IPsec-VPN是一种基于路由的网络连接技术,部署IPsec-VPN后,本地客户端可以通过VPN连接部署在云上VPC中的服务。本文介绍如何通过IPsec-VPN将本地客户端接入到无影云电脑的办公网络VPC中,实现客户端通过私网访问云电脑。
准备工作
开始操作前,您需要仔细阅读通过私网访问云电脑介绍,并完成以下准备工作。
创建云企业网 CEN(Cloud Enterprise Network)实例。具体操作,请参见创建云企业网实例。
创建专有网络 VPC(Virtual Private Cloud)实例,并将专有网络实例加入云企业网。具体操作,请参见创建专有网络和交换机或快速加入云企业网。
创建办公网络,并将其VPC加入云企业网。具体操作,请参见创建和管理基于便捷账号的办公网络或创建和管理基于企业AD账号的办公网络。
重要为了避免新建的办公网络的网段与云企业网已有网段或本地数据中心IDC网段产生冲突,请在创建办公网络前规划好IPv4网段。具体操作,请参见规划网段。
如果您之前已有便捷办公网络,需要将其加入云企业网。
如果AD部署在云服务器 ECS(Elastic Compute Service)上,您需要将AD服务器所属VPC加入到云企业网;如果AD部署在本地服务器上,需要先打通本地和云上网络,才能成功对接AD。您可以先创建一个AD办公网络,打通网络后再完成AD域的配置。
创建云电脑和用户账号,并将云电脑分配给该用户账号。
获取无影终端,用于连接和使用云电脑。具体操作,请参见使用客户端。
说明本方案可使用的无影终端包括:Windows客户端、macOS客户端和硬件终端。
网段规划示例
准备工作阶段,您需要合理规划本地设备和云上各网络实例的网段,避免网段之间产生冲突。本文采用以下网段作为示例,业务中请以实际情况为准。
对象 | 网段规划 | 说明 |
办公网络VPC | 172.16.0.0/12 | PrivateLink服务端(终端节点服务端)处于该网段内。 |
用户VPC | 192.168.0.0/16 | 您自行创建的VPC,用于建立VPN连接。 |
本地IDC | 192.10.0.0/16 | 无影终端处于该网段内,将从该网段发起连接。 |
本地IDC网关设备 | 115.XX.XX.154 | 本地IDC网关设备的公网IP地址。 |
本地IDC网关设备必须支持标准的IKEv1和IKEv2协议,方可与阿里云VPN网关建立连接。关于网关设备是否支持标准的IKEv1和IKEv2协议,请咨询网关设备生产厂商。
步骤一:配置IPsec-VPN
步骤二:在本地网关设备中加载VPN配置
步骤三:配置云服务路由和DNS
配置云服务路由。
阿里云上私网云服务所在网段为100.64.0.0/10,该网段为RFC6598规定的保留网段。为了使无影终端可以正常调用无影云电脑的服务API,需要在本地IDC网络中为100.64.0.0/10网段配置路由,将目的地址隶属于该网段的请求转发至云上的用户VPC。
(可选)配置DNS前,您可以执行以下命令,测试是否可以正常解析域名。
nslookup ecd-vpc.cn-hangzhou.aliyuncs.com
如果返回IP地址,则表示可正常解析域名,可以跳过步骤3;如果无法返回IP地址,则需要按照以下步骤配置DNS。
(可选)配置DNS。
要通过企业专网访问云电脑,需要DNS来解析无影云电脑服务位于私网内的API及流网关的域名,对应的DNS地址为:
100.100.2.136
100.100.2.138
您可以选择以下一种方式进行配置:
在本地IDC的DHCP服务上配置上述两个DNS地址。
在本地IDC的DNS服务器上配置区域转发,将以
aliyuncs.com
结尾的域名解析请求转发至100.100.2.136或者100.100.2.138。
步骤四:验证是否能够通过私网连接云电脑
下文以通过Windows客户端7.2.2版本连接云电脑为例,验证是否能够通过私网访问云电脑。业务中请根据实际情况选择合适的客户端。
打开Windows客户端。
在客户端登录界面底部选择
,并选择企业专网。在客户端登录界面输入您从云电脑分配通知邮件或短信中收到的登录凭证(包括办公网络ID或组织ID、用户名、密码等),并单击下一步图标。
在客户端的云资源列表界面找到您的云电脑,并开机连接。
说明如果出现网络请求超时的相关报错,则说明网络不通,请检查配置是否正确。检查无误后请重新登录客户端并连接云电脑。