基于CEN-TR实现多种云上组网方案

简介: 基于CEN-TR可以实现灵活地组网方案,在面向不同客户业务场景可以选择不同的组网策略。本文介绍了从最简单的VPC互联到各种复杂的组网方案,适用于不同规模企业在网络组网这块的需求。



1. 核心产品

1.1 云企业网实例

云企业网实例是创建、管理一体化网络的基础资源。一个云企业网实例创建、管理一张网络,可覆盖一个或多个地域。创建云企业网实例后,将需要互通的网络实例连接到云企业网实例中,再购买带宽包,设置跨地域带宽,便可实现全球网络资源互通。

1.2 转发路由器实例

转发路由器TR(Transit Router)是云企业网的核心组件。一个云企业网实例会在每个地域创建一个转发路由器实例,一个转发路由器实例代表一台转发路由器。通过转发路由器您可以灵活的定义流量互通、隔离、引流策略,满足您多样化的组网和网络管理需求。

2. 场景设计

2.1 场景一:两个同地域VPC互通

客户两个不同应用分别部署在VPC1和VPC2中,两个应用有一些互访的需求。在网络上需要连通VPC1与VPC2。

image.png

前置条件

  • 在深圳Region下分别创建VPC1与VPC2,相关网段信息参考以下数据规划表。

  • 建议在TR组网的场景下,每个VPC规划两个单独的/29网段 vswitch作为TR-attach的landing vswitch,这样做的好处是将可以将业务流量和TR-attach的流量进行分隔,并且不占用业务VPC网段(比如业务部门需要一整个C)。

  • 在这两个VPC的业务vswitch下各创建1台ECS主机,默认这两台主机网络是不通的。

数据规划

  • 本示例2个VPC网络规划如下表所示:

VPC

交换机

交换机可用区

网段规划

ECS地址

VPC1

主网段:172.16.0.0/24

交换机1

可用区D

172.16.0.0/25

172.16.0.8

交换机2

可用区D

172.16.0.128/29

交换机3

可用区E

172.16.0.136/29

VPC2

主网段:172.16.10.0/24

交换机1

可用区D

172.16.10.0/25

172.16.10.92

交换机2

可用区D

172.16.10.128/29

交换机3

可用区E

172.16.10.136/29

  • 确保ECS所在的安全组规则允许对端VPC中的ECS实例访问。

注意事项

  • 企业版转发路由器支持的地域及可用区。查看官方链接

配置流程

image.png

步骤一:创建云企业网实例

  1. 登录云企业网管理控制台

  2. 云企业网实例页面,单击创建云企业网实例

步骤二:连接VPC实例

将要互通的网络实例,连接至企业版转发路由器。

  1. 登录云企业网管理控制台

  2. 云企业网实例页面,找到目标云企业网实例,单击目标实例ID。

  3. 基本信息页签的VPC区域,单击图标

image.png

  1. 连接网络实例页面,根据以下信息进行配置,然后单击确定创建。

配置项

配置项说明

VPC1

VPC2

实例类型

选择待连接的网络实例类型。

专有网络(VPC)

专有网络(VPC)

地域

选择待连接的网络实例所在的地域。

华南1(深圳)

华南1(深圳)

转发路由器

系统自动在该地域下创建转发路由器实例。

资源归属UID

选择待连接的网络实例所属的账号类型。

同账号

同账号

付费方式

默认值按量付费

连接名称

输入网络实例连接的名称。

VPC_1连接

VPC_2连接

网络实例

选择待连接的网络实例。

选择VPC1

选择VPC2

交换机

在转发路由器支持的可用区选择一个交换机实例。

如果您在转发路由器支持的多个可用区均拥有交换机实例,您可以同时选择多个可用区并在每个可用区下选择一个交换机实例。

  • 深圳 可用区D:选择交换机2

  • 深圳 可用区E:选择交换机3

  • 深圳 可用区D:选择交换机2

  • 深圳 可用区E:选择交换机3

高级配置

VPC1、VPC2均启用以下三项高级配置。

  • 自动关联至转发路由器的默认路由表

  • 自动传播系统路由至转发路由器的默认路由表

  • 自动为VPC的所有路由表配置指向转发路由器的路由

说明 开启高级配置后,VPC1、VPC2将会自动学习到对方的路由,实现相互通信,但无法达到流量安全互访的目的。

步骤三:测试连通性

完成上述操作后,VPC1、VPC2之间已可以按照期望的路径进行安全互访。登录到VPC1里面的ECS ping另外一个VPC里面的ECS,发现已连通。

2.2 场景二:两个VPC1与VPC2,允许VPC1访问VPC2,但VPC2不能访问VPC1

image.png

借助于云防火墙(建议推荐客户使用云防火墙)来实现,具体的配置步骤见场景五。

1.在云防火墙中配置一条防护策略(访问控制->VPC边界防火墙)

