tencent cloud

文档反馈

产品功能

最后更新时间:2024-01-13 16:02:36

    物理专线

    连接腾讯云与本地数据中心的物理线路连接,您可以通过第三方网络服务商,在您的数据中心和腾讯云专线网络接入点间建立网络连接。

    专用通道

    专用通道是物理专线的网络链路划分。
    您可以创建连接至不同专线网关的专用通道,实现本地数据中心与多个私有网络的互联。

    专线网关

    专线网关是私有网络与物理专线建立专用通道的出入口,私有网络支持最多2个专线网关(标准型和 NAT 型各1个)。
    专线网关可以和多个物理专线间建立专用通道,实现连接多地的混合云部署。

    网络地址转换(NAT)

    网络地址转换是混合云连接时,应对专线两端 IP 冲突问题的一种解决方案。您可以在专线网关上配置网络地址转换规则,网络地址转换(NAT)包含 IP 转换和 IP 端口转换两种。

    IP 转换

    IP 转换指将源 IP 转换为新的 IP,实现网络互访,分为本端 IP 转换对端 IP 转换
    IP 转换不区分源、目的方向,映射 IP 既可以主动访问对端,也可以被对端主动访问。

    本端 IP 转换

    1. 转换说明
    本端 IP 转换指私有网络内源 IP 映射为新 IP,并以新 IP 身份与专线对端互访。
    您可以配置多条本端 IP 转换规则,并为每条本端 IP 转换规则配置网络 ACL,网络 ACL 支持源端口、目的 IP、目的端口配置。
    注意:
    网络地址转换规则仅对符合 ACL 限制的网络请求生效。
    本端 IP 转换不限制网络请求的方向,可以是私有网络主动访问专线对端,也可以是专线对端主动访问私有网络。
    
    2. 转换示例 私有网络内 IP A192.168.0.3映射为 IP B10.100.0.3,则 IP A 对专线对端的主动访问网络包源 IP 将自动修改为10.100.0.3,所有专线对端访问的10.100.0.3的网络包将自动指向 IP A192.168.0.3

    对端 IP 转换

    1. 转换说明
    对端 IP 转换指用户 IDC 内源 IP 映射为新 IP,并以新 IP 身份与私有网络内 IP 互访。
    和本端 IP 转换不同,对端 IP 转换不支持网络 ACL 限制,因此,一旦配置了对端 IP 转换规则,将对所有专用通道对端生效。
    对端 IP 转换不限制网络请求的方向,可以是私有网络主动访问专线对端,也支持专线对端主动访问私有网络。
    
    2. 转换示例 专线对端 IP D10.0.0.3映射为 IP C172.16.0.3,则 IP D10.0.0.3主动访问私有网络的网络包源 IP ,将自动修改为 IP C172.16.0.3,所有私有网络访问 IP C172.16.0.3的网络包,将自动指向专线对端 IP D10.0.0.3
    注意:
    配置本端、对端 IP 转换后,专线网关仅会将转换后的 IP 路由下发至专线对端,因此,未配置本端、对端 IP 转换的源 IP,将无法 ping 通专线对端。但专线网关无法代替专业的网络防火墙,如果您需要高级的网络防护,请在私有网络内配置安全组和网络 ACL 策略,同时在您的 IDC 机房部署专业的物理网络防火墙设备。
    当专线网关同时配置对端 IP 转换时,本端源 IP 端口转换 ACL 规则的 目的 IP 需要写 对端 IP 转换的映射 IP,而不是源 IP。

    IP 端口转换

    IP 端口转换指将源 IP 端口映射为新 IP 端口,并以新 IP 端口实现网络互访,包含本端源 IP 端口转换本端目的 IP 端口转换
    IP 端口转换强调方向性,源 IP 端口转换指主动外访,目的 IP 端口转换指被对端主动访问。

    本端源 IP 端口转换

    1. 转换说明
    本端源 IP 端口转换指私有网络内 IP 通过专线网关主动外访时,以指定 IP 池内随机 IP 的随机端口访问专线对端的用户 IDC。
    本端源 IP 端口转换支持配置 ACL 规则,只有符合 ACL 规则的网络访问才会匹配地址池转发规则。通过为地址池配置不同的 ACL 规则,您可以灵活配置多个第三方接入时的网络地址转换规则。
    
    本端源 IP 端口转换仅支持私有网络端主动发起的网络访问请求,如果专线对端需要主动访问私有网络内的 IP 端口,需要额外进行本端目的 IP 端口转换配置。本端源 IP 端口转换私有网络主动发起的网络请求为有状态连接,不用考虑网络回包问题。
    2. 示例: 私有网络 C 网段为172.16.0.0/16, 通过专线连接第三方银行 A 和 B,其中银行 A 对端网段为10.0.0.0/28,要求对接网段为192.168.0.0/28;银行 B 对端网段为10.1.0.0/28,要求对接网段为192.168.1.0/28。则可以按照下面配置两条本端源 IP 端口转换:
    地址池 A 192.168.0.1 - 192.168.0.15;ACL 规则 A:源 IP172.16.0.0/16,目的 IP10.0.0.0/28,目的端口 ALL。
    地址池 B 192.168.1.1 - 192.168.1.15;ACL 规则 B:源 IP172.16.0.0/16,目的 IP10.1.0.0/28,目的端口 ALL。
    则私有网络内主动访问 A、B 的网络请求,会根据 ACL 规则 A、B 分别转换为对应地址池的随机端口,访问对应的专用通道。

    本端目的 IP 端口转换

    1. 转换说明
    本端目的 IP 端口转换是专线对端主动访问私有网络的一种方法,将私有网络内指定 IP 的指定端口映射为新的 IP 和端口,专线对端则只可以通过访问映射后 IP 端口来与私有网络内指定 IP 端口通信,其他 IP 端口则不对专线对端暴露。
    
    本端目的 IP 端口转换不支持 ACL 规则适配,因此,IP 端口转换规则将对专线网关所连接的所有专用通道生效。本端目的 IP 端口转换仅对专用通道对端主动访问私有网络生效,如果私有网络需要主动访问专线对端,可以配置本端源 IP 端口转换。本端目的 IP 端口转换的网络请求为有状态连接,无需考虑网络回包的问题。
    2. 转换示例 私有网络 C 的网段为172.16.0.0/16,只希望开放若干端口给专线对端主动访问,则可以按照下面方案进行配置:
    映射 A 源 IP 端口172.16.0.1:80;映射 IP 端口10.0.0.1:80
    映射 B 源 IP 端口172.16.0.0:8080;映射 IP 端口10.0.0.1:8080。 则专线对端可以主动访问10.0.0.1:8010.0.0.1:8080端口,实现对私有网络内172.16.0.1:80172.16.0.0:8080两个端口的主动访问。
    注意:
    配置本端源、目的 IP 端口转换后,专线网关仅会将转换后 IP 端口路由下发至专线对端,因此,未配置的本端 IP 端口,将无法主动发起请求或被动接受请求。但专线网关无法代替专业的网络防火墙,如果您需要高级的网络防护,请在私有网络内配置安全组和网络 ACL 策略,同时在您的 IDC 机房部署专业的物理网络防火墙设备。
    当同时配置 IP 转换和 IP 端口转换时,优先匹配 IP 转换,IP 转换无匹配选项时,才会继续匹配 IP 端口转换。
    当专线网关同时配置对端 IP 转换时,本端源 IP 端口转换 ACL 规则的目的 IP 需要写对端 IP 转换的映射 IP,而不是源 IP。
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持