当您使用了转发路由器TR(Transit Router),可以手动配置转发路由器与VPC边界防火墙之间的互访路由,实现VPC边界防火墙对转发路由器连接的VPC、VBR之间的部分流量进行防护。本文介绍了如何连通转发路由器与VPC边界防火墙之间的网络。
前提条件
已在云企业网控制台创建了云企业网实例,且创建了3个专有网络VPC(本文分别以VPC1、VPC2、DMZ VPC为例)和2个VBR(本文分别以IDC-1、IDC-2为例)。具体操作,请参见创建云企业网实例。
已在专有网络控制台手动创建了VPC边界防火墙的VPC实例(本文以FW VPC为例),且为该VPC实例创建了3个交换机(其中2个交换机提供给TR网络实例连接使用,可用区与TR网络实例连接的主备可用区保持一致。本文示例中命名分别为TR-Vswitch-01和TR-VSwitch-02,1个交换机提供给创建VPC边界防火墙的时候使用,本文示例中命名为Cfw-Vswitch)。
已在专有网络控制台为FW VPC创建自定义路由表(本文中以VPC-CFW-RouteTable为例)。
示例中VPC1、IDC-1、IDC-2和其他VPC之间互访的流量受云防火墙保护。VPC2和DMZ VPC互访的流量,不受云防火墙保护。任意VPC、IDC访问0.0.0.0/0默认路由的流量,不受云防火墙保护。
示意图如下:
适用对象
云防火墙可以防护通过转发路由器连接的网络实例之间的流量,网络实例包括VPC、VBR、CCN。
本文仅针对VPC边界防火墙手动引流模式的配置,适用于对多个VPC(相同地域)之间互访流量的防护。
步骤一:在转发路由器中添加防火墙VPC的网络实例连接
本步骤建立VPC实例(FW VPC)与转发路由器企业版之间的连接。
- 登录云企业网管理控制台。
在云企业网实例页面,定位到需要引流到云防火墙VPC边界防火墙的云企业网实例,并单击实例ID。
在该云企业网实例页面基本信息页签中,单击操作列的创建网络实例连接或单击页面上方VPC基础信息右侧的
图标。在连接网络实例页面,设置FW VPC和转发路由器之间的连接信息。
以下是创建网络连接实例时,关键的配置项说明。
配置项
如何设置
实例类型
通过云企业网连接的网络实例的类型。此处选择专有网络(VPC)。
地域
通过云企业网连接的网络实例的地址。此处需要与创建FW VPC时指定的地域保持一致。
网络实例
通过云企业网连接的网络实例。此处选择FW VPC的实例ID。
交换机
网络连接实例可绑定的交换机。设置主交换机为TR-Vswitch-01,备交换机为TR-VSwitch-02。
其他配置项的说明,请参见使用企业版转发路由器创建VPC连接。
步骤二:为VPC、VBR创建云企业网网络实例连接
您需要为VPC1、VPC2、DMZ VPC及IDC-1、IDC-2分别创建网络实例连接,并将创建的VPC和VBR加载到该云企业网中。
具体操作,请参见使用企业版转发路由器创建VPC连接。
步骤三:创建VPC边界防火墙
本步骤为FW VPC创建VPC边界防火墙。
在云防火墙控制台防火墙开关页面的VPC边界防火墙页签,单击云企业网定位到网络实例FW VPC,单击操作列创建。创建该VPC边界防火墙时,设置路由模式为手动、专有网络为FW VPC、交换机为Cfw-Vswitch。
具体操作,请参见配置企业版转发路由器的VPC边界防火墙。
完成此步骤后,您会拥有1个弹性网卡(在ECS控制台的页面,系统默认分配名称为cfw-bonding-eni的网卡)。
步骤四:为VPC1、VPC2、DMZ VPC创建路由
本步骤为云企业网和VPC实例之间的流量创建路由。
- 登录云企业网管理控制台。
在云企业网实例页面,定位到需要引流到云防火墙VPC边界防火墙的云企业网实例,并单击实例ID。
在该云企业网实例页面的转发路由器列表,单击路由表列下的数字。
创建路由表Cfw-Untrust-RouteTable和Cfw-Trust-RouteTable。
在转发路由器路由表页签,单击创建路由表。
在创建路由表对话框,配置路由表Cfw-Untrust-RouteTable和Cfw-Trust-RouteTable。
转发路由器:选择默认的路由器。
说明路由表Cfw-Untrust-RouteTable:用于转发VPC1、IDC-1、IDC-2的流量到FW VPC。
路由表Cfw-Trust-RouteTable:用于转发FW VPC流量到VPC1、VPC2、DMZ VPC、IDC-1、IDC-2。
配置路由表Cfw-Trust-RouteTable。
为路由表Cfw-Trust-RouteTable自动同步VPC1、VPC2、DMZ VPC、IDC-1、IDC-2的路由,并将FW VPC的流量关联转发到Cfw-Trust-RouteTable。
