IRIS-Cloud
本文档旨在指导企业IT管理员为拥有3个及以上办公地点的组织构建安全、高效的网络互联解决方案。完成本文档配置后,您将实现:
多分支互联互通- 北京总部、上海分部、深圳办事处等多地点网络无缝连接
远程安全接入- 员工从任意地点通过VPN访问企业资源
集中化管理- 通过统一控制台管理所有分支机构网络
智能流量控制- 按优先级分配带宽,保障关键业务
安全访问控制- 实现分支间访问权限隔离与管控
适用场景: 连锁企业、多地办公团队、集团公司等拥有3个以上物理办公地点的组织
预计完成时间: 60-90分钟(含所有分支网关部署)
已完成IRIS Cloud企业认证(登录 https://passport.iris-cloud.cn/App)
账户角色为组织管理员
账户余额充足(建议预充200元易瑞斯币)
每个分支机构准备:
Linux服务器1台(推荐配置:4核CPU、8GB内存、50GB磁盘)
公网IP地址(或可通过NAT映射访问)
网络带宽≥ 20Mbps(保障分支间通信质量)
提前规划避免IP冲突:
分支机构 | 网桥地址段 | VPN地址池 | 内网网段 |
北京总部 | 192.168.100.0/24 | 10.8.0.0/24 | 172.16.1.0/24 |
上海分部 | 192.168.101.0/24 | 10.8.1.0/24 | 172.16.2.0/24 |
深圳办事处 | 192.168.102.0/24 | 10.8.2.0/24 | 172.16.3.0/24 |
所有分支机构服务器需开放:
TCP 22(SSH)、10000(API)、10002(链路TCP)、3200(VPN)、9100(监控)
UDP 4500(隧道加密)、8472(VxLAN)
①登录北京总部服务器(SSH工具):
ssh root@北京服务器公网IP
②下载并执行一键部署脚本:
wget https://download.iris-cloud.cn/irisnode/V2.2.0/node-installer.sh chmod +x node-installer.sh ./node-installer.sh
③获取API Token:
cat /opt/irisnode/etc/irisnode/switch/token
复制冒号前的值,例如:a1b2c3d4e5f6:root→ 复制 a1b2c3d4e5f6
④在控制台添加网关:
左侧菜单点击**"网关节点"** → "添加网关"
填写信息:
网关名称: 北京总部网关
公网IP: 北京服务器IP
API Token: 粘贴步骤③的Token
SSH用户名/密码: 服务器登录信息
⑤确认网关状态为**"在线"**(绿色图标)
重复步骤1.1,分别在上海、深圳服务器执行,网关命名为上海分部网关、深圳办事处网关。
①控制台点击**"虚拟网络"** → "添加网络":
网络名称: 北京总部网络
选择组织: 您的企业名称
绑定网关: 北京总部网关
②进入网络详情,点击**"修改网络"**配置参数:
网桥配置:
勾选"配置子网"
网桥地址: 192.168.100.1/24
VPN配置:
勾选"开启VPN"
协议: TCP
监听端口: 3200
VPN地址池: 10.8.0.0/24
DNS服务器: 8.8.8.8(可留空)
开启SNAT
③点击**"启用该网络"**,状态显示为"运行中"
重复步骤2.1,参数调整为:
上海: 网桥192.168.101.1/24,VPN池10.8.1.0/24
深圳: 网桥192.168.102.1/24,VPN池10.8.2.0/24
实现北京↔上海、北京↔深圳、上海↔深圳双向互联。
①进入**"北京总部网络"详情** → "链路列表"→ "添加链路":
链路名称: 北京到上海-VxLAN
本地网络: 北京总部网络
输出协议: VxLAN
对端网关: 上海分部网关
对端网络: 上海分部网络
分段号: 1001
重要: VxLAN/GRE协议需要双向配置!
