NAT 网关通过专线接入+私网 NAT 实现本地 IDC 与云

本文指导您通过专线接入 + 私网 NAT 网关的 SNAT 和 DNAT 功能，实现本地数据中心 IDC（Internet Data Center）与云上地址的资源访问。
说明：
NAT 型专线网关 V3R2 版本目前处于内测中，如有需要，请联系 在线支持。
私网 NAT 网关功能目前处于内测中，如有需要，请联系 在线支持。
业务场景
用户使用专线打通腾讯云和客户 IDC 实现资源访问，同时期望指定访问 IP 地址并无 IP 冲突，可以通过私网 NAT + 专线方案来实现。
场景示例
用户业务在上海地域的腾讯云上，希望能够访问本地 IDC 资源。以上海 VPC（172.21.0.0/16）访问本地 IDC（192.168.0.0/24）为例：
1. 用户业务所在的上海 VPC（172.21.0.0/16）关联至云联网，云联网自动学习路由。
2. 上海地域的云联网型私网 NAT 网关的本端 VPC 和对端 VPC 关联至云联网。本端 VPC 路由表配置目的端为 IDC 网段（192.168.0.0/24）、下一跳类型为私网 NAT 网关的路由策略，并发布到云联网。对端 VPC 路由表配置目的端为映射后 IP（10.0.0.100）、下一跳类型为私网 NAT 网关的路由策略，并发布到云联网。
3. 上海地域的云联网型私网 NAT 网关创建 SNAT 规则，映射前 IP 为本端网络即业务 VPC 的内网 IP 地址（172.21.0.10），映射后 IP 为对端网络的内网 IP 地址（10.0.0.100）。
4.  在本地 IDC 所在的北京地域创建云联网型专线网关，将本地 IDC 网段（192.168.0.0/24）发布至云联网。
﻿
﻿
﻿
前提条件
已完成物理专线建设，详情可参见 申请接入物理专线。
已 创建 VPC。
注意事项
私网 NAT 网关需要配置SNAT 规则或 DNAT 规则，不配置则业务将不通。
在私网 NAT 中配置的 SNAT 本端三层、SNAT 本端四层和 DNAT 对端四层会自动产生映射关系；对端三层不会产生 NAT 映射关系。同时由于默认不发布 VPC CIDR，因此如果单独使用对端三层规则，需要在 IDC 侧手动配置 VPC CIDR 路由才能通，推荐和本端搭配使用。
操作步骤
步骤一：创建专线网关型私网 NAT 网关，配置 SNAT 规则以及指向私网 NAT 的路由
1. 登录 私网 NAT 网关控制台，选择上海地域和私有网络，单击新建跳转至购买页，填写网关名称，选择关联实例类型为专线网关，单击立即开通。
2. 在私网 NAT 网关实例列表页，找到上述已创建的私网 NAT 网关实例，单击右侧操作列的管理规则。本文以配置 SNAT 规则为例。
3. 在 SNAT 规则页签中，单击新建，填入以下配置信息完成 SNAT 规则的新建，配置完成后单击确定。
﻿
﻿
﻿
参数
说明
映射方向
本端：本端指腾讯云 VPC 侧，映射方向选择本端时指对 VPC 的内网 IP 地址进行转换。本文以映射方向为本端为例。
对端：对端指本地 IDC 侧，映射方向选择对端时指对本地 IDC 内的 IP 地址进行转换。
映射类型
三层：仅转换 IP 地址。本文以映射类型为三层为例。
四层：将 IP 和端口映射为指定 IP 池内随机端口。
映射前 IP
需要转换的 IP 地址。
当映射方向为本端时，为 VPC 中的 IP 地址。本文以映射前 IP 为 VPC 的内网 IP 地址172.21.0.100为例。
当映射方向为对端时，为本地 IDC 内的 IP 地址。
映射后 IP/映射后 IP 池
配置转换后的 IP 或 IP 池。映射前 IP 是通过该映射后 IP/映射后 IP 池访问外部私网。本文以映射后 IP/映射后 IP 池为本地 IDC 的 IP 地址10.0.0.100为例。
备注
输入 SNAT 规则的备注信息。
操作
可选择删除当前添加的 SNAT 规则。
4. 登录 私有网络控制台，找到私网 NAT 网关实例所属 VPC，单击 VPC 实例 ID。在 VPC 实例详情页面的包含资源模块
中单击路由表，然后单击路由表实例 ID。
5. 在路由表的基本信息页，单击新增路由策略，配置目的端为本地 IDC 网段（192.168.0.0/24）、下一跳类型为私网 NAT 网关，下一跳为上述已创建的私网 NAT 网关实例。
﻿
﻿
﻿
步骤二：创建 NAT 型专线网关
1. 登录 专线网关控制台，选择上海地域。
2. 在专线网关实例列表页，单击新建，在新建专线网关对话框配置名称、可用区、关联网络选择 NAT 网络，并关联上述已创建的 NAT 实例，单击确定。更多详细配置，请参见 创建专线网关。
﻿
﻿
﻿
步骤三：创建专用通道并绑定 NAT 型专线网关
本文以独享专用通道为例，登录 专线接入控制台，在独享专用通道页面，创建 独享专用通道 并选择已申请好的物理专线，绑定上述已创建的 NAT 型专线网关。创建详情请参见 独享专用通道。
步骤四：测试连通性
测试云上 CVM 实例是否可与本地 IDC 互访。
1. 登录 VPC 内的 CVM。
2. 对本地 IDC 内服务器 IP 地址执行 ping 命令，如果能收到  ICMP 回包，则说明 CVM 与本地 IDC 已连通。
3. 在本地 IDC 服务器执行抓包命令，可以查看报文源 IP 为 SNAT 后指定的 IP 地址。
说明：
如果没有收到回包，排查意见如下：
检查 VPC 路由表，是否配置了下一跳指向“私网 NAT 网关”的路由。
检查私网 NAT 网关是否配置了 SNAT 或者 DNAT 规则，如果均没有配置，则默认不通。
检查专用通道状态，连接状态必须为已连接。V3的通道 BGP 状态必须为 established。
如果以上情况都不是，请联系腾讯云 在线支持。
4. 登录本地 IDC 服务器，执行 ssh root@NAT IP 命令。如果能接收到回复报文，则表示连接成功。

