日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 云防火墻 云防火墻CFW 實踐教程 防火墻接入最佳實踐 防護云企業(yè)網TR連接的VPC之間的部分流量

防護云企業(yè)網TR連接的VPC之間的部分流量

更新時間:
產品詳情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務造成影響,請務必仔細閱讀。

當您使用了轉發(fā)路由器TR(Transit Router),可以手動配置轉發(fā)路由器與VPC邊界防火墻之間的互訪路由,實現VPC邊界防火墻對轉發(fā)路由器連接的VPC、VBR之間的部分流量進行防護。本文介紹了如何連通轉發(fā)路由器與VPC邊界防火墻之間的網絡。

適用對象

云防火墻可以防護通過云企業(yè)網轉發(fā)路由器連接的網絡實例之間的流量,網絡實例包括VPC、VBR、CCN、VPN。

本文僅針對VPC邊界防火墻手動引流模式的配置,適用于對多個VPC(相同地域)之間互訪流量的防護。

場景示意圖

導流圖

前提條件

已在云企業(yè)網控制臺創(chuàng)建了云企業(yè)網實例,且創(chuàng)建了3個專有網絡VPC(本文分別以VPC1、VPC2、DMZ VPC為例)和2個VBR(本文分別以IDC-1、IDC-2為例)。具體操作,請參見創(chuàng)建云企業(yè)網實例

示例中VPC1、IDC-1、IDC-2和其他VPC之間互訪的流量受云防火墻保護。VPC2和DMZ VPC互訪的流量,不受云防火墻保護。任意VPC、IDC訪問0.0.0.0/0默認路由的流量,不受云防火墻保護。

步驟一:為VPC邊界防火墻創(chuàng)建VPC實例

VPC邊界防火墻需要占用一個VPC,所以您需要專門創(chuàng)建一個VPC實例。

  1. 登錄專有網絡管理控制臺

  2. 在頂部菜單欄,選擇要創(chuàng)建自定義專有網絡的地域,單擊創(chuàng)建專有網絡。

  3. 創(chuàng)建專有網絡頁面,根據以下信息配置專有網絡,然后單擊確定

    配置項

    如何設置

    地域

    選擇需要開啟VPC防火墻的地域。

    名稱

    VPC實例名稱,本文示例中為FW VPC。

    IPv4網段

    VPC的主IPv4網段,需要至少26位的私網地址,并且不與業(yè)務使用的網段沖突。

    交換機

    網絡連接實例可綁定的交換機,需要至少28位的私網地址。

    其中,2個交換機提供給TR網絡實例連接使用,需選擇兩個支持TR服務且不同的可用區(qū)進行創(chuàng)建,建議選擇業(yè)務所在的可用區(qū)以降低延遲;另1個交換機提供給VPC邊界防火墻使用,可用區(qū)任選。

    本文示例中,TR網絡實例連接主交換機命名為TR-Vswitch-01,備交換機命名為TR-VSwitch-02,VPC防火墻交換機命名為Cfw-Vswitch。

  4. 專有網絡頁面,定位到防火墻VPC實例FW VPC,并單擊實例ID。

  5. 在該專有網絡頁面資源管理頁簽,單擊路由表添加選項或在路由表頁面單擊創(chuàng)建路由表。

  6. 創(chuàng)建路由表對話框,根據以下信息配置路由表,然后單擊確認。

    配置項

    如何設置

    專有網絡

    選擇上述步驟創(chuàng)建的防火墻VPC。本文示例選擇FW VPC。

    綁定對象類型

    選擇路由表綁定的對象類型為交換機

    名稱

    自定義路由表的名稱。本文示例的自定義路由表名稱配置實例值為VPC-CFW-RouteTable

步驟二:在轉發(fā)路由器中添加防火墻VPC的網絡實例連接

本步驟建立VPC實例(FW VPC)與轉發(fā)路由器企業(yè)版之間的連接。

  1. 登錄云企業(yè)網管理控制臺。

  2. 云企業(yè)網實例頁面,定位到需要引流到云防火墻VPC邊界防火墻的云企業(yè)網實例,并單擊實例ID。

  3. 在該云企業(yè)網實例頁面基本信息頁簽,單擊操作列的創(chuàng)建網絡實例連接或單擊頁面上方VPC基礎信息右側的添加圖標圖標。

  4. 連接網絡實例頁面,設置FW VPC和轉發(fā)路由器之間的連接信息。

    以下是創(chuàng)建網絡連接實例時,關鍵的配置項說明。

    配置項

    如何設置

    實例類型

    通過云企業(yè)網連接的網絡實例的類型。此處選擇專有網絡(VPC)。

    地域

    通過云企業(yè)網連接的網絡實例的地址。此處需要與創(chuàng)建FW VPC時指定的地域保持一致。

    網絡實例

    通過云企業(yè)網連接的網絡實例。此處選擇FW VPC的實例ID。

    交換機

    網絡連接實例可綁定的交換機。主交換機選擇TR-Vswitch-01備交換機TR-VSwitch-02

    其他配置項的說明,請參見使用企業(yè)版轉發(fā)路由器創(chuàng)建VPC連接

步驟三:為VPC、VBR創(chuàng)建云企業(yè)網網絡實例連接

您需要為VPC1、VPC2、DMZ VPC及IDC-1、IDC-2分別創(chuàng)建網絡實例連接,并將創(chuàng)建的VPC和VBR加載到該云企業(yè)網中。

