文档

通过IPsec-VPN实现客户端私网访问云电脑

IPsec-VPN是一种基于路由的网络连接技术,部署IPsec-VPN后,本地客户端可以通过VPN连接云上VPC中部署的服务。本文介绍如何通过IPsec-VPN将本地客户端接入到无影云电脑(专业版)办公网络VPC中,实现客户端能够通过私网访问云电脑。

准备工作

开始操作前,您需要仔细阅读通过私网访问云电脑介绍,并完成以下准备工作。

  • 确认已有可用的云企业网实例,如果没有您需要创建云企业网。具体操作,请参见创建云企业网实例

  • 确认已有可用的专有网络,如果没有您需要创建专有网络,并将专有网络加入云企业网。具体操作,请参见创建专有网络和交换机管理网络实例

  • 确认已有可用的办公网络,如果没有您需要创建便捷办公网络或AD办公网络,并将办公网络的VPC加入云企业网。具体操作,请参见创建或删除便捷办公网络创建并配置AD办公网络

    重要
    • 避免新建的办公网络网段与云企业网已有网段或本地数据中心IDC网段存在冲突,创建办公网络前,您需要规划办公网络的IPv4网段。更多信息,请参见规划网段

    • 如果您之前已有便捷办公网络,需要将办公网络加入云企业网CEN。

    • 如果AD部署在云服务器ECS上,您需要将AD服务器所属VPC加入到云企业网CEN;如果AD部署在本地服务器上,需要先打通本地和云上网络,才能成功对接AD。您可以先创建一个AD办公网络,打通网络后再完成AD域的配置。

  • 确认已创建用户和云电脑并已为该用户分配云电脑。

    如果没有您需要根据办公网络类型,创建相应的用户并为用户创建和分配云电脑。

  • 准备连接云电脑的设备。

    说明
    • IPsec-VPN的方案适用于Windows客户端macOS客户端硬件终端

    • 验证是否能够通过私网连接云电脑需要登录无影云电脑(专业版)的客户端,您可以在本地通过Windows客户端macOS客户端iOS客户端Android客户端Web客户端卡片式云电脑终端ASC01盒式云电脑终端AS01无影23.8寸一体机US01登录无影云电脑(专业版)的客户端,然后通过企业专网连接云电脑。

网段规划示例

准备工作阶段,您需要合理规划本地设备和云上各网络实例的网段,避免网段之间冲突。本文采用以下网段作为示例,业务中请以实际情况为准。

配置目标

网段规划

说明

办公网络VPC

172.16.0.0/12

PrivateLink服务端(终端节点服务端)处于该网段内。

用户VPC

192.168.0.0/16

您自行创建的VPC,用于建立VPN连接。

本地IDC

192.10.0.0/16

无影云电脑客户端处于该网段内,将从该网段发起连接。

本地IDC网关设备

115.XX.XX.154

本地IDC网关设备的公网IP地址。

说明

本地IDC网关设备需支持标准的IKEv1和IKEv2协议,以便和阿里云VPN网关建立连接。关于网关设备是否支持标准的IKEv1和IKEv2协议,请咨询网关设备厂商。

步骤一:配置IPsec-VPN

配置IPsec-VPN包括创建VPN网关、创建用户网关、创建IPsec连接和发布网段至CEN,下文为您介绍操作步骤。

  1. 购买VPN网关并开启IPsec-VPN功能。具体操作,请参见创建VPN网关实例

    相关配置项的说明及示例如下表所示。

    配置项

    说明

    示例

    实例名称

    VPN网关实例的名称。

    test-vpn

    地域和可用区

    选择VPN网关实例的地域。

    需确保VPN网关实例的地域和待关联的VPC实例的地域相同。

    华东1(杭州)