进入**"上海分部网络"详情** → "链路列表"→ 添加:
链路名称: 上海到北京-VxLAN
对端网关: 北京总部网关
对端网络: 北京总部网络
分段号: 1001(必须与步骤3.1相同)
按相同方式配置:
北京↔深圳(分段号1002)
上海↔深圳(分段号1003)
验证: 所有链路状态显示为**"已连接"**(绿色)
使各分支可以访问其他分支的内网资源。
进入**"北京总部网络"** → "路由管理"→ "添加路由":
添加到上海的路由:
路由网段: 172.16.2.0/24(上海内网)
转发模式: SNAT
选择网络: 北京总部网络
添加到深圳的路由:
路由网段: 172.16.3.0/24(深圳内网)
转发模式: Route
参照步骤4.1,在上海网络添加到北京/深圳的路由,深圳添加到北京/上海的路由。
为关键业务(如视频会议)预留带宽。
①进入任意网络详情 → "QoS配置"→ "添加":
上行限速: 50MB(为普通办公用户限速)
选择用户: 选择需要限速的VPN用户
建议策略:
普通员工: 限速50MB
管理层/关键业务: 不限速
①点击右上角头像 → "个人中心"→ "添加VPN用户":
用户名: zhangsan@beijing
选择网络: 北京总部网络
密码: 设置强密码
过期时间: 2025-12-31
②创建后点击**"同步"**按钮推送到网关
上海: lisi@shanghai→ 绑定上海分部网络
深圳: wangwu@shenzhen→ 绑定深圳办事处网络
①员工下载客户端(https://www.iris-cloud.cn/download_12)
②打开客户端填写:
请求地址: controller.iris-cloud.cn
用户名: zhangsan@beijing
密码: 步骤6.1设置的密码
③连接成功后验证:
# Windows终端执行 ipconfig # 应看到VPN网卡,IP为10.8.0.x ping 192.168.101.1 # 测试到上海网关的连通性 ping 172.16.2.10 # 测试访问上海内网资源
限制分支间的访问权限,例如禁止深圳访问北京财务系统。
①进入**"北京总部网络"** → "接入控制"→ "添加":
名称: 禁止深圳访问财务系统
源地址: 172.16.3.0/24(深圳内网)
目的地址: 192.168.100.50(财务服务器网桥地址)
目的端口: 3306(数据库端口)
协议: TCP
行为: Drop(拒绝)
分支间互联:
北京员工可ping通上海/深圳网关
上海员工可访问北京/深圳内网资源
深圳员工可访问上海/北京内网资源
VPN远程接入:
所有分支员工可从家中/出差地接入对应分支网络
接入后可访问本分支及其他分支资源(受访问控制策略限制)
控制台状态:
网关节点列表显示3个网关均为**"在线"**状态
网络拓扑图显示3个网络节点互联
链路列表所有链路状态为**"已连接"**
指标 | 预期值 | 验证方法 |
分支间延迟 | <50ms(同城) <100ms(跨省) | ping测试 |
VPN连接速度 | >10Mbps | 下载测试文件 |
链路稳定性 | 99.5%在线率 | 查看链路监控数据 |
用户认证时间 | <3秒 | 客户端登录计时 |
加密传输: 所有分支间流量经IPSec/TLS加密
用户认证: 所有VPN用户必须通过企业认证
权限隔离: 访问控制策略按需生效
审计日志: 控制台可查看所有用户连接记录
星型拓扑(推荐3-5个分支)
总部作为中心节点,其他分支与总部建立链路
优点:配置简单,总部可集中控制
适用:总部有充足带宽,分支间通信需求不大
全网状拓扑(推荐5个以上分支)
每个分支与所有其他分支建立直连链路
优点:延迟最低,无单点故障
适用:分支间有大量数据交互需求
混合拓扑(推荐大型企业)
重要分支全互联,小办事处仅连总部
优点:平衡性能与管理复杂度
总部: 10.0.0.0/16 一级分支: 10.1.0.0/16, 10.2.0.0/16... 二级办事处: 10.100.0.0/16, 10.101.0.0/16... VPN地址池: 172.16.0.0/12 网桥网络: 192.168.0.0/16
启用双因素认证: 控制台 → 安全设置 → 开启MFA
定期更换VPN密码: 建议每90天强制更换
最小权限原则: 仅开放必要的访问权限
启用日志审计: 保留至少6个月的连接日志
定期备份配置: 每周导出网络配置备份
带宽分配策略:
关键业务(ERP/OA): 保障50%带宽
视频会议: 预留30%带宽
一般办公: 20%带宽
链路协议选择:
VxLAN: 推荐用于内网互联,支持大二层网络
IPSec: 推荐用于跨公网加密传输
GRE: 适用于简单隧道场景
文档版本: v1.0
最后更新: 2025年1月
适用产品: IrisCloud V2.2.0及以上版本
文档状态: 正式发布
注意事项:
1.本文档中的IP地址、域名仅为示例,实际部署请根据企业网络规划调整
2.生产环境操作前建议先在测试环境验证
3.重要配置变更请提前备份并在业务低峰期执行
4.如遇问题请及时联系技术支持团队
反馈渠道: 如您在使用过程中发现文档问题或有改进建议,请发送邮件至 docs@iris-cloud.cn
