专线接入 产品功能 - 产品简介

您可通过如下视频了解专线接入各组成部分的功能。

物理专线

连接腾讯云与本地数据中心的物理线路连接，您可以通过第三方网络服务商，在您的数据中心和腾讯云专线网络接入点间建立网络连接。

专用通道

• 专用通道是物理专线的网络链路划分。
• 您可以创建连接至不同专线网关的专用通道，实现本地数据中心与多个私有网络的互联。

专线网关

• 专线网关是私有网络与物理专线建立专用通道的入口，私有网络支持最多2个专线网关（标准型和 NAT 型各1个）。
• 专线网关可以和多个物理专线间建立专用通道，实现连接多地的混合云部署。

网络地址转换（NAT）

网络地址转换是混合云连接时，应对专线两端 IP 冲突问题的一种解决方案。您可以在专线网关上配置网络地址转换规则，网络地址转换（NAT）包含 IP 转换和 IP 端口转换两种。

IP 转换

• IP 转换指将原 IP 转换为新的 IP，实现网络互访，分为本端 IP 转换和对端 IP 转换。
• IP 转换不区分源、目的方向，映射 IP 既可以主动访问对端，也可以被对端主动访问。

本端 IP 转换

1. 转换说明

• 本端 IP 转换指私有网络内原 IP 映射为新 IP，并以新 IP 身份与专线对端互访。
• 您可以配置多条本端 IP 转换规则，并为每条本端 IP 转换规则配置网络 ACL，网络 ACL 支持源端口、目的 IP、目的端口配置。

  注意：

  网络地址转换规则仅对符合 ACL 限制的网络请求生效。

• 本端 IP 转换不限制网络请求的方向，可以是私有网络主动访问专线对端，也可以是专线对端主动访问私有网络。
  

2. 转换示例
私有网络内 IP A192.168.0.3映射为 IP B10.100.0.3，则 IP A 对专线对端的主动访问网络包原 IP 将自动修改为10.100.0.3，所有专线对端访问的10.100.0.3的网络包将自动指向 IP A192.168.0.3。

对端 IP 转换

1. 转换说明

• 对端 IP 转换指用户 IDC 内原 IP 映射为新 IP，并以新 IP 身份与私有网络内 IP 互访。
• 和本端 IP 转换不同，对端 IP 转换不支持网络 ACL 限制，因此，一旦配置了对端 IP 转换规则，将对所有专用通道对端生效。
• 对端 IP 转换不限制网络请求的方向，可以是私有网络主动访问专线对端，也支持专线对端主动访问私有网络。
  

2. 转换示例
专线对端 IP D10.0.0.3映射为 IP C172.16.0.3，则 IP D10.0.0.3主动访问私有网络的网络包原 IP ，将自动修改为 IP C172.16.0.3，所有私有网络访问 IP C172.16.0.3的网络包，将自动指向专线对端 IP D10.0.0.3。

注意：

• 配置本端、对端 IP 转换后，专线网关仅会将转换后的 IP 路由下发至专线对端，因此，未配置本端、对端 IP 转换的原 IP，将无法 ping 通专线对端。但专线网关无法代替专业的网络防火墙，如果您需要高级的网络防护，请在私有网络内配置安全组和网络 ACL 策略，同时在您的 IDC 机房部署专业的物理网络防火墙设备。
• 当专线网关同时配置对端 IP 转换时，本端源 IP 端口转换 ACL 规则的 目的 IP 需要写 对端 IP 转换的映射 IP，而不是原 IP。

IP 端口转换

• IP 端口转换指将原 IP 端口映射为新 IP 端口，并以新 IP 端口实现网络互访，包含本端源 IP 端口转换、本端目的 IP 端口转换。
• IP 端口转换强调方向性，原 IP 端口转换指主动外访，目的 IP 端口转换指被对端主动访问。

本端源 IP 端口转换

1. 转换说明

• 本端源 IP 端口转换指私有网络内 IP 通过专线网关主动外访时，以指定 IP 池内随机 IP 的随机端口访问专线对端的用户 IDC。
• 本端源 IP 端口转换支持配置 ACL 规则，只有符合 ACL 规则的网络出访问才会匹配地址池转发规则。通过为地址池配置不同的 ACL 规则，您可以灵活配置多个第三方接入时的网络地址转换规则。
  

• 本端源 IP 端口转换仅支持私有网络端主动发起的网络访问请求，如果专线对端需要主动访问私有网络内的 IP 端口，需要额外配置本端目的 IP 端口转换配置。本端源 IP 端口转换私有网络主动发起的网络请求为有状态连接，不用考虑网络回包问题。

2. 示例：
私有网络 C 网段为172.16.0.0/16， 通过专线连接第三方银行 A 和 B，其中银行 A 对端网段为10.0.0.0/28，要求对接网段为192.168.0.0/28；银行 B 对端网段为10.1.0.0/28，要求对接网段为192.168.1.0/28。则可以按照下面配置两条本端源 IP 端口转换：

• 地址池 A 192.168.0.1 - 192.168.0.15；ACL 规则 A：源 IP172.16.0.0/16，目的 IP10.0.0.0/28，目的端口 ALL。
• 地址池 B 192.168.1.1 - 192.168.1.15；ACL 规则 B：源 IP172.16.0.0/16，目的 IP10.1.0.0/28，目的端口 ALL。

则私有网络内主动访问 A、B 的网络请求，会根据 ACL 规则 A、B 分别转换为对应地址池的随机端口，访问对应的专用通道。

本端目的 IP 端口转换

1. 转换说明

• 本端目的 IP 端口转换是专线对端主动访问私有网络的一种方法，将私有网络内指定 IP 的指定端口映射为新的 IP 和端口，专线对端则只可以通过访问映射后 IP 端口来与私有网络内指定 IP 端口通信，其他 IP 端口则不对专线对端暴露。
  

• 本端目的 IP 端口转换不支持 ACL 规则适配，因此，IP 端口转换规则将对专线网关所连接的所有专用通道生效。本端目的 IP 端口转换仅对专用通道对端主动访问私有网络生效，如果私有网络需要主动访问专线对端，可以配置本端源 IP 端口转换。本端目的 IP 端口转换的网络请求为有状态连接，无需考虑网络回包的问题。

2. 转换示例
私有网络 C 的网段为172.16.0.0/16，只希望开放若干端口给专线对端主动访问，则可以按照下面方案进行配置：

• 映射 A 原 IP 端口172.16.0.1:80；映射 IP 端口10.0.0.1:80。
• 映射 B 原 IP 端口172.16.0.0:8080；映射 IP 端口10.0.0.1:8080。
  则专线对端可以主动访问10.0.0.1:80、10.0.0.1:8080端口，实现对私有网络内172.16.0.1:80、172.16.0.0:8080两个端口的主动访问。

注意：

• 配置本端源、目的 IP 端口转换后，专线网关仅会将转换后 IP 端口路由下发至专线对端，因此，未配置的本端 IP 端口，将无法主动发起请求或被动接受请求。但专线网关无法代替专业的网络防火墙，如果您需要高级的网络防护，请在私有网络内配置安全组和网络 ACL 策略，同时在您的 IDC 机房部署专业的物理网络防火墙设备。
• 当同时配置 IP 转换和 IP 端口转换时，优先匹配 IP 转换，IP 转换无匹配选项时，才会继续匹配 IP 端口转换。
• 当专线网关同时配置对端 IP 转换时，本端源 IP 端口转换 ACL 规则的目的 IP 需要写对端 IP 转换的映射 IP，而不是原 IP。