物理专线联合IPsec-VPN实现主备链路私网访问云电脑

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

本文介绍如何组合使用物理专线和IPsec-VPN来打通本地数据中心IDC和阿里云网络,以实现客户端通过企业专网(私网)主备链路访问云电脑。

背景信息

开始操作前,您需要仔细阅读通过私网访问云电脑介绍

本文主要介绍如何使用高速通道的物理专线和IPsec-VPN网关来打通本地和云上网络,实现主备链路私网访问云电脑,具体要达到的效果是:

  • 当物理专线和VPN链路都正常时,本地IDC与云电脑之间的所有流量只通过物理专线进行转发。

  • 当物理专线异常时,本地IDC与云电脑之间的流量将切换至VPN链路进行转发。

相关产品:

  • 物理专线

    高速通道提供了阿里云与本地IDC之间的一种快速安全的连接方法。您可以租用一条运营商的专线将本地IDC连接到阿里云接入点来建立专线连接。此连接可绕过公网,安全性更高、速度更快、延迟更低。详细信息,请参见专线连接介绍

  • IPsec-VPN网关

    VPN网关是一款基于互联网的网络连接服务,通过加密通道的方式实现企业本地IDC与阿里云专有网络VPC之间的安全可靠连接。详细信息,请参见VPN网关介绍

准备工作

开始操作前,您需要仔细阅读通过私网访问云电脑介绍,并完成以下准备工作。

  • 创建云企业网 CEN(Cloud Enterprise Network)实例。具体操作,请参见创建云企业网实例

  • 创建专有网络 VPC(Virtual Private Cloud)实例,并将专有网络实例加入云企业网具体操作,请参见创建专有网络和交换机快速加入云企业网

  • 创建办公网络,并将其VPC加入云企业网具体操作,请参见创建和管理基于便捷账号的办公网络创建和管理基于企业AD账号的办公网络

    重要
    • 为了避免新建的办公网络的网段与云企业网已有网段或本地数据中心IDC网段产生冲突,请在创建办公网络前规划好IPv4网段。具体操作,请参见规划网段

    • 如果您之前已有便捷办公网络,需要将其加入云企业网

    • 如果AD部署在云服务器 ECS(Elastic Compute Service)上,您需要将AD服务器所属VPC加入到云企业网;如果AD部署在本地服务器上,需要先打通本地和云上网络,才能成功对接AD。您可以先创建一个AD办公网络,打通网络后再完成AD域的配置。

  • 创建云电脑和用户账号,并将云电脑分配给该用户账号。

  • 获取无影终端,用于连接和使用云电脑。

    说明

    物理专线联合IPsec-VPN的方案可使用的无影终端包括:Windows客户端macOS客户端和硬件终端

网段规划

请完成以下网络规划和网关设备配置工作:

  • 为本地IDC和网络实例规划路由协议。本文路由协议规划如下:

    • 在本地IDC网关设备与VPN网关之间配置静态路由。

    • 在本地IDC网关设备与边界路由器VBR之间采用BGP动态路由协议。

      说明

      在VPN网关作为物理专线备份链路的场景下,路由协议说明如下:

      • 如果VPN网关关联至一个独立的VPC(例如本文的用户VPC),则VBR必须使用BGP动态路由协议,VPN网关可以使用静态路由或BGP动态路由协议。

      • 如果VPN网关关联至业务VPC(例如本文的办公网络VPC),则VBR和VPN网关均需要使用BGP动态路由协议。

  • 为本地IDC和各网络实例规划网段,确保网段之间不重叠、没有冲突。本文网段规划示例如下表所示,业务中请以实际情况为准。

    配置目标

    网段规划

    说明

    办公网络VPC

    172.16.0.0/12

    云电脑IP以及私网网关地址

    用户VPC

    192.168.0.0/24

    您自行创建的VPC,用于建立VPN连接。

    VBR

    10.0.0.1/30

    • VLAN ID:0

    • 阿里云侧IPv4互联IP:10.0.0.1/30

    • 客户侧IPv4互联IP:10.0.0.2/30

      客户侧指本地IDC的网关设备

    • BGP AS号:45104

    本地IDC

    192.168.1.1/24

    无影终端处于该网段内,将从该网段发起连接。

    本地IDC的网关设备

    10.0.0.2/30

    • 公网IP地址:115.XX.XX.154

    • 与物理专线连接的端口IP地址:10.0.0.2/30

    • BGP AS号:65001

  • 检查本地IDC网关设备,确保网关设备支持标准的IKEv1和IKEv2协议,以便和阿里云VPN网关建立连接。关于网关设备是否支持标准的IKEv1和IKEv2协议,请咨询网关设备厂商。

