企业版转发路由器提供灵活的路由管理能力,通过企业版转发路由器您可以将访问流量引导至安全管控服务器上进行流量过滤,只允许过滤后的流量相互通信,提高网络的安全性。本文为您介绍如何通过企业版转发路由器实现流量安全互访。

场景示例

在您应用本场景时,需确保安全管控服务所属的专有网络VPC(Virtual Private Cloud)实例所在的地域支持企业版转发路由器,以便实现流量安全互访。企业版转发路由器支持的地域和可用区,请参见企业版转发路由器支持的地域和可用区

本文以同地域网络互通为例,为您介绍如何使用企业版转发路由器实现流量安全互访。某企业在阿里云中国(香港)地域已经部署了3个VPC,其中VPC_A部署有安全管控服务,3个VPC之间互不相通。出于业务发展和网络环境安全性考虑,企业希望VPC_B和VPC_C之间可以相互通信,且VPC_B和VPC_C之间的访问流量,需先经过VPC_A中的安全管控服务过滤后,再进行通信。

企业可以将要互相通信的VPC_B和VPC_C连接至企业版转发路由器中,通过在企业版转发路由器中自定义路由策略,实现VPC_B和VPC_C之间安全互访的需求。

流量安全互访架构图

前提条件

  • 您已经在中国(香港)地域创建了3个VPC,且3个VPC中均部署有云服务器ECS实例。具体操作,请参见搭建IPv4专有网络
    • VPC_A、VPC_B和VPC_C需在企业版转发路由器支持的可用区中拥有至少一个交换机实例,且每个交换机实例拥有至少一个空闲的IP地址。
      例如,您在中国(香港)地域创建了1个VPC,则该VPC需在可用区B或者可用区C中拥有至少一个交换机实例,且每个交换机实例拥有至少一个空闲的IP地址。
      说明 企业版转发路由器会在可用区的交换机实例上创建弹性网卡ENI(Elastic Network Interface),作为VPC向企业版转发路由器实例发送流量的入口,每个ENI会占用一个IP地址。
    • VPC_A需拥有至少2个交换机实例,1个交换机实例用于连接企业版转发路由器,另外1个交换机实例部署安全管控服务,用于过滤访问流量。

      本示例中,VPC_A中拥有3个交换机实例,交换机1和交换机2用于连接企业版转发路由器,交换机3用于部署安全管控服务。

    本示例3个VPC网络规划如下表所示,在您规划网络时请确保要互通的网段没有重叠。
    VPC 交换机 交换机可用区 网段规划 ECS地址
    VPC_A

    主网段:10.1.0.0/16

    交换机1 可用区B 10.1.0.0/24 10.1.2.13
    交换机2 可用区C 10.1.1.0/24
    交换机3 可用区B 10.1.2.0/24
    VPC_B

    主网段:10.2.0.0/16

    交换机1 可用区B 10.2.0.0/24 10.2.2.48
    交换机2 可用区C 10.2.1.0/24
    交换机3 可用区C 10.2.2.0/24
    VPC_C

    主网段:10.3.0.0/16

    交换机1 可用区B 10.3.0.0/24 10.3.2.27
    交换机2 可用区C 10.3.1.0/24
    交换机3 可用区C 10.3.2.0/24
  • 您已经了解VPC_A、VPC_B、VPC_C中的ECS实例所应用的安全组规则,并确保安全组规则允许3个VPC中的ECS实例之间可以相互通信。具体操作,请参见查询安全组规则添加安全组规则

配置流程

流量安全互访配置流程

步骤一:创建云企业网实例

云企业网实例是创建和管理一体化网络的基础资源,在企业版转发路由器连接网络实例前,需要先创建一个云企业网实例。

  1. 登录云企业网管理控制台
  2. 云企业网实例页面,单击创建云企业网实例
  3. 创建云企业网实例对话框,根据以下信息进行配置,然后单击确认
    • 名称:云企业网实例的名称。

      名称在2~128个字符之间,以大小写字母或中文开头,可包含数字、短划线(-)或下划线(_)。

    • 描述:云企业网实例的描述信息。

      描述信息可以为空或填写2~256个中英文字符,不能以http://https://开始。

步骤二:连接VPC实例

将要互通的网络实例,连接至企业版转发路由器。
  1. 登录云企业网管理控制台
  2. 云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
  3. 基本信息页签的VPC区域,单击添加图标。
    添加第一个连接
  4. 连接网络实例页面,根据以下信息进行配置,然后单击确定创建。
    下表罗列了各个配置项的说明以及VPC_A、VPC_B、VPC_C对应的参数值,请依据下表中的数据,分别将VPC_A、VPC_B、VPC_C连接至企业版转发路由器。
    配置项 配置项说明 VPC_A VPC_B VPC_C
    实例类型 选择待连接的网络实例类型。 专有网络(VPC) 专有网络(VPC) 专有网络(VPC)
    地域 选择待连接的网络实例所在的地域。 中国(香港) 中国(香港) 中国(香港)
    转发路由器 系统自动在该地域下创建转发路由器实例。
    资源归属UID 选择待连接的网络实例所属的账号类型。 同账号 同账号 同账号
    付费方式 默认值按量付费
    连接名称 输入网络实例连接的名称。 VPC_A连接 VPC_B连接 VPC_C连接
    网络实例 选择待连接的网络实例。 选择VPC_A 选择VPC_B 选择VPC_C
    交换机 在转发路由器支持的可用区选择一个交换机实例。

