NAT网关之SNAT进阶使用(一)SNAT POOL

摘要: NAT网关是云上VPC ECS访问Internet的出入口。SNAT可实现指定的VPC ECS使用指定的公网IP访问互联网。阿里云NAT网关控制台创建SNAT条目时,默认是为指定的交换机配置1个公网IP地址。

(一)前言

为什么使用SNAT POOL

NAT网关是云上VPC ECS访问Internet的出入口。SNAT可实现指定的VPC ECS使用指定的公网IP访问互联网。阿里云NAT网关控制台创建SNAT条目时,默认是为指定的交换机配置1个公网IP地址。但SNAT的连接数受限于单一公网IP端口数量,当访问量急速增大时,单一公网IP作为VPC ECS访问互联网的出口会显得有些力不从心。对于这种场景,则可以考虑使用NAT网关的SNAT POOL功能。

什么是SNAT POOL功能

创建SNAT条目时,可将多个公网IP加入到一个地址池。当VPC ECS主动发起对外的访问连接时,VPC ECS会随机通过SNAT地址池中的公网IP地址访问互联网。

如何使用SNAT POOL功能

调用阿里云NAT网关API接口:CreateSnatEntry。下图给出了CreatSnatEntry的请求参数。


说明:本文将使用阿里云提供的工具OpenAPI_Explorer做使用示例。

(二)准备工作

创建VPC,规划子网,按需购买VPC ECS。
创建NAT网关。
为NAT网关新购包含2个公网IP地址的NAT带宽包。
下面分别是本文示例SNAT POOL操作拓扑图,和绑定了2个弹性公网IP的NAT网关的控制台示意图。

(三)SNAT POOL设置

登录阿里云提供的OpenAPI_Explorer,OpenAPI_Explorer提供快速的API接口调试,是一款非常便捷的工具。

在OpenAPI Explorer左侧的”云产品列表“里选择“专用网络VPC",然后搜索API接口“CreateSnatEntry”。

填入NAT网关的regionId,SnatTableId和需要设置SNAT的vswitchID。将要设置为SNAT地址池的2个EIP填入到SnatIp中,用逗号隔开,如下图所示。然后点击“发起请求”。

这时,返回NAT网关控制台,可以看到SNAT条目里面已经出现了刚才设置后的SNAT POOL。

(四)SNAT POOL验证

分别登录设置了SNAT规则的vswitch后的三台ECS,查看出网的源IP地址。

(五)注意事项

SNAT POOL创建成功后,指定的VPC ECS将随机使用SNAT POOL中的公网IP访问互联网。

SNAT POOL功能目前仅支持API创建,控制台上SNAT条目默认只支持在vswitch粒度上设置一个公网IP作为出网的源IP地址。后续控制台上将开放SNAT POOL功能,敬请期待。

SNAT POOL功能目前只支持NAT带宽包的公网IP,对于NAT网关绑定的弹性公网IP也计划支持,敬请期待。

(六)有用链接

阿里云NAT网关API文档之详解CreateSnatEntry --【CreateSnatEntry】
阿里云NAT网关之产品图解 --【一张图看懂阿里云网络产品【四】NAT网关】
阿里云专有网络公网出入口管理之必读 --【详解SLB、EIP、NAT网关之间区别, 合理选择云上公网入口】

原文链接

阅读更多干货好文,请关注扫描以下二维码:

原文地址:https://www.cnblogs.com/homehtml/p/11964353.html

时间: 2024-10-31 10:10:49

NAT网关之SNAT进阶使用(一)SNAT POOL的相关文章

System Center 2012 R2实例2—构建Azure Pack云12—NAT网关

在第8节中,我们提到如果要让租户从私有的VM网络中访问外网,需要进行NAT网关的设置. 1. 我们先来看看本节所需要的硬件环境. 我这边准备了2台物理机,并添加入VMM管理: sc-hostrt:配置3块物理网卡, 作NAT网关用 sc-host2:配置2块物理网卡,作放置租户的自建VM虚拟机用. 如果实在没有硬件环境的话,可以用VMware安装windows2012虚机并赋予多网卡,并在2012虚机中启用Hyper-v.如下图,所有网卡都用桥接模式连接. 然后我们看看本节中涉及到的网络网段:

