场景描述

天翼云自研池环境中，用户业务主机与云墙属于同VPC，业务主机进出公网的流量均需要经过云墙，使业务能够正常对外映射。

场景需求 ：

（1）A业务经过云墙对外映射9999相关服务完成业务发布；

（2）内网B业务主机通过防火墙访问互联网；

（3）C主机业务不过云墙，直接访问互联网；

（4）内网主机之间能够正常互相访问；

方案拓扑

当前解决方法

云主机及云墙相关网络规划：

云墙和业务云主机均在同一个VPC的相同子网下；

过墙业务主机和不过墙业务主机，可以在相同子网中，也可以在不同子网中；

防火墙创建两张网卡，一张网卡作为内网口（其绑定的EIP可做WEB管理）；其他网卡为外网口（本方案仅画出一个外网口），由云墙进行业务转发使用。

流量需要经过云墙的业务云主机，将网关手动改为云墙内网口IP地址192.168.0.10。

平台侧操作步骤

平台侧网络规划：业务云主机和云墙在VPC2：192.168.0.0/16中，业务云主机涉及子网192.168.0.0/24，云墙涉及子网192.168.0.0/24以及192.168.10.0/24。

1 192.168.0.10/24：云墙内网IP；

2 192.168.10.20/24：云墙外网IP；

云墙按照内网口及外网口规划新建对应子网下的网卡配置；

业务云主机修改网关：

Windows:

Linux:

1、编辑网卡：

vi /etc/sysconfig/network-scripts/ifcfg-eth0

2、修改为静态IP，网关指向防火墙

IPADDR=192.168.0.101

GATEWAY=192.168.0.10

NETMASK=255.255.255.0

DNS1=114.114.114.114

3、重启网卡生效

service network restart

云墙配置内容

正常配置入向DNAT映射和出向SNAT映射，启用安全策略进行相关防护。

云防火墙接口配置。

云防火墙业务映射DNAT配置。

云主机访问互联网的SNAT配置以及源路由。

SNAT：

源路由：

云防火墙安全策略配置。

测试结果

未过墙业务C主机正常访问互联网：

B业务云主机访问外网正常：

A业务正常访问：