摘要：想象一下，你出差在外或在家办公，想打开公司的ERP系统查看数据，输入熟悉的erp.company.com，却发现连不上。为什么？因为这个域名只有在公司网络中才能正常解析，家里或其他地方的网络无法识别。你可能需要记一串复杂的IP地址，或者频繁调整网络配置，这不仅

一、应用场景：使用原有域名轻松访问公司内部系统

想象一下，你出差在外或在家办公，想打开公司的ERP系统查看数据，输入熟悉的erp.company.com，却发现连不上。为什么？因为这个域名只有在公司网络中才能正常解析，家里或其他地方的网络无法识别。你可能需要记一串复杂的IP地址，或者频繁调整网络配置，这不仅麻烦，还可能因配置错误导致访问失败。以下介绍如何通过飞网的DNS分离解析功能，让你在家也能像在公司网络中一样，使用原有域名轻松访问内部系统。

为了让你更加了解这个过程，我以在家使用公司的原有域名" "访问公司的ERP系统为例：

公司 ：一台已经安装了飞网客户端程序的公司DNS服务器DNS Server、一台安装了飞网客户端程序并设置成子网网关的电脑Gateway PC 以及 公司的ERP系统。

家 ：一台已经安装了飞网客户端程序的电脑 Home PC。

目标 ：家用电脑 Home PC 通过erp.company.com访问 公司 ERP系统。

下面咱们详细聊聊 飞网和它的DNS分离解析功能 是怎么做到这一点的！这一功能允许你在不同网络环境中为特定域名指定专属DNS服务器，从而实现无缝访问。

二、飞网是什么

飞网是一款提供网络安全与远程组网功能的工具，能让不同网络中的设备像在同一局域网内互相访问。它通过构建“虚拟网络”把设备连接起来，支持跨地域互通并提供加密保护。

飞网维护了很多个独立的“虚拟网络”（类似于多租户），不同的设备可以选择加入不同的“虚拟网络”。使用飞网需要安装飞网客户端程序，两个或多个安装了飞网客户端程序的设备之间，且在同一个”虚拟网络”内部时，可以根据访问控制策略的配置进行通信（默认可以互相访问）。

三、DNS分离解析是什么

DNS分离解析是飞网的一项功能，允许为特定域名指定专用DNS服务器。而其他域名由用户在飞网配置的全局DNS服务器（由用户自定义，你可以使用公共DNS服务器，也可以使用自己的DNS服务器）。

它的优点包括：

1. 无缝用户体验

员工继续使用熟悉的内网域名，无需额外学习。

远程访问与办公室体验一致，切换无感知。

2. 低维护成本

现有业务系统无需修改配置。

DNS设置在飞网后台统一管理，配置简单。

3. 智能网络访问

公司域名由公司DNS服务器解析，公网域名由全局DNS服务器解析。

公网访问不占用公司网络带宽，提升性能。

4. 高安全性

DNS查询通过加密隧道传输。

防止公网DNS请求被窃听，保护隐私。

四、配置步骤

以下以示例场景为基础，介绍具体的配置步骤。

4.1 配置前的准备

开始配置前，需要完成以下准备工作：

a. 安装飞网客户端

在家用电脑 Home PC 、公司DNS服务器 DNS Server以及公司设置成子网网关的电脑 Gateway PC

b. 注册或登录飞网账号

家用电脑 Home PC 、公司DNS服务器 DNS Server 以及 公司设置成子网网关的电脑 Gateway PC 都需要登录飞网。

注册并登录飞网时，系统会自动为你的账号创建一个个人网络。

如果你首次 使用飞网IAM或 Email登录,需要先注册账号，或者你可以选用微信、支付宝登录。

登录后，飞网会给每台设备分配一个特殊IP地址（比如100.A.B.C），通过这个IP地址，就可以互相通信了。

c. 加入到同一个飞网网络

登录成功后，你需要选择加入到个人网络或团队网络（团队网络需申请），但确保家用电脑Home PC 、公司DNS服务器 DNS Server以及公司设置成子网网关的电脑 Gateway PC加入到同一个飞网网络，这样它们才能互连。

