AI 助理
备案控制台
文档
产品文档
输入文档关键字查找
首页 云防火墙 实践教程 防火墙接入最佳实践 防护云企业网TR连接的VPC之间的部分流量

防护云企业网TR连接的VPC之间的部分流量

更新时间:
一键部署
产品详情
相关技术圈
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

当您使用了转发路由器TR(Transit Router),可以手动配置转发路由器与VPC边界防火墙之间的互访路由,实现VPC边界防火墙对转发路由器连接的VPC、VBR之间的部分流量进行防护。本文介绍了如何连通转发路由器与VPC边界防火墙之间的网络。

适用对象

云防火墙可以防护通过云企业网转发路由器连接的网络实例之间的流量,网络实例包括VPC、VBR、CCN、VPN。

本文仅针对VPC边界防火墙手动引流模式的配置,适用于对多个VPC(相同地域)之间互访流量的防护。

场景示意图

导流图

前提条件

已在云企业网控制台创建了云企业网实例,且创建了3个专有网络VPC(本文分别以VPC1、VPC2、DMZ VPC为例)和2个VBR(本文分别以IDC-1、IDC-2为例)。具体操作,请参见创建云企业网实例

示例中VPC1、IDC-1、IDC-2和其他VPC之间互访的流量受云防火墙保护。VPC2和DMZ VPC互访的流量,不受云防火墙保护。任意VPC、IDC访问0.0.0.0/0默认路由的流量,不受云防火墙保护。

步骤一:为VPC边界防火墙创建VPC实例

VPC边界防火墙需要占用一个VPC,所以您需要专门创建一个VPC实例。

  1. 登录专有网络管理控制台

  2. 在顶部菜单栏,选择要创建自定义专有网络的地域,单击创建专有网络

  3. 创建专有网络对话框,根据以下信息配置专有网络,然后单击确认

    配置项

    如何设置

    地域

    选择需要开启VPC防火墙的地域。

    名称

    VPC实例名称,本文示例中为FW VPC。

    IPv4网段

    VPC的主IPv4网段,需要至少26位的私网地址,并且不与业务使用的网段冲突。

    交换机

    网络连接实例可绑定的交换机,需要至少28位的私网地址。

    其中,2个交换机提供给TR网络实例连接使用,需选择两个支持TR服务且不同的可用区进行创建,建议选择业务所在的可用区以降低延迟;另1个交换机提供给VPC边界防火墙使用,可用区任选。

