全部產品
Search

搜尋本產品

    NAT Gateway:VPC NAT Gateway配合物理專線實現本地IDC與雲上互訪

    文件中心

    NAT Gateway:VPC NAT Gateway配合物理專線實現本地IDC與雲上互訪

    更新時間:Aug 28, 2025

    使用 VPC NAT Gateway的SNAT和DNAT功能,配合物理專線可以實現本機資料中心IDC與雲上VPC使用固定私網地址互訪。

    情境樣本

    本文以下圖情境為例。某企業在阿里雲華東2(上海)地區已經部署了VPC和交換器,交換器中建立了多台ECS執行個體。該企業雲下總部已通過物理專線和邊界路由器VBR接入阿里雲。雲上的VPC與總部已經通過雲企業網CEN互連。

    企業要求VPC與總部互訪時的私網IP地址固定,可以使用VPC NAT Gateway的SNAT功能和DNAT功能實現。

    本情境的網段規劃如下表所示。可以自行規劃網段,但需確保網段之間沒有重疊。

    配置項

    位址區段

    雲上VPC1網段

    192.168.0.0/16

    雲上交換器網段

    • VSW1:192.168.10.0/24

    • VSW2:192.168.20.0/24

    • NATVSW:192.168.3.0/24

    雲上ECS執行個體的IP地址

    • ECS1:192.168.10.55

    • ECS2:192.168.20.30

    本地IDC網段

    172.16.0.0/12

    本地IDC中伺服器的IP地址

    172.16.10.137

    互聯IP

    • 雲端VBR地址:10.0.0.2/30

    • 本地IDC端:10.0.0.1/30

    操作步驟

    確保已建立VPC、交換器、ECS、物理專線、VBR、CEN和轉寄路由器執行個體。
    使用轉寄路由器建立VPC串連前,確保VPC在轉寄路由器支援的可用性區域擁有至少一個交換器,且該交換器擁有至少一個閒置IP地址。

    步驟一:串連VPC執行個體和VBR執行個體

    在轉寄路由器中建立與物理專線關聯的VBR串連和需要互連的VPC串連,實現本地IDC和VPC的私網互連。

    1. 登入雲企業網管理主控台

    2. 云企业网实例頁面,單擊目標雲企業網執行個體ID。

    3. 基本信息 > 转发路由器頁簽,在目標轉寄路由器執行個體的操作列單擊创建网络实例连接

      初次配置時,系統會自動建立名為AliyunServiceRoleForCEN的服務關聯角色。該角色允許轉寄路由器執行個體在VPC的交換器上建立ENI。

      • 執行個體類型:待串連的網路執行個體,選擇Virtual Private Cloud

      • 地區:待串連 VPC 所屬的地區。

      • 資源歸屬UID:待串連VPC所屬的帳號類型。

      • 付費方式:預設為隨用隨付,可查看計費說明瞭解具體計費規則。

      • 網路執行個體:選擇計劃串連的 VPC。

      • 交換器:在轉寄路由器支援的可用性區域選擇至少2個交換器。

      • 進階配置:保持預設配置,勾選三種進階配置

    4. 串連網路執行個體頁面,單擊繼續建立串連。配置以下參數建立VBR1串連,單擊確定建立

      • 執行個體類型:待串連的網路執行個體,選擇邊界路由器(VBR)

      • 地區:待串連 VBR 所屬的地區。

      • 資源歸屬UID:待串連 VBR 所屬的帳號類型。

      • 網路執行個體:選擇計劃串連的 VBR。

      • 進階配置:保持預設配置,勾選三種進階配置

    5. 建立完成後,可以在地區內串連管理頁簽查看VPC串連和VBR串連。

    步驟二:配置VBR路由

    為 VBR 配置指向本地IDC的路由。

    1. 前往Express Connect控制台 - 邊界路由器(VBR)頁面。在頂部功能表列,選擇目標地區。

    2. 單擊目標VBR執行個體ID進入詳情頁,在路由條目頁簽單擊添加路由條目

      • 下一跳類型:選擇路由條目的下一跳類型。本文選擇物理專線介面

      • 目標網段:輸入本地IDC中伺服器的IP地址172.16.10.137

      • 下一跳:選擇指向的物理專線介面。

    步驟三:建立VPC NAT Gateway

    1. 前往NAT Gateway - 建立 VPC NAT頁面。

      • 地區:計劃建立VPC NAT Gateway的地區。本文選擇華東2(上海)

