文档首页> 弹性公网IP EIP> 最佳实践> 线下IDC使用EIP对外提供IPv6服务
更新时间:2022-08-31 GMT+08:00

线下IDC使用EIP对外提供IPv6服务

应用场景

当已有的IPv4地址的弹性公网IP需要增加IPv6地址时,可以使用弹性公网IP(EIP)服务的IPv6转换功能即可将已有的IPv4地址映射为公网IPv6地址。开启IPv6转换后,将提供IPv4和IPv6弹性公网IP地址,原有IPv4业务可以快速为IPv6用户提供访问能力。

假设后端服务器在用户线下数据中心(IDC),现有IPv4服务无法快速上云,或短期内无法完成IPv6双栈改造,则可以使用IPv6 EIP快速对接线下IDC,对外提供IPv6能力,不必改造IDC内部IPv4网络,快速支持IPv6的用户接入,保证IPv4和IPv6用户的不同需求。

方案架构

  1. 通过虚拟专用网络(VPN)将用户IDC与VPC连通。
  2. 在VPC中搭建NAT网关,并绑定IPv6 EIP,对外提供公网IPv6服务。
  • IPv6 EIP只能作为服务端地址对外提供服务,无法主动访问IPv6地址。
  • IDC的网段与云上VPC中的子网网段不能重叠,否则无法通信。
图1 组网图

方案优势

不必改造IDC内部IPv4网络,就可以快速支持IPv6的用户接入,保证IPv4和IPv6用户的不同需求。

约束与限制

开启EIP的IPv6转换后,您需要在安全组的出方向和入方向中放通198.19.0.0/16网段的IP地址。因为IPv6弹性公网IP采用NAT64技术,入方向的源IP地址经过NAT64转换后,会将IPv6地址转换为198.19.0.0/16之间的某个IPv4地址,源端口随机,目的IP为本机的内部私有IPv4地址,目的端口不变。

表1 安全组规则

方向

协议

端口和地址

入方向

全部

源地址:198.19.0.0/16

出方向

全部

目的地址:198.19.0.0/16

资源和成本规划

表2 资源和成本规划

资源

资源名称

资源说明

数量

虚拟私有云(VPC)

VPC-Test01

在该VPC中购买EIP、NAT网关,VPC网段为:192.168.0.0/24

1

弹性公网IP(EIP)

EIP-IPv4&IPv6

IPv4地址的弹性公网IP,,需开启IPv6转换。

1

NAT网关

NAT-Test

购买公网NAT网关,并绑定弹性公网IP

1

VPN网关

VPN-GW-Test

VPN网关是VPC中建立的出口网关设备,通过VPN网关可建立VPC和IDC之间安全可靠的加密通信。

1

VPN连接

VPN-Test

VPN连接帮您快速构建VPN网关和远端网关之间的安全、可靠的加密通道。

1

用户线下数据中心(IDC)

IDC-Test

包含远端网关、路由器、后端服务器。该IDC私网网段为:192.168.1.0/24

1

实施步骤

  1. 购买EIP并开启IPv6转换

    根据出公网的实际业务需求,购买相应带宽的弹性公网IP并勾选IPv6转换。

    具体操作请参见申请弹性公网IP

  2. 配置VPN

    VPN由VPN网关和VPN连接组成,VPN网关提供了虚拟私有云的公网出口,与用户IDC的远端网关对应。

    1. 创建VPC。

      创建VPC,选择网段为192.168.0.0/24,IDC私有网段为192.168.1.0/24。

      IDC的网段与云上VPC中的子网网段不能重叠,否则无法通信。

      具体操作请参见创建虚拟私有云和子网

    2. 创建VPN网关。

      虚拟私有云:选择2.a中创建的VPC。

      带宽大小:根据实际的业务需求,选择VPN连接需要的带宽大小。

      具体操作请参见创建VPN网关

    3. 创建VPN连接。

      本端子网:选择网段,手动输入网段:192.168.0.0/24,198.19.0.0/16。

      远端网关:选择线下IDC的VPN远端公网IP。

      远端子网:选择线下IDC的私有网段192.168.1.0/24。

      具体操作请参见创建VPN连接

      由于EIP开启IPv6转换后,源IP会被替换成198.19.0.0/16网段,因此需要将该网段加入到本端子网中。由于Console页面的校验,需要先填写VPC的子网,再填写198.19.0.0/16。

    4. 配置IDC侧VPN设备。

      完成云端的VPN配置后,需要对线下IDC侧的VPN设备进行相应配置,具体操作请参见《虚拟专用网络管理员指南》

  3. 配置公网NAT网关

    购买公网NAT网关,通过添加DNAT规则,可以通过映射方式使您的云主机或通过VPN扩展到云上的主机为互联网提供服务。

    1. 购买公网NAT网关。

      虚拟私有云:选择2.a中创建的VPC。

      子网:选择2.a中创建的VPC下的子网。

      具体操作请参见购买公网NAT网关

    2. 添加DNAT规则。

      选择1中购买的EIP,并根据线下IDC的私网IP地址和端口,设置DNAT规则。例如选择具体端口及TCP协议,添加私网IP:192.168.1.22,绑定EIP。

      具体操作请参见添加DNAT规则

配置验证

操作完成后,就可以实现EIP服务的公网IPv6地址对外提供IPv6服务。

IPv6地址可以在EIP页面查询:

图2 查看IPv6地址

使用具有访问公网能力的IPv6客户端,测试IPv6 EIP的IPv6地址的连通性。