    本文示例中,TR网络实例连接主交换机命名为TR-Vswitch-01备交换机命名为TR-VSwitch-02,VPC防火墙交换机命名为Cfw-Vswitch

  4. 专有网络页面,定位到防火墙VPC实例FW VPC,并单击实例ID。

  5. 在该专有网络页面资源管理页签,单击路由表添加选项或在路由表页面单击创建路由表

  6. 创建路由表对话框,根据以下信息配置路由表,然后单击确认

    配置项

    如何设置

    专有网络

    选择上述步骤创建的防火墙VPC。本文示例选择FW VPC。

    绑定对象类型

    选择路由表绑定的对象类型为交换机

    名称

    自定义路由表的名称。本文示例的自定义路由表名称配置实例值为VPC-CFW-RouteTable

步骤二:在转发路由器中添加防火墙VPC的网络实例连接

本步骤建立VPC实例(FW VPC)与转发路由器企业版之间的连接。

  1. 登录云企业网管理控制台

  2. 云企业网实例页面,定位到需要引流到云防火墙VPC边界防火墙的云企业网实例,并单击实例ID。

  3. 在该云企业网实例页面基本信息页签,单击操作列的创建网络实例连接或单击页面上方VPC基础信息右侧的添加图标图标。

  4. 连接网络实例页面,设置FW VPC和转发路由器之间的连接信息。

    以下是创建网络连接实例时,关键的配置项说明。

    配置项

    如何设置

    实例类型

    通过云企业网连接的网络实例的类型。此处选择专有网络(VPC)。

    地域

    通过云企业网连接的网络实例的地址。此处需要与创建FW VPC时指定的地域保持一致。

    网络实例

    通过云企业网连接的网络实例。此处选择FW VPC的实例ID。

    交换机

    网络连接实例可绑定的交换机。主交换机选择TR-Vswitch-01备交换机TR-VSwitch-02

    其他配置项的说明,请参见使用企业版转发路由器创建VPC连接

步骤三:为VPC、VBR创建云企业网网络实例连接

您需要为VPC1、VPC2、DMZ VPC及IDC-1、IDC-2分别创建网络实例连接,并将创建的VPC和VBR加载到该云企业网中。

具体操作,请参见使用企业版转发路由器创建VPC连接

步骤四:创建VPC边界防火墙

本步骤为FW VPC创建VPC边界防火墙。

在云防火墙控制台防火墙开关 > VPC边界防火墙 > 云企业网(企业版)页签,找到需要开启防火墙的转发路由实例,单击操作创建。创建该VPC边界防火墙时,引流模式选择手动引流专有网络选择FW VPC、交换机选择Cfw-Vswitch。相关内容,请参见配置企业版转发路由器的VPC边界防火墙

说明

完成此步骤后,云防火墙会在Cfw-Vswitch下创建1个弹性网卡用于引流(可在ECS控制台的网络与安全 > 弹性网卡页面查看,系统默认分配名称为cfw-bonding-eni的网卡)。

步骤五:为防火墙VPC配置VPC路由

本步骤配置VPC路由,将TR转发到防火墙VPC的流量引流到VPC边界防火墙上,并将VPC边界防火墙处理完的流量再转发到TR。

  1. 登录专有网络管理控制台

  2. 路由表页面,选择防火墙VPC实例的系统路由表。

  3. 路由条目列表,选择自定义路由条目页签。

  4. 单击添加路由条目,配置以下路由条目信息,同时删除其他自定义路由条目(若有)。

    关键配置项说明:

    • 目标网段:选择0.0.0.0/0

    • 下一跳类型:选择辅助弹性网卡

    • 辅助弹性网卡:选择步骤三创建的Cfw-bonding-eni

    本步骤完成后,TR转发到防火墙VPC的流量会被引流到VPC边界防火墙上。

  5. 路由表页面,打开此前创建的自定义路由表VPC-CFW-RouteTable,在已绑定交换机页签,单击绑定交换机。其中交换机选择Cfw-Vswitch。然后单击确定

  6. 路由条目列表页签,选择自定义路由条目页签。单击添加路由条目,配置以下路由条目信息,同时删除其他自定义路由条目(若有)。

    关键配置项说明:

    • 目标网段:选择0.0.0.0/0

    • 下一跳类型:选择转发路由器

    • 转发路由器:选择VPC防火墙的网络实例连接。

    本操作完成后,VPC边界防火墙处理完的流量会被再转发到TR。

步骤六:配置转发路由器的路由

本步骤为VPC-01、VPC-02和防火墙VPC配置转发路由器的路由,实现VPC-01和VPC-02互访流量过VPC边界防火墙。

  1. 登录云企业网管理控制台

  2. 云企业网控制台,定位到需要开启VPC边界防火墙的转发路由器,单击实例ID,然后切换到转发路由器路由表页签。

  3. 创建路由表Cfw-Untrust-RouteTableCfw-Trust-RouteTable

    1. 转发路由器路由表页签,单击创建路由表

    2. 创建路由表对话框,配置路由表Cfw-Untrust-RouteTableCfw-Trust-RouteTable

      转发路由器:选择需要开启VPC边界防火墙的转发路由器。

      说明

      • 路由表Cfw-Untrust-RouteTable:用于转发VPC1、IDC-1、IDC-2的流量到FW VPC。

      • 路由表Cfw-Trust-RouteTable:用于转发FW VPC流量到VPC1、VPC2、DMZ VPC、IDC-1、IDC-2。

  4. 配置路由表Cfw-Trust-RouteTable

    为路由表Cfw-Trust-RouteTable自动同步VPC1、VPC2、DMZ VPC、IDC-1、IDC-2的路由,并将FW VPC的流量关联转发到Cfw-Trust-RouteTable