  • 为本地IDC网关设备配置了静态公网IP。

步骤一:部署物理专线

  1. 创建物理专线。

    您需要在选定的地域下申请一条物理专线。具体操作,请参见创建和管理独享专线连接共享专线连接概述

  2. 创建边界路由器VBR。具体操作,请参见创建和管理边界路由器

    配置说明

    配置

    说明

    账号类型

    创建VBR的账号类型。默认选择当前账号,为当前登录的阿里云账号创建VBR。

    名称

    设置VBR的名称。

    资源组

    选择VBR需归属的资源组。

    您也可以在VBR实例创建成功后,找到目标实例并在其资源组列,单击加入资源组完成添加。

    标签

    • 标签键:标签的标签键,支持选择已有标签键或输入新的标签键。标签键最多支持64个字符,不能以aliyunacs:开头,也不能包含http://https://

    • 标签值:标签的标签值,支持选择已有标签值或输入新的标签值。标签值最多支持128个字符,不能以aliyunacs:开头,也不能包含http://https://

    您也可以在VBR实例创建成功后,找到目标实例并在其标签列,添加标签。成功添加标签后,您还可以修改、查看和删除该信息。

    物理专线接口

    选择VBR需要绑定的物理专线接口类型,确保物理专线施工完成且状态正常,然后在下拉列表中选择具体的物理专线接口。

    支持的物理专线接口类型如下:

    • 独享专线:为独享物理专线创建VBR。

    • 共享专线:为共享物理专线创建VBR。

    VLAN ID

    输入VBR的VLAN ID,范围为0~2999。

    VLAN ID的说明如下:

    • VLAN ID为0时,表示VBR的物理交换机端口不使用VLAN模式,而使用三层路由接口模式。三层路由接口模式下每一根物理专线对应一个VBR。

    • VLAN ID为1~2999时,表示VBR的物理交换机端口使用基于VLAN的三层子接口。三层子接口模式下每个VLAN ID对应一个VBR。此时,该VBR的物理专线可以连接多个账号下的VPC。不同VLAN下的VBR二层网络隔离,无法互通。

    配置说明如下:

    • 当为独享物理专线配置VLAN ID时,请确保运营商专线、阿里云VBR和本地IDC接入设备之间的任何二层或三层设备,对您的VLAN标签启用了VLAN中继功能,即能识别您的VLAN标签并允许流量通过且不存在VLAN转换的情况,否则可能存在链路不通的情况。如果运营商侧没有VLAN ID的配置要求,建议您将VLAN ID设置为0

    • 当独享专线的VLAN ID设置为0时,则该VBR不能再创建其他VLAN的子接口。

    • 当为共享专线配置VLAN ID时,VLAN ID为共享物理专线的VLAN ID,无需配置。

    设置VBR带宽值

    设置VBR的带宽。

    当为共享专线创建VBR时,无需配置,VBR的带宽即为创建共享物理专线时设置的共享专线带宽。

    阿里云侧IPv4互联IP

    输入VPC通往本地IDC的路由网关IPv4地址。阿里云侧IPv4互联IP客户侧IPv4互联IP必须在同一个网段内。

    客户侧IPv4互联IP

    输入本地IDC通往VPC的路由网关IPv4地址。

    说明

    如果VPC中的云产品需要访问阿里云或客户侧IPv4互联IP地址时,您需要在VBR路由表中添加目标地址为阿里云或客户侧IPv4互联IP地址所在网段,下一跳指向物理专线的路由条目。关于如何添加路由条目,请参见添加自定义路由条目

    IPv4子网掩码

    阿里云侧和客户侧IPv4地址的子网掩码。由于只需要两个IP地址,您可以选择位数多的子网掩码。

    支持IPv6

    选择是否为VBR开启IPv6功能。

    • 不开启:默认值,不开启IPv6功能。

    • 开启:为VBR开启IPv6功能。IPv6功能开启后不支持关闭。为VBR配置以下参数:

      • 阿里云侧IPv6互联IP:输入VPC通往本地IDC的路由网关IPv6地址。阿里云侧IPv6互联IP客户侧IPv6互联IP必须在同一个网段内。

      • 客户侧IPv6互联IP:输入本地IDC通往VPC的路由网关IPv6地址。

      • IPv6子网掩码:阿里云侧和客户侧IPv6地址的子网掩码。

  3. 创建BGP组。具体操作,请参见创建BGP组

    配置说明

    参数

    说明

    协议类型

    协议类型。取值:

    • IPv4

    • IPv6

      说明

      只有当创建的VBR开通IPv6功能时,才需要配置该参数。

    名称

    输入BGP组的名称。

    Peer AS号

    输入本地IDC侧网络的AS(Autonomous System)号码。

    BGP密钥

    输入BGP组的密钥。

    BGP邻居的路由条目上限

    输入BGP邻居可接收的路由条目上限。

    BGP邻居的路由条目上限为110条,您可以前往配额管理页面提升配额。更多信息,请参见管理配额

    描述

    输入BGP组的描述信息。

    本端AS号

    输入本端AS号。可取值为45104,64512~65534和4200000000~4294967294,其中65025为阿里云保留值。

    说明

    BGP组的本端AS号需要与关联的专线网关ECR的ASN保持一致。

  4. 创建BGP邻居。具体操作,请参见创建BGP邻居

    配置说明

    配置

    说明

    BGP组

    选择要加入的BGP组。

    BGP邻居IP

    输入BGP邻居的IP地址。

    默认情况下,您输入BGP邻居的IPv4地址。如果您选择了开启IPv6地址的BGP组,则需要输入BGP邻居的IPv6地址。

    启用BFD

    选择是否启用双向转发检测BFD(Bidirectional Forwarding Detection)。

    BFD是一种用于检测网络链路连通性的快速故障检测机制,可以与BGP协议联动,达到路由快速收敛的作用,确保业务正常运行。

    BFD跳数

    选择启用BFD时,需要配置此参数。

    输入BFD跳数,即数据从源端到目标端传输时经过的最大设备数量。您可以根据真实的物理链路因素配置不同的跳数。

    取值范围:1~255

步骤二:部署VPN网关

  1. 添加目的路由(即在VPN网关中将本地IDC的路由发布到用户VPC中)。具体操作,请参见添加目的路由

    配置说明

    配置

    说明

    目标网段

    输入要访问的本地数据中心的私网网段。

    下一跳类型

    选择IPsec连接。

    下一跳

    选择需要建立IPsec-VPN连接的IPsec连接。

    发布到 VPC

    选择是否将新添加的路由发布到VPC的系统路由表。

    • (推荐):将新添加的路由发布到VPC的系统路由表。

    • :不发布新添加的路由到VPC系统路由表。

      如果您选择,添加目的路由后,您还需在目的路由表中发布路由。具体操作,请参见发布目的路由

    重要

    如果您在策略路由表和目的路由表创建了目标网段相同的路由条目,并且这两条路由条目被发布到同一个到VPC中,当您在目的路由表下撤销发布该路由条目时,策略路由表下的该路由条目也会被同时撤销发布。

    权重

    选择目的路由的权重值。

    在您使用同一个VPN网关实例搭建主备IPsec-VPN连接的场景中,您可以通过配置目的路由的权重值来指定主链路和备链路,权重值为100的目的路由默认为主链路,权重值为0的目的路由默认为备链路。

    您可以通过为IPsec连接配置健康检查来自动探测链路的连通性,在主链路不通的情况下,系统自动将流量切换至备链路进行传输,实现上云链路的高可用。关于IPsec连接健康检查的更多信息,请参见健康检查

    • 100(主)(默认值):表示当前目的路由关联的IPsec连接为主链路。

    • 0(备):表示当前目的路由关联的IPsec连接为备链路。

    说明
    • 指定主备链路时,主目的路由和备目的路由的目标网段需相同,下一跳需不同,权重值也需不同。

    • 指定主备链路后,如果您需要修改主链路的权重值,需先将备链路删除,待主链路修改完成后,再重新配置备链路。如果您需要修改备链路的权重值,也需先删除主链路,待备链路修改完成后再重新配置主链路。

  2. 在本地IDC网关设备中加载VPN配置。

    1. 登录专有网络管理控制台
    2. 在左侧导航栏选择网间互联 > VPN > IPsec连接

    3. 在顶部菜单栏选择IPsec连接的地域。

    4. IPsec连接页面上找到目标IPsec连接,在操作列单击生成对端配置

    5. 根据本地IDC网关设备的配置要求,将下载的配置添加到本地IDC网关设备中。

      具体操作,请参见华三防火墙配置

步骤三:配置云企业网

VBR和VPN网关配置完成后,您需要将VBR加入到已连接办公网络VPC和用户VPC的CEN实例中,以实现本地IDC和云上办公网络VPC之间的互连互通。

  1. 登录云企业网管理控制台
  2. 在CEN实例中加载VBR实例。

    请确保已完成准备工作:已创建CEN实例,并将办公网络VPC和用户VPC加入到该CEN实例中。

    1. 云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
    2. 基本信息 > 转发路由器页签,找到目标地域的转发路由器实例,在操作列单击创建网络实例连接

    3. 连接网络实例页面,根据以下信息进行配置,然后单击确定创建

      配置项

      说明

      实例类型

      选择边界路由器(VBR)

      地域

      选择要连接的网络实例所在的地域。

      转发路由器

      当前地域下已创建的转发路由器。

      如果当前地域下您暂无转发路由器,系统默认为您自动创建。

      资源归属UID

      选择要连接的网络实例所归属的账号类型。

      • 如果待连接的网络实例与转发路由器实例属于同一个阿里云账号,请选择同账号

      • 如果待连接的网络实例与转发路由器实例属于不同的阿里云账号,请选择跨账号,并输入网络实例所属的阿里云账号(主账号)ID。

      网络实例

      选择要连接的网络实例的ID。

  3. 在云企业网管理控制台为物理专线配置健康检查。具体操作,请参见配置健康检查

    健康检查会以您指定的发包时间间隔发送探测报文,当连续发送的所有探测报文(即您指定的探测报文个数)都丢包时,云企业网会自动将流量切换到VPN链路。

    配置说明

    配置

    说明

    云企业网实例

    选择已连接VBR实例的云企业网实例。

    边界路由器(VBR)

    选择待监控的VBR实例。

    源IP

    源IP地址可通过以下两种方式进行配置:

    • 自动生成源IP(推荐):系统自动为您分配100.96.0.0/16网段内的IP地址。

    • 自定义源IP:源IP地址可以是10.0.0.0/8、192.168.0.0/16、172.16.0.0/12三个网段内任意一个没有被使用的IP地址,但不能与云企业网中要互通的IP地址冲突,也不能和VBR实例的阿里云侧、客户侧IP地址冲突。

    说明
    • 对于自动生成源IP的方式:

      • 在以下地域下,每个地域最多支持为16个VBR实例自动分配源IP地址。

        单击查看地域信息美国(硅谷)、中国(香港)、美国(弗吉尼亚)、华北2(北京)、华东2(上海)、华南1(深圳)、新加坡、华东1(杭州)、华南2(河源)、西南1(成都)、华北3(张家口)、德国(法兰克福)、马来西亚(吉隆坡)、英国(伦敦)、华北1(青岛)、印度尼西亚(雅加达)、华北5(呼和浩特) 、印度(孟买)关停中、华南3(广州)、华北6(乌兰察布)、华东5(南京-本地地域)、日本(东京)、澳大利亚(悉尼)

      • 在菲律宾(马尼拉)、韩国(首尔)、华东6(福州-本地地域)、泰国(曼谷)地域下每个地域最多支持为8个VBR实例自动分配源IP地址。

    • 无论您选择哪种配置方式,健康检查配置完成后,云企业网均会向VBR实例传播一条目标网段为源IP地址,子网掩码为32位的路由条目。

      如果VBR实例和本地数据中心之间运行BGP动态路由协议,则当前路由条目会通过BGP动态路由协议被传播至本地数据中心。

    目标IP

    目标IP地址为VBR实例客户侧IP地址。

    发包时间间隔(秒)

    指定健康检查发送连续探测报文的时间间隔。单位:秒。

    取值范围:2~3。默认值:2。

    探测报文个数(个)

    指定健康检查发送连续探测报文的个数。单位:个。

    取值范围:3~8。默认值:8。

    切换路由

    是否开启健康检查的路由切换功能。

    系统默认选择开启本功能。健康检查探测到物理专线链路故障时,如果云企业网实例中存在冗余的路由,健康检查则会立刻触发路由切换使用可用链路。

    若您关闭本功能,健康检查仅执行链路探测功能。若健康检查探测到物理专线链路故障,则不会触发路由切换。

    警告

    若您选择关闭本功能,请确保您有其他方式保证链路的冗余性,否则当物理专线链路故障后,会导致网络中断。

    描述

    为健康检查添加描述信息。

步骤四:配置本地IDC网关设备

以下配置示例仅供参考。不同厂商的设备,配置命令可能会有所不同,具体命令以相关设备厂商为准。

# 配置BGP动态路由协议,与VBR建立BGP邻居关系,同时宣告本地IDC私网网段至云上 
interface GigabitEthernet 0/12                     # 该端口为本地IDC网关设备与物理专线连接的端口
no switchport ip address 10.0.0.2 255.255.255.252  # 端口的IP地址,需和VBR客户侧IPv4互联IP地址一致

router bgp 65001 bgp
router-id 10.0.0.2
network 192.168.1.1 mask 255.255.0.0    # 宣告本地IDC私网网段
neighbor 10.0.0.1 remote-as 45104      # 和VBR建立BGP邻居关系

# 配置通过VPN网关去往安全办公网络VPC的静态路由,使其优先级低于BGP路由
ip route 192.168.0.0 255.240.0.0 <VPN网关公网IP地址> preference 255

# 配置健康检查探测报文的回程路由
ip route <健康检查源IP地址> 255.255.255.255 10.0.0.1    

步骤五:测试网络连通性

  1. 在本地IDC下,打开命令行窗口。

  2. 执行ping命令,访问云上办公网络VPC网段下的任一云电脑IP地址,如果接收到回复报文,则表示本地IDC和办公网络VPC连接成功。

    如果该办公网络下还没有云电脑,请先创建云电脑。具体操作,请参见创建云电脑

    说明

    创建完成后,在云电脑页面列表的IP列可查看云电脑的IP地址。

  3. 在本地IDC网关设备上,关闭连接物理专线的端口,切断物理专线连接。在客户端再次执行ping命令,测试本地IDC和办公网络VPC的连通性,如果接收到回复报文,则表示备份VPN链路可用。

步骤六:配置云服务路由和DNS

  1. 配置云服务路由。

    阿里云上私网云服务所在网段为100.64.0.0/10,该网段为RFC6598规定的保留网段。为了使无影终端可以正常调用无影云电脑的服务API,需要在本地IDC网络中为100.64.0.0/10网段配置路由,将目的地址隶属于该网段的请求转发至云上的用户VPC。

  2. (可选)配置DNS前,您可以执行以下命令,测试是否可以正常解析域名。

    nslookup ecd-vpc.cn-hangzhou.aliyuncs.com

    如果返回IP地址,则表示可正常解析域名,可以跳过步骤3;如果无法返回IP地址,则需要按照以下步骤配置DNS。

  3. (可选)配置DNS。

    要通过企业专网访问云电脑,需要DNS来解析无影云电脑服务位于私网内的API及流网关的域名,对应的DNS地址为:

    • 100.100.2.136

    • 100.100.2.138

    您可以选择以下一种方式进行配置:

    • 在本地IDC的DHCP服务上配置上述两个DNS地址。

    • 在本地IDC的DNS服务器上配置区域转发,将以aliyuncs.com结尾的域名解析请求转发至100.100.2.136或者100.100.2.138。

步骤七:验证是否能够通过私网连接云电脑

说明

下文以通过Windows客户端7.2.2版本连接云电脑为例,验证是否能够通过私网访问云电脑。业务中请根据实际情况选择合适的客户端。

  1. 打开Windows客户端

  2. 在客户端登录界面底部选择更多 > 网络接入方式,并选择企业专网

  3. 在客户端登录界面输入您从云电脑分配通知邮件或短信中收到的登录凭证(包括办公网络ID或组织ID、用户名、密码等),并单击下一步图标。

    image.png

  4. 在客户端的云资源列表界面找到您的云电脑,并开机连接。

    说明

    如果出现网络请求超时的相关报错,则说明网络不通,请检查配置是否正确。检查无误后请重新登录客户端并连接云电脑。