企業版轉發路由器提供靈活的路由管理能力,通過企業版轉發路由器您可以將訪問流量引導至安全管控服務器上進行流量過濾,只允許過濾后的流量相互通信,提高網絡的安全性。本文為您介紹如何通過企業版轉發路由器實現流量安全互訪。
場景示例
在您應用本場景時,需確保安全管控服務所屬的專有網絡VPC(Virtual Private Cloud)實例所在的地域支持企業版轉發路由器,以便實現流量安全互訪。企業版轉發路由器支持的地域和可用區,請參見企業版轉發路由器支持的地域和可用區。
本文以同地域網絡互通為例,為您介紹如何使用企業版轉發路由器實現流量安全互訪。某企業在阿里云中國香港地域已經部署了3個VPC,其中VPC_A部署有安全管控服務,3個VPC之間互不相通。出于業務發展和網絡環境安全性考慮,企業希望VPC_B和VPC_C之間可以相互通信,且VPC_B和VPC_C之間的訪問流量,需先經過VPC_A中的安全管控服務過濾后,再進行通信。
企業可以將要互相通信的VPC_B和VPC_C連接至企業版轉發路由器中,通過在企業版轉發路由器中自定義路由策略,實現VPC_B和VPC_C之間安全互訪的需求。
前提條件
您已經在中國香港地域創建了3個VPC,且3個VPC中均部署有云服務器ECS實例。具體操作,請參見搭建IPv4專有網絡。
請確保每個VPC在企業版轉發路由器支持的可用區中擁有足夠的交換機實例,且每個交換機實例擁有至少一個空閑的IP地址。
對于企業版轉發路由器僅支持一個可用區的地域(例如華東5(南京-本地地域)地域),VPC實例需在當前可用區下擁有至少一個交換機實例。
對于企業版轉發路由器支持多個可用區的地域(例如華東2(上海)地域),VPC實例需在這些可用區中擁有至少2個交換機實例,2個交換機實例需位于不同的可用區。
例如,您在中國香港地域創建了1個VPC,則該VPC需在可用區B和可用區C中各擁有至少一個交換機實例,且每個交換機實例擁有至少一個空閑的IP地址。
說明企業版轉發路由器會在可用區的交換機實例上創建彈性網卡ENI(Elastic Network Interface),作為VPC向企業版轉發路由器實例發送流量的入口,每個ENI會占用一個IP地址。
本示例中,VPC_A中擁有3個交換機實例,交換機1和交換機2用于連接企業版轉發路由器,交換機3用于部署安全管控服務。本示例3個VPC網絡規劃如下表所示,在您規劃網絡時請確保要互通的網段沒有重疊。
VPC
交換機
交換機可用區
網段規劃
ECS地址
VPC_A
主網段:10.1.0.0/16
交換機1
可用區B
10.1.0.0/24
10.1.2.13
交換機2
可用區C
10.1.1.0/24
交換機3
可用區B
10.1.2.0/24
VPC_B
主網段:10.2.0.0/16
交換機1
可用區B
10.2.0.0/24
10.2.2.48
交換機2
可用區C
10.2.1.0/24
交換機3
可用區C
10.2.2.0/24
VPC_C
主網段:10.3.0.0/16
交換機1
可用區B
10.3.0.0/24
10.3.2.27
交換機2
可用區C
10.3.1.0/24
交換機3
可用區C
10.3.2.0/24
您已經了解VPC_A、VPC_B、VPC_C中的ECS實例所應用的安全組規則,并確保安全組規則允許3個VPC中的ECS實例之間可以相互通信。具體操作,請參見查詢安全組規則和添加安全組規則。
配置流程
步驟一:創建云企業網實例
云企業網實例是創建和管理一體化網絡的基礎資源,在企業版轉發路由器連接網絡實例前,需要先創建一個云企業網實例。
- 登錄云企業網管理控制臺。
在云企業網實例頁面,單擊創建云企業網實例。
