當您使用了轉發路由器TR(Transit Router)連通跨地域網絡實例時,您可以手動配置轉發路由器與VPC邊界防火墻之間的互訪路由,實現VPC邊界防火墻對網絡實例之間的流量進行防護。本文介紹了如何防護跨地域場景的轉發路由器中網絡實例與VPC邊界防火墻之間的全部流量。
場景示例
云防火墻可以防護連接到轉發路由器的網絡實例之間的通信流量,網絡實例包括專有網絡VPC(Virtual Private Cloud)、邊界路由器VBR(Virtual Border Router)、云連接網CCN(Cloud Connect Network)、以及通過虛擬專用網VPN訪問的實例。本文以跨地域VPC互通為例,介紹如何防護轉發路由器連接的2個VPC實例互訪流量,如下圖場景所示。
本文僅針對VPC邊界防火墻手動引流模式的配置,適用于對多個VPC(跨地域)之間互訪流量的防護。
某企業在阿里云華東1(杭州)地域部署2個VPC實例(HZ-VPC-1、HZ-VPC-2),在華北2(北京)地域部署2個VPC實例(BJ-VPC-1、BJ-VPC-2),并且使用云企業網的轉發路由器創建跨地域連接,實現華東1(杭州)地域和華北2(北京)地域的VPC互通。同時,該企業分別在華東1(杭州)和華北2(北京)地域各部署1個邊界路由器VBR實例(HZ-IDC-1和BJ-IDC-1),實現云上和云下資源互訪。
為了保障VPC之間流量互訪安全,該企業計劃通過云防火墻的VPC邊界防火墻來檢測和管控2個VPC間的通信流量。
前提條件
您已創建一個云企業網實例。具體操作,請參見創建云企業網實例。
您已在華東1(杭州)和華北2(北京)地域,創建了業務需使用的專有網絡VPC和邊界路由器VBR,并建立了VPC、VBR與云企業網網絡實例連接,且為華東1(杭州)和華北2(北京)地域創建跨地域網絡連接。
華東1(杭州):專有網絡VPC(HZ-VPC-1、HZ-VPC-2)和邊界路由器VBR(HZ-IDC-1)。
華北2(北京):專有網絡VPC(BJ-VPC-1、BJ-VPC-2)和邊界路由器VBR(BJ-IDC-1)。
您已在華東1(杭州)和華北2(北京)地域,分別創建云防火墻VPC實例(Cfw-HZ-VPC、Cfw-BJ-VPC),并在云防火墻VPC實例下均創建了交換機和自定義路由表。具體操作,請參見創建VPC連接、創建和管理專有網絡、創建和管理路由表。
云防火墻VPC實例的配置信息如下表所示:
地域
云防火墻VPC
交換機&可用區
云防火墻VPC的自定義路由表
華東1(杭州)
Cfw-HZ-VPC
HZ-TR-vSwitch-1
供TR網絡實例連接使用,可用區與TR網絡實例連接的主可用區保持一致。本示例中華東1(杭州)的主可用區需選擇H。
HZ-VPC-CFW-RouteTable
HZ-TR-vSwitch-2
供TR網絡實例連接使用,可用區與TR網絡實例連接的備可用區保持一致。本示例中華東1(杭州)的備可用區需選擇I。
HZ-Cfw-vSwitch
供VPC邊界防火墻使用。
華北2(北京)
Cfw-BJ-VPC
BJ-TR-vSwitch-1
供TR網絡實例連接使用,可用區與TR網絡實例連接的主可用區保持一致。本示例中華北2(北京)的主可用區需選擇H。
BJ-VPC-CFW-RouteTable
BJ-TR-vSwitch-2
供TR網絡實例連接使用,可用區與TR網絡實例連接的備可用區保持一致。本示例中華北2(北京)的備可用區需選擇G。
BJ-Cfw-vSwitch
供VPC邊界防火墻使用。
