防护云企业网TR跨地域场景的VPC之间的流量

场景示例

云防火墙可以防护连接到转发路由器的网络实例之间的通信流量，网络实例包括专有网络VPC（Virtual Private Cloud）、边界路由器VBR（Virtual Border Router）、云连接网CCN（Cloud Connect Network）、以及通过虚拟专用网VPN访问的实例。本文以跨地域VPC互通为例，介绍如何防护转发路由器连接的2个VPC实例互访流量，如下图场景所示。

某企业在阿里云华东1（杭州）地域部署2个VPC实例（HZ-VPC-1、HZ-VPC-2），在华北2（北京）地域部署2个VPC实例（BJ-VPC-1、BJ-VPC-2），并且使用云企业网的转发路由器创建跨地域连接，实现华东1（杭州）地域和华北2（北京）地域的VPC互通。同时，该企业分别在华东1（杭州）和华北2（北京）地域各部署1个边界路由器VBR实例（HZ-IDC-1和BJ-IDC-1），实现云上和云下资源互访。

为了保障VPC之间流量互访安全，该企业计划通过云防火墙的VPC边界防火墙来检测和管控2个VPC间的通信流量。

前提条件

• 您已创建一个云企业网实例。具体操作，请参见创建云企业网实例。

• 您已在华东1（杭州）和华北2（北京）地域，创建了业务需使用的专有网络VPC和边界路由器VBR，并建立了VPC、VBR与云企业网网络实例连接，且为华东1（杭州）和华北2（北京）地域创建跨地域网络连接。

  • 华东1（杭州）：专有网络VPC（HZ-VPC-1、HZ-VPC-2）和边界路由器VBR（HZ-IDC-1）。

  • 华北2（北京）：专有网络VPC（BJ-VPC-1、BJ-VPC-2）和边界路由器VBR（BJ-IDC-1）。

• 您已在华东1（杭州）和华北2（北京）地域，分别创建云防火墙VPC实例（Cfw-HZ-VPC、Cfw-BJ-VPC），并在云防火墙VPC实例下均创建了交换机和自定义路由表。具体操作，请参见创建VPC连接、创建和管理专有网络、创建和管理路由表。

  云防火墙VPC实例的配置信息如下表所示：

  地域	云防火墙VPC	交换机&可用区	云防火墙VPC的自定义路由表
  华东1（杭州）	Cfw-HZ-VPC	HZ-TR-vSwitch-1 供TR网络实例连接使用，可用区与TR网络实例连接的主可用区保持一致。本示例中华东1（杭州）的主可用区需选择H。	HZ-VPC-CFW-RouteTable
  		HZ-TR-vSwitch-2 供TR网络实例连接使用，可用区与TR网络实例连接的备可用区保持一致。本示例中华东1（杭州）的备可用区需选择I。
  		HZ-Cfw-vSwitch 供VPC边界防火墙使用。
  华北2（北京）	Cfw-BJ-VPC	BJ-TR-vSwitch-1 供TR网络实例连接使用，可用区与TR网络实例连接的主可用区保持一致。本示例中华北2（北京）的主可用区需选择H。	BJ-VPC-CFW-RouteTable
  		BJ-TR-vSwitch-2 供TR网络实例连接使用，可用区与TR网络实例连接的备可用区保持一致。本示例中华北2（北京）的备可用区需选择G。
  		BJ-Cfw-vSwitch 供VPC边界防火墙使用。