      • 網路及可用性區域:計劃建立VPC NAT Gateway執行個體所屬的VPC和交換器。建立執行個體後無法修改。

    2. 確認訂單頁面,確認參數配置及服務合約,單擊立即開通

    步驟四:為VPC1的系統路由表添加路由條目

    確保VPC1中ECS執行個體交換器綁定了系統路由表。如綁定了自訂路由表,則需在對應路由表中添加該路由。
    1. 登入專用網路管理主控台

    2. 前往專用網路控制台 - 專用網路頁面,在頂部功能表列,選擇目標地區。

    3. 單擊目標VPC的ID進入詳情頁。在資源管理頁簽,單擊路由表下方的連結。

    4. 單擊路由表類型系統的路由表ID,選擇自訂路由條目頁簽,單擊添加路由條目

      • 目標網段:流量轉寄到的目標網段。輸入本地IDC中伺服器的IP地址:172.16.10.137

      • 下一跳類型NAT Gateway

      • NAT Gateway:選擇已建立的VPC NAT Gateway。

    步驟五:建立自訂路由表並添加路由條目

    1. 前往專用網路控制台 - 路由表頁面,在頂部功能表列,選擇目標地區。

    2. 單擊建立路由表

      • 專用網路:選擇所屬VPC。本文選擇VPC1。

      • 綁定物件類型:選擇交換器

    3. 單擊路由表的綁定資源列的立即綁定,單擊綁定交換器,本文選擇VPC NAT Gateway所屬的交換器。

    4. 路由條目列表 > 自訂路由條目頁簽,單擊添加路由條目

      • 目標網段:流量轉寄到的目標網段。輸入本地IDC中伺服器的IP地址:172.16.10.137

      • 下一跳類型轉寄路由器

      • 轉寄路由器:選擇加入至轉寄路由器的VPC1串連。

    步驟六:使用預設NAT IP建立SNAT條目和DNAT條目

    • 建立SNAT條目,確保雲上ECS執行個體可以訪問本地IDC。

    • 建立DNAT條目,確保雲上ECS執行個體可以被本地IDC訪問。

    1. 前往NAT Gateway - VPC NAT Gateway頁面,在頂部功能表列,選擇目標地區。

    2. 單擊目標VPC NAT Gateway操作列的SNAT管理,單擊建立SNAT條目

      • SNAT條目粒度:選擇交換器粒度,在選擇交換器列表中選擇雲上ECS執行個體所在交換器。

      • 選擇NAT IP地址:選擇用來訪問外部私人網路的NAT IP地址。選擇預設NAT IP地址。

    3. DNAT管理頁簽,單擊建立DNAT條目

      • 選擇NAT IP地址:選擇供外部私人網路訪問的NAT IP地址。 本文選擇預設NAT IP地址。

      • 選擇私網IP地址:選擇要通過DNAT規則進行通訊的私網IP地址。以通過ECS或彈性網卡進行選擇方式,選擇雲上ECS1的私網IP地址,也可以手動輸入。

      • 連接埠設定:選擇DNAT映射的方式。本文選擇具體連接埠,輸入前端連接埠22後端連接埠22協議類型TCP。

    步驟七:配置本地IDC路由

    在本地網關裝置配置指向雲上VPC的路由。

    路由樣本僅供參考,不同廠商的不同裝置可能會有所不同。
    ip route 192.168.0.0 255.255.0.0 10.0.0.2

    步驟八:測試連通性

    1. 登入VSW1的ECS1。

    2. 執行ping <本地IDC內伺服器IP>,測試ECS1是否能訪問本地IDC內的伺服器。接收到回複報文,即串連成功。

    3. 登入本地IDC內的伺服器,執行ssh root@<NAT IP>命令,此處的NAT IP為VPC NAT Gateway的預設NAT IP地址,然後輸入ECS1的登入密碼。接收到回複報文,即本地IDC內的伺服器成功串連到ECS1。