AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 NAT网关 实践教程 通过VPC NAT解决私网访问 VPC NAT网关配合物理专线实现本地IDC与云上互访

VPC NAT网关配合物理专线实现本地IDC与云上互访

更新时间:
产品详情
我的收藏

使用 VPC NAT网关的SNATDNAT功能,配合物理专线可以实现本地数据中心IDC与云上VPC使用固定私网地址互访。

场景示例

本文以下图场景为例。某企业在阿里云华东2(上海)地域已经部署了VPC和交换机,交换机中创建了多台ECS实例。该企业云下总部已通过物理专线和边界路由器VBR接入阿里云。云上的VPC与总部已经通过云企业网CEN互通。

企业要求VPC与总部互访时的私网IP地址固定,可以使用VPC NAT网关的SNAT功能和DNAT功能实现。

image

本场景的网段规划如下表所示。可以自行规划网段,但需确保网段之间没有重叠。

配置项

地址段

云上VPC1网段

192.168.0.0/16

云上交换机网段

  • VSW1:192.168.10.0/24

  • VSW2:192.168.20.0/24

  • NATVSW:192.168.3.0/24

云上ECS实例的IP地址

  • ECS1:192.168.10.55

  • ECS2:192.168.20.30

本地IDC网段

172.16.0.0/12

本地IDC中服务器的IP地址

172.16.10.137

互联IP

  • 云端VBR地址:10.0.0.2/30

  • 本地IDC端:10.0.0.1/30

操作步骤

确保已创建VPC、交换机、ECS、物理专线、VBR、CEN和转发路由器实例。
使用转发路由器创建VPC连接前,确保VPC在转发路由器支持的可用区拥有至少一个交换机,且该交换机拥有至少一个空闲的IP地址。

步骤一:连接VPC实例和VBR实例

在转发路由器中创建与物理专线关联的VBR连接和需要互通的VPC连接,实现本地IDCVPC的私网互通。

  1. 登录云企业网管理控制台

  2. 云企业网实例页面,单击目标云企业网实例ID。

  3. 基本信息 > 转发路由器页签,在目标转发路由器实例的操作列单击创建网络实例连接

    初次配置时,系统会自动创建名为AliyunServiceRoleForCEN的服务关联角色。该角色允许转发路由器实例在VPC的交换机上创建ENI。

    • 实例类型:待连接的网络实例,选择专有网络(VPC)

    • 地域:待连接 VPC 所属的地域。

    • 资源归属UID:待连接VPC所属的账号类型。

    • 付费方式:默认为按量付费,可查看计费说明了解具体计费规则。

    • 网络实例:选择计划连接的 VPC。

    • 交换机:在转发路由器支持的可用区选择至少2个交换机。

    • 高级配置:保持默认配置,勾选三种高级配置

  4. 连接网络实例页面,单击继续创建连接。配置以下参数创建VBR1连接,单击确定创建

    • 实例类型:待连接的网络实例,选择边界路由器(VBR)

    • 地域:待连接 VBR 所属的地域。

    • 资源归属UID:待连接 VBR 所属的账号类型。

    • 网络实例:选择计划连接的 VBR。

    • 高级配置:保持默认配置,勾选三种高级配置

  5. 创建完成后,可以在地域内连接管理页签查看VPC连接和VBR连接。

步骤二:配置VBR路由

为 VBR 配置指向本地IDC的路由。

  1. 前往高速通道控制台 - 边界路由器(VBR)页面。在顶部菜单栏,选择目标地域。

  2. 单击目标VBR实例ID进入详情页,在路由条目页签单击添加路由条目

    • 下一跳类型:选择路由条目的下一跳类型。本文选择物理专线接口

    • 目标网段:输入本地IDC中服务器的IP地址172.16.10.137

    • 下一跳:选择指向的物理专线接口。

步骤三:创建VPC NAT网关

  1. 前往NAT网关 - 创建 VPC NAT页面。

    • 地域:计划创建VPC NAT网关的地域。本文选择华东2(上海)

    • 网络及可用区:计划创建VPC NAT网关实例所属的VPC和交换机。创建实例后无法修改。

  2. 确认订单页面,确认参数配置及服务协议,单击立即开通

步骤四:为VPC1的系统路由表添加路由条目

确保VPC1ECS实例交换机绑定了系统路由表。如绑定了自定义路由表,则需在对应路由表中添加该路由。
  1. 登录专有网络管理控制台

  2. 前往专有网络控制台 - 专有网络页面,在顶部菜单栏,选择目标地域。

  3. 单击目标VPCID进入详情页。在资源管理页签,单击路由表下方的链接。

  4. 单击路由表类型系统的路由表ID,选择自定义路由条目页签,单击添加路由条目

    • 目标网段:流量转发到的目标网段。输入本地IDC中服务器的IP地址:172.16.10.137

    • 下一跳类型NAT网关

    • NAT网关:选择已创建的VPC NAT网关。

步骤五:创建自定义路由表并添加路由条目

  1. 前往专有网络控制台 - 路由表页面,在顶部菜单栏,选择目标地域。

  2. 单击创建路由表

    • 专有网络:选择所属VPC。本文选择VPC1。

    • 绑定对象类型:选择交换机

  3. 单击路由表的绑定资源列的立即绑定,单击绑定交换机,本文选择VPC NAT网关所属的交换机。

  4. 路由条目列表 > 自定义路由条目页签,单击添加路由条目

    • 目标网段:流量转发到的目标网段。输入本地IDC中服务器的IP地址:172.16.10.137

    • 下一跳类型转发路由器

    • 转发路由器:选择加入至转发路由器的VPC1连接。

步骤六:使用默认NAT IP创建SNAT条目和DNAT条目

  • 创建SNAT条目,确保云上ECS实例可以访问本地IDC。

  • 创建DNAT条目,确保云上ECS实例可以被本地IDC访问。

  1. 前往NAT网关 - VPC NAT网关页面,在顶部菜单栏,选择目标地域。

  2. 单击目标VPC NAT网关操作列的SNAT管理,单击创建SNAT条目

    • SNAT条目粒度:选择交换机粒度,在选择交换机列表中选择云上ECS实例所在交换机。

    • 选择NAT IP地址:选择用来访问外部私有网络的NAT IP地址。选择默认NAT IP地址。

  3. DNAT管理页签,单击创建DNAT条目

    • 选择NAT IP地址:选择供外部私有网络访问的NAT IP地址。 本文选择默认NAT IP地址。

    • 选择私网IP地址:选择要通过DNAT规则进行通信的私网IP地址。以通过ECS或弹性网卡进行选择方式,选择云上ECS1的私网IP地址,也可以手动输入。

    • 端口设置:选择DNAT映射的方式。本文选择具体端口,输入前端端口22后端端口22协议类型TCP。

步骤七:配置本地IDC路由

在本地网关设备配置指向云上VPC的路由。

路由示例仅供参考,不同厂商的不同设备可能会有所不同。
ip route 192.168.0.0 255.255.0.0 10.0.0.2

步骤八:测试连通性

  1. 登录VSW1ECS1。

  2. 执行ping <本地IDC内服务器IP>,测试ECS1是否能访问本地IDC内的服务器。接收到回复报文,即连接成功。

  3. 登录本地IDC内的服务器,执行ssh root@<NAT IP>命令,此处的NAT IPVPC NAT网关的默认NAT IP地址,然后输入ECS1的登录密码。接收到回复报文,即本地IDC内的服务器成功连接到ECS1。

上一篇:通过VPC NAT解决私网访问下一篇:VPC NAT网关联动VPN网关实现云上与云下私网互访