IPsec-VPN是一种基于路由的网络连接技术,部署IPsec-VPN后,本地客户端可以通过VPN连接部署在云上VPC中的服务。本文介绍如何通过IPsec-VPN将本地客户端接入到无影云电脑的办公网络VPC中,实现客户端通过私网访问云电脑。
准备工作
开始操作前,您需要仔细阅读通过私网访问云电脑介绍,并完成以下准备工作。
创建云企业网 CEN(Cloud Enterprise Network)实例。具体操作,请参见创建云企业网实例。
创建专有网络 VPC(Virtual Private Cloud)实例,并将专有网络实例加入云企业网。具体操作,请参见创建专有网络和交换机或快速加入云企业网。
创建办公网络,并将其VPC加入云企业网。具体操作,请参见创建和管理基于便捷账号的办公网络或创建和管理基于企业AD账号的办公网络。
重要为了避免新建的办公网络的网段与云企业网已有网段或本地数据中心IDC网段产生冲突,请在创建办公网络前规划好IPv4网段。具体操作,请参见规划网段。
如果您之前已有便捷办公网络,需要将其加入云企业网。
如果AD部署在云服务器 ECS(Elastic Compute Service)上,您需要将AD服务器所属VPC加入到云企业网;如果AD部署在本地服务器上,需要先打通本地和云上网络,才能成功对接AD。您可以先创建一个AD办公网络,打通网络后再完成AD域的配置。
创建云电脑和用户账号,并将云电脑分配给该用户账号。
获取无影终端,用于连接和使用云电脑。具体操作,请参见使用客户端。
说明本方案可使用的无影终端包括:Windows客户端、macOS客户端和硬件终端。
网段规划示例
准备工作阶段,您需要合理规划本地设备和云上各网络实例的网段,避免网段之间产生冲突。本文采用以下网段作为示例,业务中请以实际情况为准。
对象 | 网段规划 | 说明 |
办公网络VPC | 172.16.0.0/12 | PrivateLink服务端(终端节点服务端)处于该网段内。 |
用户VPC | 192.168.0.0/16 | 您自行创建的VPC,用于建立VPN连接。 |
本地IDC | 192.10.0.0/16 | 无影终端处于该网段内,将从该网段发起连接。 |
本地IDC网关设备 | 115.XX.XX.154 | 本地IDC网关设备的公网IP地址。 |
本地IDC网关设备必须支持标准的IKEv1和IKEv2协议,方可与阿里云VPN网关建立连接。关于网关设备是否支持标准的IKEv1和IKEv2协议,请咨询网关设备生产厂商。
步骤一:配置IPsec-VPN
购买VPN网关并开启IPsec-VPN功能。具体操作,请参见创建VPN网关实例。
创建用户网关。具体操作,请参见创建和管理用户网关。
创建IPsec连接。具体操作,请参见创建IPsec连接。
配置
说明
名称
输入IPsec连接的名称。
资源组
选择VPN网关实例所属的资源组。
如果您不选择,系统直接展示所有资源组下的VPN网关实例。
绑定资源
选择IPsec连接绑定的资源类型。请选择VPN网关。
VPN网关
选择IPsec连接待绑定的VPN网关实例。
路由模式
选择IPsec连接的路由模式。
目的路由模式(默认值):基于目的IP地址路由和转发流量。
感兴趣流模式:基于源IP地址和目的IP地址精确的路由和转发流量。
选择感兴趣流模式后,您需要配置本端网段和对端网段。IPsec连接配置完成后,系统自动在VPN网关实例的策略路由表中添加策略路由。
系统在VPN网关实例的策略路由表中添加策略路由后,路由默认是未发布状态。您可以依据网络互通需求决定是否将路由发布至VPC的路由表中。具体操作,请参见发布策略路由。
说明如果IPsec连接绑定了VPN网关实例,且您选择的VPN网关实例为旧版VPN网关实例,则您无需选择路由模式。
本端网段
输入需要和本地数据中心互通的VPC侧的网段,用于第二阶段协商。
单击文本框右侧的
图标,可添加多个需要和本地数据中心互通的VPC侧的网段。说明如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2。
对端网段
输入需要和VPC互通的本地数据中心侧的网段,用于第二阶段协商。
单击文本框右侧的
图标,可添加多个需要和VPC侧互通的本地数据中心侧的网段。说明如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2。
立即生效
选择IPsec连接的配置是否立即生效。
是(默认值):配置完成后系统立即进行IPsec协议协商。
否:当有流量进入时系统才进行IPsec协议协商。
用户网关
选择IPsec连接待关联的用户网关。
预共享密钥
输入IPsec连接的认证密钥,用于VPN网关实例与本地数据中心之间的身份认证。
密钥长度为1~100个字符,支持数字、大小写英文字母及右侧字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?。若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后,您可以通过编辑按钮查看系统生成的预共享密钥。具体操作,请参见修改IPsec连接。
重要IPsec连接两侧配置的预共享密钥需一致,否则系统无法正常建立IPsec连接。
RemoteId
输入对端签名证书的主题名称。
重要主题名称仅支持输入英文,因此请确保申请对端签名证书时填写的主题名称(例如公司名称、部门、公司所在区域等信息)为英文。
对端CA证书
输入对端CA证书。
通过输入对端CA证书,VPN网关实例可以在建立IPsec-VPN连接时校验对端证书的合法性。
如果您已经在本地保存了对端CA证书,您可以单击上传证书,将已经保存的对端CA证书上传至阿里云。
启用BGP
如果IPsec连接需要使用BGP路由协议,需要打开BGP功能的开关,系统默认关闭BGP功能。
使用BGP动态路由功能前,建议您先了解BGP动态路由功能工作机制和使用限制。更多信息,请参见配置BGP动态路由。
本端自治系统号
输入IPsec连接阿里云侧的自治系统号。默认值:45104。自治系统号取值范围:1~4294967295。
支持按照两段位的格式进行输入,即:前16位比特.后16位比特。每个段位使用十进制输入。
例如输入123.456,则表示自治系统号:123*65536+456=8061384。
说明建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。
将对端网段发布至云企业网。
- 登录专有网络管理控制台。
在左侧导航栏中单击路由表。
在路由表列表中找到用户VPC对应的路由表,单击路由表实例ID。
在路由条目列表页签上单击自定义路由条目页签。
找到配置的对端网段(即本地数据中心的私网网段),单击对应的发布。
当网段对应的CEN中状态列显示为已发布,则表示发布成功。
步骤二:在本地网关设备中加载VPN配置
步骤三:配置云服务路由和DNS
配置云服务路由。
阿里云上私网云服务所在网段为100.64.0.0/10,该网段为RFC6598规定的保留网段。为了使无影终端可以正常调用无影云电脑的服务API,需要在本地IDC网络中为100.64.0.0/10网段配置路由,将目的地址隶属于该网段的请求转发至云上的用户VPC。
(可选)配置DNS前,您可以执行以下命令,测试是否可以正常解析域名。
nslookup ecd-vpc.cn-hangzhou.aliyuncs.com如果返回IP地址,则表示可正常解析域名,可以跳过步骤3;如果无法返回IP地址,则需要按照以下步骤配置DNS。
(可选)配置DNS。
要通过企业专网访问云电脑,需要DNS来解析无影云电脑服务位于私网内的API及流网关的域名,对应的DNS地址为:
100.100.2.136
100.100.2.138
您可以选择以下一种方式进行配置:
在本地IDC的DHCP服务上配置上述两个DNS地址。
在本地IDC的DNS服务器上配置区域转发,将以
aliyuncs.com结尾的域名解析请求转发至100.100.2.136或者100.100.2.138。
步骤四:验证是否能够通过私网连接云电脑
下文以通过Windows客户端7.2.2版本连接云电脑为例,验证是否能够通过私网访问云电脑。业务中请根据实际情况选择合适的客户端。
打开Windows客户端。
在客户端登录界面底部选择,并选择企业专网。
在客户端登录界面输入您从云电脑分配通知邮件或短信中收到的登录凭证(包括办公网络ID或组织ID、用户名、密码等),并单击下一步图标。
在客户端的云资源列表界面找到您的云电脑,并开机连接。
说明如果出现网络请求超时的相关报错,则说明网络不通,请检查配置是否正确。检查无误后请重新登录客户端并连接云电脑。