1、創建一個vpc,選擇網段爲172.16.0.0/16,會默認創建一個路由器和交換機
2、在該vpc下,再創建三個虛擬交換機,子網分別爲
172.16.0.0/24
172.16.1.0/24
172.16.2.0/24
3、此時路由器的路由表中,會默認增加三條路由表,如下圖
4、此時,三個私網內的ecs均對外網不通,這時需要購買一個nat網關,並配置snat表
5、配置完snat表後再添加一條路由(目標網段是0.0.0.0/0),此時再去查看路由器,會出現目標網段爲0.0.0.0/0時的一個路由條目
6、由此,根據在nat網關中所配置的,私網172.16.0.0/24,172.16.2.0/24即可以訪問外網,訪問包流向如下:
ecs------->所屬虛擬交換機------>路由器的0.0.0.0/24路由條目------>nat網關(即下一跳)-----snat條目表---->轉換爲公網IP---LAN
名詞解釋:
》》路由器
目標網段:目標網段是相對於路由器來說的。對於路由器來說,整個網絡分爲內部網絡、外部網絡,此處的目標網段,即是要訪問的網段,即理解爲要訪問整個網段;
》》nat網關
snat即源地址轉換:同上理,對於nat網關來說,整個網絡也是分爲內部網絡、外部網絡,源地址轉換即是把內部網絡的地址轉換爲一個公網IP,以使得可以訪問公網;
dnat即目標地址轉換:目標地址轉換,即是對於訪問公網IP的流量,經過此條目轉換後,轉發到後面的內部網絡中的內網主機上;
PS:對於深信服防火牆上的設置,其雖然是雙向地址轉換,但是本質是一樣的
可見,原始數據包經過轉換後的轉換後數據包,兩邊是一一對應的。