addc7.3版本两个vpc绑定同一个外部网络是否可以用同一个外网出口ip

联系400确认吧

关于ADDC 7.3版本中两个VPC绑定同一个外部网络并使用同一个外网出口IP的问题，结论是：技术上可以实现，但在防火墙旁挂的安全纳管场景下，这会引入较复杂的网络和安全风险。 过墙VPC和不过墙VPC的情况不完全相同。

 核心结论：如何实现共用外网IP？

要实现两个VPC共用同一个外网出口IP，关键在于VPC绑定的是同一个外部网络，并正确配置“共享网关”：

• 共享网关模式：将两个VPC绑定的外部网络配置为“共享网关”。根据H3C的官方解释，在共享网关模式下，VPC自身不会生成默认路由。这意味着VPC内虚拟机的外网访问流量必须依赖外部网关设备（如出口路由器）的默认路由来指导转发，才能共用该网关的出口IP-。这个配置是实现共用IP的基础。

• 防火墙旁挂与“共享墙”：在安全纳管场景下，你的防火墙是通过策略路由（PBR）等方式“旁挂”在网络中的，主要作用是引流流量进行安全检测。两个VPC共用外网IP，就需要在防火墙上采用“共享墙”的模式，即让多个虚拟路由器（对应不同VPC）共用同一个防火墙Context。

 关键风险：共享墙方案下的“互通”陷阱

这正是你描述的场景，技术可行，但实践中已被证实会引发严重问题。根据H3C官方的故障案例，当多个虚拟路由器（对应不同VPC）绑定同一个防火墙Context（共享墙）时，不同VPC之间（跨VPC）的互访流量可能会被防火墙的ASPF（应用层包过滤）功能错误地丢弃，导致网络不通。此问题根因在于安全策略自动下发不完整，已被H3C证实并记录。

因此，即使控制器策略配置为全通，也依然会出现问题。如果你的业务需要VPC之间直接互访，实施此方案前务必进行充分测试。

 场景对比：过墙VPC与不过墙VPC的区别

这里存在一个细节差异，需要通过一个表格来清晰地对比：

简单来说，如果VPC A和VPC B之间存在业务互访需求，那么即使VPC B自身流量不经过防火墙，它们之间的互访也可能受到共享墙配置的影响，存在不通的风险。

 方案选择：独享墙 vs 共享墙

在安全纳管场景下，两者各有优劣，你的核心选择在于隔离性 vs 资源效率：

• 独享墙 (一个VPC一个Context)：这是规避跨VPC互访问题的根本方案。每个VPC有独立的防火墙逻辑实例，实现彻底的流量和配置隔离。缺点是会大量消耗防火墙的Context规格。

• 共享墙 (多个VPC共用一个Context)：这是实现共用外网出口IP的直接方案。优点是节省防火墙资源。缺点是存在上述跨VPC互访不通的已知风险，且会引入安全策略耦合。

结论：ADDC 7.3 中，两个 VPC 绑定同一个外部网络，可以共用同一个外网出口 IP（SNAT 共享），但 “过墙 VPC” 与 “不过墙 VPC” 的实现方式和限制完全不同。
一、核心原理与限制（先看懂）
外部网络（External Network）：在 ADDC 里是 “公网出口容器”，本身不带 NAT/IP，只是定义一个可连接的外网段。
共享公网 IP：本质是 NAT 网关（或防火墙）做 SNAT，多 VPC 私网地址 → 同一个公网 IP。
关键限制：
同一外部网络下，多个 VPC 不能直接 “自动共享 IP”，必须通过 NAT 网关 / 防火墙 SNAT 实现。
过墙与不过墙，路由转发、NAT 位置完全不一样。
二、场景 1：不过墙 VPC（直连外部网络）
架构：VPC → 边界 Leaf → 出口路由器（含 NAT）→ 公网能否共享同一公网 IP？✅ 可以，标准方案：VPC 级 SNAT 共享
配置要点（ADDC 7.3）
创建 1 个外部网络（如：公网 202.xx.xx.0/24）
两个 VPC 都绑定此外部网络
出口路由器 / 边界设备配置 SNAT：
plaintext
# 示例（H3C MSR/F1000）
nat address-group 1 202.xx.xx.100 202.xx.xx.100 # 同一个公网IP
nat outbound 2000 address-group 1 no-pat
acl number 2000
rule permit source 10.0.1.0 0.0.0.255 # VPC1
rule permit source 10.0.2.0 0.0.0.255 # VPC2
VPC 路由：两个 VPC 默认路由下一跳 → 出口路由器
特点
两个 VPC 完全隔离（私网不通）
出网都走 同一个公网 IP
无防火墙，无安全过滤
三、场景 2：过墙 VPC（防火墙旁挂 + 安全纳管）
架构：VPC → Leaf → 防火墙（旁挂）→ 出口 → 公网能否共享同一公网 IP？✅ 可以，但必须在防火墙上做统一 SNAT
（1）两个 VPC 都过墙（都经防火墙）
完全支持共享 IP
两个 VPC 绑定同一个外部网络
防火墙旁挂（单臂 / 双臂），做 PBR/VRF 引流
防火墙统一 SNAT：
plaintext
nat address-group 1 202.xx.xx.100
nat policy
rule 1
source-zone Trust
destination-zone Untrust
source-subnet 10.0.1.0/24 10.0.2.0/24
action snat address-group 1
VPC 默认路由 → 防火墙
特点
流量 都过防火墙，安全策略统一管控
两个 VPC 出网 同一公网 IP
东西向可在防火墙上控制是否互通
（2）一个过墙、一个不过墙（混合）
⚠️ 不能直接共享同一个公网 IP（会路由冲突）
过墙 VPC：下一跳 → 防火墙
不过墙 VPC：下一跳 → 出口路由器
同一外部网络、同一公网 IP → 回程路由无法区分，导致丢包
解决方案（二选一）
两个 VPC 都过墙（推荐）
用两个不同公网 IP：
过墙 VPC：IP1（防火墙 SNAT）
不过墙 VPC：IP2（出口 NAT）
四、过墙 vs 不过墙：共享 IP 对比表
表格
场景 共享同一公网 IP 实现方式 安全 路由冲突风险
两个都不过墙 ✅ 支持 出口路由器统一 SNAT ❌ 无过滤 ❌ 低
两个都过墙 ✅ 支持 防火墙统一 SNAT ✅ 全管控 ❌ 低
一个过墙一个不过 ❌ 不建议 必须分两个公网 IP ⚠️ 部分管控 ✅ 高
五、ADDC 7.3 配置关键步骤（都过墙）
网络 > 外部网络：创建 1 个公网外部网络
网络 > VPC：
VPC1、VPC2 都绑定 同一个外部网络
都勾选 连接防火墙
防火墙配置：
接口加入 Trust/Untrust
配置 SNAT 地址组（单个 IP）
策略放行两个 VPC 网段
路由引流：
VPC 默认路由 → 防火墙
防火墙默认路由 → 出口
六、一句话总结
两个都过墙 / 两个都不过墙：可以共用同一个外网 IP（SNAT）
一个过墙一个不过：不能共用，必须用两个公网 IP
ADDC 7.3 完全支持，核心是 NAT 位置统一（防火墙或出口）