远程办公或远程组网方案对比：简单又安全的飞网公司有远程安全访问需求：员工需在家或临时办公地访问公司服务器资料及内部业务系

一、对比其他组网工具，飞网的优势是什么

说一下我们公司的需求：公司服务器上存了一堆资料，需要员工在家里或公司的临时办公地点，安全地访问这些资料。另外公司还有一些内部业务系统，基于安全的考虑也没有直接暴露在互联网，现在也需要员工在家里或公司的临时办公地点访问这些内部的业务系统。

为了满足远程访问需求，我们比较了多种组网工具： ZeroTier 中心化控制有安全隐患，国内延迟高，扩展需技术支持；FRP 需自建服务器，易暴露内网，配置复杂，性能受限；Cloudflare Tunnel 流量需中转，国内访问可能不稳，扩展有限。相比之下，飞网采用零信任架构和全网加密确保高安全性，配置简单，点对点直连提供低延迟高性能，支持一键扩展设备与子网，是目前已有方案中的最佳选择。我们公司最终决定使用飞网。

组网工具横向对比：

对比维度	飞网	ZeroTier	FRP	Cloudflare Tunnel
安全性	零信任架构/全网加密/权限严格	端到端加密/中心化控制平面有风险	依赖自建服务器/服务器入侵风险高	依赖Cloudflare信誉/流量中转
易用性	一键配置/极简操作	需技术配置/国内访问复杂	配置复杂/需技术背景	配置简单/国内访问偶有卡顿
性能	点对点直连/速度快	国内延迟高/需境外中继	速度依赖服务器带宽/易卡顿	国内需绕行海外/延迟较高
功能扩展性	一键扩展设备/子网	扩展需自建或付费/较复杂	扩展需手动配置/依赖公网IP	扩展受账户限制/功能单一
适用场景	个人/企业级便捷组网	技术团队/可接受中心化架构	有公网服务器资源的技术团队	轻量级Web服务暴露/无公网IP场景

这篇文章会用大白话，带你从零了解飞网及飞网子网网关，演示如何利用飞网远程访问公司内网的网络资源。

二、场景说明：远程访问公司内部的网络资源

为了让大家更明白远程访问的过程，我以在家访问公司的场景为例来介绍：

家：一台安装了飞网客户端程序的电脑（称为“Home PC”）。
公司：一台安装了飞网客户端程序并设为子网网关的电脑（称为“Gateway PC”）、一台未安装飞网客户端程序的服务器（称为“Work PC”）以及若干未安装飞网客户端程序的设备。
目标：家里电脑Home PC，通过公司电脑 Gateway PC 作为桥梁，直接访问公司服务器 Work PC 。

下面咱们详细聊聊飞网和它的子网网关功能是怎么做到这一点的！

三、飞网是什么

飞网是一款专注于网络安全，并且提供了远程组网功能的、强大的网络安全工具，能让不同网络里的设备像在同一个网络里一样互相访问。它本质上组建了一个“虚拟网络”，把不同位置的设备连起来，操作简单，速度快，还很安全。

飞网维护了很多个独立的“虚拟网络”（类似于多租户），不同的设备可以选择加入不同的“虚拟网络”。使用飞网需要安装飞网客户端程序，两个或多个安装了飞网客户端程序的设备之间，且在同一个"虚拟网络"内部时，可以根据访问控制策略的配置进行通信（默认可以互相访问）。但公司内网中不是所有的设备都安装了飞网客户端程序，这时候就用到了飞网客户端程序中的子网网关功能。

四、飞网的子网网关是什么

飞网的子网网关功能相当于把某个设备所在的子网网络（例如：该设备的网络为192.168.1.0/24）快速加入到飞网网络中。但这个子网只能被访问，不能主动访问飞网中的网络资源。

子网网关就像一个“网络中转站”。让公司里一台装了飞网客户端程序电脑当“中间人”，把飞网的网络访问转发到公司内部网络里的其他设备。举例来说：你家里的电脑装了飞网客户端程序，公司也有一台电脑装了飞网客户端程序，但公司还有未安装飞网客户端程序的设备。子网网关就像一座“桥”，让家里的电脑通过公司已经装了飞网客户端程序的电脑，访问到公司网络里的未安装飞网客户端程序的设备。