在創建云企業網實例對話框,根據以下信息進行配置,然后單擊確認。
名稱:輸入云企業網實例的名稱。
描述:輸入云企業網實例的描述信息。
資源組:選擇云企業網實例所屬的資源組。
本文不選擇,云企業網實例創建完成后將歸屬于默認資源組。
標簽:輸入云企業網實例的標簽。本文保持為空值。
步驟二:創建轉發路由器實例
在企業版轉發路由器連接網絡實例前,您需要在云企業網實例中在網絡實例所屬地域創建轉發路由器實例。
- 登錄云企業網管理控制臺。
在云企業網實例頁面,選擇在步驟一中創建的云企業網實例,單擊云企業網實例ID。
在頁簽,單擊創建轉發路由器。
在創建轉發路由器對話框,配置轉發路由器實例信息,然后單擊確認。
配置項
說明
配置
地域
選擇轉發路由器實例所屬的地域。
本文選擇中國香港地域。
版本
轉發路由器實例的版本。
系統自動判斷并顯示當前地域下轉發路由器實例的版本。
開通組播
選擇是否打開轉發路由器實例的組播功能。
本文保持默認值,即不打開組播功能。
名稱
輸入轉發路由器實例的名稱。
請自定義轉發路由器實例的名稱。
描述
輸入轉發路由器實例的描述信息。
請自定義轉發路由器實例的描述信息。
標簽
為企業版轉發路由器實例添加標簽。
本文保持為空值。
TR地址段
輸入轉發路由器地址段。
更多信息,請參見轉發路由器地址段。
本文不輸入轉發路由器地址段。
步驟三:連接VPC實例
將要互通的網絡實例,連接至企業版轉發路由器。
- 登錄云企業網管理控制臺。
- 在云企業網實例頁面,找到目標云企業網實例,單擊目標實例ID。
- 在頁簽,找到目標地域的轉發路由器實例,在操作單擊創建網絡實例連接。
在連接網絡實例頁面,根據以下信息進行配置,然后單擊確定創建。
下表羅列了各個配置項的說明以及VPC_A、VPC_B、VPC_C對應的參數值,請依據下表中的數據,分別將VPC_A、VPC_B、VPC_C連接至企業版轉發路由器。
配置項
配置項說明
VPC_A
VPC_B
VPC_C
實例類型
選擇待連接的網絡實例類型。
專有網絡(VPC)
專有網絡(VPC)
專有網絡(VPC)
地域
選擇待連接的網絡實例所在的地域。
中國香港
中國香港
中國香港
轉發路由器
系統自動顯示在該地域已創建的轉發路由器實例。
資源歸屬UID
選擇待連接的網絡實例所屬的賬號類型。
同賬號
同賬號
同賬號
付費方式
默認值按量付費。
連接名稱
輸入網絡實例連接的名稱。
VPC_A連接
VPC_B連接
VPC_C連接
標簽
為網絡實例連接添加標簽。
本文保持為空值。
本文保持為空值。
本文保持為空值。
網絡實例
選擇待連接的網絡實例。
選擇VPC_A
選擇VPC_B
選擇VPC_C
交換機
在轉發路由器支持的可用區選擇一個交換機實例。
如果您在轉發路由器支持的多個可用區均擁有交換機實例,您可以同時選擇多個可用區并在每個可用區下選擇一個交換機實例以實現可用區級別的容災。
香港可用區B:選擇交換機1
香港可用區C:選擇交換機2
香港可用區B:選擇交換機1
香港可用區C:選擇交換機2
香港可用區B:選擇交換機1
香港可用區C:選擇交換機2
高級配置
VPC_A、VPC_B、VPC_C均不啟用以下三項高級配置。
自動關聯至轉發路由器的默認路由表
自動傳播系統路由至轉發路由器的默認路由表
自動為VPC的所有路由表配置指向轉發路由器的路由
說明開啟高級配置后,VPC_A、VPC_B和VPC_C將會自動學習到對方的路由,實現相互通信,但無法達到流量安全互訪的目的。因此,本示例不啟用VPC的高級配置,后續步驟通過手動創建路由表、添加路由條目等方式,自定義網絡實例的連通性,以實現流量的安全互訪。
