本文介绍如何组合使用物理专线和IPsec-VPN,打通本地数据中心IDC和阿里云网络,实现客户端可以主备链路通过企业专网(私网)访问云桌面。
背景信息
开始操作前,您需要仔细阅读通过私网访问云桌面介绍。
本文主要介绍如何使用高速通道的物理专线和IPsec-VPN网关来打通本地和云上网络,实现主备链路私网访问云桌面,即:在物理专线和VPN链路都正常的情况下,本地IDC与无影云桌面之间的所有流量只通过物理专线进行转发;当物理专线异常时,本地IDC与无影云桌面之间的流量将切换至VPN链路进行转发。
准备工作
请完成以下网络规划和网关设备配置工作:
- 为本地IDC和网络实例规划路由协议。本文路由协议规划如下:
- 本地IDC网关设备与VPN网关之间配置静态路由。
- 本地IDC网关设备与边界路由器VBR之间运行BGP动态路由协议。说明 在VPN网关作为物理专线备份链路的场景下,路由协议说明如下:
- 如果VPN网关关联至一个独立的VPC(例如本文的用户VPC)中,则VBR必须使用BGP动态路由协议,VPN网关可以使用静态路由或BGP动态路由协议。
- 如果VPN网关关联至业务VPC(例如本文的工作区VPC)中,则VBR和VPN网关均需要使用BGP动态路由协议。
- 为本地IDC和各网络实例规划网段,确保网段之间没有重叠冲突。本文网段规划示例如下表所示,业务中请以实际情况为准。
配置目标 网段规划 说明 工作区VPC 172.16.0.0/12 桌面IP以及私网网关地址 用户VPC 192.168.0.0/16 您自行创建的VPC,用于建立VPN连接。 VBR 10.0.0.1/30 - VLAN ID:0
- 阿里云侧IPv4互联IP:10.0.0.1/30
- 客户侧IPv4互联IP:10.0.0.2/30
客户侧指本地IDC的网关设备
- BGP AS号:45104
本地IDC 192.10.0.0/16 无影云电脑客户端处于该网段内,将从该网段发起连接。 本地IDC的网关设备 10.0.0.2/30 - 公网IP地址:115.XX.XX.154
- 与物理专线连接的端口IP地址:10.0.0.2/30
- BGP AS号:65001
- 检查本地IDC网关设备,确保网关设备支持标准的IKEv1和IKEv2协议,以便和阿里云VPN网关建立连接。关于网关设备是否支持标准的IKEv1和IKEv2协议,请咨询网关设备厂商。
- 为本地IDC网关设备配置了静态公网IP。
按照网络规划,您需要在阿里云侧创建各网络实例,包括工作区对应的工作区VPC、用户VPC以及CEN实例等,对应的准备工作如下:
- 确认已有可用的云企业网实例,如果没有您需要创建云企业网。具体操作,请参见创建云企业网实例。
- 确认已有可用的专有网络,如果没有您需要创建专有网络,并将专有网络加入云企业网。具体操作,请参见创建专有网络和交换机或管理网络实例。
- 确认已有可用的工作区,如果没有您需要创建便捷工作区或AD工作区,并将工作区的VPC加入云企业网。具体操作,请参见创建或销毁便捷工作区或创建并配置AD工作区。重要
- 避免新建的工作区网段与云企业网已有网段或本地数据中心IDC网段存在冲突,创建工作区前,您需要规划工作区的IPv4网段。更多信息,请参见规划网段。
- 如果您之前已有便捷工作区,可以在无影云桌面控制台的安全办公网络页面将工作区对应的VPC加入云企业网CEN。
- 如果AD部署在云服务器ECS上,您需要将AD服务器所属VPC加入到云企业网CEN;如果AD部署在本地服务器上,需要先打通本地和云上网络,才能成功对接AD。您可以先创建一个AD工作区,打通网络后再完成AD域的配置。
- 确认已有可用的用户和云桌面并已为该用户分配云桌面,如果没有您需要根据工作区类型,创建相应的用户并为用户创建和分配云桌面。
- 关于如何创建用户,请参见创建便捷用户或创建并配置AD工作区。
- 关于如何创建并分配云桌面,请参见创建云桌面或将云桌面分配给用户。
- 准备连接云桌面的设备。说明
- 物理专线联合IPsec-VPN的方案适用于Windows客户端、Mac客户端和硬件终端。
- 验证是否能够通过私网连接云桌面需要登录无影云桌面的客户端,您可以在本地通过Windows客户端、Mac客户端、iOS客户端、安卓客户端、Web客户端、无影卡片式零终端ASC01、无影盒式零终端AS01或无影23.8寸一体机US01登录无影云桌面的客户端,然后通过企业专网连接云桌面。
步骤一:部署物理专线
- 创建物理专线。
- 创建边界路由器VBR。具体操作,请参见创建和管理边界路由器。需要注意的配置项说明如下表所示。
配置项 说明 示例 账号类型 创建VBR的账号类型。默认选择当前账号,为当前登录的阿里云账号创建VBR。 167998252992**** 名称 设置VBR的名称,自定义输入。格式规范请参考页面提示。 test-vbr 物理专线接口 选择VBR需要绑定的物理专线接口类型,确保物理专线施工完成且状态正常,然后在下拉列表中选择具体的物理专线接口。 / VLAN ID 输入VBR的VLAN ID,范围为0~2999。 - VLAN ID为0时,表示VBR的物理交换机端口不使用VLAN模式,而使用三层路由接口模式。三层路由接口模式下每一根物理专线对应一个VBR。
- VLAN ID为1~2999时,表示VBR的物理交换机端口使用基于VLAN的三层子接口。三层子接口模式下每个VLAN ID对应一个VBR。此时,该VBR的物理专线可以连接多个账号下的VPC。不同VLAN下的VBR二层网络隔离,无法互通。
0 阿里云侧IPv4互联IP 输入VPC通往本地IDC的路由网关IPv4地址。阿里云侧IPv4互联IP与客户侧IPv4互联IP必须在同一个网段内。 10.0.0.1 客户侧IPv4互联IP 输入本地IDC通往VPC的路由网关IPv4地址。 说明 如果VPC中的云产品需要访问阿里云或客户侧IPv4互联IP地址时,您需要在VBR路由表中添加目标地址为阿里云或客户侧IPv4互联IP地址所在网段,下一跳指向物理专线的路由条目。关于如何添加路由条目,请参见添加自定义路由条目。10.0.0.2 IPv4子网掩码 阿里云侧和客户侧IPv4地址的子网掩码。 255.255.255.252 - 创建BGP组。具体操作,请参见创建BGP组。需要注意的配置项说明如下表所示。
配置项 说明 示例 支持IPv6 选择是否支持IPv6功能。只有当创建的VBR开通IPv6功能时,才需要配置该参数。 - 否:不支持IPv6功能。
- 是:支持IPv6功能。
本示例无需配置 名称 自定义输入。格式规范请参考页面提示。 test-bgp Peer AS号 输入本地IDC侧网络的AS (Autonomous System) 号码。 65001 BGP密钥 输入BGP组的密钥。 asde**** BGP邻居的路由条目上限 输入BGP邻居可接收的路由条目上限。 10 - 创建BGP邻居。具体操作,请参见创建BGP邻居。需要注意的配置项说明如下表所示。
配置项 说明 示例 BGP组 选择要加入的BGP组。本示例选择上一步创建的BGP组。 test-bgp BGP邻居IP 输入BGP邻居的IP地址。本示例输入本地IDC侧网关设备的端口IP地址。 10.0.0.2 启用BFD 选择是否启用双向转发检测BFD(Bidirectional Forwarding Detection)。 否
步骤二:部署VPN网关
- 购买VPN网关并开启IPsec-VPN功能。具体操作,请参见创建VPN网关实例。相关配置项的说明及示例如下表所示。
配置项 说明 示例 实例名称 VPN网关实例的名称。 test-vpn 地域和可用区 选择VPN网关实例的地域。 需确保VPN网关实例的地域和待关联的VPC实例的地域相同。
华东1(杭州) 网关类型 选择VPN网关实例的类型。 - 普通型
- 国密型
说明 使用国密型VPN网关时,国密型VPN网关需要关联SSL证书进行数据加密和身份认证。更多信息,请参见管理SSL证书。普通型 网络类型 选择VPN网关实例的网络类型。 - 公网:VPN网关通过公网建立VPN连接。
- 私网:VPN网关通过私网建立VPN连接。
公网 VPC 选择VPN网关实例关联的VPC实例。 test-vpc 指定交换机 是否为VPN网关实例指定交换机。 - 否:不为VPN网关实例指定交换机。创建VPN网关后,VPN网关自动关联至VPC内的任意一个交换机下。
- 是:为VPN网关实例指定交换机。创建VPN网关后,VPN网关会被关联至指定的交换机下。
否 带宽规格 选择VPN网关实例的带宽规格。单位:Mbps。 200 Mbps IPsec-VPN 选择开启或关闭IPsec-VPN功能。默认值:开启。 IPsec-VPN可以在本地数据中心和VPC之间或在VPC和VPC之间建立安全连接。
开启 SSL-VPN 选择开启或关闭SSL-VPN功能。默认值:关闭。
SSL-VPN可以在点和站点之间建立安全连接,无需配置用户网关。例如,SSL-VPN可以在Linux客户端和VPC之间建立安全连接。
关闭 计费周期 选择购买时长。
您可以选择是否自动续费:- 按月购买:自动续费周期为1个月。
- 按年购买:自动续费周期为1年。
1个月 服务关联角色 单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。 VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn。
若本配置项显示为已创建,则表示您当前账号下已创建了该角色,无需重复创建。
/ - 创建用户网关。具体操作,请参见创建用户网关。相关配置项的说明及示例如下表所示。
配置项 说明 示例 名称 用户网关的名称。
test-gw IP地址 用户目标连接的本地数据中心网关设备的静态公网IP地址。 115.x.x.154 自治系统号 本地数据中心网关设备的自治系统号ASN(Autonomous System Number)。自治系统号取值范围:1~4294967295。 支持按照两段位的格式进行输入,即:前16位比特.后16位比特。每个段位使用十进制输入。
例如输入123.456,则表示自治系统号:123*65536+456=8061384。
说明- 当您的VPN网关启用BGP动态路由协议时需要配置该参数。
- 建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。
123.456 描述 用户网关的描述信息。
通过IPsec-VPN实现客户端私网访问云桌面而创建的用户网关。 - 创建IPsec连接。具体操作,请参见创建和管理IPsec连接。需要关注的配置项的说明及示例如下表所示。
参数 描述 示例 名称 自定义输入。格式规范请参考页面提示。 test-ipsec 绑定资源 选择IPsec连接绑定的资源类型。 VPN网关 VPN网关 选择IPsec连接待绑定的VPN网关实例。 test-vpn 用户网关 选择IPsec连接待关联的用户网关。 test-gw 路由模式 选择IPsec连接的路由模式。 - 目的路由模式(默认值):基于目的IP地址路由和转发流量。
- 感兴趣流模式:基于源IP地址和目的IP地址精确的路由和转发流量。选择感兴趣流模式后,您需要配置本端网段和对端网段。IPsec连接配置完成后:
- 如果IPsec连接绑定了VPN网关实例,系统自动在VPN网关实例的策略路由表中添加策略路由。
系统在VPN网关实例的策略路由表中添加策略路由后,路由默认是未发布状态。您可以依据网络互通需求决定是否将路由发布至VPC的路由表中。具体操作,请参见发布策略路由。
- 如果IPsec连接绑定了转发路由器实例,系统自动在IPsec连接下的目的路由表中添加目的路由,路由默认会被发布至IPsec连接关联的转发路由器的路由表中。
- 如果IPsec连接绑定了VPN网关实例,系统自动在VPN网关实例的策略路由表中添加策略路由。
感兴趣流模式 本端网段 输入需要和本地数据中心互通的VPC侧的网段,用于第二阶段协商。 单击文本框右侧的
图标,可添加多个需要和本地数据中心互通的VPC侧的网段。说明 如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2。括以下三个网段: - 工作区VPC网段:172.16.0.0/12
- 用户VPC网段:192.168.0.0/16
- 阿里云私网OpenAPI所在网段,固定为100.64.0.0/10。
对端网段 输入需要和VPC互通的本地数据中心侧的网段,用于第二阶段协商。 单击文本框右侧的图标,可添加多个需要和VPC侧互通的本地数据中心侧的网段。说明 如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2。192.10.0.0/16 立即生效 选择IPsec连接的配置是否立即生效。 - 是:配置完成后系统立即进行IPsec协议协商。
- 否(默认值):当有流量进入时系统才进行IPsec协议协商。
是 - 添加目的路由(即在VPN网关中将本地IDC的路由发布到用户VPC中)。具体操作,请参见添加目的路由。配置项的说明及示例如下表所示。
配置项 说明 示例 目标网段 输入本地IDC的网段。 192.10.0.0/16 下一跳类型 选择IPsec连接。 IPsec连接 下一跳 选择已创建的IPsec连接。 test-ipsec 发布到VPC 选择是否将新添加的路由发布到用户VPC的路由表。 是 权重 选择权重。 100 - 在本地IDC网关设备中加载VPN配置。
- 在IPsec连接页面,找到目标IPsec连接,单击操作列中的
,然后选择下载对端配置。
- 在IPsec连接页面,找到目标IPsec连接,单击操作列中的
步骤三:配置云企业网
VBR和VPN网关配置完成后,您需要将VBR加入到已加载工作区VPC和用户VPC的CEN实例中,以实现本地IDC和云上工作区VPC之间的互连互通。
- 登录云企业网控制台。
- 在CEN实例中加载VBR实例。请确保已完成准备工作,已创建CEN实例,并将工作区VPC和用户VPC加入到该CEN实例中。
