开始操作前，您需要仔细阅读通过私网访问云电脑介绍。

本文主要介绍如何使用高速通道的物理专线和IPsec-VPN网关来打通本地和云上网络，实现主备链路私网访问云电脑，即：在物理专线和VPN链路都正常的情况下，本地IDC与无影云电脑之间的所有流量只通过物理专线进行转发；当物理专线异常时，本地IDC与无影云电脑之间的流量将切换至VPN链路进行转发。

物理专线和IPsec-VPN网关的相关介绍如下：

物理专线

高速通道提供了一种快速安全连接阿里云与本地IDC的方法。您可以通过租用一条运营商的专线将本地IDC连接到阿里云接入点，建立专线连接。此连接可绕过公网，更加安全可靠、速度更快、延迟更低。更多信息，请参见专线连接介绍。

IPsec-VPN网关

VPN网关是一款基于互联网的网络连接服务，通过加密通道的方式实现企业本地IDC与阿里云专有网络VPC之间安全可靠的连接。更多信息，请参见VPN网关介绍。

请完成以下网络规划和网关设备配置工作：

为本地IDC和网络实例规划路由协议。本文路由协议规划如下：

本地IDC网关设备与VPN网关之间配置静态路由。

本地IDC网关设备与边界路由器VBR之间运行BGP动态路由协议。

在VPN网关作为物理专线备份链路的场景下，路由协议说明如下：

如果VPN网关关联至一个独立的VPC（例如本文的用户VPC）中，则VBR必须使用BGP动态路由协议，VPN网关可以使用静态路由或BGP动态路由协议。

如果VPN网关关联至业务VPC（例如本文的办公网络VPC）中，则VBR和VPN网关均需要使用BGP动态路由协议。

为本地IDC和各网络实例规划网段，确保网段之间没有重叠冲突。本文网段规划示例如下表所示，业务中请以实际情况为准。

配置目标

网段规划

说明

办公网络VPC

172.16.0.0/12

云电脑IP以及私网网关地址

用户VPC

192.168.0.0/16

您自行创建的VPC，用于建立VPN连接。

VBR

10.0.0.1/30

VLAN ID：0

阿里云侧IPv4互联IP：10.0.0.1/30

客户侧IPv4互联IP：10.0.0.2/30

客户侧指本地IDC的网关设备

BGP AS号：45104

本地IDC

192.10.0.0/16

无影云电脑客户端处于该网段内，将从该网段发起连接。

本地IDC的网关设备

10.0.0.2/30

公网IP地址：115.XX.XX.154

与物理专线连接的端口IP地址：10.0.0.2/30

BGP AS号：65001

检查本地IDC网关设备，确保网关设备支持标准的IKEv1和IKEv2协议，以便和阿里云VPN网关建立连接。关于网关设备是否支持标准的IKEv1和IKEv2协议，请咨询网关设备厂商。

为本地IDC网关设备配置了静态公网IP。

按照网络规划，您需要在阿里云侧创建各网络实例，包括办公网络VPC、用户VPC以及CEN实例等，对应的准备工作如下：

确认已有可用的云企业网实例，如果没有您需要创建云企业网。具体操作，请参见创建云企业网实例。

确认已有可用的专有网络，如果没有您需要创建专有网络，并将专有网络加入云企业网。具体操作，请参见创建专有网络和交换机或管理网络实例。

确认已有可用的办公网络，如果没有您需要创建便捷办公网络或AD办公网络，并将办公网络的VPC加入云企业网。具体操作，请参见创建或删除便捷办公网络或创建并配置AD办公网络。

避免新建的办公网络网段与云企业网已有网段或本地数据中心IDC网段存在冲突，创建办公网络前，您需要规划办公网络的IPv4网段。更多信息，请参见规划网段。

如果您之前已有便捷办公网络，需要将办公网络加入云企业网CEN。

如果AD部署在云服务器ECS上，您需要将AD服务器所属VPC加入到云企业网CEN；如果AD部署在本地服务器上，需要先打通本地和云上网络，才能成功对接AD。您可以先创建一个AD办公网络，打通网络后再完成AD域的配置。