創建云防火墻VPC(Cfw-HZ-VPC、Cfw-BJ-VPC)后,您需要等待云防火墻VPC的信息同步到云防火墻(約需要30分鐘左右)。
配置流程
步驟一:建立云防火墻VPC實例與云企業網TR的連接
分別將華東1(杭州)云防火墻VPC實例、華北2(北京)云防火墻VPC實例加入TR。
- 登錄云企業網管理控制臺。
在云企業網實例頁面,單擊需要被云防火墻防護的云企業網實例。
在該云企業網實例基本信息的轉發路由器頁簽,單擊操作列的創建網絡實例連接。
在連接網絡實例頁面,設置華東1(杭州)云防火墻VPC實例、華北2(北京)云防火墻VPC實例和轉發路由器之間的連接信息。然后單擊確定創建。
以下是創建網絡連接實例時,關鍵的配置項說明:
配置項
說明
華東1(杭州)VPC防火墻配置示例
華北2(北京)VPC防火墻配置示例
實例類型
通過轉發路由器連接的網絡實例的類型。
專有網絡(VPC)
專有網絡(VPC)
地域
選擇連接到轉發路由器的網絡實例所屬的地域。
華東1(杭州)
華北2(北京)
網絡實例
通過轉發路由器連接的網絡實例。
Cfw-HZ-VPC的實例ID。
Cfw-BJ-VPC的實例ID。
交換機
網絡連接實例可綁定的交換機。
主交換機:HZ-TR-vSwitch-1
備交換機:HZ-TR-vSwitch-2
主交換機:BJ-TR-vSwitch-1
備交換機:BJ-TR-vSwitch-2
其他配置項的說明,請參見使用企業版轉發路由器創建VPC連接。
步驟二:創建VPC邊界防火墻
為華東1(杭州)云防火墻、華北2(北京)云防火墻VPC實例創建VPC邊界防火墻。
登錄云防火墻控制臺。在左側導航欄,單擊防火墻開關
在防火墻開關頁面,VPC邊界防火墻的云企業網頁簽,分別定位到華東1(杭州)的防火墻VPC(Cfw-HZ-VPC)和華北2(北京)的防火墻VPC(Cfw-BJ-VPC),然后單擊操作列創建。
以下是創建VPC邊界防火墻時,關鍵的配置項說明:
配置項
說明
華東1(杭州)VPC防火墻實例配置示例值
華北2(北京)VPC防火墻實例配置示例值
路由模式
經過云防火墻的流量的轉發路由模式。
手動
手動
專有網絡
建立云防火墻所在的專有網絡。
Cfw-HZ-VPC
Cfw-BJ-VPC
交換機
綁定云防火墻網卡所在的交換機。
HZ-Cfw-vSwitch
BJ-Cfw-vSwitch
其他配置項的說明,請參見為云企業網創建VPC邊界防火墻。
完成此步驟后,華東1(杭州)云防火墻VPC實例和華北2(北京)云防火墻VPC實例分別擁有1個彈性網卡(cfw-bonding-eni)。
您可以在專有網絡管理控制臺,對應的云防火墻VPC實例的詳情頁面,查看分配的彈性網卡實例ID。
步驟三:為杭州地域的云防火墻VPC配置路由表
將華東1(杭州)云防火墻VPC實例的流量引流到VPC邊界防火墻。
登錄專有網絡管理控制臺,并切換地域為華東1(杭州)。在左側導航欄,單擊路由表。
在路由表頁面,配置華東1(杭州)云防火墻VPC(Cfw-HZ-VPC)的路由表。
按照如下網絡規劃配置:
在路由表頁面,單擊創建路由表。創建自定義路由表。
單擊該路由表,在路由表詳情頁的已綁定交換機頁簽,單擊綁定交換機。為自定義路由表和系統路由表綁定交換機。
在該路由表詳情頁路由條目列表的自定義路由條目頁簽,單擊添加路由條目。為自定義路由表和系統路由表創建路由條目。
按照如下表格示例規劃網絡,具體操作,請參見創建和管理路由表。
配置目的
路由表
交換機
路由條目
將VPC邊界防火墻出方向的流量,通過自定義路由表轉發到轉發路由器。
