使用了云企业网转发路由器(TR)后,您需要配置云企业网TR与VPC边界防火墙之间的互访路由,实现VPC边界防火墙对该TR连接的两个VPC之间的流量进行防护。本文介绍如何打通云企业网转发路由器与VPC边界防火墙之间的网络。

前提条件

说明 完成了以下前提条件之后,您会拥有:3个VPC实例、3个Vswitch、1个弹性网卡(在ECS控制台网络与安全 > 弹性网卡页面,系统默认分配名称为cfw-bonding-eni的网卡)。
  1. 已在云企业网控制台创建了云企业网实例,且创建了连接云企业网网络实例用于连接两个专有网络VPC(本文中分别以VPC-01VPC-02为例)。

    相关内容,请参见创建云企业网实例

  2. 已在专有网络控制台手动创建了VPC边界防火墙的VPC实例(本文中以Cfw-TR-manual-VPC为例),且为该VPC实例创建了路由表、交换机。
  3. 已在云防火墙控制台的VPC边界防火墙页面,创建了VPC边界防火墙。创建该VPC边界防火墙时,专有网络选择Cfw-TR-manual-VPC(需要创建3个交换机,其中2个交换机提供给TR网络实例连接使用,本文示例中命名分别为TR-Vswitch-01TR-VSwitch-02,1个交换机提供给创建VPC防火墙的时候使用,本文示例中命名为Cfw-Vswitch)。

    相关内容,请参见为云企业网创建VPC边界防火墙

适用对象

云防火墙可以防护通过云企业网转发路由器打通的网络实例之间的流量,网络实例包括VPC、VBR、CCN,并为网络实例提供自动引流模式和手动引流模式。

本文档仅针对VPC边界防火墙手动引流模式的配置,适用于对多个VPC(相同地域)之间互访流量的防护。

自动引流模式下,由云防火墙自动完成由VPC到VPC边界防火墙的引流配置,无需您手动操作。

注意 云防火墙支持防护云企业网TR流量的功能正在公测中。如果您需要使用该功能,请联系云防火墙售后人员开启白名单。未开启白名单的情况下,在云防火墙控制台的VPC边界防火墙页面,为云企业网TR企业版实例创建防火墙的按钮会置灰,并提示您先申请加入白名单。

步骤一:在云企业网TR中添加防火墙VPC的网络实例连接

本步骤建立VPC实例Cfw-TR-manual-VPC与云企业网TR企业版之间的连接。

  1. 登录云企业网管理控制台
  2. 云企业网实例页面,定位到需要引流到云防火墙VPC边界防火墙的云企业网实例,并单击实例ID。云企业网实例ID
  3. 在该云企业网实例页面基本信息页签中,单击操作列的创建网络实例连接或单击页面上方VPC基础信息右侧的添加图标图标。
  4. 连接网络实例页面,设置Cfw-TR-manual-VPC和云企业网TR之间的连接信息。
    以下是创建网络连接实例时,关键的配置项说明。
    配置项 如何设置
    实例类型 通过云企业网连接的网络实例的类型。此处选择专有网络(VPC)。
    地域 通过云企业网连接的网络实例的地址。此处需要与创建Cfw-TR-manual-VPC时指定的地域保持一致。
    网络实例 通过云企业网连接的网络实例。此处选择Cfw-TR-manual-VPC的实例ID。
    交换机 网络连接实例可绑定的交换机。主交换机选择TR-Vswitch-01备交换机TR-VSwitch-02

    其他配置项的说明,请参见使用企业版转发路由器创建VPC连接

步骤二:为两个VPC创建云企业网连接网络实例

您需要为VPC-01VPC-02分别创建连接网络实例,将两个VPC加载到该云企业网中。

相关内容,请参见使用企业版转发路由器创建VPC连接

步骤三:为VPC-01和VPC-02创建路由

本步骤为云企业网和VPC边界防火墙之间的流量创建路由。

  1. 登录云企业网管理控制台
  2. 云企业网实例页面,定位到需要引流到云防火墙VPC边界防火墙的云企业网实例,并单击实例ID。云企业网实例ID
  3. 在该云企业网实例页面的转发路由器列表中,单击路由表列下的数字,打开转发路由器路由表页签。
    路由表列下的路由表数量
  4. 单击转发路由器路由表页签左侧的创建路由表
  5. 创建路由表对话框中,配置路由表的信息。