确认已创建用户和云电脑并已为该用户分配云电脑。

如果没有您需要根据办公网络类型，创建相应的用户并为用户创建和分配云电脑。

关于如何创建用户，请参见创建便捷用户或创建并配置AD办公网络。

关于如何创建并分配云电脑，请参见创建云电脑或将云电脑分配给用户。

准备连接云电脑的设备。

物理专线联合IPsec-VPN的方案适用于Windows客户端、macOS客户端和硬件终端。

验证是否能够通过私网连接云电脑需要登录无影云电脑的客户端，您可以在本地通过Windows客户端、macOS客户端、iOS客户端、Android客户端、Web客户端、卡片式云电脑终端ASC01、盒式云电脑终端AS01或无影23.8寸一体机US01登录无影云电脑的客户端，然后通过企业专网连接云电脑。

创建物理专线。

您需要在选定的地域下申请一条物理专线。具体操作，请参见创建和管理独享专线连接或共享专线连接概述。

创建边界路由器VBR。具体操作，请参见创建和管理边界路由器。

需要注意的配置项说明如下表所示。

配置项

说明

示例

账号类型

创建VBR的账号类型。默认选择当前账号，为当前登录的阿里云账号创建VBR。

167998252992****

名称

设置VBR的名称，自定义输入。格式规范请参考页面提示。

test-vbr

物理专线接口

选择VBR需要绑定的物理专线接口类型，确保物理专线施工完成且状态正常，然后在下拉列表中选择具体的物理专线接口。

/

VLAN ID

输入VBR的VLAN ID，范围为0～2999。

VLAN ID为0时，表示VBR的物理交换机端口不使用VLAN模式，而使用三层路由接口模式。三层路由接口模式下每一根物理专线对应一个VBR。

VLAN ID为1～2999时，表示VBR的物理交换机端口使用基于VLAN的三层子接口。三层子接口模式下每个VLAN ID对应一个VBR。此时，该VBR的物理专线可以连接多个账号下的VPC。不同VLAN下的VBR二层网络隔离，无法互通。

0

阿里云侧IPv4互联IP

输入VPC通往本地IDC的路由网关IPv4地址。阿里云侧IPv4互联IP与客户侧IPv4互联IP必须在同一个网段内。

10.0.0.1

客户侧IPv4互联IP

输入本地IDC通往VPC的路由网关IPv4地址。

如果VPC中的云产品需要访问阿里云或客户侧IPv4互联IP地址时，您需要在VBR路由表中添加目标地址为阿里云或客户侧IPv4互联IP地址所在网段，下一跳指向物理专线的路由条目。关于如何添加路由条目，请参见添加自定义路由条目。