自定義路由表:HZ-VPC-CFW-RouteTable
HZ-Cfw-vSwitch
關鍵配置項說明:
目標網段:選擇0.0.0.0/0。
下一跳類型:選擇轉發路由器。
轉發路由器:選擇默認項,即VPC防火墻的網絡實例連接。
將華東1(杭州)云防火墻VPC實例的流量,通過系統路由表引流到VPC邊界防火墻。
系統路由表
HZ-TR-vSwitch-1
HZ-TR-vSwitch-2
您需要在待配置的路由表詳情頁的自定義路由條目頁簽下創建路由條目。
關鍵配置項說明:
目標網段:選擇0.0.0.0/0。
下一跳類型:選擇輔助彈性網卡。
輔助彈性網卡:選擇Cfw-bonding-eni。
在華東1(杭州)云防火墻VPC(Cfw-HZ-VPC)系統路由表的自定義路由條目頁簽,單擊其他自定義路由條目操作列刪除,刪除其他自定義路由條目,只保留上一步配置的0.0.0.0/0默認路由。
步驟四:為北京地域的云防火墻VPC配置路由表
將華北2(北京)云防火墻VPC實例的流量引流到VPC邊界防火墻。
登錄專有網絡管理控制臺,并切換地域為華北2(北京)。在左側導航欄,單擊路由表。
在路由表頁面,配置華北2(北京)云防火墻VPC(Cfw-BJ-VPC)的路由表。
在路由表頁面,單擊創建路由表。創建自定義路由表。
單擊該路由表,在路由表詳情頁的已綁定交換機頁簽,單擊綁定交換機。為自定義路由表和系統路由表綁定交換機。
在該路由表詳情頁路由條目列表的自定義路由條目頁簽,單擊添加路由條目。為自定義路由表和系統路由表創建路由條目。
按照如下表格示例規劃網絡,具體操作,請參見創建和管理路由表。
配置目的
路由表
交換機
路由條目
將VPC邊界防火墻出方向的流量,通過自定義路由表轉發到轉發路由器。
自定義路由表:BJ-VPC-CFW-RouteTable
BJ-Cfw-vSwitch
關鍵配置項說明:
目標網段:選擇0.0.0.0/0。
下一跳類型:選擇轉發路由器。
轉發路由器:選擇默認項,即VPC防火墻的網絡實例連接。
將華北2(北京)云防火墻VPC實例的流量,通過系統路由表引流到VPC邊界防火墻。
系統路由表
BJ-TR-vSwitch-1
BJ-TR-vSwitch-2
關鍵配置項說明:
目標網段:選擇0.0.0.0/0。
下一跳類型:選擇輔助彈性網卡。
輔助彈性網卡:選擇Cfw-bonding-eni。
在華北2(北京)云防火墻VPC(Cfw-BJ-VPC)的系統路由表的自定義路由條目頁簽,單擊其他自定義路由條目操作列刪除,刪除其他自定義路由條目,只保留上一步配置的0.0.0.0/0默認路由。
步驟五:為杭州地域的轉發路由器配置路由表
本步驟為華東1(杭州)地域網絡實例(HZ-VPC-1、HZ-VPC-2、HZ-IDC-1)創建轉發路由器自定義路由表(Cfw-HZ-TR-RouteTable),并配置關聯轉發和路由學習,用于轉發華東1(杭州)地域網絡實例到華東1(杭州)云防火墻VPC實例(Cfw-HZ-VPC)之間的流量。
本步驟以配置HZ-VPC-1為例,您需要根據如下介紹,分別配置HZ-VPC-1、HZ-VPC-2、HZ-IDC-1。
登錄云企業網管理控制臺。在左側導航欄,單擊云企業網實例。
在云企業網實例頁面,為華東1(杭州)地域的網絡實例(HZ-VPC-1)創建云企業網轉發路由器自定義路由表,并為此自定義路由表創建路由條目。
單擊網絡實例,在基本信息頁簽,單擊創建轉發路由器。創建云企業網轉發路由器實例。
單擊該轉發路由器實例,在轉發路由器路由表頁簽,單擊創建路由表。為轉發路由器實例創建路由表。