步驟四:為VPC實例添加路由條目
在VPC_A、VPC_B和VPC_C中添加路由條目,引導VPC的流量進入企業版轉發路由器,在企業版轉發路由器中引導和管理流量實現流量的安全互訪。
- 登錄專有網絡管理控制臺。
在頂部菜單欄,選擇路由表所屬的地域。
為VPC_B和VPC_C添加自定義路由條目。
分別在VPC_B和VPC_C的系統路由表中添加目標網段為0.0.0.0/0,下一跳為轉發路由器的路由條目,使VPC_B和VPC_C的訪問流量均被轉發至企業版轉發路由器。
在左側導航欄,單擊路由表。
在路由表頁面,找到目標路由表,單擊路由表實例ID。
本示例找到VPC_B的系統路由表。
在路由條目列表頁簽下單擊自定義路由條目頁簽,然后單擊添加路由條目。
在添加路由條目面板,配置以下信息,然后單擊確定。
名稱:輸入自定義路由條目的名稱。
目標網段:本示例輸入0.0.0.0/0。
下一跳類型:本示例選擇轉發路由器。
轉發路由器:本示例選擇VPC_B關聯的轉發路由器實例。
請重復上述步驟,在VPC_C的系統路由表中添加相同的路由條目,配置信息如下。
目標網段:本示例輸入0.0.0.0/0。
下一跳類型:本示例選擇轉發路由器。
轉發路由器:本示例選擇VPC_C關聯的轉發路由器實例。
為VPC_A創建三張自定義路由表,分別命名為routetable1、routetable2和routetable3。具體操作,請參見創建自定義路由表。
綁定交換機和自定義路由表。具體操作,請參見綁定交換機和路由表。
在本示例中,將VPC_A中的交換機1綁定路由表routetable1、交換機2綁定路由表routetable2、交換機3綁定路由表routetable3。
在VPC_A的自定義路由表中添加路由條目。
在路由表頁面,選擇已創建的一張路由表,單擊路由表實例ID。
本示例選擇與交換機1綁定的自定義路由表routetable1。
在路由條目列表頁簽下單擊自定義路由條目頁簽,然后單擊添加路由條目。
在添加路由條目面板,配置以下信息,然后單擊確定。
名稱:輸入自定義路由條目的名稱。
資源組:本示例選擇全部資源組。
目標網段:本示例輸入0.0.0.0/0。
下一跳類型:本示例選擇ECS實例。
ECS實例:本示例選擇VPC_A中交換機3下的安全管控ECS實例。
請重復上述步驟和配置,在交換機2的自定義路由表routetable2中添加相同的路由條目。
請重復上述步驟,在交換機3的自定義路由表routetable3中添加路由條目,其中交換機3的路由條目信息如下:
目標網段:本示例輸入0.0.0.0/0。
下一跳類型:本示例選擇轉發路由器。
轉發路由器:本示例選擇VPC_A關聯的轉發路由器實例。
創建完成后,各個VPC中新添加的路由條目的信息如下表所示:
網絡實例
路由表名稱
路由表關聯的交換機
路由條目
下一跳
VPC_A
routetable1
交換機1
0.0.0.0/0
交換機3中的ECS實例
routetable2
交換機2
0.0.0.0/0
交換機3中的ECS實例
routetable3
交換機3
0.0.0.0/0
VPC_A關聯的轉發路由器實例
VPC_B
系統路由表
交換機1
交換機2
交換機3
0.0.0.0/0
VPC_B關聯的轉發路由器實例
VPC_C
系統路由表
交換機1
交換機2
交換機3
0.0.0.0/0
VPC_C關聯的轉發路由器實例
步驟五:在轉發路由器中配置路由
VPC的流量進入企業版轉發路由器后,在企業版轉發路由器通過創建路由表、添加路由條目等方式自定義連通性,引導VPC_B和VPC_C的流量進入VPC_A,并將經過VPC_A過濾后的流量引導至目的地。