截屏2022-08-01 下午4.22.38.png

2.在VPC_01的ECS上能PING VPC_02中的ECS,但反过来不通。

3.jpg

2.3 场景三:隔离VPC使用共享服务

场景描述:三个VPC1与VPC2、VPC3,允许VPC1、VPC2都能够访问VPC3,但VPC1与VPC2之间不通。非常典型的就是生产与测试VPC不通,但运维VPC需要连通生产、测试环境。

image.png

数据规划

  • 本示例3个VPC网络规划如下表所示:

华南3地域VPC

交换机

交换机可用区

网段规划

云服务器ECS地址

VPC1

主网段:192.168.0.0/16

交换机1

可用区A

192.168.0.0/24

192.168.1.200

交换机2

可用区B

192.168.1.0/24

VPC2

主网段:172.16.0.0/16

交换机3

可用区A

172.16.0.0/24

172.16.0.212

交换机4

可用区B

172.16.1.0/24

VPC3

主网段:

10.0.0.0/16

交换机5

可用区A

10.0.0.0/24

10.0.0.92

交换机6

可用区B

10.0.1.0/24

  • 确保ECS所在的安全组规则允许对端VPC中的ECS实例访问。

配置流程

image.png

步骤一:网络规划

  • 本场景中,已经在广州地域创建了三个VPC,并在指定可用区中创建了交换机。VPC中的网段规划,见上表所示。

步骤二:配置云企业网实例

  1. 登录云企业网管理控制台

  2. 云企业网实例页面,单击创建云企业网实例

  3. 创建云企业网实例对话框,根据以下信息配置云企业网实例,然后单击确认


步骤三:创建VPC连接

将要互通的网络实例,连接至企业版转发路由器。

  1. 登录云企业网管理控制台

  2. 云企业网实例页面,找到目标云企业网实例,单击目标实例ID。

  3. 基本信息页签的VPC区域,单击图标

image.png

  1. 连接网络实例页面,根据以下信息进行配置,然后单击确定创建。

配置项

配置项说明

VPC1

VPC2

VPC3

实例类型

选择待连接的网络实例类型。

专有网络(VPC)

专有网络(VPC)

VPC

地域

选择待连接的网络实例所在的地域。

华南3(广州)

华南3(广州)

华南3(广州)

转发路由器

系统自动在该地域下创建转发路由器实例。

资源归属UID

选择待连接的网络实例所属的账号类型。

同账号

同账号

同账号

付费方式

默认值按量付费

连接名称

输入网络实例连接的名称。

VPC_1连接

VPC_2连接

VPC_3连接

网络实例

选择待连接的网络实例。

选择VPC1

选择VPC2

选择VPC3

交换机

在转发路由器支持的可用区选择一个交换机实例。

如果您在转发路由器支持的多个可用区均拥有交换机实例,您可以同时选择多个可用区并在每个可用区下选择一个交换机实例。

  • 可用区A

  • 可用区B

  • 可用区A

  • 可用区B

  • 可用区A

  • 可用区B

高级配置

只开启

  • 自动传播系统路由至转发路由器的默认路由表

只开启

  • 自动传播系统路由至转发路由器的默认路由表

只开启

  • 自动关联至转发路由器的默认路由表

  • 自动传播系统路由至转发路由器的默认路由表高级功能

说明

注意!到这一步这3个VPC之间的网络还是不通


步骤四:VPC1和VPC2关联自定义路由表

  1. 在云企业网实例详情页面,找到已创建的转发路由器,单击其实例ID。

  2. 在转发路由器详情页面,单击转发路由器路由表页签。

  3. 在页签左侧区域,单击创建路由表

  4. 创建路由表对话框,根据以下信息进行配置,然后单击确认

  • 转发路由器:系统自动选择当前地域的转发路由器。

  • 路由表名称:输入路由表名称。名称可以为空或长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)或短划线(-)。

  • 路由表描述:输入路由表描述。描述可以为空或长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)或短划线(-)。

  1. 单击返回路由表详情,返回到转发路由器路由表页签下。

  2. 转发路由器路由表页签下,选择刚刚创建的自定义路由表,单击关联转发页签,然后单击创建关联转发

  3. 添加关联转发对话框,选择要关联至该自定义路由表的网络实例连接,然后单击确定。本文示例中,分别将VPC1和VPC2关联至该自定义路由表。关联后,VPC1和VPC2将通过查询该路由表进行流量转发。

  4. 在自定义路由表详情页面,单击路由条目页签,然后单击创建路由条目

  5. 添加路由条目对话框,根据以下信息进行配置,然后单击确定

  • 路由表:系统默认选择当前自定义路由表。

  • 所属转发路由器:系统默认选择当前地域的转发路由器。

  • 路由条目名称:输入路由条目名称。名称可以为空或长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)或短划线(-)。