• 创建云防火墙VPC（Cfw-HZ-VPC、Cfw-BJ-VPC）后，您需要等待云防火墙VPC的信息同步到云防火墙（约需要30分钟左右）。

配置流程

步骤一：建立云防火墙VPC实例与云企业网TR的连接

分别将华东1（杭州）云防火墙VPC实例、华北2（北京）云防火墙VPC实例加入TR。

1. 登录云企业网管理控制台。

2. 在云企业网实例页面，单击需要被云防火墙防护的云企业网实例。

3. 在该云企业网实例基本信息的转发路由器页签，单击操作列的创建网络实例连接。

4. 在连接网络实例页面，设置华东1（杭州）云防火墙VPC实例、华北2（北京）云防火墙VPC实例和转发路由器之间的连接信息。然后单击确定创建。

   以下是创建网络连接实例时，关键的配置项说明：

   配置项	说明	华东1（杭州）VPC防火墙配置示例	华北2（北京）VPC防火墙配置示例
   实例类型	通过转发路由器连接的网络实例的类型。	专有网络（VPC）	专有网络（VPC）
   地域	选择连接到转发路由器的网络实例所属的地域。	华东1（杭州）	华北2（北京）
   网络实例	通过转发路由器连接的网络实例。	Cfw-HZ-VPC的实例ID。	Cfw-BJ-VPC的实例ID。
   交换机	网络连接实例可绑定的交换机。	主交换机：HZ-TR-vSwitch-1 备交换机：HZ-TR-vSwitch-2	主交换机：BJ-TR-vSwitch-1 备交换机：BJ-TR-vSwitch-2

   其他配置项的说明，请参见使用企业版转发路由器创建VPC连接。

步骤二：创建VPC边界防火墙

为华东1（杭州）云防火墙、华北2（北京）云防火墙VPC实例创建VPC边界防火墙。

1. 登录云防火墙控制台。在左侧导航栏，单击防火墙开关

2. 在防火墙开关页面，VPC边界防火墙的云企业网页签，分别定位到华东1（杭州）的防火墙VPC（Cfw-HZ-VPC）和华北2（北京）的防火墙VPC（Cfw-BJ-VPC），然后单击操作列创建。

   以下是创建VPC边界防火墙时，关键的配置项说明：

   配置项	说明	华东1（杭州）VPC防火墙实例配置示例值	华北2（北京）VPC防火墙实例配置示例值
   路由模式	经过云防火墙的流量的转发路由模式。	手动	手动
   专有网络	建立云防火墙所在的专有网络。	Cfw-HZ-VPC	Cfw-BJ-VPC
   交换机	绑定云防火墙网卡所在的交换机。	HZ-Cfw-vSwitch	BJ-Cfw-vSwitch

   其他配置项的说明，请参见为云企业网创建VPC边界防火墙。

   完成此步骤后，华东1（杭州）云防火墙VPC实例和华北2（北京）云防火墙VPC实例分别拥有1个弹性网卡（cfw-bonding-eni）。

   您可以在专有网络管理控制台，对应的云防火墙VPC实例的详情页面，查看分配的弹性网卡实例ID。

步骤三：为杭州地域的云防火墙VPC配置路由表

将华东1（杭州）云防火墙VPC实例的流量引流到VPC边界防火墙。

1. 登录专有网络管理控制台，并切换地域为华东1（杭州）。在左侧导航栏，单击路由表。

2. 在路由表页面，配置华东1（杭州）云防火墙VPC（Cfw-HZ-VPC）的路由表。

   按照如下网络规划配置：

   1. 在路由表页面，单击创建路由表。创建自定义路由表。

   2. 单击该路由表，在路由表详情页的已绑定交换机页签，单击绑定交换机。为自定义路由表和系统路由表绑定交换机。

   3. 在该路由表详情页路由条目列表的自定义路由条目页签，单击添加路由条目。为自定义路由表和系统路由表创建路由条目。

   按照如下表格示例规划网络，具体操作，请参见创建和管理路由表。

   配置目的	路由表	交换机	路由条目
   将VPC边界防火墙出方向的流量，通过自定义路由表转发到转发路由器。	自定义路由表：HZ-VPC-CFW-RouteTable	HZ-Cfw-vSwitch	关键配置项说明： 目标网段：选择0.0.0.0/0。 下一跳类型：选择转发路由器。 转发路由器：选择默认项，即VPC防火墙的网络实例连接。
   将华东1（杭州）云防火墙VPC实例的流量，通过系统路由表引流到VPC边界防火墙。	系统路由表	HZ-TR-vSwitch-1 HZ-TR-vSwitch-2	您需要在待配置的路由表详情页的自定义路由条目页签下创建路由条目。 关键配置项说明： 目标网段：选择0.0.0.0/0。 下一跳类型：选择辅助弹性网卡。 辅助弹性网卡：选择Cfw-bonding-eni。