TR-069_Amendment-4:附录G.穿越NAT网关的连接请求方式

注意:这种机制只适用于RFC 3489[21]中定义的经典STUN,RFC 5389引入后,这个机制已经过时.这个机制不是设计用于RFC 5389中定义的STUN.IPv6部署要么不使用NAT,要么以不同的方式使用它. G.1介绍 CWMP可以用来对通过网关连接的局域网下的CPE设备进行远程管理.当设备部在NAT网关之后,并被分配了私网IP后,CWMP依然可以对其进行管理,但有了限制,通过Connection Request触发CWMP会话的机制不可用. 本附录定义了一种方式,允许ACS初始化位

nat网关高可用

背景: 最近因业务需要,需要允许内网服务器上网,因为本身没有硬件防火墙做网关,暂时只能用iptables做nat转发上网了. 直接上拓扑图,说明如下: lvs_master和lvs_slave都有两块网卡,外网卡连接上联交换机.内网卡连接内网交换机. lvs_master 外网卡地址:192.168.168.11/24  内网卡地址:192.168.40.11/24 lvs_slave   外网卡地址:192.168.168.12/24   内网卡地址:192.168.40.12/24 lvs_

iptable filter nat MASQUERADE snat dat

在这里,系统会根据IP数据包中的destination ip address中的IP地址对数据包进行分发.如果destination ip adress是本机地址,数据将会被转交给INPUT链.如果不是本机地址,则交给FORWARD链检测. 这也就是说,我们要做的DNAT要在进入这个菱形转发区域之前,也就是在PREROUTING链中做, 比如我们要把访问202.103.96.112的访问转发到192.168.0.112上: iptables -t nat -A PREROUTING -d 202

SNAT和DNAT

SNAT和DNAT简介 SNAT:局域网共享一个公网IP接入lnternel,好处如下 1.保护内网用户安全,因为公网地址总有一些人恶意扫描,而内网地址在公网没有路由所以无法被扫描,能被扫描的只有防火墙这一台,这样就减少了被攻击的可能. 2.Ipv4地址匮乏,很多公司只有一个ipv4地址,但是却有几百个用户需要上网,这个时候就需要使用SNAT. 3.省钱,公网地址付费,使用SNAT只需要一个公网ip就可以满足几百人同时上网. DNAT:向internel发布内网服务器 在内网中有服务器,如果想让

基于Ubuntu网关配置(1)-- NAT

NAT,全称为Network Address Translation,意思是网络地址转换,如果想让所有的人都能够在共有IP不足的情况下上网,就可以使用NAT功能. 一台NAT主机一定要有两个IP: 其中一个是和互联网通信的共有IP:另一个是与内部局域网通信的私有IP.我们知道,网络上的所有信息封包的包头部分都含有源IP地址和目的IP地址,通过NAT主机,可以将从内部局域网发往互联网的封包的来源IP进行更改,将其更改NAT主机的共有IP,然后NAT主机将此更改的对应关系记录下来,这样内部主机就可以

如何区分SNAT和DNAT

从定义来讲它们一个是源地址转换,一个是目标地址转换.都是地址转换的功能,将私有地址转换为公网地址.要区分这两个功能可以简单的由连接发起者是谁来区分:       内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部.       当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接

SNAT/DNAT

SNAT,是源地址转换,其作用是将ip数据包的源地址转换成另外一个地址. 名词解释 编辑 SNAT,可能有人觉得奇怪,好好的为什么要进行ip地址转换啊,为了弄懂这个问题,我们要看一下局域网用户上公网的原理,假设内网主机A(192.168.2.8)要和外网主机B(61.132.62.131)通信,A向B发出IP数据包,如果没有SNAT对A主机进行源地址转换,A与B主机的通讯会不正常中断,因为当路由器将内网的数据包发到公网IP后,公网IP会给你的私网IP回数据包,这时,公网IP根本就无法知道你的私网

SNAT和DNAT配置

一.SNAT可以解决如果只有一个公有地址而使全公司可以访问Internet,SNAT只能用在nat表的POSTROUTING链.配置SNAT环境如下:在内部地址和Internet配置网站在网关服务器添加两块网卡eth0:192.168.10.254 和eth1:172.16.1.254,并开启路由功能.在网关服务器上配置SNAT策略到internet测试机上查看日志,发现访问者不是192.168.10.1,而是172.16.1.254就对了二.DNAT主要应用于公司内部发布服务器其他配置和SNA