- 在云企业网管理控制台为物理专线配置健康检查。具体操作,请参见在云企业网管理控制台添加健康检查配置。您需要为物理专线配置健康检查,健康检查会以您指定的发包时间间隔发送探测报文,当连续发送的所有探测报文(即您指定的探测报文个数)都丢包时,云企业网会主动将流量切换到VPN链路。
需要注意的配置项说明如下表所示。
参数 描述 示例 云企业网实例 选择VBR加载的云企业网实例。 test-cen 边界路由器(VBR) 选择要监控的VBR实例。 test-vbr 源IP 选择自动生成源IP。系统将自动分配100.96.0.0/16地址段内的IP地址,探测链路的连通性。 自动生成源IP 目标IP 输入VBR实例中客户侧IP地址。 10.0.0.2 发包时间间隔(秒) 指定健康检查时发送连续探测报文的时间间隔。 2 探测报文个数(个) 指指定健康检查发送连续探测报文的个数。 8 切换路由 是否开启健康检查的路由切换功能。系统默认选择是,即开启健康检查的路由切换功能。 是
步骤四:配置本地IDC网关设备
以下配置示例仅供参考。不同厂商的设备,配置命令可能会有所不同。业务中具体命令,请以相关设备厂商提供为准。
#配置BGP动态路由协议,与VBR建立BGP邻居关系,同时宣告本地IDC私网网段至云上
interface GigabitEthernet 0/12 #该端口为本地IDC网关设备与物理专线连接的端口
no switchport ip address 10.0.0.2 255.255.255.252 #端口的IP地址,需和VBR客户侧IPv4互联IP地址一致
router bgp 65001 bgp
router-id 10.0.0.2
network 192.10.0.0 mask 255.255.0.0 #宣告本地IDC私网网段
neighbor 10.0.0.1 remote-as 45104 #和VBR建立BGP邻居关系
#配置通过VPN网关去往安全办公网络VPC的静态路由,使其优先级低于BGP路由
ip route 192.168.0.0 255.240.0.0 <VPN网关公网IP地址> preference 255
#配置健康检查探测报文的回程路由
ip route <健康检查源IP地址> 255.255.255.255 10.0.0.1 步骤五:测试网络连通性
- 在本地IDC下,打开命令行窗口。
- 执行
ping命令,访问云上工作区VPC网段下的任一云桌面IP地址,如果接收到回复报文,则表示本地IDC和工作区VPC连接成功。 - 在本地IDC网关设备上,关闭连接物理专线的端口,切断物理专线连接。在客户端再次执行
ping命令,测试本地IDC和工作区VPC的连通性,如果接收到回复报文,则表示备份VPN链路可用。
步骤六:配置云服务路由和DNS
- 配置云服务路由。阿里云上私网云服务所在网段为100.64.0.0/10,该网段为RFC6598规定的保留网段。为了使云桌面客户端可以正常调用云桌面服务API,需要在本地IDC网络中为100.64.0.0/10网段配置路由,将目的地址隶属于该网段的请求转发至云上的用户VPC。
- 配置DNS前,您可以执行以下命令,测试是否可以正常解析域名。
如果返回IP地址,则表示可正常解析域名,则可以跳过步骤3;如果无法返回IP地址,则需要按照以下步骤配置DNS。nslookup ecd-vpc.cn-hangzhou.aliyuncs.com - 可选:配置DNS。企业专网访问无影云桌面需要DNS来解析云桌面服务位于私网内的API及流网关的域名,对应的DNS地址为:
- 100.100.2.136
- 100.100.2.138
您可以选择以下一种方式进行配置:- 在本地IDC的DHCP服务上配置上述两条DNS地址。
- 在本地IDC的DNS服务器上配置区域转发,将aliyuncs.com结尾的域名解析请求转发至100.100.2.136或者100.100.2.138。
步骤七:验证是否能够通过私网连接云桌面
物理专线联合IPsec-VPN的方案适用于Windows客户端、Mac客户端和硬件终端。
说明 下文以通过登录Windows客户端5.2.0版本连接云桌面为例,验证是否能够通过私网访问云桌面。业务中请根据实际情况选择合适的客户端登录并连接云桌面。
- 根据邮件或短信获取登录无影云桌面客户端所需的信息(例如:工作区ID、账号和密码等)。
- 单击切换网络接入方式并选择企业专网,然后单击确定。
- 单击切换网络接入方式并选择企业专网,然后单击确定。
- 连接云桌面。成功登录无影云桌面的客户端后,云桌面将以卡片的形式展示。单击连接即可。云桌面连接成功后,您可以在新窗口中查看并使用云桌面。
重要 如果出现网络请求超时的相关报错,则说明网络不通,请检查配置是否正确,检查无误后请重新登录客户端,连接云桌面。