具體操作,請參見使用企業(yè)版轉發(fā)路由器創(chuàng)建VPC連接。

步驟四:創(chuàng)建VPC邊界防火墻

本步驟為FW VPC創(chuàng)建VPC邊界防火墻。

在云防火墻控制臺防火墻開關 > VPC邊界防火墻 > 云企業(yè)網(企業(yè)版)頁簽,找到需要開啟防火墻的轉發(fā)路由實例,單擊操作創(chuàng)建。創(chuàng)建該VPC邊界防火墻時,引流模式選擇手動引流專有網絡選擇FW VPC、交換機選擇Cfw-Vswitch。相關內容,請參見配置企業(yè)版轉發(fā)路由器的VPC邊界防火墻

說明

完成此步驟后,云防火墻會在Cfw-Vswitch下創(chuàng)建1個彈性網卡用于引流(可在ECS控制臺的網絡與安全 > 彈性網卡頁面查看,系統(tǒng)默認分配名稱為cfw-bonding-eni的網卡)。

步驟五:為防火墻VPC配置VPC路由

本步驟配置VPC路由,將TR轉發(fā)到防火墻VPC的流量引流到VPC邊界防火墻上,并將VPC邊界防火墻處理完的流量再轉發(fā)到TR。

  1. 登錄專有網絡管理控制臺。

  2. 路由表頁面,選擇防火墻VPC實例的系統(tǒng)路由表。

  3. 路由條目列表,選擇自定義路由條目頁簽。

  4. 單擊添加路由條目,配置以下路由條目信息,同時刪除其他自定義路由條目(若有)。

    關鍵配置項說明:

    • 目標網段:選擇0.0.0.0/0。

    • 下一跳類型:選擇輔助彈性網卡

    • 輔助彈性網卡:選擇步驟三創(chuàng)建的Cfw-bonding-eni

    本步驟完成后,TR轉發(fā)到防火墻VPC的流量會被引流到VPC邊界防火墻上。

  5. 路由表頁面,打開此前創(chuàng)建的自定義路由表VPC-CFW-RouteTable,在已綁定交換機頁簽,單擊綁定交換機。其中交換機選擇Cfw-Vswitch。然后單擊確定

  6. 路由條目列表頁簽,選擇自定義路由條目頁簽。單擊添加路由條目,配置以下路由條目信息,同時刪除其他自定義路由條目(若有)。

    關鍵配置項說明:

    • 目標網段:選擇0.0.0.0/0

    • 下一跳類型:選擇轉發(fā)路由器。

    • 轉發(fā)路由器:選擇VPC防火墻的網絡實例連接。

    本操作完成后,VPC邊界防火墻處理完的流量會被再轉發(fā)到TR。

步驟六:配置轉發(fā)路由器的路由

本步驟為VPC-01、VPC-02和防火墻VPC配置轉發(fā)路由器的路由,實現VPC-01和VPC-02互訪流量過VPC邊界防火墻。

  1. 登錄云企業(yè)網管理控制臺。

  2. 云企業(yè)網控制臺,定位到需要開啟VPC邊界防火墻的轉發(fā)路由器,單擊實例ID,然后切換到轉發(fā)路由器路由表頁簽。

  3. 創(chuàng)建路由表Cfw-Untrust-RouteTableCfw-Trust-RouteTable。

    1. 轉發(fā)路由器路由表頁簽,單擊創(chuàng)建路由表

    2. 創(chuàng)建路由表對話框,配置路由表Cfw-Untrust-RouteTableCfw-Trust-RouteTable。

      轉發(fā)路由器:選擇需要開啟VPC邊界防火墻的轉發(fā)路由器。

      說明

      • 路由表Cfw-Untrust-RouteTable:用于轉發(fā)VPC1、IDC-1、IDC-2的流量到FW VPC。

      • 路由表Cfw-Trust-RouteTable:用于轉發(fā)FW VPC流量到VPC1、VPC2、DMZ VPC、IDC-1、IDC-2。

  4. 配置路由表Cfw-Trust-RouteTable。

    為路由表Cfw-Trust-RouteTable自動同步VPC1、VPC2、DMZ VPC、IDC-1、IDC-2的路由,并將FW VPC的流量關聯轉發(fā)到Cfw-Trust-RouteTable

