使用子网网关

1 关于子网网关

    当飞网客户端应用程序直接安装在您企业中的每台客户端、服务器和虚拟机上时,飞网的使用效果最好。 通过这种方式,流量被端到端加密,而且在任何物理位置之间移动设备不需要任何配置。

    但是,在某些情况下,一类设备不能够或者不允许在其内部安装额外的功能,我们管它们叫做哑终端设备或者特殊需求的设备, 比如打印机、监控摄像头、无法扩展的嵌入式设备、禁止修改的第三方设备等。

    在这些情况下,您可以通过在某台设备上开启飞网的“子网网关”功能,将该设备可以访问的一个或多个子网加入到飞网中, 加入飞网内的其他设备就可以透过这台设备访问其子网内的所有设备。

2.配置子网网关

2.1 在设备上开启子网网关

    确定开启子网网关的设备(目前仅限Linux与Windows系统)与子网网段,在该设备中按照如下命令操作:

Windows

gmzta on --subnetnode=192.168.1.0/24,10.10.8.0/24

将上面示例中的子网替换为自己的网段,可以是IPV4或者IPV6。

Linux

此功能需要先启用IP转发

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p /etc/sysctl.conf

    开启子网网关的功能,将局域网所在内网网段暴露给飞网

sudo gmzta on --subnetnode=192.168.1.0/24,10.10.8.0/24

将上面示例中的子网替换为自己的网段,可以是IPV4或者IPV6。

2.2 通过控制面板启用子网网关

    在控制面板中打开“设备详情”页面,然后找到开启子网网关的设备,点击“编辑”,在允许的网段上打开开关,最后点击保存。

3 为允许访问的子网添加NACL规则

    如果已有允许访问转发子网的规则,或者使用默认“全部允许”的规则,则不再需要执行此步骤。

    在控制面板中打开“访问控制”页面,编辑您的访问控制策略,创建允许访问子网的ACL规则 此ACL的作用:允许用户标识为“testuser@teamnetwork”访问“192.168.1.0/24","10.10.8.0/24"这两个网段里的设备。

{
  "Acls": [
    {
      "Action": "accept",
      "Src": [
        "testuser@teamnetwork"
      ],
      "Dst": [
        "192.168.1.0/24:*","10.10.8.0/24:*"
      ]
    }
  ]
}

4 允许使用子网网关

    在另一台需要访问子网的设备,您需要先执行“允许使用子网网关”的操作 Windows、macOS和 Android 上的客户端默认允许使用子网网关,对于Linux客户端运行--subnet命令启用此功能

sudo gmzta on --subnet=true

    用户标识为testuser@teamnetwork下的设备即可通过子网网关访问到“192.168.1.0/24","10.10.8.0/24"这两个子网网段里的设备。

5 更新子网网关

    若要更新子网网关,请对新路由执行步骤2到3。

6 关闭子网网关

    可以通过在开启子网网关的Linux或Windows设备上使用命令gmzta on --subnetnode=将子网网关的配置设置为空来关闭子网网关的功能。

    或者将之前在“控制面板”上将开启的子网网段关闭。

上次更新: