IPsec-VPN是一种基于路由的网络连接技术,部署IPsec-VPN后,本地客户端可以通过VPN连接云上VPC中部署的服务。本文介绍如何通过IPsec-VPN将本地客户端接入到无影云电脑(专业版)的办公网络VPC中,实现客户端通过私网访问云电脑。
准备工作
开始操作前,您需要仔细阅读通过私网访问云电脑介绍,并完成以下准备工作。
确认已有可用的云企业网实例,如果没有您需要创建云企业网。具体操作,请参见创建云企业网实例。
确认已有可用的专有网络,如果没有您需要创建专有网络,并将专有网络加入云企业网。具体操作,请参见创建专有网络和交换机或管理网络实例。
确认已有可用的办公网络,如果没有您需要创建便捷办公网络或AD办公网络,并将办公网络的VPC加入云企业网。具体操作,请参见创建或删除便捷办公网络或创建并配置AD办公网络。
重要避免新建的办公网络网段与云企业网已有网段或本地数据中心IDC网段存在冲突,创建办公网络前,您需要规划办公网络的IPv4网段。更多信息,请参见规划网段。
如果您之前已有便捷办公网络,需要将办公网络加入云企业网CEN。
如果AD部署在云服务器ECS上,您需要将AD服务器所属VPC加入到云企业网CEN;如果AD部署在本地服务器上,需要先打通本地和云上网络,才能成功对接AD。您可以先创建一个AD办公网络,打通网络后再完成AD域的配置。
确认已创建用户和云电脑并已为该用户分配云电脑。
如果没有您需要根据办公网络类型,创建相应的用户并为用户创建和分配云电脑。
关于如何创建用户,请参见创建便捷用户或创建并配置AD办公网络。
准备连接云电脑的设备。
说明IPsec-VPN的方案适用于Windows客户端、macOS客户端和硬件终端。
验证是否能够通过私网连接云电脑需要登录无影云电脑(专业版)的客户端,您可以在本地通过Windows客户端、macOS客户端、iOS客户端、Android客户端、Web客户端、卡片式云电脑终端ASC01、盒式云电脑终端AS01或无影23.8寸一体机US01登录无影云电脑(专业版)的客户端,然后通过企业专网连接云电脑。
网段规划示例
准备工作阶段,您需要合理规划本地设备和云上各网络实例的网段,避免网段之间冲突。本文采用以下网段作为示例,业务中请以实际情况为准。
配置目标 | 网段规划 | 说明 |
办公网络VPC | 172.16.0.0/12 | PrivateLink服务端(终端节点服务端)处于该网段内。 |
用户VPC | 192.168.0.0/16 | 您自行创建的VPC,用于建立VPN连接。 |
本地IDC | 192.10.0.0/16 | 无影云电脑客户端处于该网段内,将从该网段发起连接。 |
本地IDC网关设备 | 115.XX.XX.154 | 本地IDC网关设备的公网IP地址。 |
本地IDC网关设备需支持标准的IKEv1和IKEv2协议,以便和阿里云VPN网关建立连接。关于网关设备是否支持标准的IKEv1和IKEv2协议,请咨询网关设备厂商。
步骤一:配置IPsec-VPN
配置IPsec-VPN包括创建VPN网关、创建用户网关、创建IPsec连接和发布网段至CEN,下文为您介绍操作步骤。
购买VPN网关并开启IPsec-VPN功能。具体操作,请参见创建VPN网关实例。
相关配置项的说明及示例如下表所示。
配置项
说明
示例
实例名称
VPN网关实例的名称。
test-vpn
地域和可用区
选择VPN网关实例的地域。
需确保VPN网关实例的地域和待关联的VPC实例的地域相同。
华东1(杭州)
网关类型
选择VPN网关实例的类型。
普通型
国密型
说明使用国密型VPN网关时,国密型VPN网关需要关联SSL证书进行数据加密和身份认证。更多信息,请参见管理SSL证书。
普通型
网络类型
选择VPN网关实例的网络类型。
公网:VPN网关通过公网建立VPN连接。
私网:VPN网关通过私网建立VPN连接。
公网
VPC
选择VPN网关实例关联的VPC实例。
test-vpc
指定交换机
是否为VPN网关实例指定交换机。
否:不为VPN网关实例指定交换机。创建VPN网关后,VPN网关自动关联至VPC内的任意一个交换机下。
是:为VPN网关实例指定交换机。创建VPN网关后,VPN网关会被关联至指定的交换机下。
否
带宽规格
选择VPN网关实例的带宽规格。单位:Mbps。
200 Mbps
IPsec-VPN
选择开启或关闭IPsec-VPN功能。默认值:开启。
IPsec-VPN可以在本地数据中心和VPC之间或在VPC和VPC之间建立安全连接。
开启
SSL-VPN
选择开启或关闭SSL-VPN功能。默认值:关闭。
SSL-VPN可以在点和站点之间建立安全连接,无需配置用户网关。例如,SSL-VPN可以在Linux客户端和VPC之间建立安全连接。
关闭
计费周期
选择购买时长。
您可以选择是否自动续费:
按月购买:自动续费周期为1个月。
按年购买:自动续费周期为1年。
1个月
服务关联角色
单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。
VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn。
若本配置项显示为已创建,则表示您当前账号下已创建了该角色,无需重复创建。
/
创建用户网关。具体操作,请参见创建用户网关。
相关配置项的说明及示例如下表所示。
配置项
说明
示例
名称
用户网关的名称。
test-gw
IP地址
用户目标连接的本地数据中心网关设备的静态公网IP地址。
115.x.x.154
自治系统号
本地数据中心网关设备的自治系统号ASN(Autonomous System Number)。自治系统号取值范围:1~4294967295。
支持按照两段位的格式进行输入,即:前16位比特.后16位比特。每个段位使用十进制输入。
例如输入123.456,则表示自治系统号:123*65536+456=8061384。
说明当您的VPN网关启用BGP动态路由协议时需要配置该参数。
建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。
123.456
描述
用户网关的描述信息。
通过IPsec-VPN实现客户端私网访问云电脑而创建的用户网关。
创建IPsec连接。具体操作,请参见创建和管理IPsec连接(单隧道模式)。
需要关注的配置项的说明及示例如下表所示。
参数
描述
示例
名称
自定义输入。格式规范请参考页面提示。
test-ipsec
绑定资源
选择IPsec连接绑定的资源类型。
VPN网关
VPN网关
选择IPsec连接待绑定的VPN网关实例。
test-vpn
用户网关
选择IPsec连接待关联的用户网关。
test-gw
路由模式
选择IPsec连接的路由模式。
目的路由模式(默认值):基于目的IP地址路由和转发流量。
感兴趣流模式:基于源IP地址和目的IP地址精确的路由和转发流量。
选择感兴趣流模式后,您需要配置本端网段和对端网段。IPsec连接配置完成后,系统自动在VPN网关实例的策略路由表中添加策略路由。
系统在VPN网关实例的策略路由表中添加策略路由后,路由默认是未发布状态。您可以依据网络互通需求决定是否将路由发布至VPC的路由表中。具体操作,请参见发布策略路由。
感兴趣流模式
本端网段
输入需要和本地数据中心互通的VPC侧的网段,用于第二阶段协商。
单击文本框右侧的图标,可添加多个需要和本地数据中心互通的VPC侧的网段。
说明如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2。
括以下三个网段:
办公网络VPC网段:172.16.0.0/12
用户VPC网段:192.168.0.0/16
阿里云私网OpenAPI所在网段,固定为100.64.0.0/10。
对端网段
输入需要和VPC互通的本地数据中心侧的网段,用于第二阶段协商。
单击文本框右侧的图标,可添加多个需要和VPC侧互通的本地数据中心侧的网段。
说明如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2。
192.10.0.0/16
立即生效
选择IPsec连接的配置是否立即生效。
是:配置完成后系统立即进行IPsec协议协商。
否(默认值):当有流量进入时系统才进行IPsec协议协商。
是
将对端网段发布至CEN。
在左侧导航栏,选择路由表。
在路由表列表中找到用户VPC对应的路由表,单击路由表实例ID。
在路由条目列表页签下,单击自定义路由条目页签。
找到配置的对端网段(即本地数据中心的私网网段),单击对应的发布。
当网段对应的CEN中状态列显示为已发布,则表示发布成功。
步骤二:在本地网关设备中加载VPN配置
您需要在本地IDC网关设备中加载VPN配置,下文为您介绍操作步骤。
步骤三:配置云服务路由和DNS
配置云服务路由。
阿里云上私网云服务所在网段为100.64.0.0/10,该网段为RFC6598规定的保留网段。为了使无影云电脑(专业版)客户端可以正常调用无影云电脑(专业版)服务API,需要在本地IDC网络中为100.64.0.0/10网段配置路由,将目的地址隶属于该网段的请求转发至云上的用户VPC。
配置DNS前,您可以执行以下命令,测试是否可以正常解析域名。
nslookup ecd-vpc.cn-hangzhou.aliyuncs.com
如果返回IP地址,则表示可正常解析域名,则可以跳过步骤3;如果无法返回IP地址,则需要按照以下步骤配置DNS。
可选:配置DNS。
企业专网访问无影云电脑(专业版)需要DNS来解析无影云电脑(专业版)服务位于私网内的API及流网关的域名,对应的DNS地址为:
100.100.2.136
100.100.2.138
您可以选择以下一种方式进行配置:
在本地IDC的DHCP服务上配置上述两条DNS地址。
在本地IDC的DNS服务器上配置区域转发,将aliyuncs.com结尾的域名解析请求转发至100.100.2.136或者100.100.2.138。
步骤四:验证是否能够通过私网连接云电脑
IPsec-VPN的方案适用于Windows客户端、macOS客户端和硬件终端。
下文以通过登录Windows客户端5.2.0版本连接云电脑为例,验证是否能够通过私网访问云电脑。业务中请根据实际情况选择合适的客户端登录并连接云电脑。
根据邮件或短信获取登录无影云电脑(专业版)客户端所需的信息(例如:办公网络ID、账号和密码等)。
双击图标打开无影云电脑(专业版)的客户端。
按照界面提示输入办公网络ID。
重要仅通过办公网络ID登录客户端时支持选择企业专网。
单击切换网络接入方式并选择企业专网,然后单击确定。
单击下一步。
按照界面提示,输入账号和密码,单击下一步。
连接云电脑。
成功登录无影云电脑(专业版)的客户端后,云电脑将以卡片的形式展示。单击连接即可。云电脑连接成功后,您可以在新窗口中查看并使用云电脑。
重要如果出现网络请求超时的相关报错,则说明网络不通,请检查配置是否正确,检查无误后请重新登录客户端,连接云电脑。
- 本页导读 (0)