    1. 單擊已創(chuàng)建的Cfw-Trust-RouteTable路由表,在右側區(qū)域,單擊路由學習。

    2. 路由學習頁簽,單擊創(chuàng)建路由學習。

    3. 添加路由學習對話框,關聯連接分別選擇VPC1、VPC2、DMZ VPCIDC-1IDC-2。然后單擊確定

      路由學習創(chuàng)建完成后,您可以在路由條目頁簽中看到自動學習的路由信息。

    4. 轉發(fā)路由器路由表頁簽,單擊左側路由表列表中的系統(tǒng)路由表,然后在路由表詳情頁簽,單擊關聯轉發(fā)

    5. 關聯轉發(fā)頁簽,單擊已創(chuàng)建的Cfw-Trust-RouteTable路由表,在關聯轉發(fā)頁簽,單擊創(chuàng)建關聯轉發(fā)

    6. 添加關聯轉發(fā)頁面,在關聯轉發(fā)下拉框,選擇FW VPC。然后單擊確定。

  5. 配置路由表Cfw-Untrust-RouteTable

    將云企業(yè)網自定義路由表Cfw-Untrust-RouteTable的流量會默認指向VPC實例。

    1. 單擊已創(chuàng)建的Cfw-Untrust-RouteTable路由表,在右側區(qū)域,單擊路由條目。

    2. 路由條目頁簽,單擊創(chuàng)建路由條目

    3. 添加路由條目對話框,配置路由條目的信息。

      配置項說明:

      • 目的地址CIDR:選擇默認地址段10.0.0.0/8。

      • 是否為黑洞路由:選擇默認選項。

      • 下一跳連接:選擇防火墻VPC實例(FW VPC)。

    4. 重復上述步驟,新增如下網段路由。

      • 新增172.16.0.0/12網段路由,下一跳到防火墻VPC實例(FW VPC)。

      • 新增192.168.0.0/16的網段路由,下一跳到防火墻VPC實例(FW VPC)。

      • 新增61.20.0.0/16的網段路由,下一跳到防火墻VPC實例(FW VPC)。

      • 新增0.0.0.0/0的網段路由,下一跳到DMZ VPC。

  6. 配置系統(tǒng)路由表實現訪問VPC1、IDC-1和IDC-2的流量經過云防火墻。

    警告

    本操作期間會產生流量中斷,請在業(yè)務低峰期或者變更窗口期進行操作。

    1. 轉發(fā)路由器路由表頁簽,單擊左側路由表列表中的系統(tǒng)路由表,然后在右側區(qū)域,單擊路由學習。

    2. 路由學習頁簽,刪除VPC1、IDC-1、FW VPC、IDC-2的路由學習。

      該操作后,您的系統(tǒng)路由表只保留VPC2和DMZ VPC的路由學習。配置完成后,您可以在路由條目頁簽中看到自動學習的路由信息。

    3. 路由條目頁簽,單擊創(chuàng)建路由條目

    4. 添加路由條目對話框,新增如下網段路由。

      • 新增10.0.0.0/24(VPC1)網段路由,下一跳到防火墻VPC實例(FW VPC)。

      • 新增172.16.0.0/12(IDC-1)的網段路由,下一跳到防火墻VPC實例(FW VPC)。

      • 新增61.20.0.0/16(IDC-2)的網段路由,下一跳到防火墻VPC實例(FW VPC)。

  7. 切換關聯轉發(fā)實現VPC1、IDC-1和IDC-2訪問其他VPC的流量經過云防火墻。

    將VPC1、IDC-1、IDC-2的流量關聯轉發(fā)到Cfw-Untrust-RouteTable。

    警告

    本操作期間會產生流量中斷,請在業(yè)務低峰期或者變更窗口期進行操作。

    1. 在系統(tǒng)路由表的關聯轉發(fā)頁簽,刪除下一跳為VPC1、IDC-1、IDC-2的關聯轉發(fā)。

    2. Cfw-Untrust-RouteTable路由表的關聯轉發(fā)頁簽,單擊創(chuàng)建關聯轉發(fā)

    3. 添加關聯轉發(fā)對話框,在關聯轉發(fā)下拉框,選擇VPC1、IDC-1、IDC-2。然后單擊確定

    4. 關聯轉發(fā)頁簽,單擊創(chuàng)建關聯轉發(fā)。

    5. 添加關聯轉發(fā)對話框,在關聯轉發(fā)下拉框,選擇VPC1IDC-1IDC-2。然后單擊確定。

本步驟完成后,云企業(yè)網路由配置完成,流量牽引到VPC邊界防火墻的VPC實例上。

步驟七:驗證轉發(fā)配置是否成功

您可以在流量日志功能查看是否有來自該云企業(yè)網的流量日志。如果有相關流量日志,代表轉發(fā)配置成功。例如:

  • VPC1與VPC2之間能夠訪問正常,且有流量日志。

  • VPC2與DMZ VPC之間能夠訪問正常,但是無流量日志。

具體步驟,請參見日志審計。