3. 在华东1（杭州）云防火墙VPC（Cfw-HZ-VPC）系统路由表的自定义路由条目页签，单击其他自定义路由条目操作列删除，删除其他自定义路由条目，只保留上一步配置的0.0.0.0/0默认路由。

步骤四：为北京地域的云防火墙VPC配置路由表

将华北2（北京）云防火墙VPC实例的流量引流到VPC边界防火墙。

1. 登录专有网络管理控制台，并切换地域为华北2（北京）。在左侧导航栏，单击路由表。

2. 在路由表页面，配置华北2（北京）云防火墙VPC（Cfw-BJ-VPC）的路由表。

   1. 在路由表页面，单击创建路由表。创建自定义路由表。

   2. 单击该路由表，在路由表详情页的已绑定交换机页签，单击绑定交换机。为自定义路由表和系统路由表绑定交换机。

   3. 在该路由表详情页路由条目列表的自定义路由条目页签，单击添加路由条目。为自定义路由表和系统路由表创建路由条目。

   按照如下表格示例规划网络，具体操作，请参见创建和管理路由表。

   配置目的	路由表	交换机	路由条目
   将VPC边界防火墙出方向的流量，通过自定义路由表转发到转发路由器。	自定义路由表：BJ-VPC-CFW-RouteTable	BJ-Cfw-vSwitch	关键配置项说明： 目标网段：选择0.0.0.0/0。 下一跳类型：选择转发路由器。 转发路由器：选择默认项，即VPC防火墙的网络实例连接。
   将华北2（北京）云防火墙VPC实例的流量，通过系统路由表引流到VPC边界防火墙。	系统路由表	BJ-TR-vSwitch-1 BJ-TR-vSwitch-2	关键配置项说明： 目标网段：选择0.0.0.0/0。 下一跳类型：选择辅助弹性网卡。 辅助弹性网卡：选择Cfw-bonding-eni。

3. 在华北2（北京）云防火墙VPC（Cfw-BJ-VPC）的系统路由表的自定义路由条目页签，单击其他自定义路由条目操作列删除，删除其他自定义路由条目，只保留上一步配置的0.0.0.0/0默认路由。

步骤五：为杭州地域的转发路由器配置路由表

本步骤为华东1（杭州）地域网络实例（HZ-VPC-1、HZ-VPC-2、HZ-IDC-1）创建转发路由器自定义路由表（Cfw-HZ-TR-RouteTable），并配置关联转发和路由学习，用于转发华东1（杭州）地域网络实例到华东1（杭州）云防火墙VPC实例（Cfw-HZ-VPC）之间的流量。

本步骤以配置HZ-VPC-1为例，您需要根据如下介绍，分别配置HZ-VPC-1、HZ-VPC-2、HZ-IDC-1。

1. 登录云企业网管理控制台。在左侧导航栏，单击云企业网实例。

2. 在云企业网实例页面，为华东1（杭州）地域的网络实例（HZ-VPC-1）创建云企业网转发路由器自定义路由表，并为此自定义路由表创建路由条目。

   1. 单击网络实例，在基本信息页签，单击创建转发路由器。创建云企业网转发路由器实例。

   2. 单击该转发路由器实例，在转发路由器路由表页签，单击创建路由表。为转发路由器实例创建路由表。

   3. 单击该路由表，在路由表详情页的路由条目页签，单击创建路由条目。为自定义路由表创建路由条目。

   按照如下表格示例规划网络，具体操作，请参见自定义路由表、转发路由器自定义路由条目。

   配置的目的	路由表	路由条目
   创建的路由表用于转发华东1（杭州）地域网络实例到杭州云防火墙VPC实例（Cfw-HZ-VPC）之间的流量。	Cfw-HZ-TR-RouteTable 转发路由器：选择默认的路由器。	关键的配置项说明： 目的地址CIDR：选择默认地址段0.0.0.0/0。 是否为黑洞路由：选择默认选项否。 下一跳连接：选择防火墙VPC实例Cfw-HZ-VPC。

