本文介绍如何组合使用物理专线和IPsec-VPN,打通本地数据中心IDC和阿里云网络,实现客户端可以主备链路通过企业专网(私网)访问云桌面。

背景信息

通过客户端连接云桌面时,您可以选择以公网或者企业专网(即VPC)进行连接。云桌面支持哪种网络接入方式由云桌面所属工作区的属性决定,相关说明如下:
  • 工作区连接方式为公网连接时,则只允许客户端通过公网连接云桌面。
  • 工作区连接方式为VPC连接时,则只允许客户端通过企业专网连接云桌面。
  • 工作区连接方式为公网和VPC都允许时,则不限制方式,使用客户端连接云桌面时可以自行选择网络接入方式。
VPC连接依赖于阿里云私网连接(PrivateLink)服务,该服务能够实现专有网络VPC与阿里云上的服务建立安全稳定的私有连接,简化网络架构,实现私网访问服务,避免通过公网访问服务带来的潜在安全风险。
说明 私网连接服务不收取费用。选择VPC连接或者公网和VPC都允许时,系统将自动为您开通私网连接服务。

采用VPC连接方式时,需要先打通客户端所属网络(本地IDC网络)和云桌面安全办公网络(阿里云专有网络VPC)。目前阿里云提供高速通道、智能接入网关和VPN网关等方式可以打通本地和云上网络。

本文主要介绍如何使用高速通道的物理专线和IPsec-VPN网关来打通本地和云上网络,实现主备链路私网访问云桌面,即:在物理专线和VPN链路都正常的情况下,本地IDC与无影云桌面之间的所有流量只通过物理专线进行转发;当物理专线异常时,本地IDC与无影云桌面之间的流量将切换至VPN链路进行转发。

物理专线和IPsec-VPN网关的相关介绍如下:
  • 物理专线

    高速通道提供了一种快速安全连接阿里云与本地IDC的方法。您可以通过租用一条运营商的专线将本地IDC连接到阿里云接入点,建立专线连接。此连接可绕过公网,更加安全可靠、速度更快、延迟更低。更多信息,请参见专线连接介绍

  • IPsec-VPN网关

    VPN网关是一款基于互联网的网络连接服务,通过加密通道的方式实现企业本地IDC与阿里云专有网络VPC之间安全可靠的连接。更多信息,请参见VPN网关介绍

说明 云桌面支持PC软终端、Web浏览器、硬件终端和移动终端等多种类型的客户端。物理专线联合IPsec-VPN的方案适用于PC端(Windows、macOS)和硬件终端(阿里云云终端)。

网络架构

通过物理专线联合IPsec-VPN打通本地和云上网络,实现主备链路私网访问无影云桌面的组网架构如下图所示。物理专线联合IPsec-VPN
相关说明如下:
  • 专有网络VPC是逻辑上彻底隔离的云上私有网络。无影云桌面从网络角度可以划分为管控VPC、桌面服务VPC和工作区VPC,三者均由阿里云维护。其中管控VPC和桌面服务VPC负责部署管控组件和桌面资源等,工作区VPC是您创建工作区时,系统根据您设置的网段创建的VPC,即安全办公网络。
  • 主链路上的物理专线是通过高速通道建立的一个本地IDC和阿里云接入点之间的专用网络连接;边界路由器VBR是本地CPE设备和阿里云接入点之间连接的一个路由器,用作数据在本地IDC和阿里云之间的转发桥梁。
  • 备链路上的VPN网关采用IPsec-VPN连接,IPsec-VPN是一种基于路由的网络连接技术,支持IKEv1和IKEv2协议,只要支持这两种协议的本地IDC网关设备均可以和VPN网关互连。VPN网关将关联至一个独立的用户VPC,该用户VPC是您自建的VPC,不部署任何业务,仅作为中转VPC为本地IDC和阿里云搭建VPN链路。
  • 云企业网CEN可以在不同的网络实例(VPC、VBR等)之间搭建私网通信通道。管控CEN由阿里云维护,您无需关注。用户CEN是您需要自建的CEN,用于实现边界路由器VBR或者用户VPC,与工作区VPC之间的网络互通。
  • 每台云桌面包含两个网卡:eth0和eth1。其中,eth0是内部网卡,负责管控流量、客户端与云桌面建立连接流量等,IP由无影云桌面服务统一分配;eth1是您日常使用的网卡,负责访问VPC内的资源或者访问公网,IP由系统在工作区VPC网段内自动分配。
  • VPC连接依赖于PrivateLink服务,该服务能够在工作区VPC(终端节点)与桌面服务VPC(终端服务节点)之间建立安全稳定的私网连接。

准备工作

请完成以下网络规划和网关设备配置工作:
  • 为本地IDC和网络实例规划路由协议。本文路由协议规划如下:
    • 本地IDC网关设备与VPN网关之间配置静态路由。
    • 本地IDC网关设备与边界路由器VBR之间运行BGP动态路由协议。
      说明 在VPN网关作为物理专线备份链路的场景下,路由协议说明如下:
      • 如果VPN网关关联至一个独立的VPC(例如本文的用户VPC)中,则VBR必须使用BGP动态路由协议,VPN网关可以使用静态路由或BGP动态路由协议。
      • 如果VPN网关关联至业务VPC(例如本文的工作区VPC)中,则VBR和VPN网关均需要使用BGP动态路由协议。
  • 为本地IDC和各网络实例规划网段,确保网段之间没有重叠冲突。本文网段规划示例如下:网络规划示例
    配置目标 网段规划 说明
    工作区VPC 172.16.0.0/12 PrivateLink服务端(终端节点服务端)处于该网段内。
    用户VPC 192.168.0.0/16 您自行创建的VPC,用于建立VPN连接。
    VBR 10.0.0.1/30
    • VLAN ID:0
    • 阿里云侧IPv4互联IP:10.0.0.1/30
    • 客户侧IPv4互联IP:10.0.0.2/30

      客户侧指本地IDC的网关设备

    • BGP AS号:45104
    本地IDC 192.10.0.0/16 无影云电脑客户端处于该网段内,将从该网段发起连接。
    本地IDC的网关设备 10.0.0.2/30
    • 公网IP地址:115.XX.XX.154
    • 与物理专线连接的端口IP地址:10.0.0.2/30
    • BGP AS号:65001
  • 检查本地IDC网关设备,确保网关设备支持标准的IKEv1和IKEv2协议,以便和阿里云VPN网关建立连接。关于网关设备是否支持标准的IKEv1和IKEv2协议,请咨询网关设备厂商。
  • 为本地IDC网关设备配置了静态公网IP。
按照网络规划,您需要在阿里云侧创建各网络实例,包括工作区对应的工作区VPC、用户VPC以及CEN实例等。工作区按照账号系统类型可以分为便捷工作区和AD工作区,对应的准备工作如下:
  • 便捷工作区
    1. 创建CEN实例。具体操作,请参见创建云企业网实例
    2. 创建用户VPC,并将用户VPC加入到CEN中。具体操作,请参见创建专有网络加载网络实例
    3. 创建便捷工作区,并将便捷工作区VPC加入到CEN中。具体操作,请参见创建便捷工作区

      如果您之前已有便捷工作区,可以在无影云桌面控制台的安全办公网络页面,将工作区对应的VPC加入到CEN中。

  • AD工作区
    1. 创建CEN实例。具体操作,请参见创建云企业网实例
    2. 创建用户VPC,将用户VPC加入到CEN中。具体操作,请参见创建专有网络加载网络实例

      如果AD部署在云服务器ECS上,则AD所属VPC即为用户VPC,您只需将该VPC加入到CEN中。

    3. 创建AD工作区,并将AD工作区VPC加入到CEN中。具体操作,请参见创建AD工作区
      说明 如果AD部署在本地服务器上,需要先打通本地和云上网络,才能对接AD成功。您可以先创建一个AD工作区,在打通网络后再完成AD域的配置。

步骤一:部署物理专线

  1. 创建物理专线。
    您需要在选定的地域下申请一条物理专线。具体操作,请参见创建独享专线连接共享专线连接概述
  2. 登录高速通道管理控制台
  3. 在顶部菜单栏,选择地域。
  4. 创建VBR。
    1. 在左侧导航栏,单击边界路由器(VBR)
    2. 边界路由器(VBR)页面,单击创建边界路由器
    3. 创建边界路由器面板,完成相关参数配置,然后单击确定
      需要注意的配置项说明如下表所示。更多信息,请参见创建边界路由器
      参数 描述 示例
      名称 自定义输入。格式规范请参考页面提示。 test-vbr
      物理专线接口 选择已申请的物理专线接口。确保物理专线施工完成且状态正常。 /
      VLAN ID 输入VBR的VLAN ID,范围为0~2999。
      • VLAN ID为0时,表示VBR的物理交换机端口不使用VLAN模式,而使用三层路由接口模式。三层路由接口模式下每一根物理专线对应一个VBR。
      • VLAN ID为1~2999时,表示VBR的物理交换机端口使用基于VLAN的三层子接口。三层子接口模式下每个VLAN ID对应一个VBR。此时,该VBR的物理专线可以连接多个账号下的VPC。不同VLAN下的VBR二层网络隔离,无法互通。
      0
      阿里云侧IPv4互联IP 输入VPC通往本地IDC的路由网关IPv4地址。 10.0.0.1
      客户侧IPv4互联IP 输入本地IDC通往VPC的路由网关IPv4地址。 10.0.0.2
      IPv4子网掩码 阿里云侧和客户侧IPv4地址的子网掩码。 255.255.255.252
  5. 配置BGP组。
    1. 边界路由器(VBR)页面,单击上一步创建的VBR实例ID。
    2. 在边界路由器实例详情页面,单击BGP组页签,然后单击创建BGP组
    3. 创建BGP组面板,完成相关参数配置,然后单击确定
      需要注意的配置项说明如下表所示。更多信息,请参见配置BGP
      参数 描述 示例
      名称 自定义输入。格式规范请参考页面提示。 test-bgp
      Peer AS号 输入本地IDC侧网络的AS (Autonomous System) 号码。 65001
  6. 配置BGP邻居。
    1. 在边界路由器实例详情页面,单击BGP邻居页签,然后单击创建BGP邻居
    2. 创建BGP邻居面板,完成相关参数配置,然后单击确定
      需要注意的配置项说明如下表所示。更多信息,请参见配置BGP
      参数 描述 示例
      BGP组 选择要加入的BGP组。本示例选择上一步创建的BGP组。 test-bgp
      BGP邻居 输入BGP邻居的IP地址。本示例输入本地IDC侧网关设备的端口IP地址。 10.0.0.2

步骤二:部署VPN网关

  1. 登录VPN网关管理控制台
  2. 创建VPN网关。
    1. VPN网关页面,单击创建VPN网关
    2. 在购买页面,完成VPN网关配置。
      需要注意的配置项说明如下表所示。更多信息,请参见创建VPN网关
      参数 描述 示例
      实例名称 自定义输入。格式规范请参考页面提示。 test-vpn
      地域 选择工作区所在的地域。 华东1(杭州)
      专有网络 选择需要打通网络的用户VPC网段。 test-vpc
      指定交换机 选择是否将VPN网关创建在VPC中的某一交换机下。本示例选择
      带宽峰值 选择带宽规格。带宽规格是VPN网关所具备的公网带宽峰值。 10Mbps
      IPsec-VPN 选择是否开启IPsec-VPN功能。本示例选择开启 开启
    3. 单击立即购买,然后按照页面提示完成后续支付操作。
    4. 返回VPN网关页面,查看新创建的VPN网关并记录VPN网关的公网IP地址,用于后续步骤四的本地IDC侧路由配置。
  3. 创建用户网关。
    1. 在左侧导航栏,选择网间互联 > VPN > 用户网关
    2. 用户网关页面,单击创建用户网关
    3. 创建用户网关面板,完成相关参数配置,然后单击确定
      需要注意的配置项说明如下表所示。更多信息,请参见创建用户网关
      参数 描述 示例
      名称 自定义输入。格式规范请参考页面提示。 test-gw
      IP地址 输入用户VPC要连接的本地IDC的网关设备的公网IP 115.x.x.154
  4. 创建IPsec连接。
    1. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
    2. IPsec连接页面,单击创建IPsec连接
    3. 创建IPsec连接页面,完成相关参数配置,然后单击确定
      需要注意的配置项说明如下表所示。更多信息,请参见创建IPsec连接
      参数 描述 示例
      名称 自定义输入。格式规范请参考页面提示。 test-ipsec
      VPN网关 选择已创建的VPN网关。 test-vpn
      用户网关 选择已创建的用户网关。 test-gw
      路由模式 选择路由模式。本示例选择感兴趣流模式
      • 目的路由模式:基于目的IP进行路由转发。选择该模式需要在VPN网关的目的路由表中添加目的路由。
      • 感兴趣流模式:基于源IP和目的IP进行精确的路由转发,选择该模式需要配置本端网段和对端网段。
      感兴趣流模式
      本端网段 阿里云侧的私网网段。包括以下三个网段:
      • 工作区VPC网段
      • 您自建的用户VPC网段。
      • 阿里云私网OpenAPI所在网段,固定为100.64.0.0/10。
      • 172.16.0.0/12
      • 192.168.0.0/16
      • 100.64.0.0/10
      对端网段 本地IDC的私网网段、 192.10.0.0/16
      立即生效 选择是否立即生效。
      • 是:配置完成后立即进行协商。
      • 否:当有流量进入时进行协商。
  5. 配置VPN网关路由。
    您需要在VPN网关中将本地IDC的路由发布到用户VPC中。
    1. 在左侧导航栏,选择网间互联 > VPN > VPN网关
    2. VPN网关页面,找到目标VPN网关,单击实例ID。
    3. 目的路由表页签,单击添加路由条目
    4. 添加路由条目面板,完成相关参数配置,然后单击确定
      需要注意的配置项说明如下表所示。更多信息,请参见使用目的路由使用策略路由
      参数 描述 示例
      目标网段 输入本地IDC的网段。 192.10.0.0/16
      下一跳类型 选择IPsec连接 IPsec连接
      下一跳 选择已创建的IPsec连接。 test-ipsec
      发布到VPC 选择是否将新添加的路由发布到用户VPC的路由表。
      权重 选择权重。 100
  6. 在本地IDC网关设备中加载VPN配置。
    1. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
    2. IPsec连接页面,找到目标IPsec连接,单击操作列中的更多,然后选择下载对端配置
    3. 根据本地IDC网关设备的配置要求,将下载的配置添加到本地IDC网关设备中。
      具体操作,请参见本地网关配置

步骤三:配置云企业网

VBR和VPN网关配置完成后,您需要将VBR加入到已加载工作区VPC和用户VPC的CEN实例中,以实现本地IDC和云上工作区VPC之间的互连互通。

  1. 登录云企业网控制台
  2. 在CEN实例中加载VBR实例。
    请确保已完成准备工作,已创建CEN实例,并将工作区VPC和用户VPC加入到该CEN实例中。
    1. 云企业网实例页面,找到目标CEN实例,单击实例ID。
    2. 网络实例管理页面,单击加载网络实例
    3. 加载网络实例面板,完成相关参数配置,然后单击确定
      • 实例类型:选择边界路由器(VBR)。
      • 地域:选择VBR所属的地域。
      • 网络实例:选择步骤一创建的VBR。
  3. 为物理专线配置健康检查。
    您需要为物理专线配置健康检查,健康检查会以您指定的发包时间间隔发送探测报文,当连续发送的所有探测报文(即您指定的探测报文个数)都丢包时,云企业网会主动将流量切换到VPN链路。
    1. 在左侧导航栏,单击健康检查
    2. 选择VBR所属的地域,然后单击设置健康检查
    3. 设置健康检查面板,完成相关参数配置,然后单击确定
      需要注意的配置项说明如下表所示。更多信息,请参见健康检查
      参数 描述 示例
      云企业网实例 选择VBR加载的云企业网实例。 test-cen
      边界路由器(VBR) 选择要监控的VBR实例。 test-vbr
      源IP 选择自动生成源IP。系统将自动分配100.96.0.0/16地址段内的IP地址,探测链路的连通性。 自动生成源IP
      目标IP 输入VBR实例中客户侧IP地址。 10.0.0.2
      包时间间隔(秒) 指定健康检查时发送连续探测报文的时间间隔。 2
      探测报文个数(个) 指定健康检查时发送探测报文的个数。 8

步骤四:配置本地IDC网关设备

以下配置示例仅供参考。不同厂商的设备,配置命令可能会有所不同。具体命令,请咨询相关设备厂商。
#配置BGP动态路由协议,与VBR建立BGP邻居关系,同时宣告本地IDC私网网段至云上 
interface GigabitEthernet 0/12                     #该端口为本地IDC网关设备与物理专线连接的端口
no switchport ip address 10.0.0.2 255.255.255.252  #端口的IP地址,需和VBR客户侧IPv4互联IP地址一致

router bgp 65001 bgp
router-id 10.0.0.2
network 192.10.0.0 mask 255.255.0.0    #宣告本地IDC私网网段
neighbor 10.0.0.1 remote-as 45104      #和VBR建立BGP邻居关系

#配置通过VPN网关去往安全办公网络VPC的静态路由,使其优先级低于BGP路由
ip route 192.168.0.0 255.240.0.0 <VPN网关公网IP地址> preference 255

#配置健康检查探测报文的回程路由
ip route <健康检查源IP地址> 255.255.255.255 10.0.0.1    

步骤五:测试网络连通性

  1. 在本地IDC下,打开命令行窗口。
  2. 执行ping命令,访问云上工作区VPC网段下的任一云桌面IP地址,如果接收到回复报文,则表示本地IDC和工作区VPC连接成功。
    如果该工作区下还没有云桌面,请先创建云桌面。创建完成后,在桌面列表中可以查看云桌面的IP地址。具体操作,请参见创建云桌面
  3. 在本地IDC网关设备上,关闭连接物理专线的端口,切断物理专线连接。在客户端再次执行ping命令,测试本地IDC和工作区VPC的连通性,如果接收到回复报文,则表示备份VPN链路可用。

步骤六:配置云服务路由和DNS

阿里云上私网云服务所在网段为100.64.0.0/10,该网段为RFC6598规定的保留网段。为了使云桌面客户端可以正常调用云桌面服务API,需要在本地IDC网络中为100.64.0.0/10网段配置路由,将目的地址隶属于该网段的请求转发至云上的用户VPC。

企业专网访问无影云桌面需要DNS来解析云桌面服务位于私网内的API及流网关的域名,对应的DNS地址为
  • 100.100.2.136
  • 100.100.2.138
您可以选择以下一种方式进行配置:
  • 在本地IDC的DHCP服务上配置上述两条DNS地址。
  • 在本地IDC的DNS服务器上配置区域转发,将aliyuncs.con结尾的域名解析请求转发至100.100.2.136或者100.100.2.138。

步骤七:测试无影云电脑客户端能否通过私网访问云桌面

测试前,请先根据工作区类型,创建对应的终端用户,并为用户创建和分配云桌面。

物理专线联合IPsec-VPN的方案适用于PC端(Windows、macOS)和硬件终端(阿里云云终端)。以Windows客户端为例,操作步骤如下:

  1. 安装并打开无影云电脑客户端。
  2. 登录配置页面,输入工作区ID,选中通过企业专网接入,然后单击下一步
    如果出现网络请求超时的相关报错,则表示网络不通,请检查配置是否有误。
  3. 输入用户名和密码,单击下一步
  4. 在桌面卡片中,选择状态为运行中的云桌面,单击连接
    如果可以成功登录客户端并连接云桌面,则表示配置成功。