产品功能

最近更新时间:2019-09-16 15:11:58

物理专线

连接腾讯云与本地数据中心的物理线路连接,您可以通过第三方网络服务商,在您的数据中心和腾讯云专线网络接入点间建立网络连接。

专用通道

  • 专用通道是物理专线的网络链路划分。
  • 您可以创建连接至不同专线网关的专用通道,实现本地数据中心与多个私有网络的互联。

专线网关

  • 专线网关是私有网络与物理专线建立专用通道的入口,私有网络支持最多 2 个专线网关(支持 NAT + 不支持 NAT 各 1 个)。
  • 专线网关可以和多个物理专线间建立专用通道,实现连接多地的混合云部署。

网络地址转换(NAT)

网络地址转换是混合云连接时,应对专线两端 IP 冲突问题的一种解决方案。您可以在专线网关上配置网络地址转换规则,网络地址转换(NAT)包含 IP 转换和 IP 端口转换两种。

IP 转换

  • IP 转换指将原 IP 转换为新的 IP,实现网络互访,分为 本端 IP 转换对端 IP 转换
  • IP 转换不区分源、目的方向,映射 IP 既可以主动访问对端,也可以被对端主动访问。

本端 IP 转换

1. 转换说明

  • 本端 IP 转换指私有网络内原 IP 映射为新 IP,并以新 IP 身份与专线对端互访互访。
  • 您可以配置多条本端 IP 转换规则,并为每条本端 IP 转换规则配置网络 ACL,网络 ACL 支持源端口、目的 IP、目的端口配置。
    注意:

    网络地址转换规则仅对符合 ACL 限制的网络请求生效。

  • 本端 IP 转换不限制网络请求的方向,可以是私有网络主动访问专线对端,也可以是专线对端主动访问私有网络。

2. 转换示例
私有网络内 IP A192.168.0.3映射为 IP B10.100.0.3,则 IP A 对专线对端的主动访问网络包源 IP 将自动修改为10.100.0.3,所有专线对端访问的10.100.0.3的网络包将自动指向 IP A192.168.0.3

对端 IP 转换

1. 转换说明

  • 对端 IP 转换指用户 IDC 内原 IP 映射为新 IP,并以新 IP 身份与私有网络内 IP 互访。
  • 和本端 IP 转换不同,对端 IP 转换不支持网络 ACL 限制,因此,一旦配置了对端 IP 转换规则,将对所有专用通道对端生效。
  • 对端 IP 转换不限制网络请求的方向,可以是私有网络主动访问专线对端,也支持专线对端主动访问私有网络。

2. 转换示例
专线对端 IP D10.0.0.3映射为 IP C172.16.0.3,则 IP D10.0.0.3主动访问私有网络的网络包源 IP ,将自动修改为 IP C172.16.0.3,所有私有网络访问 IP C172.16.0.3的网络包,将自动指向专线对端 IP D10.0.0.3

注意:

  • 配置本端、对端 IP 转换后,专线网关仅会将转换后的 IP 路由下发至专线对端,因此,未配置本端、对端 IP 转换的原 IP,将无法 ping 通专线对端。但专线网关无法代替专业的网络防火墙,如果您需要高级的网络防护,请在私有网络内配置安全组和网络 ACL 策略,同时在您的 IDC 机房部署专业的物理网络防火墙设备。
  • 当专线网关同时配置对端 IP 转换时,本端源 IP 端口转换 ACL 规则的 目的 IP 需要写 对端 IP 转换的映射 IP,而不是原 IP。

IP 端口转换

  • IP 端口转换指将原 IP 端口映射为新 IP 端口,并以新 IP 端口实现网络互访,包含 本端源 IP 端口转换本端目的 IP 端口转换
  • IP 端口转换强调方向性,源 IP 端口转换指主动外访,目的 IP 端口转换指被对端主动访问。

本端源 IP 端口转换

1. 转换说明

  • 本端源 IP 端口转换指私有网络内 IP 通过专线网关主动外访时,以指定 IP 池内随机 IP 的随机端口访问专线对端的用户 IDC。
  • 本端源 IP 端口转换支持配置 ACL 规则,只有符合 ACL 规则的网络出访问才会匹配地址池转发规则。通过为地址池配置不同的 ACL 规则,您可以灵活配置多个第三方接入时的网络地址转换规则。
  • 本端源 IP 端口转换仅支持私有网络端主动发起的网络访问请求,如果专线对端需要主动访问私有网络内的 IP 端口,需要额外配置本端目的 IP 端口转换配置。本端源 IP 端口转换私有网络主动发起的网络请求为有状态连接,不用考虑网络回包问题。

2. 示例:
私有网络 C 网段为172.16.0.0/16, 通过专线连接第三方银行 A 和 B,其中银行 A 对端网段为10.0.0.0/28,要求对接网段为192.168.0.0/28;银行 B 对端网段为10.1.0.0/28,要求对接网段为192.168.1.0/28。则可以按照下面配置两条本端源 IP 端口转换:

  • 地址池 A 192.168.0.1 - 192.168.0.15;ACL 规则 A;源 IP172.16.0.0/16;目的 IP10.0.0.0/28;目的端口 ALL。
  • 地址池 B 192.168.1.1 - 192.168.1.15;ACL 规则 B;源 IP172.16.0.0/16;目的 IP10.1.0.0/28;目的端口 ALL。

则私有网络内主动访问 A、B 的网络请求,会根据 ACL 规则 A、B 分别转换为对应地址池的随机端口,访问对应的专用通道。

本端目的 IP 端口转换

1. 转换说明

  • 本端目的 IP 端口转换是专线对端主动访问私有网络的一种方法,将私有网络内指定 IP 的指定端口映射为新的 IP 和端口,专线对端则只可以通过访问映射后 IP 端口来与私有网络内指定 IP 端口通信,其他 IP 端口则不对专线对端暴露。

  • 本端目的 IP 端口转换不支持 ACL 规则适配,因此,IP 端口转换规则将对专线网关所连接的所有专用通道生效。本端目的 IP 端口转换仅对专用通道对端主动访问私有网络生效,如果私有网络需要主动访问专线对端,可以配置本端源 IP 端口转换。本端目的 IP 端口转换的网络请求为有状态连接,无需考虑网络回包的问题。

2. 转换示例
私有网络 C 的网段为172.16.0.0/16,只希望开放若干端口给专线对端主动访问,则可以按照下面方案进行配置:

  • 映射 A 原 IP 端口172.16.0.1:80;映射 IP 端口10.0.0.1:80
  • 映射 B 原 IP 端口172.16.0.0:8080;映射 IP 端口10.0.0.1:8080
    则专线对端可以主动访问10.0.0.1:8010.0.0.1:8080端口,实现对私有网络内172.16.0.1:80172.16.0.0:8080两个端口的主动访问。
注意:

  • 配置本端源、目的 IP 端口转换后,专线网关仅会将转换后 IP 端口路由下发至专线对端,因此,未配置的本端 IP 端口,将无法主动发起请求或被动接受请求。但专线网关无法代替专业的网络防火墙,如果您需要高级的网络防护,请在私有网络内配置安全组和网络 ACL 策略,同时在您的 IDC 机房部署专业的物理网络防火墙设备。
  • 当同时配置 IP 转换和 IP 端口转换时,优先匹配 IP 转换,IP 转换无匹配选项时,才会继续匹配 IP 端口转换。
  • 当专线网关同时配置对端 IP 转换时,本端源 IP 端口转换 ACL 规则的 目的 IP 需要写 对端 IP 转换的映射 IP,而不是原 IP。