    网关类型

    选择VPN网关实例的类型。

    • 普通型

    • 国密型

    说明

    使用国密型VPN网关时,国密型VPN网关需要关联SSL证书进行数据加密和身份认证。更多信息,请参见管理SSL证书

    普通型

    网络类型

    选择VPN网关实例的网络类型。

    • 公网:VPN网关通过公网建立VPN连接。

    • 私网:VPN网关通过私网建立VPN连接。

    公网

    VPC

    选择VPN网关实例关联的VPC实例。

    test-vpc

    指定交换机

    是否为VPN网关实例指定交换机。

    • :不为VPN网关实例指定交换机。创建VPN网关后,VPN网关自动关联至VPC内的任意一个交换机下。

    • :为VPN网关实例指定交换机。创建VPN网关后,VPN网关会被关联至指定的交换机下。

    带宽规格

    选择VPN网关实例的带宽规格。单位:Mbps。

    200 Mbps

    IPsec-VPN

    选择开启或关闭IPsec-VPN功能。默认值:开启

    IPsec-VPN可以在本地数据中心和VPC之间或在VPC和VPC之间建立安全连接。

    开启

    SSL-VPN

    选择开启或关闭SSL-VPN功能。默认值:关闭

    SSL-VPN可以在点和站点之间建立安全连接,无需配置用户网关。例如,SSL-VPN可以在Linux客户端和VPC之间建立安全连接。

    关闭

    计费周期

    选择购买时长。

    您可以选择是否自动续费:

    • 按月购买:自动续费周期为1个月。

    • 按年购买:自动续费周期为1年。

    1个月

    服务关联角色

    单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。

    VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn

    若本配置项显示为已创建,则表示您当前账号下已创建了该角色,无需重复创建。

    /

  2. 创建用户网关。具体操作,请参见创建用户网关

    相关配置项的说明及示例如下表所示。

    配置项

    说明

    示例

    名称

    用户网关的名称。

    test-gw

    IP地址

    用户目标连接的本地数据中心网关设备的静态公网IP地址。

    115.x.x.154

    自治系统号

    本地数据中心网关设备的自治系统号ASN(Autonomous System Number)。自治系统号取值范围:1~4294967295。

    支持按照两段位的格式进行输入,即:前16位比特.后16位比特。每个段位使用十进制输入。

    例如输入123.456,则表示自治系统号:123*65536+456=8061384。

    说明
    • 当您的VPN网关启用BGP动态路由协议时需要配置该参数。

    • 建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。

    123.456

    描述

    用户网关的描述信息。

    通过IPsec-VPN实现客户端私网访问云电脑而创建的用户网关。

  3. 创建IPsec连接。具体操作,请参见创建和管理IPsec连接(单隧道模式)

    需要关注的配置项的说明及示例如下表所示。

    参数

    描述

    示例

    名称

    自定义输入。格式规范请参考页面提示。

    test-ipsec

    绑定资源

    选择IPsec连接绑定的资源类型。

    VPN网关

    VPN网关

    选择IPsec连接待绑定的VPN网关实例。

    test-vpn

    用户网关

    选择IPsec连接待关联的用户网关。

    test-gw

    路由模式

    选择IPsec连接的路由模式。

    • 目的路由模式(默认值):基于目的IP地址路由和转发流量。

    • 感兴趣流模式:基于源IP地址和目的IP地址精确的路由和转发流量。

      选择感兴趣流模式后,您需要配置本端网段对端网段。IPsec连接配置完成后:

      • 如果IPsec连接绑定了VPN网关实例,系统自动在VPN网关实例的策略路由表中添加策略路由。

        系统在VPN网关实例的策略路由表中添加策略路由后,路由默认是未发布状态。您可以依据网络互通需求决定是否将路由发布至VPC的路由表中。具体操作,请参见发布策略路由

      • 如果IPsec连接绑定了转发路由器实例,系统自动在IPsec连接下的目的路由表中添加目的路由,路由默认会被发布至IPsec连接关联的转发路由器的路由表中。

    感兴趣流模式

    本端网段

    输入需要和本地数据中心互通的VPC侧的网段,用于第二阶段协商。

    单击文本框右侧的添加图标,可添加多个需要和本地数据中心互通的VPC侧的网段。

    说明

    如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2

    括以下三个网段:

