活动

天翼云最新优惠活动,涵盖免费试用,产品折扣等,助您降本增效!
热门活动
免费活动
  • 活动
  • 产品
  • 解决方案
  • 应用商城
  • 合作伙伴
  • 开发者
  • 智算云
  • 支持与服务
  • 了解天翼云
searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

[网络云小课] FW+NAT网关强强联手

弹性IP
2025-02-06 01:37:44
6
0

1  需求

1         某分支机构要通过专线和监管机构或集团总部互联,需要使用指定的地址来和监管机构或总部互访。

2         某分支机构还有访问公网的需求,但公网IP有限。

3         分支机构还对总部提供对外服务,分支机构也通过Internet对外提供服务

4         分支机构不管是访问公网,还是通过专线访问总部都需要经过防火墙,且从Internet和总部发起的访问,防火墙需要溯源,能够记录访问者原始的IP地址。

5.  当使用虚拟防火墙时,当前一个虚拟机可以绑定的虚拟IP数量为10,如果将EIP 绑定到防火墙的VIP上,一个防火墙最多能绑定10个EIP,在部分需要绑定更多EIP的场景,需要使用公网NAT网关来实现多EIP的绑定。

6.  如果总部给分支机构分配的地址较多,而防火墙的虚拟机只有4核的话,那最多只能绑定4个弹性网卡,如果有较多的私网NAT地址转换的需求,如也推荐使用私网NAT网关

2   总体思路

1.      防火墙放置到一个公共的VPC,如DMZ VPC。

2.      使用公网NAT网关和私网NAT网关来解决公网和私网多对一的映射关系;同时使用公网NAT网关/私网NAT网关解决防火墙所在的虚拟机无足够的私网IP来映射公网IP/专线指定IP访问的问题。

3.      DMZ VPC 需要至少划分三个子网,私网NAT网关所在的子网,公网NAT网关所在子网,防火墙所在子网。

 

 

3   网络规划


1.      防火墙所在的公共VPC

注意公共VPC 的网段必须含有和集团互访的SNAT的地址段,例如集团给分支机构划分了10.158.132.128/28, 分支机构最终需要使用这个地址通过专线跟集团互访,那么可以通过VPC扩展网段将这个网段加入VPC

分成三个子网:

1)      IDC机房通过专线互访,需要做SNAT的子网地址段,如10.158.132.128/28

2) 公网NAT网关所在的子网(此子网内可以没有虚拟机),如192.168.159.32/28

3)防火墙LANWAN所在的子网,两者可以是相同的子网,也可以是不同的子网,本例以LAN一个子网,如192.168.144.0/21为例

 


 

2.其他云主机根据业务类型划分单独的VPC

如业务VPC 1192.168.132.0/22

业务VPC2192.168.137.0/24



 

3.      两个业务VPCDMZ VPC建立对等连接


 

4   创建防火墙

防火墙可以创建两张网卡,第一个用于管理,子网选择fw-manage;第二张网卡作为防火墙内网口,选择fw-lan

如果考虑高可用,可以使用VIP或者GWLB来组合多台防火墙作为一个集群。


 


4   NAT网关配置

1.      建立公网NAT网关

1)      配置公网NAT网关

注意要选择DMZVPC,并且子网选择前面规划的公网NAT所在子网。



 

 

2)配置公网SNAT策略

配置SNAT规则,由于FW不做NAT,所以到达公网NAT网关时,源IP仍然为业务VPC里的主机IP,所以此处SNAT规则选择手动输入自定义地址段,源地址段填写VPC1VPC2 需要走FW和公网NAT网关访问公网的地址段。


 


 

 

 

2.      建立私网NAT网关

1)创建私网NAT网关

注意要选择DMZVPC,并且子网选择前面规划的私网NAT所在子网。




 

2)配置私网SNAT网关策略

配置SNAT规则,由于FW不做NAT,所以到达私网NAT网关时,源IP仍然为业务VPC里的主机IP,所以此处SNAT规则选择手动输入自定义地址段,源地址段填写VPC1VPC2 需要走FW和私网NAT网关访问专线的地址段。


3)配置私网DNAT网关策略

如果云内的业务VPC还对集团总部提供了一些服务,NAT网关可以提供DNAT映射


 

 


5   路由表配置

1         配置业务VPC-1的默认路由表

1) 删除默认路由表中自动生成的0.0.0.0/0 下一跳为ipv4网关的路由


 

2) 删除默认路由表中自动生成的0.0.0.0/0 下一跳为ipv4网关的路由


 


 

2         配置业务VPC-2的默认路由表

同业务VPC1 的配置方法

 

 

3         配置VPC-DMZ的默认路由表

1) 删除默认路由表中自动生成的0.0.0.0/0 下一跳为ipv4网关的路由


2) 创建0.0.0.0/0 下一跳为FW LAN口的路由

这样业务VPC去往Internet 和去往总部的流量,从对等连接进入VPC-DMZ后通过此路由表项转发到FW



 

4         配置DMZ FW LAN子网的自定义路由表


 

1) 删除自定义路由表中自动生成的0.0.0.0/0 下一跳为ipv4网关的路由


2) 创建0.0.0.0/0 下一跳为公网NAT网关的路由



3) 创建去往业务VPC1 VPC2云主机的路由,下一跳设置为对等连接



 


 

4) 创建去往集团总部的路由,下一跳设置为私网NAT网关

 


 

 


 

5         配置公网NAT所在子网的自定义路由表


 

1) 删除自定义路由表中自动生成的0.0.0.0/0 下一跳为ipv4网关的路由


 

2) 创建中0.0.0.0/0 下一跳为FW的路由

这样从Internet 访问云内的流量,经过公网NAT网关处理后,就会发给FW处理。



 

6         配置私网NAT所在子网的自定义路由表


 

1) 删除自定义路由表中自动生成的0.0.0.0/0 下一跳为ipv4网关的路由


 

3) 创建中0.0.0.0/0 下一跳为FW的路由


 


4) 创建去往集团的路由 下一跳为云专线网关的路由


 

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

0条评论
0 / 1000
****柳
5文章数
2粉丝数
****柳
5 文章 | 2 粉丝
Ta的热门文章查看更多
[网络云小课]IP不变迁移上云[网络云小课]混合云DNS如何规划[网络云小课]Oracle RAC 网络配置方法多个VPC共用一套防火墙实现安全南北向访问[网络云小课] FW+NAT网关强强联手
****柳
5文章数
2粉丝数
****柳
5 文章 | 2 粉丝
原创

[网络云小课] FW+NAT网关强强联手

弹性IP
2025-02-06 01:37:44
6
0

1  需求

1         某分支机构要通过专线和监管机构或集团总部互联,需要使用指定的地址来和监管机构或总部互访。

2         某分支机构还有访问公网的需求,但公网IP有限。

3         分支机构还对总部提供对外服务,分支机构也通过Internet对外提供服务

4         分支机构不管是访问公网,还是通过专线访问总部都需要经过防火墙,且从Internet和总部发起的访问,防火墙需要溯源,能够记录访问者原始的IP地址。

5.  当使用虚拟防火墙时,当前一个虚拟机可以绑定的虚拟IP数量为10,如果将EIP 绑定到防火墙的VIP上,一个防火墙最多能绑定10个EIP,在部分需要绑定更多EIP的场景,需要使用公网NAT网关来实现多EIP的绑定。

6.  如果总部给分支机构分配的地址较多,而防火墙的虚拟机只有4核的话,那最多只能绑定4个弹性网卡,如果有较多的私网NAT地址转换的需求,如也推荐使用私网NAT网关

2   总体思路

1.      防火墙放置到一个公共的VPC,如DMZ VPC。

2.      使用公网NAT网关和私网NAT网关来解决公网和私网多对一的映射关系;同时使用公网NAT网关/私网NAT网关解决防火墙所在的虚拟机无足够的私网IP来映射公网IP/专线指定IP访问的问题。

3.      DMZ VPC 需要至少划分三个子网,私网NAT网关所在的子网,公网NAT网关所在子网,防火墙所在子网。

 

 

3   网络规划


1.      防火墙所在的公共VPC

注意公共VPC 的网段必须含有和集团互访的SNAT的地址段,例如集团给分支机构划分了10.158.132.128/28, 分支机构最终需要使用这个地址通过专线跟集团互访,那么可以通过VPC扩展网段将这个网段加入VPC

分成三个子网:

1)      IDC机房通过专线互访,需要做SNAT的子网地址段,如10.158.132.128/28

2) 公网NAT网关所在的子网(此子网内可以没有虚拟机),如192.168.159.32/28

3)防火墙LANWAN所在的子网,两者可以是相同的子网,也可以是不同的子网,本例以LAN一个子网,如192.168.144.0/21为例

 


