应用场景

云上企业并购后，原来多个云上的vpc间使用了相同的地址段规划，并购完成后通过TR打通多个网络导致的互访的地址冲突问题。

企业并购后，网络并网，但云上网络、线下IDC网络地址冲突：

• 约定一个中转的私网地址空间
• 每个企业分配一个私网地址段
• 每个企业网络，分别SNAT到各自的私网地址段里
• 每个企业网络，分别通过DNAT暴露自己对外的服务

技术架构

本实践基于如下图所示的技术架构。

前提

同region下有两个使用了相同地址段的vpc。

1. 准备环境

本环节主要创建同region（本实践中在张家口region创建）下有两个使用了相同地址段的vpc以及ecs资源。

vpc和ecs的创建方法这里不作赘述，创建地址如下。

vpc创建地址：https://vpc.console.aliyun.com/vpc/cn-zhangjiakou/vpcs

ecs创建地址：https://ecs.console.aliyun.com/server/region/cn-zhangjiakou

操作说明：

在同一region中创建专有网络vpc1和vpc2，两个vpc是使用同一网段192.168.0.0/16。创建vpc时顺带创建交换机：在vpc1下创交换机vswitch1，vpc2下创交换机vswitch2，vswitch1和vswitch2也使用同一网段192.168.0.0/24。接着在vswitch1和vswitch2下创将ECS，命名为ecs1和ecs2，指定私网ip地址都为192.168.0.5。部署结果展示如下：

2. 创建CEN，连接vpc1和vpc2

步骤一：通过 https://cen.console.aliyun.com/cen/list 登入CEN控制台。

步骤二：点击 云企业网实例 → 创建云企业网实例， 填写名称“private-nat-best-practice-cen”，点击 确认。

步骤三：创建CEN成功后，点击 网络实例连接。

步骤四：填写连接网络实例配置。实例类型选择专有网络（VPC），地域选择华北3（张家口），并选择主可用区和备可用区。

在“配置专有网络（VPC）连接”中，资源归属UID选择 同账号，网络实例选择之前创建的vpc1，并选择交换机。在可用区中没有可绑定的交换机实例时，选择新建交换机：专用网络选择vpc1，名称为switch3，可用区为 张家口 可用区C，网段为192.168.10.0/24。（注意后边私有nat1在switch3上创建）

选择好交换机后，在“高级配置”中取消“自动为VPC的所有路由表配置指向转发路由器的路由”。最后点击 确定创建。

步骤五：采用步骤四相同方式，创建网络连接实例，连接vpc2，同样也会需要创建交换机switch4，网段为192.168.20.0/24。

3. 创建私有NAT

步骤一：通过 https://vpc.console.aliyun.com/vpc-nat/cn-zhangjiakou/nats 登入私有NAT控制台。

步骤二：注意region要选择为 华北3（张家口），点击 创建VPC NAT网关。

步骤三：之前region选为“华北3 （张家口）”后，地域自动填写就是张家口的。VPC ID选择vpc1，可用区选择张家口 可用区C（之前创建switch3所在的可用区），交换机ID选择switch3，填写实例名称private-nat-1。然后，点击 立即购买。

步骤四：勾选“我已阅读同意“，点击 立即开通。

重复步骤一～步骤四，在switch4上创建私有NAT（实例名称private-nat-2）。

这时，回到私有NAT控制台，等实例状态变为可用用，会自动绑定NAT IP。NAT IP地址在所在switch网段中随机，在本实践中private-nat-1绑定的NAT IP为192.168.10.70，private-nat-2绑定的NAT IP为192.168.20.210。

步骤五：为private-nat-1配置SNAT条目，点击 SNAT管理。

步骤六：点击 创建SNAT条目。

步骤七：SNAT条目粒度选择交换机粒度，选择交换机switch1（准备环境时在vpc1下创建的交换机），会自动展示交换机网段192.168.0.0/24，NAT IP地址选择192.168.10.70，点击 确定创建。

步骤八：回到私有NAT控制台，为private-nat-2配置DNAT条目，点击 DNAT管理。

步骤九：点击 创建DNAT条目。

步骤十：NAT IP地址选择192.168.20.210，私网IP地址通过ECS或弹性网卡进行选择，选择ecs2的ip：192.168.0.5。端口设置选择具体端口，前端端口填22，后端端口填22，协议类型选择TCP（后边通过ssh来检验两个私网之间的访问）。最后，点击 确定创建。

4. 系统路由表配置

步骤一：通过 https://vpc.console.aliyun.com/vpc/cn-zhangjiakou/route-tables 登录路由表控制台，可以看到vpc1和vpc2的系统路由表。

步骤二：点击vpc1的系统路由表。

步骤三：在路由条目列表中，选择 自定义路由条目，点击 添加路由条目。

步骤四：填写路由条目名称，目标网段为192.168.20.0/24，下一跳类型选择 NAT网关，NAT网关选择 private-nat-1，点击 确定 。

同样的，重复步骤二～步骤四，在vpc2的系统路由表中自定义路由条目，目标网段192.168.10.0/24，下一跳为private-nat-2。

5. 子网路由配置

步骤一：回到路由表控制台页面 https://vpc.console.aliyun.com/vpc/cn-zhangjiakou/route-tables，点击创建路由表。

步骤二：选择资源组 default resource group，选择专有网络vpc1，填写名称switch3-rt，点击 确定。

步骤三：再次创建路由表，选择资源组 default resource group，选择专有网络vpc2，填写名称switch4-rt，点击 确定。

步骤四：通过 https://vpc.console.aliyun.com/vpc/cn-zhangjiakou/switches 登录交换机控制台，点击switch3。

步骤五：点击 路由管理，点击 绑定，选择自定义路由表switch3-rt，点击 确定。

步骤六：在 路由管理 中，可以看到已绑定路由表是自定义路由表，点击 自定义路由条目， 点击 添加路由条目，填写路由名称，填写目标网段为192.168.20.0/24，下一跳类型选择 转发路由器，选择转发路由器（本实践中只有一个可以选择；若存在多个，可以在CEN那边查看转发路由器路由表来选择）。

（在对应的CEN下查转发路由器路由表，根据vpc来选择连接ID）

步骤七：重复步骤五和步骤六，为switch4 绑定路由表switch4-rt，创建路由条目：目标网段为192.168.10.0/24，下一跳类型选择 转发路由器，选择转发路由器

6. 验证

步骤一：通过 https://ecs.console.aliyun.com/server/region/cn-zhangjiakou 登录ECS控制台，点击ecs1的 远程连接。

步骤二：点击 立即登录。

步骤三：输入 密码，点击 确定。

步骤四：执行指令 ssh root@192.168.20.210，成功登录到ecs2，校验完毕。