    如果您在转发路由器支持的多个可用区均拥有交换机实例,您可以同时选择多个可用区并在每个可用区下选择一个交换机实例。

    • 香港 可用区B:选择交换机1
    • 香港 可用区C:选择交换机2
    • 香港 可用区B:选择交换机1
    • 香港 可用区C:选择交换机2
    • 香港 可用区B:选择交换机1
    • 香港 可用区C:选择交换机2
    高级配置 VPC_A、VPC_B、VPC_C均不启用以下三项高级配置。
    • 自动关联至转发路由器的默认路由表
    • 自动传播系统路由至转发路由器的默认路由表
    • 自动为VPC的所有路由表配置指向转发路由器的路由
    说明 开启高级配置后,VPC_A、VPC_B和VPC_C将会自动学习到对方的路由,实现相互通信,但无法达到流量安全互访的目的。因此,本示例不启用VPC的高级配置,后续步骤通过手动创建路由表、添加路由条目等方式,自定义网络实例的连通性,以实现流量的安全互访。

步骤三:为VPC实例添加路由条目

在VPC_A、VPC_B和VPC_C中添加路由条目,引导VPC的流量进入企业版转发路由器,在企业版转发路由器中引导和管理流量实现流量的安全互访。

  1. 登录专有网络管理控制台
  2. 在顶部菜单栏,选择路由表所属的地域。
  3. 为VPC_B和VPC_C添加自定义路由条目。
    分别在VPC_B和VPC_C的系统路由表中添加目标网段为0.0.0.0/0,下一跳为转发路由器的路由条目,使VPC_B和VPC_C的访问流量均被转发至企业版转发路由器。
    1. 在左侧导航栏,单击路由表
    2. 路由表页面,找到目标路由表,单击路由表实例ID。
      本示例找到VPC_B的系统路由表。
    3. 路由条目列表页签下单击自定义路由条目页签,然后单击添加路由条目
    4. 添加路由条目面板,配置以下信息,然后单击确定
      • 名称:输入自定义路由条目的名称。
      • 目标网段:本示例输入0.0.0.0/0
      • 下一跳类型:本示例选择转发路由器
      • 转发路由器:本示例选择VPC_B关联的转发路由器实例。
    5. 请重复上述步骤,在VPC_C的系统路由表中添加相同的路由条目,配置信息如下。
      • 目标网段:本示例输入0.0.0.0/0
      • 下一跳类型:本示例选择转发路由器
      • 转发路由器:本示例选择VPC_C关联的转发路由器实例。
  4. 为VPC_A创建三张自定义路由表,分别命名为routetable1、routetable2和routetable3。具体操作,请参见创建自定义路由表
  5. 绑定交换机和自定义路由表。具体操作,请参见绑定交换机和路由表
    在本示例中,将VPC_A中的交换机1绑定路由表routetable1、交换机2绑定路由表routetable2、交换机3绑定路由表routetable3。
  6. 在VPC_A的自定义路由表中添加路由条目。
    1. 路由表页面,选择已创建的一张路由表,单击路由表实例ID。
      本示例选择与交换机1绑定的自定义路由表routetable1。
    2. 路由条目列表页签下单击自定义路由条目页签,然后单击添加路由条目
    3. 添加路由条目面板,配置以下信息,然后单击确定
      • 名称:输入自定义路由条目的名称。
      • 目标网段:本示例输入0.0.0.0/0
      • 下一跳类型:本示例选择ECS实例
      • 资源组:本示例选择全部
      • ECS实例:本示例选择VPC_A中交换机3下的安全管控ECS实例。
    4. 请重复上述步骤和配置,在交换机2的自定义路由表routetable2中添加相同的路由条目。
    5. 请重复上述步骤,在交换机3的自定义路由表routetable3中添加路由条目,其中交换机3的路由条目信息如下:
      • 目标网段:本示例输入0.0.0.0/0
      • 下一跳类型:本示例选择转发路由器
      • 转发路由器:本示例选择VPC_A关联的转发路由器实例。
    创建完成后,各个VPC中新添加的路由条目的信息如下表所示:
    网络实例 路由表名称 路由表关联的交换机 路由条目 下一跳
    VPC_A routetable1 交换机1 0.0.0.0/0 交换机3中的ECS实例
    routetable2 交换机2 0.0.0.0/0 交换机3中的ECS实例
    routetable3 交换机3 0.0.0.0/0 VPC_A关联的转发路由器实例
    VPC_B 系统路由表
    • 交换机1
    • 交换机2
    • 交换机3
    0.0.0.0/0 VPC_B关联的转发路由器实例
    VPC_C 系统路由表
    • 交换机1
    • 交换机2
    • 交换机3
    0.0.0.0/0 VPC_C关联的转发路由器实例