- 登錄云企業網管理控制臺。
在云企業網實例頁面,單擊目標實例ID。
- 在頁簽,找到目標地域的轉發路由器實例,單擊目標實例ID。
在轉發路由器路由表頁簽下,為企業版轉發路由器創建兩張自定義路由表,分別命令為TR_routetable1和TR_routetable2。具體操作,請參見自定義路由表。
將VPC_B連接和VPC_C連接關聯至企業版轉發路由器的自定義路由表并為其配置路由條目。
在轉發路由器路由表頁簽下,選擇自定義路由表TR_routetable1,單擊關聯轉發頁簽,然后單擊創建關聯轉發。
在添加關聯轉發對話框,選擇要關聯至該自定義路由表的網絡實例連接,然后單擊確定。
本示例中,請將VPC_B連接和VPC_C連接關聯至該自定義路由表。
保持在該路由表詳情頁面,單擊路由條目頁簽,然后單擊創建路由條目。
在添加路由條目對話框,根據以下信息進行配置,然后單擊確定。
目的地址CIDR:本示例輸入0.0.0.0/0。
是否為黑洞路由:如果選擇路由為黑洞路由后,所有去往該路由的流量均會被丟棄。本示例選擇否。
下一跳連接:本示例選擇VPC_A連接。
更多信息,請參見轉發路由器自定義路由條目。
完成上述操作后,VPC_B和VPC_C的所有訪問流量將被轉發到VPC_A。
為VPC_A關聯自定義路由表并配置路由條目。
在轉發路由器路由表頁簽下,選擇自定義路由表TR_routetable2,單擊關聯轉發頁簽,然后單擊創建關聯轉發。
在添加關聯轉發對話框,選擇要關聯至該自定義路由表的網絡實例連接,然后單擊確定。
本示例中,請將VPC_A連接關聯至該自定義路由表。
保持在該路由表詳情頁面,單擊路由學習頁簽,然后單擊創建路由學習。
在添加路由學習對話框,選擇該路由表要學習其路由的網絡實例連接,然后單擊確定。
本示例中,請將VPC_B連接和VPC_C連接關聯至該路由表。關聯后,該路由表將能學習到VPC_B和VPC_C的路由。VPC_A通過查詢該路由表和VPC_B及VPC_C互通。
創建完成后,企業版轉發路由器的路由條目信息如下表所示:
路由表名稱
目標網段
下一跳
TR_routetable1
0.0.0.0/0
VPC_A連接
TR_routetable2
10.2.0.0/24
VPC_B連接
10.2.1.0/24
VPC_B連接
10.2.2.0/24
VPC_B連接
10.3.0.0/24
VPC_C連接
10.3.1.0/24
VPC_C連接
10.3.2.0/24
VPC_C連接
步驟六:測試連通性
完成上述操作后,VPC_A、VPC_B和VPC_C之間已可以按照期望的路徑進行安全互訪,以下內容為您介紹如何測試VPC實例之間的連通性。
登錄VPC_A的ECS實例,執行以下命令啟用允許轉發。關于如何登錄ECS實例,請參見連接方式概述。
說明在不設置允許轉發的情況下,VPC_B和VPC_A之間、VPC_C和VPC_A之間可以互相訪問,但VPC_B和VPC_C之間無法互訪。
echo 1 > /proc/sys/net/ipv4/ip_forward #啟用允許轉發。當前命令臨時生效,重啟后會丟失。登錄VPC_B的ECS實例,執行ping命令,測試VPC_B與VPC_A、VPC_C之間的連通性。
收到回復報文,則表示VPC_B與VPC_A、VPC_C之間可以正常通信。
ping <網絡實例下ECS實例的IP地址>登錄VPC_C的ECS實例,執行ping命令,測試VPC_C與VPC_A、VPC_B之間的連通性。
收到回復報文,則表示VPC_C與VPC_A、VPC_B之間可以正常通信。
ping <網絡實例下ECS實例的IP地址>