場景描述

天翼云自研池環境中，用戶業務主機與云墻屬于同VPC，業務主機進出公網的流量均需要經過云墻，使業務能夠正常對外映射。

場景需求 ：

1. A業務經過云墻對外映射9999相關服務完成業務發布。
2. 內網B業務主機通過防火墻訪問互聯網。
3. C主機業務不過云墻，直接訪問互聯網。
4. 內網主機之間能夠正常互相訪問。

方案拓撲

當前解決方法

云主機及云墻相關網絡規劃：

• 云墻和業務云主機均在同一個VPC的相同子網下。
• 過墻業務主機和不過墻業務主機，可以在相同子網中，也可以在不同子網中。
• 防火墻創建兩張網卡，一張網卡作為內網口（其綁定的EIP可做Web管理）；其他網卡為外網口（本方案僅畫出一個外網口），由云墻進行業務轉發使用。
• 流量需要經過云墻的業務云主機，將網關手動改為云墻內網口IP地址192.168.0.10。

平臺側操作步驟

平臺側網絡規劃：

業務云主機和云墻在VPC：192.168.0.0/16中：

• 業務云主機涉及子網192.168.0.0/24。
• 云墻涉及子網192.168.0.0/24以及192.168.10.0/24。

云墻按照內網口及外網口規劃新建對應子網下的網卡配置：

• 192.168.0.10/24：云墻內網IP
• 192.168.10.20/24：云墻外網IP

業務云主機修改網關：

Windows：

Linux：

1. 編輯網卡。

   vi /etc/sysconfig/network-scripts/ifcfg-eth0
   

2. 修改為靜態IP，網關指向防火墻。

   IPADDR=192.168.0.101
   GATEWAY=192.168.0.10
   NETMASK=255.255.255.0
   DNS1=114.114.114.114
   

3. 重啟網卡生效。

   service network restart
   

云墻配置內容

正常配置入向DNAT映射和出向SNAT映射，啟用安全策略進行相關防護。

云防火墻接口配置：

云防火墻業務映射DNAT配置：

云主機訪問互聯網的SNAT配置以及源路由。

SNAT：

源路由：

云防火墻安全策略配置。

測試結果

未過墻業務C主機正常訪問互聯網：

B業務云主機訪問外網正常：

A業務正常訪問：