单击已创建的Cfw-Trust-RouteTable路由表,在右侧区域,单击路由学习。
在路由学习页签,单击创建路由学习。
在添加路由学习对话框,关联连接分别选择VPC1、VPC2、DMZ VPC、IDC-1、IDC-2。然后单击确定。
路由学习创建完成后,您可以在路由条目页签中看到自动学习的路由信息。
在转发路由器路由表页签,单击左侧路由表列表中的系统路由表,然后在路由表详情页签,单击关联转发。
在关联转发页签,单击已创建的Cfw-Trust-RouteTable路由表,在关联转发页签,单击创建关联转发。
在添加关联转发页面,在关联转发下拉框,选择FW VPC。然后单击确定。
配置路由表Cfw-Untrust-RouteTable。
将云企业网自定义路由表Cfw-Untrust-RouteTable的流量会默认指向VPC实例。
单击已创建的Cfw-Untrust-RouteTable路由表,在右侧区域,单击路由条目。
在路由条目页签,单击创建路由条目。
在添加路由条目对话框,配置路由条目的信息。
配置项说明:
目的地址CIDR:选择默认地址段10.0.0.0/8。
是否为黑洞路由:选择默认选项否。
下一跳连接:选择防火墙VPC实例(FW VPC)。
重复上述步骤,新增如下网段路由。
新增172.16.0.0/12网段路由,下一跳到防火墙VPC实例(FW VPC)。
新增192.168.0.0/16的网段路由,下一跳到防火墙VPC实例(FW VPC)。
新增61.20.0.0/16的网段路由,下一跳到防火墙VPC实例(FW VPC)。
新增0.0.0.0/0的网段路由,下一跳到DMZ VPC。
配置系统路由表。
在转发路由器路由表页签,单击左侧路由表列表中的系统路由表,然后在右侧区域,单击路由学习。
在路由学习页签,删除VPC1、IDC-1、FW VPC、IDC-2的路由学习。
该操作后,您的系统路由表只保留VPC2和DMZ VPC的路由学习。配置完成后,您可以在路由条目页签中看到自动学习的路由信息。
在路由条目页签,单击创建路由条目。
在添加路由条目对话框,新增如下网段路由。
新增10.0.0.0/24(VPC1)网段路由,下一跳到防火墙VPC实例(FW VPC)。
新增172.16.0.0/12(IDC-1)的网段路由,下一跳到防火墙VPC实例(FW VPC)。
新增61.20.0.0/16(IDC-2)的网段路由,下一跳到防火墙VPC实例(FW VPC)。
在关联转发页签,删除下一跳为VPC1、IDC-1、IDC-2的关联转发。
配置Cfw-Untrust-RouteTable路由表。
将VPC1、IDC-1、IDC-2的流量关联转发到Cfw-Untrust-RouteTable。
单击已创建的Cfw-Untrust-RouteTable路由表,在右侧区域,单击关联转发。
在关联转发页签,单击创建关联转发。
在添加关联转发对话框,在关联转发下拉框,选择VPC1、IDC-1、IDC-2。然后单击确定。
本步骤完成后,云企业网路由配置完成,流量牵引到VPC边界防火墙的VPC实例上。
步骤五:添加VPC路由表到VPC边界防火墙
本步骤将防火墙VPC实例的路由引流到VPC边界防火墙上。
登录专有网络管理控制台。在左侧导航栏,单击路由表。
在路由表页面,打开路由表VPC-CFW-RouteTable,在已绑定交换机页签,单击绑定交换机。其中交换机选择Cfw-Vswitch。然后单击确定。
在路由条目列表的自定义路由条目页签,单击添加路由条目,配置路由条目信息。
关键配置项说明:
目标网段:选择
0.0.0.0/0。下一跳类型:选择
转发路由器。转发路由器:选择默认项,即VPC防火墙的网络实例连接。
本操作完成后,VPC边界防火墙出方向的流量会通过子网路由表转发到转发路由器。
在路由表列表页面,选择防火墙VPC实例(FW VPC)的系统路由表。
在路由条目列表,单击自定义路由条目页签。
单击添加路由条目,配置路由条目信息。
关键配置项说明:
目标网段:选择0.0.0.0/0。
下一跳类型:选择辅助弹性网卡。
辅助弹性网卡:选择Cfw-bonding-eni。
在自定义路由条目页签,单击其他自定义路由条目操作列删除,删除其他自定义路由条目。
本步骤完成后,来自防火墙VPC实例的流量会牵引到云防火墙实例上。
步骤六:验证转发配置是否成功
您可以在流量日志功能查看是否有来自该云企业网的流量日志。如果有相关流量日志,代表转发配置成功。例如:
VPC1与VPC2之间能够访问正常,且有流量日志。
VPC2与DMZ VPC之间能够访问正常,但是无流量日志。
具体步骤,请参见流量日志。
- 本页导读 (1)