步骤四:在转发路由器中配置路由

VPC的流量进入企业版转发路由器后,在企业版转发路由器通过创建路由表、添加路由条目等方式自定义连通性,引导VPC_B和VPC_C的流量进入VPC_A,并将经过VPC_A过滤后的流量引导至目的地。

  1. 登录云企业网管理控制台
  2. 云企业网实例页面,单击目标实例ID。
  3. 基本信息 > 转发路由器页签,找到已创建的企业版转发路由器实例,单击实例ID。
  4. 转发路由器路由表页签下,为企业版转发路由器创建两张自定义路由表,分别命令为TR_routetable1和TR_routetable2。具体操作,请参见自定义路由表
  5. 将VPC_B连接和VPC_C连接关联至企业版转发路由器的自定义路由表并为其配置路由条目。
    1. 转发路由器路由表页签下,选择自定义路由表TR_routetable1,单击关联转发页签,然后单击创建关联转发
    2. 添加关联转发对话框,选择要关联至该自定义路由表的网络实例连接,然后单击确定
      本示例中,请将VPC_B连接和VPC_C连接关联至该自定义路由表。
    3. 保持在该路由表详情页面,单击路由条目页签,然后单击创建路由条目
    4. 添加路由条目对话框,根据以下信息进行配置,然后单击确定
      • 目的地址CIDR:本示例输入0.0.0.0/0
      • 是否为黑洞路由:如果选择路由为黑洞路由后,所有去往该路由的流量均会被丢弃。本示例选择
      • 下一跳连接:本示例选择VPC_A连接。

      更多信息,请参见转发路由器自定义路由条目

    完成上述操作后,VPC_B和VPC_C的所有访问流量将被转发到VPC_A。
  6. 为VPC_A关联自定义路由表并配置路由条目。
    1. 转发路由器路由表页签下,选择自定义路由表TR_routetable2,单击关联转发页签,然后单击创建关联转发
    2. 添加关联转发对话框,选择要关联至该自定义路由表的网络实例连接,然后单击确定
      本示例中,请将VPC_A连接关联至该自定义路由表。
    3. 保持在该路由表详情页面,单击路由学习页签,然后单击创建路由学习
    4. 添加路由学习对话框,选择该路由表要学习其路由的网络实例连接,然后单击确定

      本示例中,请将VPC_B连接和VPC_C连接关联至该路由表。关联后,该路由表将能学习到VPC_B和VPC_C的路由。VPC_A通过查询该路由表和VPC_B及VPC_C互通。

    创建完成后,企业版转发路由器的路由条目信息如下表所示:
    路由表名称 目标网段 下一跳
    TR_routetable1 0.0.0.0/0 VPC_A连接
    TR_routetable2 10.2.0.0/24 VPC_B连接
    10.2.1.0/24 VPC_B连接
    10.2.2.0/24 VPC_B连接
    10.3.0.0/24 VPC_C连接
    10.3.1.0/24 VPC_C连接
    10.3.2.0/24 VPC_C连接

步骤五:测试连通性

完成上述操作后,VPC_A、VPC_B和VPC_C之间已可以按照期望的路径进行安全互访,以下内容为您介绍如何测试VPC实例之间的连通性。

  1. 登录VPC_A的ECS实例,执行以下命令启用允许转发。关于如何登录ECS实例,请参见连接方式概述
    说明 在不设置允许转发的情况下,VPC_B和VPC_A之间、VPC_C和VPC_A之间可以互相访问,但VPC_B和VPC_C之间无法互访。
    echo 1 > /proc/sys/net/ipv4/ip_forward   #启用允许转发。当前命令临时生效,重启后会丢失。
  2. 登录VPC_B的ECS实例,执行ping命令,测试VPC_B与VPC_A、VPC_C之间的连通性。
    收到回复报文,则表示VPC_B与VPC_A、VPC_C之间可以正常通信。
    ping <网络实例下ECS实例的IP地址>
  3. 登录VPC_C的ECS实例,执行ping命令,测试VPC_C与VPC_A、VPC_B之间的连通性。
    收到回复报文,则表示VPC_C与VPC_A、VPC_B之间可以正常通信。
    ping <网络实例下ECS实例的IP地址>