方案概述

应用场景

在不改变现有IDC网络组织架构的前提下，需要将网络组织架构迁移上云，并实现IDC中的两个重叠网段内的主机相互访问。
在不改变现有IDC网络组织架构的前提下，需要将网络组织架构迁移上云，并实现以IDC中指定IP地址访问外部资源。

例如：

某大型公司拥有多个分公司，分公司之间网段独立规划、存在重叠子网。如图1，部门A和部门B分配了相同的192.168.0.0/24网段，并且两个网段内的主机可以相互访问；另外，根据行业规范要求，部门A需要定期以指定的IP地址访问行业监管部门的主机归档数据。

IDC内业务复杂且庞大，重新规划并整改网段会影响已有业务的正常运行。客户希望能够保持现有网络规划不变，网段免修改上云，上云后重叠子网的主机仍能相互访问，且部门A的主机仍然可以以指定IP地址访问行业监管部门的主机。

图1 子公司间的网络存在子网重叠

方案架构

华为云私网NAT网关（Private NAT Gateway）能够为虚拟私有云（Virtual Private Cloud）内的云主机提供网络地址转换服务，实现重叠子网VPC内的主机互访以及主机私网地址映射。弥补了VPC对等连接服务中有重叠子网网段的VPC，不能使用VPC对等连接的约束限制。

如图2：

将部门A和部门B的192.168.0.0/24网段直接迁移到云上的VPC内，然后使用私网NAT网关实现两个部门的主机相互访问。
同时可以通过配置SNAT规则，将部门A的主机私网地址映射为指定的IP地址10.1.0.55访问外部主机。

图2 华为云私网NAT服务

方案优势

客户不用改造现有网络组织架构，直接将云下IDC业务迁移上云，节省了网络改造的成本。
解决了重叠私网IP地址的主机无法相互访问的问题。
满足了客户对安全性的要求，可以为私网内的主机指定IP地址访问外部资源。

约束与限制

使用私网NAT网关时，您需要注意以下几点：

用户需要在VPC下手动添加私网路由，即通过创建对等连接或开通云专线/VPN连接远端私网。
VPC内的每个子网只能添加一条SNAT规则。
SNAT规则和DNAT规则不能共用同一个中转IP。
DNAT的全端口模式不能和具体端口模式共用同一个中转IP。
私网NAT网关支持添加的DNAT规则和SNAT规则的数量如下：
- 小型：DNAT规则和SNAT规则的总数不超过20个。
- 中型：DNAT规则和SNAT规则的总数不超过50个。
- 大型：DNAT规则和SNAT规则的总数不超过200个。
- 超大型：DNAT规则和SNAT规则的总数不超过500个。