具体安装、登录步骤参考： https://blog.csdn.net/2401_83390557/article/details/150519375?spm=1001.2014.3001.5502

4.2 配置子网网关

子网网关是一台运行飞网客户端程序的设备（在本例中为公司内的 Gateway PC），通过配置，它可以将公司内网的某些地址（如 172.16.1.10/32）“暴露”给飞网网络中的其他设备。换句话说，子网网关充当了飞网网络与公司内网之间的“桥梁”，使飞网网络中的设备（如家用电脑 Home PC）可以通过飞网的加密隧道访问公司内网的ERP系统。

以 Windows 为例：按Win+R,输入cmd打开命令行。

需要在公司设置成子网网关的电脑 Gateway PC上执行以下命令：

gmzta set –subnetnode=172.16.1.10/32

注意：如果你加入的是团队网络，需要管理员登录飞网控制面板（https://nac.gmzta.com/），点击“设备清单” 或 “子网网关” 页面批准172.16.1.10/32。

具体步骤可参考：https://blog.csdn.net/2401_83390557/article/details/149929636?spm=1001.2014.3001.5502

4.3 配置全局DNS服务器

全局 DNS 服务器用于处理不匹配 DNS分离解析规则的域名查询（如 baidu.com），确保员工家用电脑（Home PC）在访问公网域名时获得可靠的解析，同时通过飞网的加密隧道保护查询安全。

配置全局 DNS 服务器需配合覆盖本地 DNS解析功能，强制设备使用飞网的 DNS 配置（包括 公司DNS服务器 和全局 DNS 服务器），确保公司域名（如 erp.company.com）正确解析为内网地址（如 172.16.1.10），并避免本地 DNS 服务器的干扰或安全风险。

个人用户 或 团队网络的管理员 进入飞网的控制面板，点击”DNS设置”,点击”添加”。

这里我添加的地址为8.8.8.8的全局DNS服务器（ 你可以使用公共DNS服务器，也可以使用自己的DNS服务器），设置完成，点击”保存”即可。

打开”“按钮，会提示你修改成功。

4.3 配置DNS分离解析

个人用户 或 团队网络的管理员 进入飞网的控制面板，点击”DNS设置”,点击”添加”。

输入公司DNS服务器 DNS Server的飞网IP：100.101.102.103 ，开启”“按钮，输入公司域名后缀：company.com，点击保存即可。

如有多个域名后缀，可添加多条规则。

4.4 测试访问

在命令行输入 gmzta dns info 命令，可以看到你的DNS配置。

在家用电脑 Home PC 上：

命令行执行 nslookup erp.company.com ，Home PC 向 DNS 服务器发送查询，请求 erp.company.com 的 IP 地址，并显示查询结果。

命令行执行 nslookup www.baidu.com ，Home PC 向 DNS 服务器发送查询，请求 nslookup www.baidu.com 的 IP 地址，并显示查询结果。

Addresses: 220.181.111.1, 220.181.111.232 表示 www.baidu.com 通过全局 DNS 服务器（ 8.8.8.8）解析为百度的公网 IP。

DNS分离解析前后访问效果对比：

以下为配置DNS分离解析后访问 公司ERP系统 及 外部网站 的流程示意图：

五、注意事项

5.1 DNS服务器在线

确保公司内部DNS服务器可通过飞网 IP (100.101.102.103)正常访问。

5.2 开启 " 使用飞网DNS配置 "

确认系统托盘中飞网客户端程序的 “使用飞网DNS配置” 选项已开启（右键客户端图标，点击“功能选项”）。

通过此方案，企业可以利用现有设备和简单配置，将传统内网服务安全地暴露给远程用户。

如果你对飞网的其他功能或高级用法感兴趣，也可以查阅相关技术文档。欢迎在评论区分享你的使用体验或遇到的问题！

来源：网络安全创新研究