3. 为转发路由器自定义路由表（Cfw-HZ-TR-RouteTable）设置关联转发，并为系统路由表配置路由学习。

   1. 将出云防火墙VPC的流量关联转发到系统路由表。

      1. 在转发路由器路由表页签，单击系统路由表。

      2. 在系统路由表详情页面，单击关联转发。

      3. 在关联转发页签，删除下一跳为HZ-VPC-1、HZ-VPC-2、HZ-IDC-1和HZ-BJ的关联转发。

         您需要确认Cfw-HZ-VPC的关联转发是否存在，如果不存在，需要为其添加关联转发。

      具体操作，请参见关联转发。

   2. 将华东1（杭州）地域的网络实例（HZ-VPC-1、HZ-VPC-2、HZ-IDC-1）和跨地域连接的流量关联转发到自定义路由表。

      1. 在转发路由器路由表页签，单击路由列表中的Cfw-HZ-TR-RouteTable路由表。

      2. 在路由表详情页面，单击关联转发，然后单击创建关联转发。

      3. 在添加关联转发对话框，关联转发选择HZ-VPC-1、HZ-VPC-2、HZ-IDC-1和HZ-BJ。

      具体操作，请参见关联转发。

   3. 为系统路由表配置路由学习。

      1. 在转发路由器路由表页签，单击左侧路由器列表中的系统路由表。

      2. 在系统路由表的路由表详情页面，单击路由学习页签。

      3. 在路由学习页签，删除HZ-BJ、Cfw-HZ-VPC。

         您需要确认已存在三条路由学习，关联连接分别为HZ-VPC-1、HZ-VPC-2、HZ-IDC-1。

      具体操作，请参见路由学习。

4. 在转发路由条目页签，单击创建路由条目，为系统路由表添加静态路由。

   配置的目的	路由条目
   配置对端地域的静态路由，实现华东1（杭州）和华北2（北京）的网络实例跨地域互通。	关键配置项说明： 目的地址CIDR：选择华北2（北京）网络实例的地址段192.168.100.0/24（BJ-VPC-1网段）、192.168.200.0/24（BJ-VPC-2网段）、192.168.10.0/24（BJ-IDC-1网段） 是否为黑洞路由：选择默认选项否。 下一跳连接：选择跨地域连接实例HZ-BJ。

   具体操作，请参见转发路由器自定义路由条目。

   说明

   为了防止0.0.0.0/0的默认路由向IDC传播，可以为HZ-IDC-1单独创建一张自定义路由表，并创建关联转发为HZ-IDC-1。根据业务情况配置云上明细路由，下一跳为Cfw-HZ-VPC。

步骤六：为北京地域的转发路由器配置路由表

本步骤为华北2（北京）地域网络实例（BJ-VPC-1、BJ-VPC-2、BJ-IDC-1）创建转发路由器自定义路由表（Cfw-BJ-TR-RouteTable），并配置关联转发和路由学习，用于转发华北2（北京）地域网络实例到华北2（北京）云防火墙VPC实例（Cfw-BJ-VPC）之间的流量。