    • 办公网络VPC网段:172.16.0.0/12

    • 用户VPC网段:192.168.0.0/16

    • 阿里云私网OpenAPI所在网段,固定为100.64.0.0/10。

    对端网段

    输入需要和VPC互通的本地数据中心侧的网段,用于第二阶段协商。

    单击文本框右侧的添加图标,可添加多个需要和VPC侧互通的本地数据中心侧的网段。

    说明

    如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2

    192.10.0.0/16

    立即生效

    选择IPsec连接的配置是否立即生效。

    • :配置完成后系统立即进行IPsec协议协商。

    • (默认值):当有流量进入时系统才进行IPsec协议协商。

  4. 将对端网段发布至CEN。

    1. 在左侧导航栏,选择路由表

    2. 在路由表列表中找到用户VPC对应的路由表,单击路由表实例ID。

    3. 路由条目列表页签下,单击自定义路由条目页签。

    4. 找到配置的对端网段(即本地数据中心的私网网段),单击对应的发布

      当网段对应的CEN中状态列显示为已发布,则表示发布成功。

步骤二:在本地网关设备中加载VPN配置

您需要在本地IDC网关设备中加载VPN配置,下文为您介绍操作步骤。

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
  3. IPsec连接页面,找到目标IPsec连接,单击操作列中的更多,然后选择下载对端配置

  4. 根据本地IDC网关设备的配置要求,将下载的配置添加到本地IDC网关设备中。具体操作,请参见本地网关配置

步骤三:配置云服务路由和DNS

  1. 配置云服务路由。

    阿里云上私网云服务所在网段为100.64.0.0/10,该网段为RFC6598规定的保留网段。为了使无影云电脑(专业版)客户端可以正常调用无影云电脑(专业版)服务API,需要在本地IDC网络中为100.64.0.0/10网段配置路由,将目的地址隶属于该网段的请求转发至云上的用户VPC。

  2. 配置DNS前,您可以执行以下命令,测试是否可以正常解析域名。

    nslookup ecd-vpc.cn-hangzhou.aliyuncs.com

    如果返回IP地址,则表示可正常解析域名,则可以跳过步骤3;如果无法返回IP地址,则需要按照以下步骤配置DNS。

  3. 可选:配置DNS。

    企业专网访问无影云电脑(专业版)需要DNS来解析无影云电脑(专业版)服务位于私网内的API及流网关的域名,对应的DNS地址为:

    • 100.100.2.136

    • 100.100.2.138

    您可以选择以下一种方式进行配置:

    • 在本地IDC的DHCP服务上配置上述两条DNS地址。

    • 在本地IDC的DNS服务器上配置区域转发,将aliyuncs.com结尾的域名解析请求转发至100.100.2.136或者100.100.2.138。

步骤四:验证是否能够通过私网连接云电脑

IPsec-VPN的方案适用于Windows客户端macOS客户端硬件终端

说明

下文以通过登录Windows客户端5.2.0版本连接云电脑为例,验证是否能够通过私网访问云电脑。业务中请根据实际情况选择合适的客户端登录并连接云电脑。

  1. 根据邮件或短信获取登录无影云电脑(专业版)客户端所需的信息(例如:办公网络ID、账号和密码等)。

    1. 双击无影云电脑..png图标打开无影云电脑(专业版)的客户端。

    2. 按照界面提示输入办公网络ID。

      重要

      仅通过办公网络ID登录客户端时支持选择企业专网

    3. 单击切换网络接入方式并选择企业专网,然后单击确定

      企业专网

    4. 单击下一步

    5. 按照界面提示,输入账号和密码,单击下一步

  2. 连接云电脑。

    成功登录无影云电脑(专业版)的客户端后,云电脑将以卡片的形式展示。单击连接即可。云电脑连接成功后,您可以在新窗口中查看并使用云电脑。

    重要

    如果出现网络请求超时的相关报错,则说明网络不通,请检查配置是否正确,检查无误后请重新登录客户端,连接云电脑。

  • 本页导读 (0)
文档反馈