参数	说明
映射方向	本端：本端指腾讯云 VPC 侧，映射方向选择本端时指对 VPC 的内网 IP 地址进行转换。本文以映射方向为本端为例。对端：对端指本地 IDC 侧，映射方向选择对端时指对本地 IDC 内的 IP 地址进行转换。
映射类型	三层：仅转换 IP 地址。本文以映射类型为三层为例。四层：将 IP 和端口映射为指定 IP 池内随机端口。
映射前 IP	需要转换的 IP 地址。当映射方向为本端时，为 VPC 中的 IP 地址。本文以映射前 IP 为 VPC 的内网 IP 地址`172.21.0.100`为例。当映射方向为对端时，为本地 IDC 内的 IP 地址。
映射后 IP/映射后 IP 池	配置转换后的 IP 或 IP 池。映射前 IP 是通过该映射后 IP/映射后 IP 池访问外部私网。本文以映射后 IP/映射后 IP 池为本地 IDC 的 IP 地址`10.0.0.100`为例。
备注	输入 SNAT 规则的备注信息。
操作	可选择删除当前添加的 SNAT 规则。

通过专线接入+私网 NAT 实现本地 IDC 与云上资源互访

本页目录：

业务场景

场景示例

前提条件

注意事项

操作步骤

步骤一：创建专线网关型私网 NAT 网关，配置 SNAT 规则以及指向私网 NAT 的路由

步骤二：创建 NAT 型专线网关

步骤三：创建专用通道并绑定 NAT 型专线网关

步骤四：测试连通性