如果你在家想访问公司服务器上的文件，或者访问公司内网的业务系统。只要公司有台装了飞网客户端程序的电脑，并将这台电脑设成子网网关，你就能在家直接访问这些设备，感觉就像坐在公司办公室里一样！

五、配置过程

5.1、安装飞网客户端程序

你需要在家里的电脑和**公司的一台电脑（一会要配置子网网关）**上装好飞网客户端程序。
飞网客户端程序支持多平台： Windows、macOS、Linux 、Android等。
飞网客户端下载地址：www.gmzta.com/download

安装过程（本文以Windows为例）：

安装好后，程序自动运行在桌面右下角系统托盘里。这时图标是黑色的，说明还没有登录飞网。

5.2、登录飞网

a、使用提醒

你家里的电脑及公司内设置成子网网关的电脑都需要登录飞网。
注册并登录飞网时，系统会自动为你的账号创建一个个人网络。
如果你是个人用户，那么你的多个设备需要登录同一个飞网账号，这样你的设备才能连到同一个飞网网络。
如果你是团队/企业用户，可以申请创建一个团队网络，团队里的每个人可以使用自己的账号登录飞网，并加入到团队网络中。
登录后，飞网会给每台设备分配一个特殊IP地址（比如100.A.B.C），通过这个IP地址，就可以互相通信了。

b、点击登录按钮或命令行登录

1、点击登录按钮登录

下载安装之后需要运行并登录飞网终端程序。
在桌面上双击飞网图标。
用户可以在系统桌面右下方托盘处右击飞网图标，点击“登录飞网”。
点击后，会弹出一个浏览器页面，选择登录方式登录即可。

2、命令行登录

以Windows系统为例：按Win+R,输入cmd打开命令行，输入命令：gmzta login（飞网客户端程序名是gmzta，可以使用“gmzta -h”查看更多的命令），命令行会弹出登录地址，将此地址复制到浏览器进行登录即可。

$\color{red}{注意：在Windows中，执行“gmzta login”需要同时运行飞网桌面的托盘程序，其他操作系统无此要求。}$

c、创建网络或登录已有的网络

你可以选择下面的任意方式进行注册登录。系统为每个账号自动创建一个个人网络。

个人用户的个人网络是完全免费的，团队/企业用户的团队网络可由团队管理员自行创建开通。无论是个人用户还是团队用户，登录对应的网络后，才能访问该网络中的网络资源。

1、使用飞网IAM登录网络

在弹出的网页中或者从命令行复制的网址访问到的页面中点击使用飞网IAM登录。

如果你没有账号，需要先进行注册账号,输入用户名与密码后绑定手机号，注册成功后填写用户名及密码进行登录。

2、微信或支付宝登录

点击使用微信或支付宝扫码登录即可，此处略。

3、 Email登录

第一次使用 Email 登录需填写邮箱地址及密码进行注册，注册成功后返回输入账号和密码进行登录。

d、登录后注意要选择需要加入的网络

登录后，系统马上会要求你选择需要加入的网络。

如果你需要加入你自己的个人网络，登录页面选择个人网络即可。

如果是团队用户，则需要选择对应的团队网络（每个人最多可以加入4个团队网络）。系统提供了一个演示用的团队网络，有需要的可以加入这个团队网络自行体验。

选择并加入到飞网网络后，会进入到飞网控制面板页面(nac.gmzta.com/)。

飞网客户端程序会提示登录成功，在桌面的右下方有弹窗提示。

5.3、设置子网网关

a、通过命令行开启

以我的情况为例，我需要访问公司内网，那么要将公司那台安装了飞网客户端程序的电脑 Gateway PC 配置成子网网关。

假设公司内部网络的IP段是192.168.1.0/24，需要在 Gateway PC 上输入命令，告诉飞网它要负责转发这个网络的流量。

在公司电脑 Gateway PC 上，打开命令行（Windows用CMD或PowerShell，Mac/Linux用终端）。

如果你的飞网客户端程序处于在线状态（飞网图标呈白色），推荐你使用此命令：

gmzta set --subnetnode=192.168.1.0/24
如果你的飞网客户端程序处于登出状态，推荐你使用此命令：

gmzta login --subnetnode=192.168.1.0/24 命令行会提示你需先登录，点击或复制网址到浏览器进行登录。
如果你的飞网客户端程序处于离开状态，推荐你使用此命令：