    1. 单击已创建的Cfw-Trust-RouteTable路由表,在右侧区域,单击路由学习

    2. 路由学习页签,单击创建路由学习

    3. 添加路由学习对话框,关联连接分别选择VPC1VPC2DMZ VPCIDC-1IDC-2。然后单击确定

      路由学习创建完成后,您可以在路由条目页签中看到自动学习的路由信息。

    4. 转发路由器路由表页签,单击左侧路由表列表中的系统路由表,然后在路由表详情页签,单击关联转发

    5. 关联转发页签,单击已创建的Cfw-Trust-RouteTable路由表,在关联转发页签,单击创建关联转发

    6. 添加关联转发页面,在关联转发下拉框,选择FW VPC。然后单击确定

  5. 配置路由表Cfw-Untrust-RouteTable

    将云企业网自定义路由表Cfw-Untrust-RouteTable的流量会默认指向VPC实例。

    1. 单击已创建的Cfw-Untrust-RouteTable路由表,在右侧区域,单击路由条目

    2. 路由条目页签,单击创建路由条目

    3. 添加路由条目对话框,配置路由条目的信息。

      配置项说明:

      • 目的地址CIDR:选择默认地址段10.0.0.0/8

      • 是否为黑洞路由:选择默认选项

      • 下一跳连接:选择防火墙VPC实例(FW VPC)。

    4. 重复上述步骤,新增如下网段路由。

      • 新增172.16.0.0/12网段路由,下一跳到防火墙VPC实例(FW VPC)。

      • 新增192.168.0.0/16的网段路由,下一跳到防火墙VPC实例(FW VPC)。

      • 新增61.20.0.0/16的网段路由,下一跳到防火墙VPC实例(FW VPC)。

      • 新增0.0.0.0/0的网段路由,下一跳到DMZ VPC。

  6. 配置系统路由表实现访问VPC1、IDC-1和IDC-2的流量经过云防火墙。

    警告

    本操作期间会产生流量中断,请在业务低峰期或者变更窗口期进行操作。

    1. 转发路由器路由表页签,单击左侧路由表列表中的系统路由表,然后在右侧区域,单击路由学习

    2. 路由学习页签,删除VPC1、IDC-1、FW VPC、IDC-2的路由学习。

      该操作后,您的系统路由表只保留VPC2和DMZ VPC的路由学习。配置完成后,您可以在路由条目页签中看到自动学习的路由信息。

    3. 路由条目页签,单击创建路由条目

    4. 添加路由条目对话框,新增如下网段路由。

      • 新增10.0.0.0/24(VPC1)网段路由,下一跳到防火墙VPC实例(FW VPC)。

      • 新增172.16.0.0/12(IDC-1)的网段路由,下一跳到防火墙VPC实例(FW VPC)。

      • 新增61.20.0.0/16(IDC-2)的网段路由,下一跳到防火墙VPC实例(FW VPC)。

  7. 切换关联转发实现VPC1、IDC-1和IDC-2访问其他VPC的流量经过云防火墙。

    将VPC1、IDC-1、IDC-2的流量关联转发到Cfw-Untrust-RouteTable

    警告

    本操作期间会产生流量中断,请在业务低峰期或者变更窗口期进行操作。

    1. 在系统路由表的关联转发页签,删除下一跳为VPC1IDC-1IDC-2的关联转发。

    2. Cfw-Untrust-RouteTable路由表的关联转发页签,单击创建关联转发

    3. 添加关联转发对话框,在关联转发下拉框,选择VPC1IDC-1IDC-2。然后单击确定

    4. 关联转发页签,单击创建关联转发

    5. 添加关联转发对话框,在关联转发下拉框,选择VPC1IDC-1IDC-2。然后单击确定

本步骤完成后,云企业网路由配置完成,流量牵引到VPC边界防火墙的VPC实例上。

步骤七:验证转发配置是否成功

您可以在流量日志功能查看是否有来自该云企业网的流量日志。如果有相关流量日志,代表转发配置成功。例如:

  • VPC1与VPC2之间能够访问正常,且有流量日志。

  • VPC2与DMZ VPC之间能够访问正常,但是无流量日志。

具体步骤,请参见日志审计

上一篇:防护云企业网TR连接的VPC之间的所有流量下一篇:防护云企业网TR跨地域场景的VPC之间的流量
文档推荐