單擊該路由表,在路由表詳情頁的路由條目頁簽,單擊創建路由條目。為自定義路由表創建路由條目。
按照如下表格示例規劃網絡,具體操作,請參見自定義路由表、轉發路由器自定義路由條目。
配置的目的
路由表
路由條目
創建的路由表用于轉發華東1(杭州)地域網絡實例到杭州云防火墻VPC實例(Cfw-HZ-VPC)之間的流量。
Cfw-HZ-TR-RouteTable
轉發路由器:選擇默認的路由器。
關鍵的配置項說明:
目的地址CIDR:選擇默認地址段0.0.0.0/0。
是否為黑洞路由:選擇默認選項否。
下一跳連接:選擇防火墻VPC實例Cfw-HZ-VPC。
為轉發路由器自定義路由表(Cfw-HZ-TR-RouteTable)設置關聯轉發,并為系統路由表配置路由學習。
將出云防火墻VPC的流量關聯轉發到系統路由表。
在轉發路由器路由表頁簽,單擊系統路由表。
在系統路由表詳情頁面,單擊關聯轉發。
在關聯轉發頁簽,刪除下一跳為HZ-VPC-1、HZ-VPC-2、HZ-IDC-1和HZ-BJ的關聯轉發。
您需要確認Cfw-HZ-VPC的關聯轉發是否存在,如果不存在,需要為其添加關聯轉發。
具體操作,請參見關聯轉發。
將華東1(杭州)地域的網絡實例(HZ-VPC-1、HZ-VPC-2、HZ-IDC-1)和跨地域連接的流量關聯轉發到自定義路由表。
在轉發路由器路由表頁簽,單擊路由列表中的Cfw-HZ-TR-RouteTable路由表。
在路由表詳情頁面,單擊關聯轉發,然后單擊創建關聯轉發。
在添加關聯轉發對話框,關聯轉發選擇HZ-VPC-1、HZ-VPC-2、HZ-IDC-1和HZ-BJ。
具體操作,請參見關聯轉發。
為系統路由表配置路由學習。
在轉發路由器路由表頁簽,單擊左側路由器列表中的系統路由表。
在系統路由表的路由表詳情頁面,單擊路由學習頁簽。
在路由學習頁簽,刪除HZ-BJ、Cfw-HZ-VPC。
您需要確認已存在三條路由學習,關聯連接分別為HZ-VPC-1、HZ-VPC-2、HZ-IDC-1。
具體操作,請參見路由學習。
在轉發路由條目頁簽,單擊創建路由條目,為系統路由表添加靜態路由。
配置的目的
路由條目
配置對端地域的靜態路由,實現華東1(杭州)和華北2(北京)的網絡實例跨地域互通。
關鍵配置項說明:
目的地址CIDR:選擇華北2(北京)網絡實例的地址段192.168.100.0/24(BJ-VPC-1網段)、192.168.200.0/24(BJ-VPC-2網段)、192.168.10.0/24(BJ-IDC-1網段)
是否為黑洞路由:選擇默認選項否。
下一跳連接:選擇跨地域連接實例HZ-BJ。
具體操作,請參見轉發路由器自定義路由條目。
說明為了防止0.0.0.0/0的默認路由向IDC傳播,可以為HZ-IDC-1單獨創建一張自定義路由表,并創建關聯轉發為HZ-IDC-1。根據業務情況配置云上明細路由,下一跳為Cfw-HZ-VPC。
步驟六:為北京地域的轉發路由器配置路由表
本步驟為華北2(北京)地域網絡實例(BJ-VPC-1、BJ-VPC-2、BJ-IDC-1)創建轉發路由器自定義路由表(Cfw-BJ-TR-RouteTable),并配置關聯轉發和路由學習,用于轉發華北2(北京)地域網絡實例到華北2(北京)云防火墻VPC實例(Cfw-BJ-VPC)之間的流量。
本步驟以配置BJ-VPC-1為例,您需要根據如下介紹,分別配置BJ-VPC-1、BJ-VPC-2、BJ-IDC-1。
登錄云企業網管理控制臺。在左側導航欄,單擊云企業網實例。
