当本地IDC与云上资源互访，为了便于管理和安全，仅允许云上资源使用指定IP地址与其互访时，您可以使用私网NAT网关实现。

背景介绍

云上VPC内的资源使用指定IP地址与本地IDC的资源互访。

• 本地IDC的子网网段为172.16.1.0/24，互联IP为10.0.0.2，可正常运行的服务器A的IP为172.16.1.10。
• 私有网络的名称为VPC-A，网段为192.168.1.0/16。互联IP为10.0.0.1。
  • 子网1名称为子网-A1，其子网1网段为192.168.1.0/24。
  • 子网2名称为子网-A2，其子网2网段为192.168.2.0/24。
  • 云服务器ECS-A1的IP地址为192.168.1.10，云服务器ECS-A2的IP地址为192.168.2.20，

本文的示意图如下，若您想了解更多私网NAT网关的路由配置详情，请参考 路由配置原理介绍 。

准备工作

根据背景介绍，操作之前，您需要做如下准备：

• 创建一个VPC，VPC的参数同背景介绍保持一致。具体操作，请参考 创建私有网络 。
• 在VPC-A的子网-A1中创建云服务器ECS-A1（192.168.1.10），子网-A2中创建云服务器ECS-A2（192.168.2.20）。具体操作，请参考 购买云服务器。
• 创建云企业网，并且加载VPC-A。具体操作，请参考 创建云企业网实例 。
• 配置专线，实现本地IDC与云上VPC-A互通。具体操作，请参考 本地IDC通过单线路专线静态路由访问ECS 。

操作步骤

步骤一：验证本地IDC与云上VPC互通

1. 登录本地服务器A（172.16.1.10）。
2. 在命令行执行ping 192.168.1.10命令。
3. ping通表示本地IDC与云上VPC-A互通。

步骤二：配置私网NAT网关

创建私网NAT网关

您可参考本操作，创建一个私网NAT网关。

1. 登录 私网NAT网关控制台 。
2. 在顶部导航栏，选择目标地域和项目。
3. 单击“创建私网NAT网关”按钮。
4. 参考下表，配置相关参数。
   

   参数	说明	本文取值
   计费类型	仅支持按量计费。	按量计费
   地域	选择私网NAT网关所在地域。	华北2（北京）
   名称	输入私网NAT网关的名称。	私网NAT网关-A
   私有网络	下拉选择私网NAT网关所属的私有网络。	VPC-A|192.168.0.0/16
   子网	下拉选择子网。选择需要与IDC通信的IP地址所在的子网。	子网-A100|192.168.100.0/24
   规格	无需指定规格。	-
   项目	选择私网NAT网关所属的项目。	default
   标签	按需为私网NAT网关添加一个或多个用户标签。	nat:v1

5. 单击“确认订单”按钮。
6. 请根据控制台指引查阅并确认相关协议，单击“立即购买”按钮，完成操作。

添加中转IP

您可参考本操作，添加指定的IP地址作为中转IP，后续使用该IP地址与本地IDC互访。

1. 在私网NAT网关列表，单击私网NAT网关-A右侧“配置中转IP”按钮。
2. 在中转IP页签，单击“添加中转IP”按钮。
   
3. 输入中转IP的名称nat-ip-x，选择手动分配，输入目标私网IP地址（如192.168.100.66）。
4. 单击“确定”按钮，完成操作。

创建SNAT规则

1. 在私网NAT网关列表，单击私网NAT网关-A的名称。
2. 选择“SNAT规则”页签，单击“创建SNAT规则”按钮。
3. 参考下表，配置相关参数。
   

   参数	说明	本文取值
   名称	设置SNAT规则的名称。	SNAT-X
   粒度	选择SNAT规则的粒度。	子网 192.168.1.0/24
   中转IP	选择私网NAT网关的中转IP。	192.168.100.66|nat-ip-x

4. 单击“确定”按钮，完成创建。

创建DNAT规则

1. 在私网NAT网关列表，单击私网NAT网关-A的右侧“··· > 配置DNAT规则”按钮。

2. 在“DNAT规则”页签，单击“创建DNAT规则”按钮。

3. 参考下表，配置相关参数。
   

   参数	说明	本文取值
   名称	输入DNAT规则的名称。	dnat-1
   协议	选择协议类型，支持TCP、UDP。	TCP
   本端IP及其端口	设置云服务器实例的私网IP及其端口。	192.168.2.20 22
   中转IP及其端口	设置私网NAT网关的中转IP及其端口。	nat-ip-x 22

4. 单击“确定”按钮，完成创建。

5. DNAT规则创建完成后，您还需要在VPC-A内放通对应的安全组规则。

   1. 登录 云服务器控制台 。
   2. 单击云服务器实例名称，选择安全组页签，单击安全组名称。
   3. 在“访问规则 > 入方向”页签，添加规则。策略为“允许”，协议类型选择“TCP”或“UDP”，端口范围为“本端IP端口”，源地址为“0.0.0.0/0”。详细信息请参见 安全组概述。

步骤三：配置路由

准备路由表

创建1个自定义路由表，并关联私网NAT网关所在的子网。后续私网NAT网关将通过所在子网关联的路由表将流量路由到云企业网。

1. 登录 路由表控制台 。
2. 在顶部导航栏，选择目标地域和项目，本文示例“华北2（北京）”和“Default”。
3. 单击“创建路由表”按钮。
4. 参考下表，配置相关参数。
   

   参数	说明	本文取值
   名称	输入自定义路由表的名称。	route-X
   私有网络	选择路由表所属的私有网络。	VPC-A

5. 单击“确定”按钮，完成配置。
6. 在路由表列表，单击新创建自定义路由表route-X右侧的“关联子网”按钮。
7. 选中子网-A100，单击“确定”按钮，完成关联。

流量路由到私网NAT网关

因为准备工作中已将专线网关加载到云企业网，故系统路由表中自动添加目标网段为172.16.1.0/24、下一跳为云企业网的路由条目，需要卸载专线网关，才能删除该路由，后续才能添加目标网段为172.16.1.0/24、下一跳为私网NAT网关的路由。

a.卸载网络连接实例

1. 登录云企业网控制台。
2. 在顶部导航栏，选择目标项目。
3. 单击目标云企业网实例名称。
4. 选择“网络实例”页签，单击目标网络实例列表右侧的“卸载”按钮。
   
5. 单击“确定”按钮，完成卸载。

卸载完成后，VPC-A的系统路由表中，没有目标网段为172.16.1.0/24的路由条目。

b.添加私网NAT网关路由

1. 登录 路由表控制台 。

2. 在顶部导航栏，选择目标地域和项目，本文示例“华北2（北京）”和“Default”。

3. 在路由表列表，单击VPC-A的系统路由表名称。

4. 选择“路由条目 > 自定义路由”页签，单击“添加路由条目”按钮。

5. 参考下表，配置相关参数。
   

   参数	说明	本文取值
   目标网段	输入本地IDC的子网网段。	172.16.1.0/24
   下一跳类型	选择下一跳类型。	NAT网关
   下一跳	选择下一跳资源。	私网NAT网关-A

6. 单击“确定”按钮，完成配置。

流量路由到云企业网

重新加载专线网关到云企业网，自定义路由表route-X自动添加到云企业网的路由条目，即私网NAT网关的流量路由到云企业网。

目标网段172.16.1.0/24与系统路由表中的私网NAT网关路由冲突，故不会添加。

1. 登录云企业网控制台。

2. 在顶部导航栏，选择目标项目。

3. 单击目标云企业网实例名称，。

4. 选择“网络实例”页签，单击“加载网络实例”按钮。

5. 参考下表，配置相关参数。
   

   参数	说明	本文取值
   账号	选择专线网关所属的账号。	本账号
   地域	选择专线网关所在的地域。	华北2（北京）
   实例类型	选择私有网络类型。	专线网关
   网络实例	根据项目筛选并选择专线网关。	dcg-01

6. 单击“确定”按钮，完成加载。

除系统默认的路由条目外，系统路由表和自定义路由表的路由条目。

步骤四：验证

验证SNAT规则

1. 登录云服务器实例ECS-A1（192.168.1.10），执行命令ping <服务器A的IP地址>。本文执行ping 172.16.1.10。
2. 若可以ping通，则表示ECS-A1能通过私网NAT网关的中转IP（192.168.100.66）访问服务器A。若不能ping通，请检查SNAT规则和相关路由配置。

验证DNAT规则

3. 登录本地IDC得服务器A（172.16.1.10），在命令行输入ssh <DNAT规则设置的中转IP地址> -p <DNAT规则设置的中转IP端口>。本文输入ssh 192.168.100.66 -p 22。
4. 进入登录页面，则表示本地IDC的服务器A能访问云服务器ECS-A2。若未进入登录界面，请检查DNAT规则、相关路由配置以及安全组是否放通流量。