10.0.0.2

IPv4子网掩码

阿里云侧和客户侧IPv4地址的子网掩码。

255.255.255.252

创建BGP组。具体操作，请参见创建BGP组。

需要注意的配置项说明如下表所示。

配置项

说明

示例

支持IPv6

选择是否支持IPv6功能。只有当创建的VBR开通IPv6功能时，才需要配置该参数。

否：不支持IPv6功能。

是：支持IPv6功能。

本示例无需配置

名称

自定义输入。格式规范请参考页面提示。

test-bgp

Peer AS号

输入本地IDC侧网络的AS （Autonomous System） 号码。

65001

BGP密钥

输入BGP组的密钥。

asde****

BGP邻居的路由条目上限

输入BGP邻居可接收的路由条目上限。

10

创建BGP邻居。具体操作，请参见创建BGP邻居。

需要注意的配置项说明如下表所示。

配置项

说明

示例

BGP组

选择要加入的BGP组。本示例选择上一步创建的BGP组。

test-bgp

BGP邻居IP

输入BGP邻居的IP地址。本示例输入本地IDC侧网关设备的端口IP地址。

10.0.0.2

启用BFD

选择是否启用双向转发检测BFD（Bidirectional Forwarding Detection）。

否

添加目的路由（即在VPN网关中将本地IDC的路由发布到用户VPC中）。具体操作，请参见添加目的路由。

配置项的说明及示例如下表所示。

配置项

说明

示例

目标网段

输入本地IDC的网段。

192.10.0.0/16

下一跳类型

选择IPsec连接。

IPsec连接

下一跳

选择已创建的IPsec连接。

test-ipsec

发布到VPC

选择是否将新添加的路由发布到用户VPC的路由表。

是

权重

选择权重。

100

在本地IDC网关设备中加载VPN配置。

在左侧导航栏，选择网间互联 > VPN > IPsec连接。

在IPsec连接页面，找到目标IPsec连接，单击操作列中的，然后选择下载对端配置。

根据本地IDC网关设备的配置要求，将下载的配置添加到本地IDC网关设备中。

具体操作，请参见本地网关配置。

VBR和VPN网关配置完成后，您需要将VBR加入到已加载办公网络VPC和用户VPC的CEN实例中，以实现本地IDC和云上办公网络VPC之间的互连互通。

登录云企业网控制台。

在CEN实例中加载VBR实例。

请确保已完成准备工作，已创建CEN实例，并将办公网络VPC和用户VPC加入到该CEN实例中。

在云企业网实例页面，找到目标CEN实例，单击实例ID。

在网络实例管理页面，单击加载网络实例。

在加载网络实例面板，完成相关参数配置，然后单击确定。

实例类型：选择边界路由器（VBR）。

地域：选择VBR所属的地域。

网络实例：选择步骤一创建的VBR。

在云企业网管理控制台为物理专线配置健康检查。具体操作，请参见在云企业网管理控制台添加健康检查配置。

您需要为物理专线配置健康检查，健康检查会以您指定的发包时间间隔发送探测报文，当连续发送的所有探测报文（即您指定的探测报文个数）都丢包时，云企业网会主动将流量切换到VPN链路。

需要注意的配置项说明如下表所示。

参数

描述

示例

云企业网实例

选择VBR加载的云企业网实例。

test-cen

边界路由器（VBR）

选择要监控的VBR实例。

test-vbr

源IP

选择自动生成源IP。系统将自动分配100.96.0.0/16地址段内的IP地址，探测链路的连通性。

自动生成源IP

目标IP

输入VBR实例中客户侧IP地址。

10.0.0.2

发包时间间隔（秒）

指定健康检查时发送连续探测报文的时间间隔。

2

探测报文个数（个）

指指定健康检查发送连续探测报文的个数。

8

切换路由

是否开启健康检查的路由切换功能。系统默认选择是，即开启健康检查的路由切换功能。

是

以下配置示例仅供参考。不同厂商的设备，配置命令可能会有所不同。业务中具体命令，请以相关设备厂商提供为准。

在本地IDC下，打开命令行窗口。

执行ping命令，访问云上办公网络VPC网段下的任一云电脑IP地址，如果接收到回复报文，则表示本地IDC和办公网络VPC连接成功。

如果该办公网络下还没有云电脑，请先创建云电脑。具体操作，请参见创建云电脑。

创建完成后，在云电脑管理页面单击目标云电脑桌ID，在基本信息页签可查看云电脑的IP地址。

在本地IDC网关设备上，关闭连接物理专线的端口，切断物理专线连接。在客户端再次执行ping命令，测试本地IDC和办公网络VPC的连通性，如果接收到回复报文，则表示备份VPN链路可用。

配置云服务路由。

阿里云上私网云服务所在网段为100.64.0.0/10，该网段为RFC6598规定的保留网段。为了使无影云电脑客户端可以正常调用无影云电脑服务API，需要在本地IDC网络中为100.64.0.0/10网段配置路由，将目的地址隶属于该网段的请求转发至云上的用户VPC。

配置DNS前，您可以执行以下命令，测试是否可以正常解析域名。

如果返回IP地址，则表示可正常解析域名，则可以跳过步骤3；如果无法返回IP地址，则需要按照以下步骤配置DNS。

可选：配置DNS。

企业专网访问无影云电脑需要DNS来解析无影云电脑服务位于私网内的API及流网关的域名，对应的DNS地址为：

100.100.2.136

100.100.2.138

您可以选择以下一种方式进行配置：

在本地IDC的DHCP服务上配置上述两条DNS地址。

在本地IDC的DNS服务器上配置区域转发，将aliyuncs.com结尾的域名解析请求转发至100.100.2.136或者100.100.2.138。

物理专线联合IPsec-VPN的方案适用于Windows客户端、macOS客户端和硬件终端。

下文以通过登录Windows客户端5.2.0版本连接云电脑为例，验证是否能够通过私网访问云电脑。业务中请根据实际情况选择合适的客户端登录并连接云电脑。

根据邮件或短信获取登录无影云电脑客户端所需的信息（例如：办公网络ID、账号和密码等）。

双击图标打开无影云电脑的客户端。

按照界面提示输入办公网络ID。

仅通过办公网络ID登录客户端时支持选择企业专网。

单击切换网络接入方式并选择企业专网，然后单击确定。

单击下一步。

按照界面提示，输入账号和密码，单击下一步。

连接云电脑。

成功登录无影云电脑的客户端后，云电脑将以卡片的形式展示。单击连接即可。云电脑连接成功后，您可以在新窗口中查看并使用云电脑。

如果出现网络请求超时的相关报错，则说明网络不通，请检查配置是否正确，检查无误后请重新登录客户端，连接云电脑。