在云企業網實例頁面,按照下表所示,為華北2(北京)地域的網絡實例(BJ-VPC-1)創建轉發路由器自定義路由表,并為此自定義路由表創建路由條目。
單擊網絡實例,在基本信息頁簽,單擊創建轉發路由器。創建云企業網轉發路由器實例。
單擊該轉發路由器實例,在轉發路由器路由表頁簽,單擊創建路由表。為轉發路由器實例創建路由表。
單擊該路由表,在路由表詳情頁的路由條目頁簽,單擊創建路由條目。為自定義路由表創建路由條目。
按照如下表格示例規劃網絡,具體操作,請參見創建和管理路由表。
配置的目的
路由表
路由條目
創建的路由表用于轉發華北2(北京)地域網絡實例到華北2(北京)云防火墻VPC實例(Cfw-BJ-VPC)之間的流量。
Cfw-BJ-TR-RouteTable
轉發路由器:選擇默認的路由器。
關鍵的配置項說明:
目的地址CIDR:選擇默認地址段0.0.0.0/0。
是否為黑洞路由:選擇默認選項否。
下一跳連接:選擇防火墻VPC實例Cfw-BJ-VPC。
為轉發路由器自定義路由表(Cfw-BJ-TR-RouteTable)設置關聯轉發,并為系統路由表配置路由學習。
將出云防火墻VPC的流量關聯轉發到系統路由表。
在轉發路由器路由表頁簽,單擊系統路由表。
在系統路由表詳情頁面,單擊關聯轉發。
在關聯轉發頁簽,刪除下一跳為BJ-VPC-1、BJ-VPC-2、BJ-IDC-1和HZ-BJ的關聯轉發。
您需要確認Cfw-BJ-VPC的關聯轉發是否存在,如果不存在,需要為其添加關聯轉發。
具體操作,請參見關聯轉發。
將華北2(北京)地域的網絡實例(BJ-VPC-1、BJ-VPC-2、BJ-IDC-1)和跨地域連接的流量關聯轉發到自定義路由表。
在轉發路由器路由表頁簽,單擊路由列表中的Cfw-BJ-TR-RouteTable路由表。
在路由表詳情頁面,單擊關聯轉發,然后單擊創建關聯轉發。
在添加關聯轉發對話框,關聯轉發選擇BJ-VPC-1、BJ-VPC-2、BJ-IDC-1和HZ-BJ。
具體操作,請參見關聯轉發。
為系統路由表配置路由學習。
在轉發路由器路由表頁簽,單擊左側路由器列表中的系統路由表。
在系統路由表的路由表詳情頁面,單擊路由學習頁簽。
在路由學習頁簽,刪除HZ-BJ、Cfw-BJ-VPC。
您需要確認已存在三條路由學習,關聯連接分別為BJ-VPC-1、BJ-VPC-2、BJ-IDC-1。
具體操作,請參見路由學習。
在轉發路由條目頁簽,單擊創建路由條目,為系統路由表添加靜態路由。
配置的目的
路由條目
配置對端地域的靜態路由,實現華北2(北京)和華東1(杭州)的網絡實例跨地域互通。
關鍵配置項說明:
目的地址CIDR:選擇華東1(杭州)網絡實例的地址段172.16.100.0/24(HZ-VPC-1網段)、172.16.200.0/24(HZ-VPC-2網段)、172.16.10.0/24(HZ-IDC-1網段)。
是否為黑洞路由:選擇默認選項否。
下一跳連接:選擇跨地域連接實例HZ-BJ。
具體操作,請參見轉發路由器自定義路由條目。
說明為了防止0.0.0.0/0的默認路由向IDC傳播,可以為BJ-IDC-1單獨創建一張自定義路由表,并創建關聯轉發為BJ-IDC-1,根據業務情況配置云上明細路由,下一跳為Cfw-BJ-VPC。
步驟七:驗證轉發配置是否成功
當您的業務有跨VPC訪問的私網流量,您可以在日志審計的流量日志的VPC邊界防火墻,查看云企業網的跨VPC訪問的流量日志。如果有相關流量日志,代表轉發配置成功。
具體操作,請參見流量日志。