通过IPsec-VPN实现客户端私网访问云电脑

IPsec-VPN是一种基于路由的网络连接技术,部署IPsec-VPN后,本地客户端可以通过VPN连接部署在云上VPC中的服务。本文介绍如何通过IPsec-VPN将本地客户端接入到无影云电脑办公网络VPC中,实现客户端通过私网访问云电脑。

准备工作

开始操作前,您需要仔细阅读通过私网访问云电脑介绍,并完成以下准备工作。

  • 创建云企业网 CEN(Cloud Enterprise Network)实例。具体操作,请参见创建云企业网实例

  • 创建专有网络 VPC(Virtual Private Cloud)实例,并将专有网络实例加入云企业网具体操作,请参见创建专有网络和交换机快速加入云企业网

  • 创建办公网络,并将其VPC加入云企业网具体操作,请参见创建和管理基于便捷账号的办公网络创建和管理基于企业AD账号的办公网络

    重要
    • 为了避免新建的办公网络的网段与云企业网已有网段或本地数据中心IDC网段产生冲突,请在创建办公网络前规划好IPv4网段。具体操作,请参见规划网段

    • 如果您之前已有便捷办公网络,需要将其加入云企业网

    • 如果AD部署在云服务器 ECS(Elastic Compute Service)上,您需要将AD服务器所属VPC加入到云企业网;如果AD部署在本地服务器上,需要先打通本地和云上网络,才能成功对接AD。您可以先创建一个AD办公网络,打通网络后再完成AD域的配置。

网段规划示例

准备工作阶段,您需要合理规划本地设备和云上各网络实例的网段,避免网段之间产生冲突。本文采用以下网段作为示例,业务中请以实际情况为准。

对象

网段规划

说明

办公网络VPC

172.16.0.0/12

PrivateLink服务端(终端节点服务端)处于该网段内。

用户VPC

192.168.0.0/16

您自行创建的VPC,用于建立VPN连接。

本地IDC

192.10.0.0/16

无影终端处于该网段内,将从该网段发起连接。

本地IDC网关设备

115.XX.XX.154

本地IDC网关设备的公网IP地址。

说明

本地IDC网关设备必须支持标准的IKEv1和IKEv2协议,方可与阿里云VPN网关建立连接。关于网关设备是否支持标准的IKEv1和IKEv2协议,请咨询网关设备生产厂商。

步骤一:配置IPsec-VPN

  1. 购买VPN网关并开启IPsec-VPN功能。具体操作,请参见创建VPN网关实例

    配置说明

    配置项

    说明

    实例名称

    输入VPN网关实例的名称。

    资源组

    选择VPN网关实例所属的资源组。

    如果不选择,VPN网关实例创建完成后归属于默认资源组。您可以在资源管理控制台管理VPN网关实例以及其他云产品资源所属的资源组。更多信息,请参见什么是资源管理

    地域和可用区

    显示要创建VPN网关实例的地域。

    需确保VPN网关实例的地域和待关联的VPC实例的地域相同。

    网关类型

    选择VPN网关实例的类型。

    • 普通型:选择该类型IPsec-VPN连接将使用国际标准商用密码算法(普通算法)。

    • 国密型:选择该类型IPsec-VPN连接将使用中国国产商用密码算法(国密算法)。

    说明

    使用国密型VPN网关时,国密型VPN网关需要关联SSL证书进行数据加密和身份认证。更多信息,请参见管理SSL证书

    网络类型

    选择VPN网关实例的网络类型。

    • 公网:VPN网关通过公网建立VPN连接。

    • 私网:VPN网关通过私网建立VPN连接。

    说明

    如果您需要基于私网建立VPN连接,更推荐您使用私网IPsec连接绑定转发路由器的方式。具体操作,请参见建立多条私有IPsec-VPN连接实现私网流量的负载分担

    隧道

    系统直接展示当前地域支持的IPsec-VPN连接的隧道模式。

    • 单隧道

    • 双隧道

    关于IPsec-VPN连接隧道模式的说明,请参见【升级公告】IPsec-VPN连接升级为双隧道模式

    VPC

    选择VPN网关实例关联的VPC实例。

    虚拟交换机1

    从VPC实例中选择一个交换机实例。

    • IPsec-VPN连接的隧道模式为单隧道时,您仅需要指定一个交换机实例。

    • IPsec-VPN连接的隧道模式为双隧道时,您需要指定两个交换机实例。

      IPsec-VPN功能开启后,系统会在两个交换机实例下各创建一个弹性网卡ENI(Elastic Network Interfaces),作为使用IPsec-VPN连接与VPC流量互通的接口。每个ENI会占用交换机下的一个IP地址。

    说明
    • 系统默认帮您选择第一个交换机实例,您可以手动修改或者直接使用默认的交换机实例。

    • 创建VPN网关实例后,不支持修改VPN网关实例关联的交换机实例,您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机、交换机所属可用区以及交换机下ENI的信息。

    虚拟交换机2

    IPsec-VPN连接的隧道模式为双隧道时,从VPC实例中选择第二个交换机实例。

    • 您需要从VPN网关实例关联的VPC实例下指定两个分布在不同可用区的交换机实例,以实现IPsec-VPN连接可用区级别的容灾。

    • 对于仅支持一个可用区的地域 ,不支持可用区级别的容灾,建议您在该可用区下指定两个不同的交换机实例以实现IPsec-VPN连接的高可用,支持选择和第一个相同的交换机实例。

    单击查看支持一个可用区的地域。

    华东5(南京-本地地域)、华东6(福州-本地地域)、华中1(武汉-本地地域)、泰国(曼谷)、韩国(首尔)、澳大利亚(悉尼)、菲律宾(马尼拉)、阿联酋(迪拜)。

    带宽规格

    选择VPN网关实例的带宽规格。单位:Mbps。

    IPsec-VPN

    选择开启或关闭IPsec-VPN功能。默认值:开启

    建立IPsec-VPN连接时需开启本功能。

    SSL-VPN

    选择开启或关闭SSL-VPN功能。默认值:关闭

    建立IPsec-VPN连接时无需开启本功能。

    计费周期

    选择购买时长。

    您可以选择是否自动续费:

    • 按月购买:自动续费周期为1个月。

    • 按年购买:自动续费周期为1年。

    服务关联角色

    单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。

    VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn

    若本配置项显示为已创建,则表示您当前账号下已创建了该角色,无需重复创建。

  2. 创建用户网关。具体操作,请参见创建和管理用户网关

    配置说明

    配置

    说明

    名称

    输入用户网关的名称。

    IP地址

    输入本地数据中心网关设备的静态IP地址。

    • 如果您后续需要创建公网网络类型的IPsec连接,则此处需要输入公网IP地址。

    • 如果您后续需要创建私网网络类型的IPsec连接,则此处需要输入私网IP地址。

    不支持使用以下IP地址,否则无法建立IPsec-VPN连接:

    • 100.64.0.0~100.127.255.255

    • 127.0.0.0~127.255.255.255

    • 169.254.0.0~169.254.255.255

    • 224.0.0.0~239.255.255.255

    • 255.0.0.0~255.255.255.255

    自治系统号

    如果IPsec-VPN连接计划启用BGP动态路由协议,则需要配置本地数据中心网关设备的自治系统号ASN(Autonomous System Number)。自治系统号取值范围:1~4294967295。

    支持按照两段位的格式进行输入,即:前16位比特.后16位比特。每个段位使用十进制输入。

    例如输入123.456,则表示自治系统号:123*65536+456=8061384。

    说明

    建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。

    描述

    输入用户网关的描述信息。

    资源组

    选择用户网关所属的资源组。

    您可以在资源管理控制台管理用户网关资源以及其他云产品资源所属的资源组。更多信息,请参见什么是资源管理

    标签

    支持为用户网关实例添加标签,您可以通过标签对用户网关实例进行标记和分类,便于资源的搜索和聚合。更多信息,请参见标签概述

    • 标签键:为用户网关实例添加标签键,支持选择已有标签键或输入新的标签键。

    • 标签值:为用户网关实例添加标签值,支持选择已有标签值或输入新的标签值。标签值可以为空。

  3. 创建IPsec连接。具体操作,请参见创建IPsec连接

    配置说明

    配置

    说明

    名称

    输入IPsec连接的名称。

    资源组

    选择VPN网关实例所属的资源组。

    如果您不选择,系统直接展示所有资源组下的VPN网关实例。

    绑定资源

    选择IPsec连接绑定的资源类型。请选择VPN网关

    VPN网关

    选择IPsec连接待绑定的VPN网关实例。

    路由模式

    选择IPsec连接的路由模式。

    • 目的路由模式(默认值):基于目的IP地址路由和转发流量。

    • 感兴趣流模式:基于源IP地址和目的IP地址精确的路由和转发流量。

      选择感兴趣流模式后,您需要配置本端网段对端网段。IPsec连接配置完成后,系统自动在VPN网关实例的策略路由表中添加策略路由。

      系统在VPN网关实例的策略路由表中添加策略路由后,路由默认是未发布状态。您可以依据网络互通需求决定是否将路由发布至VPC的路由表中。具体操作,请参见发布策略路由

    说明

    如果IPsec连接绑定了VPN网关实例,且您选择的VPN网关实例为旧版VPN网关实例,则您无需选择路由模式。

    本端网段

    输入需要和本地数据中心互通的VPC侧的网段,用于第二阶段协商。

    单击文本框右侧的添加图标,可添加多个需要和本地数据中心互通的VPC侧的网段。

    说明

    如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2

    对端网段

    输入需要和VPC互通的本地数据中心侧的网段,用于第二阶段协商。

    单击文本框右侧的添加图标,可添加多个需要和VPC侧互通的本地数据中心侧的网段。

    说明

    如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2

    立即生效

    选择IPsec连接的配置是否立即生效。

    • (默认值):配置完成后系统立即进行IPsec协议协商。

    • :当有流量进入时系统才进行IPsec协议协商。

    用户网关

    选择IPsec连接待关联的用户网关。

    预共享密钥

    输入IPsec连接的认证密钥,用于VPN网关实例与本地数据中心之间的身份认证。

    • 密钥长度为1~100个字符,支持数字、大小写英文字母及右侧字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?

    • 若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后,您可以通过编辑按钮查看系统生成的预共享密钥。具体操作,请参见修改IPsec连接

    重要

    IPsec连接两侧配置的预共享密钥需一致,否则系统无法正常建立IPsec连接。

    RemoteId

    输入对端签名证书的主题名称。

    重要

    主题名称仅支持输入英文,因此请确保申请对端签名证书时填写的主题名称(例如公司名称、部门、公司所在区域等信息)为英文。

    对端CA证书

    输入对端CA证书。

    通过输入对端CA证书,VPN网关实例可以在建立IPsec-VPN连接时校验对端证书的合法性。

    如果您已经在本地保存了对端CA证书,您可以单击上传证书,将已经保存的对端CA证书上传至阿里云。

    启用BGP

    如果IPsec连接需要使用BGP路由协议,需要打开BGP功能的开关,系统默认关闭BGP功能。

    使用BGP动态路由功能前,建议您先了解BGP动态路由功能工作机制和使用限制。更多信息,请参见配置BGP动态路由

    本端自治系统号

    输入IPsec连接阿里云侧的自治系统号。默认值:45104。自治系统号取值范围:1~4294967295

    支持按照两段位的格式进行输入,即:前16位比特.后16位比特。每个段位使用十进制输入。

    例如输入123.456,则表示自治系统号:123*65536+456=8061384。

    说明

    建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。

  4. 将对端网段发布至云企业网

    1. 登录专有网络管理控制台
    2. 在左侧导航栏中单击路由表

    3. 在路由表列表中找到用户VPC对应的路由表,单击路由表实例ID。

    4. 路由条目列表页签上单击自定义路由条目页签。

    5. 找到配置的对端网段(即本地数据中心的私网网段),单击对应的发布

      当网段对应的CEN中状态列显示为已发布,则表示发布成功。

步骤二:在本地网关设备中加载VPN配置

  1. 登录专有网络管理控制台
  2. 在左侧导航栏选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏选择IPsec连接的地域。

  4. IPsec连接页面上找到目标IPsec连接,在操作列单击生成对端配置

  5. 根据本地IDC网关设备的配置要求,将下载的配置添加到本地IDC网关设备中。

    具体操作,请参见华三防火墙配置

步骤三:配置云服务路由和DNS

  1. 配置云服务路由。

    阿里云上私网云服务所在网段为100.64.0.0/10,该网段为RFC6598规定的保留网段。为了使无影终端可以正常调用无影云电脑的服务API,需要在本地IDC网络中为100.64.0.0/10网段配置路由,将目的地址隶属于该网段的请求转发至云上的用户VPC。

  2. (可选)配置DNS前,您可以执行以下命令,测试是否可以正常解析域名。

    nslookup ecd-vpc.cn-hangzhou.aliyuncs.com

    如果返回IP地址,则表示可正常解析域名,可以跳过步骤3;如果无法返回IP地址,则需要按照以下步骤配置DNS。

  3. (可选)配置DNS。

    要通过企业专网访问云电脑,需要DNS来解析无影云电脑服务位于私网内的API及流网关的域名,对应的DNS地址为:

    • 100.100.2.136

    • 100.100.2.138

    您可以选择以下一种方式进行配置:

    • 在本地IDC的DHCP服务上配置上述两个DNS地址。

    • 在本地IDC的DNS服务器上配置区域转发,将以aliyuncs.com结尾的域名解析请求转发至100.100.2.136或者100.100.2.138。

步骤四:验证是否能够通过私网连接云电脑

说明

下文以通过Windows客户端7.2.2版本连接云电脑为例,验证是否能够通过私网访问云电脑。业务中请根据实际情况选择合适的客户端。

  1. 打开Windows客户端

  2. 在客户端登录界面底部选择更多 > 网络接入方式,并选择企业专网

  3. 在客户端登录界面输入您从云电脑分配通知邮件或短信中收到的登录凭证(包括办公网络ID或组织ID、用户名、密码等),并单击下一步图标。

    image.png

  4. 在客户端的云资源列表界面找到您的云电脑,并开机连接。

    说明

    如果出现网络请求超时的相关报错,则说明网络不通,请检查配置是否正确。检查无误后请重新登录客户端并连接云电脑。