使用背景

用戶通過云專線已打通天翼云VPC到云下IDC的互連，由于云下IDC的服務有安全管理需求，需要指定的IP地址，才可以訪問；可以選擇使用天翼云私有NAT網關轉換成IDC信任的私網地址，來實現混合云的私網互通。

方案優勢

云專線提供云上云下高速、低時延、穩定安全的專屬連接通道，結合私網NAT網關的SNAT功能，可滿足各類用戶安全合規的需求。

方案涉及產品

VPC，私網NAT網關，云專線

方案架構

本方案網絡拓撲架構如圖所示

實現方式如下：

1. 通過云專線將用戶IDC與VPC1連通。
2. 在VPC1中搭建私網NAT網關。
3. 配置SNAT規則，將ECS的私網地址轉換成中轉IP地址（IDC信任的私網地址）。

資源規劃

資源
資源名稱
資源說明
VPC1
子網
VPC-test1
云上專有網絡
VPC-test1業務子網
192.168.1.0/24
VPC-test1中轉子網
192.168.3.0/24
私網NAT網關
nat-test1
用于私網SNAT轉換
nat-test1中轉IP地址
192.168.3.5
線下IDC
客戶側子網
172.16.5.0/24
云主機
ECS-test1
所屬網段VPC-test1業務子網

操作步驟

步驟一：創建云上VPC環境

配置云專線需要做好云上VPC和本地數據中心的網段規劃，確保云上VPC的中轉網段和本地IDC網段沒有沖突或重疊。

具體操作步驟參見創建VPC

步驟二：開通云專線

1. 云專線的開通參見開通云專線。
2. 專線網關添加客戶側路由，點擊專線網關名稱，在客戶側路由頁簽下，點擊添加路由，配置如下：
   1. IP類型：可選擇IPv4、IPv6和雙棧
   2. 客戶側子網段：客戶側子網網段
   3. 路由模式：靜態或BGP
   4. 綁定入云物理專線，并設置物理專線優先級
3. 配置完成，點擊確定，完成專線網關客戶側路由
4. 專線網關添加VPC，點擊專線網關名稱，在VPC頁簽下，點擊“添加VPC”，配置如下：
   1. VPC實例類型：同賬號
   2. VPC：在下拉框中選中已創建的VPC（VPC-test1）
   3. VPC ID：根據VPC名稱自動生成
   4. VPC網段：選則指定的VPC網段（192.168.0.0/16）
   5. 類型：可選擇IPv4、IPv6和雙棧
   6. 子網：選定VPC中的中轉網段（192.168.3.0/24）
   7. 權重：表示當前專線網關到VPC側路由的權重，多條路由的權重相等時采用負載均衡模式進行流量傳輸；某條路由的權重值越大，表示該路由優先級越高，可選擇0-100
5. 配置完成，點擊確定，完成添加VPC。
6. VPC添加完成，客戶側子網將自動發布到VPC默認路由表中。下一跳為云專線網關，下一跳地址為專線網關名稱，目的地址為客戶側子網網段。
7. 配置完成，點擊確定，完成添加。

步驟三：購買私網NAT網關

1. 登錄天翼云控制臺，選擇”網絡>NAT網關>私網NAT網關”。
2. 進入NAT網關控制臺，點擊右上角“創建私網NAT網關”。
3. 選擇付費方式，填寫名稱，選擇可用區，VPC選擇環境準備中的創建的VPC，子網選擇創建好的中轉子網，選擇所需規格，點擊”下一步”。
4. 確認規格，選擇我已閱讀并同意相關協議，單擊“確認下單”，完成私網NAT網關的創建。

步驟四：創建中轉IP地址

1. 登錄天翼云控制臺，選擇”網絡>NAT網關>私網NAT網關”。
2. 點擊需要添加中轉IP地址的私網NAT網關名稱，進入私網NAT網關詳情頁，下拉至中轉IP地址標簽頁，點擊添加中轉IP。
3. 根據界面提示，選擇手動分配，并設定為線下IDC信任IP（192.168.3.5）。
4. 配置完成上述信息，點擊“確定”，完成中轉IP地址的添加。

步驟五：配置路由

由于私網NAT網關的子網已綁定默認路由表，在開通云專線時，會自動生成到專線網關去往云下IDC的路由，您只需要創建自定義路由表將業務流量引流到私網NAT網關，來管理網絡流量。

配置自定義路由表：將云上業務流量引流到私網NAT網關

1. 創建一張“自定義路由表”，進入路由規則頁面，綁定VPC的業務子網（192.168.1.0/24）。
2. 在路由規則頁面單擊“創建“，在彈出頁面，選擇
   1. IP類型：IPv4
   2. 目的地址：172.16.5.0/24（目標網段：云下IDC的客戶側子網）
   3. 下一跳類型：NAT網關
   4. NAT網關：選擇剛創建的私網NAT網關（nat-test1）
3. 點擊“確定”，完成私網NAT網關的轉發路由配置。

步驟六：配置SNAT功能

1. 單擊步驟三中創建的私網NAT網關，進入私網NAT網關詳情頁，下拉至SNAT規則頁簽，點擊“添加SNAT規則“。
2. 在彈出頁面選擇配置：
   1. 源網段類型：選擇VPC內子網
   2. 子網：云上需要訪問IDC服務的主機地址段（192.168.1.0/24）
   3. 中轉IP：選擇步驟四創建的中轉IP（192.168.3.5）
3. 單擊”確定”，完成SNAT規則的添加。
4. 等待SNAT規則狀態變為運行中，即完成SNAT規則配置。

步驟七：驗證連通性

配置完成，測試連通性。

登錄云主機（ECS-test1），ping云下IDC客戶服務地址，如：172.16.5.100。

可以ping通，說明網絡已經連通。