入为内网 DNS 地址。DNS 服务器(备用):备用节点的 DNS 服务器 IP 地址。不支持与主用 DNS 服务器相同的 IP 地址。内网 IP:VPN 节点的内网 IP 地址。公网 IP:VPN 节点映射的公网 IP 地址。控制端口(TCP):客户端探活及配置下发的端口,建议填写为 443,支持修改为其他端口号。数据端口(TCP / UDP):VPN 数据传输的端口,建议填写为 80,支持修改为其他端口号。是否启用网络地址转换(NAT): 启用(使用虚拟 IP 池):若使用虚拟 IP 地址池, IP 地址池的地址可以设为内网未规划的网段,例如内网的 IP 范围是 192.168.0.0/16,则 IP 地址池设置为 10.10.10.0/24。不启用(使用公司内网 IP 池):若使用虚拟 IP 地址池,IP 地址池的地址可以设置为内网已规划且未使用的网段。例如原来网络规划是 192.168.10.0/24 ,此时需要在本企业的内网交换机配置 192.168.20.0/24 网段的路由网关为 VPN 节点的内网 IP。IP 池:指定具体的 IP 池范围。不能和企业内网的现有地址段冲突。传输协议:飞连客户端封包类型,建议保持默认设置(即自动选择 TCP 与 UDP),因为某些网络会丢弃 UDP 包。客户端上行限速:限制单个用户最大上行速度,单位 KB/s。例如取值为0,代表不限速。客户端下行限速:限制单个用户最大下行速度,单位 KB/s。例如取值为0,代表不限速。根据页面提示,在 VPN 节点对应的服务器中完成部署安装,然后单击下一步。 在部署 VPN 节点前,请确保部署 VPN 节点的宿主机已经关闭 firewalld 服务和 SELinux。检查以及关闭服务的命令如下: // 关闭 firewalld: sudo systemctl status firewalld // 检查状态是否为活跃(active)状态。 sudo systemctl stop firewalld // 关闭 firewalld 服务。 sudo systemctl disable firewalld // 禁止开机启动。 sudo systemctl status firewalld // 再次检查状态是否为加载(loaded)状态。 // 关闭 SELinux: sudo getenforce // 检查 SELinux 状态是否为 Enforcing,如果是则执行下一条命令临时关闭 SELinux。 sudo setenforce 0 // 临时关闭 SELinux,否则会影响日志自动 rotate。该方式在机器重启后会重新打开 SELinux。说明 永久关闭 SELinux 方式:vi /etc/selinux/config 编辑文件,将文件内 SELINUX=enforcing 修改为 SELINUX=disabled,保存退出文件,并重启机器。 进行连通性测试,确保 VPN 节点所在服务器可以正常通信后,单击完成。 配置 VPN 权限您可以在飞连管理后台配置 VPN 节点在企业内的使用范围,以及员工连接该 VPN 节点后可访问的网络资源范围。操作步骤 在飞连管理后台左侧导航栏,选择 VPN 管理 > 使用权限。在 VPN 使用权限页面右上角,单击部分启用。在部门权限区域,单击添加部门,然后在弹出的搜索框中输入测试部门1进行搜索,然后选择测试部门1并单击确认。在飞连管理后台左侧导航栏,选择 VPN 管理 > 访问权限。在 VPN 访问权限页面上方,单击切换模式,然后在切换默认模式对话框中,选择默认开放模式并单击确定。 默认模式说明: 默认开放模式:该模式下所有员工可以通过 VPN 节点访问全部网络资源。后续手动设置的访问策略将用于限制指定网络资源的访问权限。默认拒绝模式:该模式下所有员工禁止通过 VPN 节点访问任何网络资源。后续手动设置的访问策略将用于授权指定网络资源的访问权限。在 VPN 访问权限页面中,新增一条网络资源访问限制。 在网络资源页签,单击新增资源。在新增资源对话框,完成以下配置,并单击确定。 例如添加www.example.com网络资源。![]() ![]() ![]() 飞连的 Wi-Fi 管理模块提供了员工 Wi-Fi、RADIUS 服务器、无线 AC 或交换机的对接配置。您可以根据企业实际需要,选择配置企业的 Wi-Fi 网络、有线网络。本章节以配置企业 Wi-Fi 网络为例,介绍具体操作步骤。关于 RADIUS 节点的部署架构以及节点服务器的配置要求,请参见节点部署说明。 配置 RADIUS 节点企业管理员登录飞连管理后台。在左侧导航栏,选择 Wi-Fi 管理 > 使用配置。在使用配置页面的 RADIUS 服务器页签,单击点击配置。![]() ![]() ![]() 说明 Wi-Fi SSID 为员工客户端内显示的 Wi-Fi 名称。Wi-Fi SSID 的名称需要和您的无线接入点 WLAN 名称保持一致。在飞连管理后台完成 Wi-Fi 配置后,您还需要在对应的路由设备上完成 Wi-Fi 配置,这样才可以正常使用员工 Wi-Fi 功能。![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() 说明 如果您没有在 AC 中配置动态授权,则当飞连对指定终端进行 Wi-Fi 降级时,需要在 AC 中进行重认证或者在飞连客户端主动断开 Wi-Fi 连接并重连。如果您在 AC 中配置动态授权,则可以实现终端触发动态控制的规则组时,由飞连主动告知 AC 调整其权限。使用 SSH 登录 AC。 在命令行中运行以下命令进行配置。 system-view radius dynamic-author server client ip key simple port 3799其中: 在飞连管理后台相应的 RADIUS 节点中获取。![]() ![]() ![]() ![]() ![]() 说明 iOS 客户端会直接上架在 App Store,此处主要设置更新策略。 上传包文件:将本地的飞连客户端安装包上传至飞连后台。说明 企业管理员可登录飞连控制台获取各个操作系统的安装包。此外,企业管理员也可以联系飞连技术人员获取安装包。在获取安装包后,请勿修改文件名,否则将影响飞连自动读取版本号。 版本号:安装包上传完成之后,飞连将自动读取版本号。支持企业管理员再次修改版本号(需要输入三位数字或大于三位数字的版本号)。Build Number:如果您设置了一个重复的版本号,则需要填写 Build Number。该字段会在飞连文件名称中附带,以区分新旧版本。更新信息、更新信息(英文):输入更新信息,在客户端推送更新通知时,该信息将会展示给客户端用户。生效对象:当前客户端版本生效范围,全员即全量生效,部分即灰度生效。如果设置部分生效,则还需要指定生效的部门或角色范围。上线状态:设置该版本的上线状态,上线后将会被展示在客户端下载页面。提示更新:开启后,如果用户当前处于非最新版本,将会收到提示更新的弹窗,并非强制用户更新。强制更新:该配置项存在于新建版本之后重新编辑存量版本时的配置项内。对于同一个操作系统的不同版本,您可以在存量版本上设置强制更新的逻辑。当强制更新开启后,系统会检测用户可升级到的最新版本并强制进行版本更新。步骤六:安装并登录飞连客户端企业员工登录飞连门户网站。 请联系企业管理员获取飞连门户网站的访问地址。在首页右上角单击客户端下载图标,然后根据实际的终端系统选择下载匹配的飞连客户端。 您需要查看并保存企业识别码,该识别码用于激活飞连客户端。![]() 至此飞连的基础配置操作已完成。关于企业管理员操作的更多信息,请参见管理员操作指引。 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |