本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
本文介紹如何組合使用物理專線和IPsec-VPN來打通本地數據中心IDC和阿里云網絡,以實現客戶端通過企業專網(私網)主備鏈路訪問云電腦。
背景信息
開始操作前,您需要仔細閱讀通過私網訪問云電腦介紹。
本文主要介紹如何使用高速通道的物理專線和IPsec-VPN網關來打通本地和云上網絡,實現主備鏈路私網訪問云電腦,具體要達到的效果是:
當物理專線和VPN鏈路都正常時,本地IDC與云電腦之間的所有流量只通過物理專線進行轉發。
當物理專線異常時,本地IDC與云電腦之間的流量將切換至VPN鏈路進行轉發。
準備工作
開始操作前,您需要仔細閱讀通過私網訪問云電腦介紹,并完成以下準備工作。
創建云企業網 CEN(Cloud Enterprise Network)實例。具體操作,請參見創建云企業網實例。
創建專有網絡 VPC(Virtual Private Cloud)實例,并將專有網絡實例加入云企業網。具體操作,請參見創建專有網絡和交換機或快速加入云企業網。
創建辦公網絡,并將其VPC加入云企業網。具體操作,請參見創建和管理基于便捷賬號的辦公網絡或創建和管理基于企業AD賬號的辦公網絡。
重要為了避免新建的辦公網絡的網段與云企業網已有網段或本地數據中心IDC網段產生沖突,請在創建辦公網絡前規劃好IPv4網段。具體操作,請參見規劃網段。
如果您之前已有便捷辦公網絡,需要將其加入云企業網。
如果AD部署在云服務器 ECS(Elastic Compute Service)上,您需要將AD服務器所屬VPC加入到云企業網;如果AD部署在本地服務器上,需要先打通本地和云上網絡,才能成功對接AD。您可以先創建一個AD辦公網絡,打通網絡后再完成AD域的配置。
創建云電腦和用戶賬號,并將云電腦分配給該用戶賬號。
獲取無影終端,用于連接和使用云電腦。
說明物理專線聯合IPsec-VPN的方案可使用的無影終端包括:Windows客戶端、macOS客戶端和硬件終端。
網段規劃
請完成以下網絡規劃和網關設備配置工作:
為本地IDC和網絡實例規劃路由協議。本文路由協議規劃如下:
在本地IDC網關設備與VPN網關之間配置靜態路由。
在本地IDC網關設備與邊界路由器VBR之間采用BGP動態路由協議。
說明在VPN網關作為物理專線備份鏈路的場景下,路由協議說明如下:
如果VPN網關關聯至一個獨立的VPC(例如本文的用戶VPC),則VBR必須使用BGP動態路由協議,VPN網關可以使用靜態路由或BGP動態路由協議。
如果VPN網關關聯至業務VPC(例如本文的辦公網絡VPC),則VBR和VPN網關均需要使用BGP動態路由協議。
為本地IDC和各網絡實例規劃網段,確保網段之間不重疊、沒有沖突。本文網段規劃示例如下表所示,業務中請以實際情況為準。
配置目標
網段規劃
說明
辦公網絡VPC
172.16.0.0/12
云電腦IP以及私網網關地址
用戶VPC
192.168.0.0/24
您自行創建的VPC,用于建立VPN連接。
VBR
10.0.0.1/30
VLAN ID:0
阿里云側IPv4互聯IP:10.0.0.1/30
客戶側IPv4互聯IP:10.0.0.2/30
客戶側指本地IDC的網關設備
BGP AS號:45104
本地IDC
192.168.1.1/24
無影終端處于該網段內,將從該網段發起連接。
本地IDC的網關設備
10.0.0.2/30
公網IP地址:115.XX.XX.154
與物理專線連接的端口IP地址:10.0.0.2/30
BGP AS號:65001
檢查本地IDC網關設備,確保網關設備支持標準的IKEv1和IKEv2協議,以便和阿里云VPN網關建立連接。關于網關設備是否支持標準的IKEv1和IKEv2協議,請咨詢網關設備廠商。
為本地IDC網關設備配置了靜態公網IP。
步驟一:部署物理專線
創建物理專線。
您需要在選定的地域下申請一條物理專線。具體操作,請參見創建和管理獨享專線連接或共享專線連接概述。
創建邊界路由器VBR。具體操作,請參見創建和管理邊界路由器。
配置
說明
賬號類型
創建VBR的賬號類型。默認選擇當前賬號,為當前登錄的阿里云賬號創建VBR。
名稱
設置VBR的名稱。
資源組
選擇VBR需歸屬的資源組。
您也可以在VBR實例創建成功后,找到目標實例并在其資源組列,單擊加入資源組完成添加。
標簽
標簽鍵:標簽的標簽鍵,支持選擇已有標簽鍵或輸入新的標簽鍵。標簽鍵最多支持64個字符,不能以
aliyun或acs:開頭,也不能包含http://或https://。標簽值:標簽的標簽值,支持選擇已有標簽值或輸入新的標簽值。標簽值最多支持128個字符,不能以
aliyun或acs:開頭,也不能包含http://或https://。
您也可以在VBR實例創建成功后,找到目標實例并在其標簽列,添加標簽。成功添加標簽后,您還可以修改、查看和刪除該信息。
物理專線接口
選擇VBR需要綁定的物理專線接口類型,確保物理專線施工完成且狀態正常,然后在下拉列表中選擇具體的物理專線接口。
支持的物理專線接口類型如下:
獨享專線:為獨享物理專線創建VBR。
共享專線:為共享物理專線創建VBR。
VLAN ID
輸入VBR的VLAN ID,范圍為0~2999。
VLAN ID的說明如下:
VLAN ID為0時,表示VBR的物理交換機端口不使用VLAN模式,而使用三層路由接口模式。三層路由接口模式下每一根物理專線對應一個VBR。
VLAN ID為1~2999時,表示VBR的物理交換機端口使用基于VLAN的三層子接口。三層子接口模式下每個VLAN ID對應一個VBR。此時,該VBR的物理專線可以連接多個賬號下的VPC。不同VLAN下的VBR二層網絡隔離,無法互通。
配置說明如下:
當為獨享物理專線配置VLAN ID時,請確保運營商專線、阿里云VBR和本地IDC接入設備之間的任何二層或三層設備,對您的VLAN標簽啟用了VLAN中繼功能,即能識別您的VLAN標簽并允許流量通過且不存在VLAN轉換的情況,否則可能存在鏈路不通的情況。如果運營商側沒有VLAN ID的配置要求,建議您將VLAN ID設置為0。
當獨享專線的VLAN ID設置為0時,則該VBR不能再創建其他VLAN的子接口。
當為共享專線配置VLAN ID時,VLAN ID為共享物理專線的VLAN ID,無需配置。
設置VBR帶寬值
設置VBR的帶寬。
當為共享專線創建VBR時,無需配置,VBR的帶寬即為創建共享物理專線時設置的共享專線帶寬。
阿里云側IPv4互聯IP
輸入VPC通往本地IDC的路由網關IPv4地址。阿里云側IPv4互聯IP與客戶側IPv4互聯IP必須在同一個網段內。
客戶側IPv4互聯IP
輸入本地IDC通往VPC的路由網關IPv4地址。
說明如果VPC中的云產品需要訪問阿里云或客戶側IPv4互聯IP地址時,您需要在VBR路由表中添加目標地址為阿里云或客戶側IPv4互聯IP地址所在網段,下一跳指向物理專線的路由條目。關于如何添加路由條目,請參見添加自定義路由條目。
IPv4子網掩碼
阿里云側和客戶側IPv4地址的子網掩碼。由于只需要兩個IP地址,您可以選擇位數多的子網掩碼。
支持IPv6
選擇是否為VBR開啟IPv6功能。
不開啟:默認值,不開啟IPv6功能。
開啟:為VBR開啟IPv6功能。IPv6功能開啟后不支持關閉。為VBR配置以下參數:
阿里云側IPv6互聯IP:輸入VPC通往本地IDC的路由網關IPv6地址。阿里云側IPv6互聯IP與客戶側IPv6互聯IP必須在同一個網段內。
客戶側IPv6互聯IP:輸入本地IDC通往VPC的路由網關IPv6地址。
IPv6子網掩碼:阿里云側和客戶側IPv6地址的子網掩碼。
創建BGP組。具體操作,請參見創建BGP組。
參數
說明
協議類型
協議類型。取值:
IPv4。
IPv6。
說明只有當創建的VBR開通IPv6功能時,才需要配置該參數。
名稱
輸入BGP組的名稱。
Peer AS號
輸入本地IDC側網絡的AS(Autonomous System)號碼。
BGP密鑰
輸入BGP組的密鑰。
BGP鄰居的路由條目上限
輸入BGP鄰居可接收的路由條目上限。
描述
輸入BGP組的描述信息。
本端AS號
輸入本端AS號。可取值為45104,64512~65534和4200000000~4294967294,其中65025為阿里云保留值。
說明BGP組的本端AS號需要與關聯的專線網關ECR的ASN保持一致。
創建BGP鄰居。具體操作,請參見創建BGP鄰居。
配置
說明
BGP組
選擇要加入的BGP組。
BGP鄰居IP
輸入BGP鄰居的IP地址。
默認情況下,您輸入BGP鄰居的IPv4地址。如果您選擇了開啟IPv6地址的BGP組,則需要輸入BGP鄰居的IPv6地址。
啟用BFD
選擇是否啟用雙向轉發檢測BFD(Bidirectional Forwarding Detection)。
BFD是一種用于檢測網絡鏈路連通性的快速故障檢測機制,可以與BGP協議聯動,達到路由快速收斂的作用,確保業務正常運行。
BFD跳數
選擇啟用BFD時,需要配置此參數。
輸入BFD跳數,即數據從源端到目標端傳輸時經過的最大設備數量。您可以根據真實的物理鏈路因素配置不同的跳數。
取值范圍:1~255。
步驟二:部署VPN網關
添加目的路由(即在VPN網關中將本地IDC的路由發布到用戶VPC中)。具體操作,請參見添加目的路由。
配置
說明
目標網段
輸入要訪問的本地數據中心的私網網段。
下一跳類型
選擇IPsec連接。
下一跳
選擇需要建立IPsec-VPN連接的IPsec連接。
發布到 VPC
選擇是否將新添加的路由發布到VPC的系統路由表。
是(推薦):將新添加的路由發布到VPC的系統路由表。
否:不發布新添加的路由到VPC系統路由表。
如果您選擇否,添加目的路由后,您還需在目的路由表中發布路由。具體操作,請參見發布目的路由。
重要如果您在策略路由表和目的路由表創建了目標網段相同的路由條目,并且這兩條路由條目被發布到同一個到VPC中,當您在目的路由表下撤銷發布該路由條目時,策略路由表下的該路由條目也會被同時撤銷發布。
權重
選擇目的路由的權重值。
在您使用同一個VPN網關實例搭建主備IPsec-VPN連接的場景中,您可以通過配置目的路由的權重值來指定主鏈路和備鏈路,權重值為100的目的路由默認為主鏈路,權重值為0的目的路由默認為備鏈路。
您可以通過為IPsec連接配置健康檢查來自動探測鏈路的連通性,在主鏈路不通的情況下,系統自動將流量切換至備鏈路進行傳輸,實現上云鏈路的高可用。關于IPsec連接健康檢查的更多信息,請參見健康檢查。
100(主)(默認值):表示當前目的路由關聯的IPsec連接為主鏈路。
0(備):表示當前目的路由關聯的IPsec連接為備鏈路。
說明指定主備鏈路時,主目的路由和備目的路由的目標網段需相同,下一跳需不同,權重值也需不同。
指定主備鏈路后,如果您需要修改主鏈路的權重值,需先將備鏈路刪除,待主鏈路修改完成后,再重新配置備鏈路。如果您需要修改備鏈路的權重值,也需先刪除主鏈路,待備鏈路修改完成后再重新配置主鏈路。
在本地IDC網關設備中加載VPN配置。
步驟三:配置云企業網
VBR和VPN網關配置完成后,您需要將VBR加入到已連接辦公網絡VPC和用戶VPC的CEN實例中,以實現本地IDC和云上辦公網絡VPC之間的互連互通。
- 登錄云企業網管理控制臺。
在CEN實例中加載VBR實例。
請確保已完成準備工作:已創建CEN實例,并將辦公網絡VPC和用戶VPC加入到該CEN實例中。
- 在云企業網實例頁面,找到目標云企業網實例,單擊目標實例ID。
在頁簽,找到目標地域的轉發路由器實例,在操作列單擊創建網絡實例連接。
在連接網絡實例頁面,根據以下信息進行配置,然后單擊確定創建。
配置項
說明
實例類型
選擇邊界路由器(VBR)。
地域
選擇要連接的網絡實例所在的地域。
轉發路由器
當前地域下已創建的轉發路由器。
如果當前地域下您暫無轉發路由器,系統默認為您自動創建。
資源歸屬UID
選擇要連接的網絡實例所歸屬的賬號類型。
如果待連接的網絡實例與轉發路由器實例屬于同一個阿里云賬號,請選擇同賬號。
如果待連接的網絡實例與轉發路由器實例屬于不同的阿里云賬號,請選擇跨賬號,并輸入網絡實例所屬的阿里云賬號(主賬號)ID。
網絡實例
選擇要連接的網絡實例的ID。
在云企業網管理控制臺為物理專線配置健康檢查。具體操作,請參見配置健康檢查。
健康檢查會以您指定的發包時間間隔發送探測報文,當連續發送的所有探測報文(即您指定的探測報文個數)都丟包時,云企業網會自動將流量切換到VPN鏈路。
配置
說明
云企業網實例
選擇已連接VBR實例的云企業網實例。
邊界路由器(VBR)
選擇待監控的VBR實例。
源IP
源IP地址可通過以下兩種方式進行配置:
自動生成源IP(推薦):系統自動為您分配100.96.0.0/16網段內的IP地址。
自定義源IP:源IP地址可以是10.0.0.0/8、192.168.0.0/16、172.16.0.0/12三個網段內任意一個沒有被使用的IP地址,但不能與云企業網中要互通的IP地址沖突,也不能和VBR實例的阿里云側、客戶側IP地址沖突。
說明對于自動生成源IP的方式:
在以下地域下,每個地域最多支持為16個VBR實例自動分配源IP地址。
單擊查看地域信息美國(硅谷)、中國(香港)、美國(弗吉尼亞)、華北2(北京)、華東2(上海)、華南1(深圳)、新加坡、華東1(杭州)、華南2(河源)、西南1(成都)、華北3(張家口)、德國(法蘭克福)、馬來西亞(吉隆坡)、英國(倫敦)、華北1(青島)、印度尼西亞(雅加達)、華北5(呼和浩特) 、印度(孟買)關停中、華南3(廣州)、華北6(烏蘭察布)、華東5(南京-本地地域)、日本(東京)、澳大利亞(悉尼)
在菲律賓(馬尼拉)、韓國(首爾)、華東6(福州-本地地域)、泰國(曼谷)地域下每個地域最多支持為8個VBR實例自動分配源IP地址。
無論您選擇哪種配置方式,健康檢查配置完成后,云企業網均會向VBR實例傳播一條目標網段為源IP地址,子網掩碼為32位的路由條目。
如果VBR實例和本地數據中心之間運行BGP動態路由協議,則當前路由條目會通過BGP動態路由協議被傳播至本地數據中心。
目標IP
目標IP地址為VBR實例客戶側IP地址。
發包時間間隔(秒)
指定健康檢查發送連續探測報文的時間間隔。單位:秒。
取值范圍:2~3。默認值:2。
探測報文個數(個)
指定健康檢查發送連續探測報文的個數。單位:個。
取值范圍:3~8。默認值:8。
切換路由
是否開啟健康檢查的路由切換功能。
系統默認選擇開啟本功能。健康檢查探測到物理專線鏈路故障時,如果云企業網實例中存在冗余的路由,健康檢查則會立刻觸發路由切換使用可用鏈路。
若您關閉本功能,健康檢查僅執行鏈路探測功能。若健康檢查探測到物理專線鏈路故障,則不會觸發路由切換。
警告若您選擇關閉本功能,請確保您有其他方式保證鏈路的冗余性,否則當物理專線鏈路故障后,會導致網絡中斷。
描述
為健康檢查添加描述信息。
步驟四:配置本地IDC網關設備
以下配置示例僅供參考。不同廠商的設備,配置命令可能會有所不同,具體命令以相關設備廠商為準。
# 配置BGP動態路由協議,與VBR建立BGP鄰居關系,同時宣告本地IDC私網網段至云上
interface GigabitEthernet 0/12 # 該端口為本地IDC網關設備與物理專線連接的端口
no switchport ip address 10.0.0.2 255.255.255.252 # 端口的IP地址,需和VBR客戶側IPv4互聯IP地址一致
router bgp 65001 bgp
router-id 10.0.0.2
network 192.168.1.1 mask 255.255.0.0 # 宣告本地IDC私網網段
neighbor 10.0.0.1 remote-as 45104 # 和VBR建立BGP鄰居關系
# 配置通過VPN網關去往安全辦公網絡VPC的靜態路由,使其優先級低于BGP路由
ip route 192.168.0.0 255.240.0.0 <VPN網關公網IP地址> preference 255
# 配置健康檢查探測報文的回程路由
ip route <健康檢查源IP地址> 255.255.255.255 10.0.0.1 步驟五:測試網絡連通性
在本地IDC下,打開命令行窗口。
執行
ping命令,訪問云上辦公網絡VPC網段下的任一云電腦IP地址,如果接收到回復報文,則表示本地IDC和辦公網絡VPC連接成功。如果該辦公網絡下還沒有云電腦,請先創建云電腦。具體操作,請參見創建云電腦。
說明創建完成后,在云電腦頁面列表的IP列可查看云電腦的IP地址。
在本地IDC網關設備上,關閉連接物理專線的端口,切斷物理專線連接。在客戶端再次執行
ping命令,測試本地IDC和辦公網絡VPC的連通性,如果接收到回復報文,則表示備份VPN鏈路可用。
步驟六:配置云服務路由和DNS
配置云服務路由。
阿里云上私網云服務所在網段為100.64.0.0/10,該網段為RFC6598規定的保留網段。為了使無影終端可以正常調用無影云電腦的服務API,需要在本地IDC網絡中為100.64.0.0/10網段配置路由,將目的地址隸屬于該網段的請求轉發至云上的用戶VPC。
(可選)配置DNS前,您可以執行以下命令,測試是否可以正常解析域名。
nslookup ecd-vpc.cn-hangzhou.aliyuncs.com如果返回IP地址,則表示可正常解析域名,可以跳過步驟3;如果無法返回IP地址,則需要按照以下步驟配置DNS。
(可選)配置DNS。
要通過企業專網訪問云電腦,需要DNS來解析無影云電腦服務位于私網內的API及流網關的域名,對應的DNS地址為:
100.100.2.136
100.100.2.138
您可以選擇以下一種方式進行配置:
在本地IDC的DHCP服務上配置上述兩個DNS地址。
在本地IDC的DNS服務器上配置區域轉發,將以
aliyuncs.com結尾的域名解析請求轉發至100.100.2.136或者100.100.2.138。
步驟七:驗證是否能夠通過私網連接云電腦
下文以通過Windows客戶端7.2.2版本連接云電腦為例,驗證是否能夠通過私網訪問云電腦。業務中請根據實際情況選擇合適的客戶端。
打開Windows客戶端。
在客戶端登錄界面底部選擇,并選擇企業專網。
在客戶端登錄界面輸入您從云電腦分配通知郵件或短信中收到的登錄憑證(包括辦公網絡ID或組織ID、用戶名、密碼等),并單擊下一步圖標。
在客戶端的云資源列表界面找到您的云電腦,并開機連接。
說明如果出現網絡請求超時的相關報錯,則說明網絡不通,請檢查配置是否正確。檢查無誤后請重新登錄客戶端并連接云電腦。