    转发路由器选择默认的路由器。本文示例中路由表名称设置为Cfw-TR-RouteTable

    新增的路由表Cfw-TR-RouteTable用于转发VPC-01VPC-02到VPC边界防火墙Cfw-TR-manual-VPC之间的流量。

  6. 选定Cfw-TR-RouteTable路由表,单击创建路由条目
  7. 添加路由条目对话框中,配置路由条目的信息。
    配置项说明:
    • 目的地址:选择默认地址段0.0.0.0/0
    • 是否为黑洞路由:选择默认选项
    • 下一跳连接:选择防火墙VPC实例Cfw-TR-manual-VPC
    本操作完成后,来自云企业网自定义路由表Cfw-TR-RouteTable的流量会默认指向VPC防火墙。
  8. 转发路由器路由表页签中,单击左侧路由表列表中的系统路由表,然后在路由表详情页面,单击关联转发
  9. 关联转发页签中,删除下一跳为VPC-01VPC-02的关联转发。
  10. 转发路由器路由表页签中,单击左侧路由表列表中的Cfw-TR-RouteTable路由表。
  11. 路由表详情页面中,单击关联转发,然后单击创建关联转发
  12. 添加关联转发页面,关联转发选择VPC-01VPC-02,单击确定保存该关联转发设置。
    本操作完成后,两个VPC的流量关联转发到Cfw-TR-RouteTable
  13. 转发路由器页面中,单击左侧路由器列表中的系统路由表。
  14. 在系统路由表的路由表详情页签中,单击路由学习页签。
  15. 路由学习页签中,创建两条路由学习,关联连接分别选择VPC-01VPC-02

    本操作会为系统路由表创建路由学习,自动同步VPC-01VPC-02的路由。

    路由学习创建完成后,您可以在路由条目页签中看到自动学习的路由信息。自动学习的路由条目
  16. 在当前的系统路由表的路由表详情页面中,单击关联转发页签。
  17. 关联转发页签中,单击创建关联转发
  18. 添加关联转发对话框中,选择Cfw-TR-manual-VPC

本步骤完成后,云企业网路由配置完成,流量牵引到VPC边界防火墙的VPC实例上。

步骤四:添加VPC路由表到云防火墙实例

本步骤将防火墙VPC实例的路由引流到云防火墙实例上。

  1. 登录专有网络VPC控制台。
  2. 路由表页面,新建一个路由表,专有网络选择Cfw-TR-manual-VPC,名称设置为VPC-CFW-RouteTable
  3. 进入刚创建的路由表VPC-CFW-RouteTable,单击已绑定交换机
  4. 单击绑定交换机,选择交换机为Cfw-Vswitch
  5. 路由表条目列表中,选择自定义页签。
  6. 单击添加自定义路由条目,配置路由条目信息。
    关键配置项说明:
    • 目标网段:选择0.0.0.0/0
    • 下一跳类型:选择转发路由器
    • 转发路由器:选择默认项,即VPC防火墙的网络实例连接。
    本操作完成后会创建子网路由表,VPC边界防火墙出方向的流量会通过子网路由表转发到云企业网转发路由器TR。
  7. 在路由表列表页面,选择防火墙VPC实例Cfw-TR-manual-VPC的系统路由表。
  8. 路由条目列表 ,单击自定义页签
  9. 单击添加自定义路由条目,配置路由条目信息。
    关键配置项说明:
    • 目标网段:选择0.0.0.0/0。
    • 下一跳类型:选择辅助弹性网卡。
    • 辅助弹性网卡:选择Cfw-bonding-eni。
    本步骤完成后,来自防火墙VPC实例的流量会牵引到云防火墙实例上。

步骤五:测试转发配置是否成功

访问流量日志,查看是否有来自该云企业网的流量日志。如果有相关流量日志,代表转发配置成功。