本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
本文介绍如何组合使用物理专线和IPsec-VPN来打通本地数据中心IDC和阿里云网络,以实现客户端通过企业专网(私网)主备链路访问云电脑。
背景信息
开始操作前,您需要仔细阅读通过私网访问云电脑介绍。
本文主要介绍如何使用高速通道的物理专线和IPsec-VPN网关来打通本地和云上网络,实现主备链路私网访问云电脑,具体要达到的效果是:
当物理专线和VPN链路都正常时,本地IDC与云电脑之间的所有流量只通过物理专线进行转发。
当物理专线异常时,本地IDC与云电脑之间的流量将切换至VPN链路进行转发。
准备工作
开始操作前,您需要仔细阅读通过私网访问云电脑介绍,并完成以下准备工作。
创建云企业网 CEN(Cloud Enterprise Network)实例。具体操作,请参见创建云企业网实例。
创建专有网络 VPC(Virtual Private Cloud)实例,并将专有网络实例加入云企业网。具体操作,请参见创建专有网络和交换机或快速加入云企业网。
创建办公网络,并将其VPC加入云企业网。具体操作,请参见创建和管理基于便捷账号的办公网络或创建和管理基于企业AD账号的办公网络。
重要为了避免新建的办公网络的网段与云企业网已有网段或本地数据中心IDC网段产生冲突,请在创建办公网络前规划好IPv4网段。具体操作,请参见规划网段。
如果您之前已有便捷办公网络,需要将其加入云企业网。
如果AD部署在云服务器 ECS(Elastic Compute Service)上,您需要将AD服务器所属VPC加入到云企业网;如果AD部署在本地服务器上,需要先打通本地和云上网络,才能成功对接AD。您可以先创建一个AD办公网络,打通网络后再完成AD域的配置。
创建云电脑和用户账号,并将云电脑分配给该用户账号。
获取无影终端,用于连接和使用云电脑。
说明物理专线联合IPsec-VPN的方案可使用的无影终端包括:Windows客户端、macOS客户端和硬件终端。
网段规划
请完成以下网络规划和网关设备配置工作:
为本地IDC和网络实例规划路由协议。本文路由协议规划如下:
在本地IDC网关设备与VPN网关之间配置静态路由。
在本地IDC网关设备与边界路由器VBR之间采用BGP动态路由协议。
说明在VPN网关作为物理专线备份链路的场景下,路由协议说明如下:
如果VPN网关关联至一个独立的VPC(例如本文的用户VPC),则VBR必须使用BGP动态路由协议,VPN网关可以使用静态路由或BGP动态路由协议。
如果VPN网关关联至业务VPC(例如本文的办公网络VPC),则VBR和VPN网关均需要使用BGP动态路由协议。
为本地IDC和各网络实例规划网段,确保网段之间不重叠、没有冲突。本文网段规划示例如下表所示,业务中请以实际情况为准。
配置目标
网段规划
说明
办公网络VPC
172.16.0.0/12
云电脑IP以及私网网关地址
用户VPC
192.168.0.0/24
您自行创建的VPC,用于建立VPN连接。
VBR
10.0.0.1/30
VLAN ID:0
阿里云侧IPv4互联IP:10.0.0.1/30
客户侧IPv4互联IP:10.0.0.2/30
客户侧指本地IDC的网关设备
BGP AS号:45104
本地IDC
192.168.1.1/24
无影终端处于该网段内,将从该网段发起连接。
本地IDC的网关设备
10.0.0.2/30
公网IP地址:115.XX.XX.154
与物理专线连接的端口IP地址:10.0.0.2/30
BGP AS号:65001
检查本地IDC网关设备,确保网关设备支持标准的IKEv1和IKEv2协议,以便和阿里云VPN网关建立连接。关于网关设备是否支持标准的IKEv1和IKEv2协议,请咨询网关设备厂商。
为本地IDC网关设备配置了静态公网IP。
步骤一:部署物理专线
创建物理专线。
您需要在选定的地域下申请一条物理专线。具体操作,请参见创建和管理独享专线连接或共享专线连接概述。
创建边界路由器VBR。具体操作,请参见创建和管理边界路由器。
创建BGP组。具体操作,请参见创建BGP组。
创建BGP邻居。具体操作,请参见创建BGP邻居。
步骤二:部署VPN网关
步骤三:配置云企业网
VBR和VPN网关配置完成后,您需要将VBR加入到已连接办公网络VPC和用户VPC的CEN实例中,以实现本地IDC和云上办公网络VPC之间的互连互通。
- 登录云企业网管理控制台。
在CEN实例中加载VBR实例。
请确保已完成准备工作:已创建CEN实例,并将办公网络VPC和用户VPC加入到该CEN实例中。
- 在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
