通过EIP实现线下IDC对外提供IPv6服务

应用场景

当已有的IPv4地址的弹性公网IP需要增加IPv6地址时，可以使用弹性公网IP（EIP）服务的IPv6转换功能即可将已有的IPv4地址映射为公网IPv6地址。开启IPv6转换后，将提供IPv4和IPv6弹性公网IP地址，原有IPv4业务可以快速为IPv6用户提供访问能力。

假设后端服务器在用户线下数据中心（IDC），现有IPv4服务无法快速上云，或短期内无法完成IPv6双栈改造，则可以使用IPv6 EIP快速对接线下IDC，对外提供IPv6能力，不必改造IDC内部IPv4网络，快速支持IPv6的用户接入，保证IPv4和IPv6用户的不同需求。

方案架构

1. 通过虚拟专用网络（VPN）将用户IDC与VPC连通。
2. 在VPC中搭建NAT网关，并绑定IPv6 EIP，对外提供公网IPv6服务。

• IPv6 EIP只能作为服务端地址对外提供服务，无法主动访问IPv6地址。
• IDC的网段与云上VPC中的子网网段不能重叠，否则无法通信。

图1 组网图

方案优势

不必改造IDC内部IPv4网络，就可以快速支持IPv6的用户接入，保证IPv4和IPv6用户的不同需求。

约束与限制

开启EIP的IPv6转换后，您需要在安全组的出方向和入方向中放通198.19.0.0/16网段的IP地址。因为IPv6弹性公网IP采用NAT64技术，入方向的源IP地址经过NAT64转换后，会将IPv6地址转换为198.19.0.0/16之间的某个IPv4地址，源端口随机，目的IP为本机的内部私有IPv4地址，目的端口不变。

资源和成本规划

操作流程

1. 购买EIP并开启IPv6转换
2. 配置VPN
3. 配置公网NAT网关

实施步骤

1. 购买EIP并开启IPv6转换

   根据出公网的实际业务需求，购买相应带宽的弹性公网IP并勾选IPv6转换。

   具体操作请参见申请弹性公网IP。

2. 配置VPN

   VPN由VPN网关和VPN连接组成，VPN网关提供了虚拟私有云的公网出口，与用户IDC的远端网关对应。

   

   1. 创建VPC。

      创建VPC，选择网段为192.168.0.0/24，IDC私有网段为192.168.1.0/24。

      IDC的网段与云上VPC中的子网网段不能重叠，否则无法通信。

      具体操作请参见创建虚拟私有云和子网。

   2. 创建VPN网关。

      虚拟私有云：选择2.a中创建的VPC。

      带宽大小：根据实际的业务需求，选择VPN连接需要的带宽大小。

      具体操作请参见创建VPN网关。

   3. 创建VPN连接。

      本端子网：选择网段，手动输入网段：192.168.0.0/24,198.19.0.0/16。

      远端网关：选择线下IDC的VPN远端公网IP。

      远端子网：选择线下IDC的私有网段192.168.1.0/24。

      具体操作请参见创建VPN连接。

      

      由于EIP开启IPv6转换后，源IP会被替换成198.19.0.0/16网段，因此需要将该网段加入到本端子网中。由于Console页面的校验，需要先填写VPC的子网，再填写198.19.0.0/16。

   4. 配置IDC侧VPN设备。

      完成云端的VPN配置后，需要对线下IDC侧的VPN设备进行相应配置，具体操作请参见《虚拟专用网络管理员指南》。

3. 配置公网NAT网关

   购买公网NAT网关，通过添加DNAT规则，可以通过映射方式使您的云主机或通过VPN扩展到云上的主机为互联网提供服务。

   1. 购买公网NAT网关。

      虚拟私有云：选择2.a中创建的VPC。

      子网：选择2.a中创建的VPC下的子网。

      具体操作请参见购买公网NAT网关。

   2. 添加DNAT规则。

      选择1中购买的EIP，并根据线下IDC的私网IP地址和端口，设置DNAT规则。例如选择具体端口及TCP协议，添加私网IP：192.168.1.22，绑定EIP。

      具体操作请参见添加DNAT规则。

配置验证

操作完成后，就可以实现EIP服务的公网IPv6地址对外提供IPv6服务。

IPv6地址可以在EIP页面查询：