在NAT(网络地址转换)中配置SNAT(源地址转换)和DNAT(目的地址转换)规则时,需要注意一些限制和要求:
- 共用弹性公网IP(EIP)的限制:SNAT和DNAT可以共用同一个EIP,但若选用全端口模式的DNAT,会优先占用全部端口,这些端口不能被SNAT使用,避免业务相互抢占问题 。
- 端口限制:出于安全考虑,部分运营商可能会对特定端口进行拦截,导致无法访问。建议避免使用TCP的42、135、137-139、444、445等端口,以及UDP的135-139、1026-1028等端口 。
- 协议支持:NAT网关支持TCP、UDP和ICMP协议,但不支持ALG(应用层网关)相关技术,GRE隧道和IPSec使用的ESP、AH协议也无法使用NAT网关 。
- SNAT规则限制:在VPC内,每个子网只能添加一条SNAT规则。SNAT规则中添加的自定义网段必须是虚拟私有云子网网段的子集,不能相等 。
- DNAT规则限制:一个云主机的一个端口只能对应一条DNAT规则,且一个端口只能映射到一个EIP,不能映射到多个EIP。公网NAT网关支持添加的DNAT规则数量最多为200个 。
- NAT网关与EIP的绑定:NAT网关的地域必须和EIP的地域相同,且一个公网NAT网关可以绑定多达20个EIP 。
- 安全组规则:配置入站和出站规则时,需要考虑SNAT和DNAT场景的影响。例如,出站规则需要放通目标为0.0.0.0,协议端口为ICMP的包,否则会导致网络探测失败 。
- 带宽限制:访问公网流量同时受到NAT网关和弹性公网IP的带宽上限限制,最终以较小上限值为准。用户可以根据实际需要为NAT网关和EIP设置合理的带宽上限 。
- 高可用性配置:通过公网NAT网关的DNAT功能与CLB组合使用可以增强业务的高可用性。当ECS实例出现故障时,CLB可以自动屏蔽故障实例,并将请求分发给正常运行的实例 。
- 云服务器与公网IP的关系:如果云服务器绑定了公网IP,则从NAT网关公网IP对云服务器同一端口服务的访问会自动失效 。
在配置NAT规则时,需要综合考虑这些限制和要求,以确保网络配置的正确性和业务的连续性。