本步骤以配置BJ-VPC-1为例，您需要根据如下介绍，分别配置BJ-VPC-1、BJ-VPC-2、BJ-IDC-1。

1. 登录云企业网管理控制台。在左侧导航栏，单击云企业网实例。

2. 在云企业网实例页面，按照下表所示，为华北2（北京）地域的网络实例（BJ-VPC-1）创建转发路由器自定义路由表，并为此自定义路由表创建路由条目。

   1. 单击网络实例，在基本信息页签，单击创建转发路由器。创建云企业网转发路由器实例。

   2. 单击该转发路由器实例，在转发路由器路由表页签，单击创建路由表。为转发路由器实例创建路由表。

   3. 单击该路由表，在路由表详情页的路由条目页签，单击创建路由条目。为自定义路由表创建路由条目。

   按照如下表格示例规划网络，具体操作，请参见创建和管理路由表。

   配置的目的	路由表	路由条目
   创建的路由表用于转发华北2（北京）地域网络实例到华北2（北京）云防火墙VPC实例（Cfw-BJ-VPC）之间的流量。	Cfw-BJ-TR-RouteTable 转发路由器：选择默认的路由器。	关键的配置项说明： 目的地址CIDR：选择默认地址段0.0.0.0/0。 是否为黑洞路由：选择默认选项否。 下一跳连接：选择防火墙VPC实例Cfw-BJ-VPC。

3. 为转发路由器自定义路由表（Cfw-BJ-TR-RouteTable）设置关联转发，并为系统路由表配置路由学习。

   1. 将出云防火墙VPC的流量关联转发到系统路由表。

      1. 在转发路由器路由表页签，单击系统路由表。

      2. 在系统路由表详情页面，单击关联转发。

      3. 在关联转发页签，删除下一跳为BJ-VPC-1、BJ-VPC-2、BJ-IDC-1和HZ-BJ的关联转发。

         您需要确认Cfw-BJ-VPC的关联转发是否存在，如果不存在，需要为其添加关联转发。

      具体操作，请参见关联转发。

   2. 将华北2（北京）地域的网络实例（BJ-VPC-1、BJ-VPC-2、BJ-IDC-1）和跨地域连接的流量关联转发到自定义路由表。

      1. 在转发路由器路由表页签，单击路由列表中的Cfw-BJ-TR-RouteTable路由表。

      2. 在路由表详情页面，单击关联转发，然后单击创建关联转发。

      3. 在添加关联转发对话框，关联转发选择BJ-VPC-1、BJ-VPC-2、BJ-IDC-1和HZ-BJ。

      具体操作，请参见关联转发。

   3. 为系统路由表配置路由学习。

      1. 在转发路由器路由表页签，单击左侧路由器列表中的系统路由表。

      2. 在系统路由表的路由表详情页面，单击路由学习页签。

      3. 在路由学习页签，删除HZ-BJ、Cfw-BJ-VPC。

         您需要确认已存在三条路由学习，关联连接分别为BJ-VPC-1、BJ-VPC-2、BJ-IDC-1。

      具体操作，请参见路由学习。

4. 在转发路由条目页签，单击创建路由条目，为系统路由表添加静态路由。

   配置的目的	路由条目
   配置对端地域的静态路由，实现华北2（北京）和华东1（杭州）的网络实例跨地域互通。	关键配置项说明： 目的地址CIDR：选择华东1（杭州）网络实例的地址段172.16.100.0/24（HZ-VPC-1网段）、172.16.200.0/24（HZ-VPC-2网段）、172.16.10.0/24（HZ-IDC-1网段）。 是否为黑洞路由：选择默认选项否。 下一跳连接：选择跨地域连接实例HZ-BJ。

   具体操作，请参见转发路由器自定义路由条目。

   说明

   为了防止0.0.0.0/0的默认路由向IDC传播，可以为BJ-IDC-1单独创建一张自定义路由表，并创建关联转发为BJ-IDC-1，根据业务情况配置云上明细路由，下一跳为Cfw-BJ-VPC。

步骤七：验证转发配置是否成功

当您的业务有跨VPC访问的私网流量，您可以在日志审计的流量日志的VPC边界防火墙，查看云企业网的跨VPC访问的流量日志。如果有相关流量日志，代表转发配置成功。

具体操作，请参见流量日志。