在 页签,找到目标地域的转发路由器实例,在操作列单击创建网络实例连接。
在连接网络实例页面,根据以下信息进行配置,然后单击确定创建。
配置项
说明
实例类型
选择边界路由器(VBR)。
地域
选择要连接的网络实例所在的地域。
转发路由器
当前地域下已创建的转发路由器。
如果当前地域下您暂无转发路由器,系统默认为您自动创建。
资源归属UID
选择要连接的网络实例所归属的账号类型。
如果待连接的网络实例与转发路由器实例属于同一个阿里云账号,请选择同账号。
如果待连接的网络实例与转发路由器实例属于不同的阿里云账号,请选择跨账号,并输入网络实例所属的阿里云账号(主账号)ID。
网络实例
选择要连接的网络实例的ID。
在云企业网管理控制台为物理专线配置健康检查。具体操作,请参见配置健康检查。
健康检查会以您指定的发包时间间隔发送探测报文,当连续发送的所有探测报文(即您指定的探测报文个数)都丢包时,云企业网会自动将流量切换到VPN链路。
步骤四:配置本地IDC网关设备
以下配置示例仅供参考。不同厂商的设备,配置命令可能会有所不同,具体命令以相关设备厂商为准。
# 配置BGP动态路由协议,与VBR建立BGP邻居关系,同时宣告本地IDC私网网段至云上
interface GigabitEthernet 0/12 # 该端口为本地IDC网关设备与物理专线连接的端口
no switchport ip address 10.0.0.2 255.255.255.252 # 端口的IP地址,需和VBR客户侧IPv4互联IP地址一致
router bgp 65001 bgp
router-id 10.0.0.2
network 192.168.1.1 mask 255.255.0.0 # 宣告本地IDC私网网段
neighbor 10.0.0.1 remote-as 45104 # 和VBR建立BGP邻居关系
# 配置通过VPN网关去往安全办公网络VPC的静态路由,使其优先级低于BGP路由
ip route 192.168.0.0 255.240.0.0 <VPN网关公网IP地址> preference 255
# 配置健康检查探测报文的回程路由
ip route <健康检查源IP地址> 255.255.255.255 10.0.0.1
步骤五:测试网络连通性
在本地IDC下,打开命令行窗口。
执行
ping
命令,访问云上办公网络VPC网段下的任一云电脑IP地址,如果接收到回复报文,则表示本地IDC和办公网络VPC连接成功。如果该办公网络下还没有云电脑,请先创建云电脑。具体操作,请参见创建云电脑。
说明创建完成后,在云电脑页面列表的IP列可查看云电脑的IP地址。
在本地IDC网关设备上,关闭连接物理专线的端口,切断物理专线连接。在客户端再次执行
ping
命令,测试本地IDC和办公网络VPC的连通性,如果接收到回复报文,则表示备份VPN链路可用。
步骤六:配置云服务路由和DNS
配置云服务路由。
阿里云上私网云服务所在网段为100.64.0.0/10,该网段为RFC6598规定的保留网段。为了使无影终端可以正常调用无影云电脑的服务API,需要在本地IDC网络中为100.64.0.0/10网段配置路由,将目的地址隶属于该网段的请求转发至云上的用户VPC。
(可选)配置DNS前,您可以执行以下命令,测试是否可以正常解析域名。
nslookup ecd-vpc.cn-hangzhou.aliyuncs.com
如果返回IP地址,则表示可正常解析域名,可以跳过步骤3;如果无法返回IP地址,则需要按照以下步骤配置DNS。
(可选)配置DNS。
要通过企业专网访问云电脑,需要DNS来解析无影云电脑服务位于私网内的API及流网关的域名,对应的DNS地址为:
100.100.2.136
100.100.2.138
您可以选择以下一种方式进行配置:
在本地IDC的DHCP服务上配置上述两个DNS地址。
在本地IDC的DNS服务器上配置区域转发,将以
aliyuncs.com
结尾的域名解析请求转发至100.100.2.136或者100.100.2.138。
步骤七:验证是否能够通过私网连接云电脑
下文以通过Windows客户端7.2.2版本连接云电脑为例,验证是否能够通过私网访问云电脑。业务中请根据实际情况选择合适的客户端。
打开Windows客户端。
在客户端登录界面底部选择
,并选择企业专网。在客户端登录界面输入您从云电脑分配通知邮件或短信中收到的登录凭证(包括办公网络ID或组织ID、用户名、密码等),并单击下一步图标。
在客户端的云资源列表界面找到您的云电脑,并开机连接。
说明如果出现网络请求超时的相关报错,则说明网络不通,请检查配置是否正确。检查无误后请重新登录客户端并连接云电脑。