文档中心>VPN 连接>实践教程>IPsec VPN>通过 VPN + CCN + NAT 解决 IDC 访问与云上资源网段冲突

通过 VPN + CCN + NAT 解决 IDC 访问与云上资源网段冲突

最近更新时间:2024-04-29 11:57:11

我的收藏
使用 VPN 打通 IDC/第三方云商和腾讯云进行资源互访,通常会出现 IP 冲突问题,重新规划网段耗时耗力。本文指导您通过 VPN + CCN 多路由表 + 私有 NAT 网关解决该问题。

业务场景

用户使用 VPN 打通腾讯云和客户远程 IDC /第三方云商,实现资源访问,同时期望指定访问 IP 地址并无 IP 冲突,可以通过私网 VPN + NAT + CCN 方案来实现。



操作流程

1. 创建支持多路由表的 CCN 实例,并绑定 VPC 实例。
2. 创建 CCN 型私网 NAT 实例,并完成规则设置。
3. 配置本端/对端 VPC 路由,并发布到 CCN。
4. 配置 NAT IP 映射规则。
5. 创建 CCN 型 VPN 网关及其资源,并关联与 CCN 实例。

前提条件

已开启 CCN 多路由表,如需开通,请 提交工单
已开启私网 NAT 网关特性,如需开通,请 提交工单

操作步骤

步骤一:创建 CCN 实例,并关联业务 VPC

1. 登录 云联网控制台,单击新建,并关联业务 VPC,详情可参见 新建云联网实例
2. 在 CCN 实例列表页面,单击已创建好的云联网 ID,然后在 CCN 实例详情页的路由表页签,单击新建路由表创建两个 CCN 路由表。
说明
请确保您已开启 CCN 多路由表功能,如未开启,请 提交工单 开通。

3. 将业务 VP
C 添加至 CCN 网
路由表1。
3.1 在左侧 CCN 路由表列表中选择路由表1,单击绑定实例将业务 VPC 实例绑定。

3.2 路由接收策略页签,单击添加网络实例,然后在选择网络实例页面,选择业务 VPC 实例并单击确定

添加完成如下:


步骤二:创建 CCN 型私网 NAT,并添加至 CCN 多路由表。

本步骤您需要在 NAT 侧创建 CCN 型私网 NAT 实例,并将私网 NAT 的附属 VPC 关联到云联网多路由表中。
1. 登录 私网 NAT 网关控制台,在页面上方选择地域和私有网络后,单击新建
2. 在私网 NAT 购买页依据界面提示完成创建。创建成功后,自动展示本端 VPC 实例和对端 VPC 实例。
说明
请确保已开启私网 NAT 功能,如未开启,请 提交工单 开通。

3. 云联网控制台 找到步骤一中创建的 CCN 实例,并在其详情页的路由表页签,将 NAT 实例的本端 VPC 绑定到 CCN 实例的路由表1中。

4. 在 CCN 路由表1中设置路由接收策略,详情请参见 步骤一的步骤3

5. 同理,将 NAT 实例的对端 VPC 绑定到 CCN 实例的路由表2中,并配置路由接收策略。



步骤三:配置 IP 映射规则

1. 在 私网 NAT 网关 实例详情页,单击 步骤二 中创建的私网 NAT 实例 ID,然后在其详情页单击 SNAT
2. 
在 SNAT 页签中
,单击新建依据界面提示进行配置。本处以本端四层规则为例。
说明:
当映射类型为四层时,必须配置添加 ACL 规则,详情可参见 规则概述 或者 提交工单 咨询。


步骤四:配置及发布 VPC 至 CCN 的路由策略

本步骤您需要在 VPC 侧配置本端/对端的 VPC 路由,并发布到云联网。
1. 登录 私有网络控制台,找到业务 VPC 并单击 VPC实例
2. 在 VPC 实例详情页面,单击路由表,在本端 VPC 默认路由表的基本信息页,单击新增路由策略。
3. 在新增路由页面,配置目的端是 IDC 网段、下一跳类型为私网 NAT 网关。并且发布到云联网。

4. 同理,对端 VPC 默认路由表添加条目如下,目的端为 步骤三里的步骤2 中创建的 NAT 规则映射 IP 路由,下一跳为私网 NAT 网关,然后发布到云联网。


步骤五:创建 CCN 型 VPN 网关及其资源,并关联至 CCN 多路由表。

1. 登录 私有网络控制台,在左侧导航栏,单击 VPN 连接 > VPN 网关,选择地域和私有网络后,单击新建,关联网络选择“云联网”,依据界面提示,完成创建 CCN 型 VPN 网关。详细操作可参考 创建 VPN 网关

2. 在 VPN 网关详情页绑定 步骤一 创建的 CCN 实例。

3. 在 CCN 实例 > 路由表页签,将 VPN 网关加入云联网路由表2中,并绑定 VPN 网关实例,同时设置路由接收策略,详细操作可参考 步骤一中的步骤3
5. (可选)发布路由至 CCN,仅当 VPN 通道为 SPD 策略型时,需要在 VPN 网关手动将路由发布至 CCN。
6. 在用户 IDC 侧配置防火墙或者本地 VPN。