限制網(wǎng)段間互通
本文為您介紹如何通過(guò)路由策略功能限制專(zhuān)有網(wǎng)絡(luò)VPC(Virtual Private Cloud)與某個(gè)網(wǎng)段間的互通關(guān)系。
前提條件
本地IDC已經(jīng)通過(guò)專(zhuān)線與阿里云連接。具體操作,請(qǐng)參見(jiàn)本地IDC通過(guò)專(zhuān)線訪問(wèn)云服務(wù)器ECS。
您已經(jīng)創(chuàng)建了云企業(yè)網(wǎng)實(shí)例,并將需要互通的網(wǎng)絡(luò)實(shí)例連接到云企業(yè)網(wǎng)實(shí)例中。具體操作,請(qǐng)參見(jiàn)云企業(yè)網(wǎng)實(shí)例和網(wǎng)絡(luò)實(shí)例連接。
背景信息
默認(rèn)情況下,云企業(yè)網(wǎng)采取VPC與VPC、邊界路由器VBR(Virtual Border Router)和云連接網(wǎng)CCN(Cloud Connect Network)各個(gè)網(wǎng)段間互通的策略,但在特定場(chǎng)景下,您可能需要限制VPC與VPC、VBR以及CCN某個(gè)網(wǎng)段間的互通關(guān)系。
如上圖,VBR通過(guò)BGP從IDC側(cè)學(xué)習(xí)到網(wǎng)段1和網(wǎng)段2兩條路由,VPC、VBR均加入到云企業(yè)網(wǎng)中。默認(rèn)情況下,VPC與IDC網(wǎng)段1和IDC網(wǎng)段2互通。如果您不希望VPC與IDC網(wǎng)段1互通,您可以通過(guò)路由策略限制VPC與IDC網(wǎng)段1間的互通關(guān)系,VPC與IDC網(wǎng)段2依然可以互通。
步驟一:設(shè)置拒絕通過(guò)VBR網(wǎng)段1路由的路由策略
完成以下操作,設(shè)置拒絕通過(guò)VBR網(wǎng)段1路由的路由策略。
在云企業(yè)網(wǎng)實(shí)例頁(yè)面,找到目標(biāo)云企業(yè)網(wǎng)實(shí)例,單擊目標(biāo)實(shí)例ID。
在云企業(yè)網(wǎng)實(shí)例詳情頁(yè)面,根據(jù)要配置路由策略的地域,單擊該地域的轉(zhuǎn)發(fā)路由器ID。
在轉(zhuǎn)發(fā)路由器詳情頁(yè)面,單擊轉(zhuǎn)發(fā)路由器路由表頁(yè)簽,然后單擊路由策略。
在路由策略頁(yè)面,單擊添加路由策略。根據(jù)以下信息配置路由策略,然后單擊確定。
策略?xún)?yōu)先級(jí):路由策略的優(yōu)先級(jí)。優(yōu)先級(jí)數(shù)字越小,優(yōu)先級(jí)越高。 本示例輸入20。
地域:選擇路由策略應(yīng)用的地域。本示例輸入華東1(杭州)。
生效方向:選擇路由策略應(yīng)用的方向。 本示例選擇入地域網(wǎng)關(guān)。
匹配條件:路由策略的匹配條件。本示例添加以下兩個(gè)匹配條件:
源實(shí)例ID列表為VBR實(shí)例ID。
路由前綴為192.168.0.0/24,且匹配方法選擇精確匹配。
策略行為:選擇策略行為。本示例選擇拒絕。
添加路由策略后,您可以在網(wǎng)絡(luò)實(shí)例路由信息頁(yè)簽下查看VPC中已經(jīng)刪除了去往192.168.0.0/24的路由。
步驟二:測(cè)試網(wǎng)絡(luò)連通性
完成以下操作,測(cè)試VPC與IDC側(cè)網(wǎng)段1的網(wǎng)絡(luò)連通性。
登錄VPC下的ECS實(shí)例。
通過(guò)ping命令pingIDC側(cè)網(wǎng)段1的IP地址,驗(yàn)證通信是否正常。
經(jīng)驗(yàn)證,ECS實(shí)例不能訪問(wèn)IDC側(cè)網(wǎng)段1的IP地址。
完成以下操作,測(cè)試VPC與IDC側(cè)網(wǎng)段2的網(wǎng)絡(luò)連通性。
登錄VPC下的ECS實(shí)例。
通過(guò)ping命令pingIDC側(cè)網(wǎng)段2的IP地址,驗(yàn)證通信是否正常。
經(jīng)驗(yàn)證,ECS實(shí)例可以訪問(wèn)網(wǎng)段2的IP地址。