 

2.其他云主机根据业务类型划分单独的VPC

如业务VPC 1192.168.132.0/22

业务VPC2192.168.137.0/24



 

3.      两个业务VPCDMZ VPC建立对等连接


 

4   创建防火墙

防火墙可以创建两张网卡,第一个用于管理,子网选择fw-manage;第二张网卡作为防火墙内网口,选择fw-lan

如果考虑高可用,可以使用VIP或者GWLB来组合多台防火墙作为一个集群。


 


4   NAT网关配置

1.      建立公网NAT网关

1)      配置公网NAT网关

注意要选择DMZVPC,并且子网选择前面规划的公网NAT所在子网。



 

 

2)配置公网SNAT策略

配置SNAT规则,由于FW不做NAT,所以到达公网NAT网关时,源IP仍然为业务VPC里的主机IP,所以此处SNAT规则选择手动输入自定义地址段,源地址段填写VPC1VPC2 需要走FW和公网NAT网关访问公网的地址段。


 


 

 

 

2.      建立私网NAT网关

1)创建私网NAT网关

注意要选择DMZVPC,并且子网选择前面规划的私网NAT所在子网。




 

2)配置私网SNAT网关策略

配置SNAT规则,由于FW不做NAT,所以到达私网NAT网关时,源IP仍然为业务VPC里的主机IP,所以此处SNAT规则选择手动输入自定义地址段,源地址段填写VPC1VPC2 需要走FW和私网NAT网关访问专线的地址段。


3)配置私网DNAT网关策略

如果云内的业务VPC还对集团总部提供了一些服务,NAT网关可以提供DNAT映射


 

 


5   路由表配置

1         配置业务VPC-1的默认路由表

1) 删除默认路由表中自动生成的0.0.0.0/0 下一跳为ipv4网关的路由


 

2) 删除默认路由表中自动生成的0.0.0.0/0 下一跳为ipv4网关的路由


 


 

2         配置业务VPC-2的默认路由表

同业务VPC1 的配置方法

 

 

3         配置VPC-DMZ的默认路由表

1) 删除默认路由表中自动生成的0.0.0.0/0 下一跳为ipv4网关的路由


2) 创建0.0.0.0/0 下一跳为FW LAN口的路由

这样业务VPC去往Internet 和去往总部的流量,从对等连接进入VPC-DMZ后通过此路由表项转发到FW



 

4         配置DMZ FW LAN子网的自定义路由表


 

1) 删除自定义路由表中自动生成的0.0.0.0/0 下一跳为ipv4网关的路由


2) 创建0.0.0.0/0 下一跳为公网NAT网关的路由



3) 创建去往业务VPC1 VPC2云主机的路由,下一跳设置为对等连接



 


 

4) 创建去往集团总部的路由,下一跳设置为私网NAT网关

 


 

 


 

5         配置公网NAT所在子网的自定义路由表


 

1) 删除自定义路由表中自动生成的0.0.0.0/0 下一跳为ipv4网关的路由


 

2) 创建中0.0.0.0/0 下一跳为FW的路由

这样从Internet 访问云内的流量,经过公网NAT网关处理后,就会发给FW处理。



 

6         配置私网NAT所在子网的自定义路由表


 

1) 删除自定义路由表中自动生成的0.0.0.0/0 下一跳为ipv4网关的路由


 

3) 创建中0.0.0.0/0 下一跳为FW的路由


 


4) 创建去往集团的路由 下一跳为云专线网关的路由


 

版权声明:本文内容系天翼云实名用户自发贡献,版权归原作者所有,天翼云开发者社区不拥有其著作权,亦不承担相应法律责任,未经许可,不得转载。

如有疑问或争议,请联系ctyunbbs@chinatelecom.cn删除。

文章来自个人专栏
网络云小课
5 文章 | 1 订阅
0条评论
0 / 1000
请输入你的评论
0
0
售前咨询热线
400-810-9889转1
关注天翼云
  • 权益商城
  • 天翼云APP
  • 天翼云微信公众号
服务与支持
账户管理
快速入口
云网生态
了解天翼云
热门产品
热门推荐
更多推荐
友情链接
©2025 天翼云科技有限公司版权所有 增值电信业务经营许可证A2.B1.B2-20090001
公司地址:北京市东城区青龙胡同甲1号、3号2幢2层205-32室
备案京公网安备11010802043424号京ICP备 2021034386号