gmzta on --subnetnode=192.168.1.0/24

如果你不了解飞网客户端程序处于什么状态，请参考6.4、离开飞网、6.5、登出飞网。

如果你想调整子网网关的范围，请参考6.2、调整子网网关的范围。

如果你想关闭子网网关，请参考6.3、关闭子网网关。

飞网子命令说明请参考6.1、飞网的子命令。

$\color{red}{注意：登出飞网后子网网关会关闭，需要在命令行重新开启子网网关。}$

b、路由批准

$\color{red}{注意：如果你加入的是个人网络，系统将自动进行路由批准。}$

如果你加入的是团队网络，那么在命令行开启子网网关后，需要管理员在飞网控制面板（nac.gmzta.com/）中手动批准。

进入飞网控制面板，点击“设备清单”，点击“查看详情”，点击“网关管理”。

在弹出页面中，通过按钮批准该网段。
或者进入飞网控制面板，点击“子网网关”，点击“查看详情”，通过按钮批准该网段。

c、在控制面板查看设备状态

$\color{red}{注意：只有个人用户或团队网络的管理员可以通过控制面板查看设备状态。}$

你可以通过“nac.gmzta.com/”网址访问控制面板，或可以右击飞网托盘程序，点击 “当前用户” ，再点击 “控制面板” 即可进入飞网控制面板网页。

点击“设备清单”可以看到设备状态，图中显示公司电脑 Gateway PC 已经开启子网网关。

5.4、家里电脑访问公司设备

现在，家里的电脑 Home PC 上（已经装并登录飞网），可以访问到公司的子网网关设备，并通过子网网关访问公司内网。

a、Ping测试

家里电脑 Home PC 可以ping一下公司里设置成子网网关的电脑Gateway PC,测试一下连通性。

首先，打开飞网控制面板，选择“设备清单”，进入页面后，点击小三角图标，点击“复制图标”即可复制成功。

或者，在飞网托盘程序左键点击“授权设备”，点击“我的设备”，可以看到已经授权的设备名称，点击一下即可复制成功。

你可以选择ping：

设备名称（例如：GatewayPC)

设备域名（例如：gatewaypc.gmneb388.gmzta.net)

设备IP（IPV4或IPV6）

ping 设备名称（设备名称本质是设备域名的缩写）：

将复制的设备名称粘贴到命令行。

ping域名：

将复制的域名粘贴到命令行。

此时，家里电脑 Home PC 能够收到回复，图中显示家里电脑 Home PC 与公司Gateway PC成功连接。

b、远程桌面

如果公司内网设备支持远程桌面（如 Windows 服务器），使用远程桌面客户端输入IP、用户名、密码后连接到你想要连接的设备，这里我连接的是公司服务器（IP 为192.168.1.223）。

六、补充事项

6.1、飞网的子命令

在命令行输入：gmzta -h，可以查看飞网的命令行工具的帮助信息。

命令的基本格式：gmzta [参数] <子命令> [子命令参数]

输入 gmzta on -h ,显示 on子命令的详细帮助信息,在下方可以看到用到的子网网关命令。

如果你还想进一步了解飞网的相关信息，请参考： www.gmzta.com/。

6.2、调整子网网关的范围

我的飞网客户端程序处于在线状态，这里我使用 gmzta set --subnetnode 命令配置。

如果想要调整子网网关范围，根据我的情况，我通过公司电脑GatewayPC 只访问公司的一台服务器（IP为192.168.1.223），也可以输入以下命令：

gmzta set --subnetnode=192.168.1.223/32
或者如果需要指定多个子网范围，可以用逗号分隔:

gmzta set --subnetnode=192.168.1.0/24，192.168.2.0/24
你也可以借助子网掩码计算工具来计算需要配置的网段。

子网掩码计算器 - 在线工具网：

tool.hiofd.com/subnet-mask…

tool.chinaz.com/tools/subne…

6.3、关闭飞网子网网关

$\color{red}{注意：团队网络中的成员只可通过命令行关闭子网网关。}$

如果你不再希望飞网网络中的其他设备访问你配置的子网，进入飞网控制面板，点击“设备清单”，点击“查看详情”，点击“网关管理”。

在弹出页面中，通过按钮关闭子网网关。
或者你可以在飞网控制面板中点击“子网网关”页面，通过点击按钮进行关闭。
也可以通过命令行关闭子网网关，输入此命令： gmzta set --subnetnode=