  • 目的地址CIDR:输入要添加的路由目标网段。本示例输入10.0.0.0/16。

  • 是否为黑洞路由:如果选择路由为黑洞路由后,所有去往该路由的流量均会被丢弃。本示例选择

  • 下一跳连接:选择路由的下一跳连接。本示例选择VPC3连接。

  • 路由条目描述:路由条目描述。描述可以为空或长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)或短划线(-)。

步骤五:为VPC添加默认路由条目

您需要在VPC控制台分别为VPC1、VPC2、VPC3添加网段为0.0.0.0/0,下一跳为转发路由器的默认路由。

  1. 登录专有网络管理控制台

  2. 在左侧导航栏,单击路由表

  3. 在顶部菜单栏,选择路由表所属的地域。

  4. 路由表页面,找到目标路由表,单击路由表的ID。本示例选择VPC3的路由表。

  5. 在路由表实例详情页面,单击路由条目列表页签下的自定义,然后单击添加路由条目

  6. 添加路由条目面板,根据以下信息配置路由条目,然后单击确定。更多参数说明,请参见添加子网路由到路由表

  • 名称:输入路由条目的名称。

  • 目标网段:输入要添加的目标网段。本示例输入0.0.0.0/0。

  • 下一跳类型:选择下一跳类型。本示例选择转发路由器

  • 转发路由器:选择目标转发路由器。本示例选择VPC3的转发路由器实例。

  1. 请重复步骤4步骤6,分别为VPC1、VPC2添加网段为0.0.0.0/0,下一跳为转发路由器的默认路由。在您完成配置后,您可以在云企业网控制台转发路由器详情页面查看VPC1、VPC2、VPC3以及转发路由器路由表的路由信息。

  1. 在转发路由器详情页面,单击网络实例路由信息,分别查看VPC1、VPC2和VPC3的路由。

  1. 在转发路由器详情页面,单击网络实例路由信息

  2. 网络实例后面,选择VPC1、VPC2或VPC3的实例ID,查看路由。

图 1. VPC3的路由

截屏2022-07-31 下午7.03.02.png

b. 您可以在转发路由器路由表页签下,查看转发路由器默认路由表已学习到的VPC1、VPC2、VPC3的路由。

  1. 在转发路由器详情页面,单击转发路由器路由表

  2. 转发路由器路由表页签下,查看路由表路由条目。

步骤六:测试验证

2.4 场景四:安全VPC场景

场景案例:某企业在阿里云中国(香港)地域已经部署了3个VPC,其中VPC_A部署有安全管控服务,3个VPC之间互不相通。出于业务发展和网络环境安全性考虑,企业希望VPC_B和VPC_C之间可以相互通信,且VPC_B和VPC_C之间的访问流量,需先经过VPC_A中的安全管控服务过滤后,再进行通信。在金融企业组网中特别常见。

image.png

说明

注意:场景四介绍的是基于第三方软件防火墙。

前提条件

  • VPC_A需拥有至少2个交换机实例,1个交换机实例用于连接企业版转发路由器,另外1个交换机实例部署安全管控服务,用于过滤访问流量。本示例中,VPC_A中拥有3个交换机实例,交换机1和交换机2用于连接企业版转发路由器,交换机3用于部署安全管控服务。

数据规划

  • 本示例3个VPC网络规划如下表所示:

VPC

交换机

交换机可用区

网段规划

ECS地址

VPC_A

主网段:10.1.0.0/16

交换机1

可用区B

10.1.0.0/24

10.1.2.114

交换机2

可用区C

10.1.1.0/24

交换机3 (部署安全管控服务)

可用区B

10.1.2.0/24

VPC_B

主网段:10.2.0.0/16

交换机1

可用区B

10.2.0.0/24

10.2.2.89

交换机2

可用区C

10.2.1.0/24

交换机3

可用区C

10.2.2.0/24

VPC_C

主网段:10.3.0.0/16

交换机1

可用区B

10.3.0.0/24

10.3.2.201

交换机2

可用区C

10.3.1.0/24

交换机3

可用区C

10.3.2.0/24

配置流程

image.png

步骤一:配置云企业网实例

  1. 登录云企业网管理控制台

  2. 云企业网实例页面,单击创建云企业网实例

  3. 创建云企业网实例对话框,根据以下信息配置云企业网实例,然后单击确认

步骤二:创建VPC连接

将要互通的网络实例,连接至企业版转发路由器。

  1. 登录云企业网管理控制台

  2. 云企业网实例页面,找到目标云企业网实例,单击目标实例ID。

  3. 基本信息页签的VPC区域,单击图标

image.png

  1. 连接网络实例页面,根据以下信息进行配置,然后单击确定创建。

配置项

配置项说明

VPC1

VPC2

VPC3

实例类型

选择待连接的网络实例类型。

专有网络(VPC)

专有网络(VPC)

VPC

地域

选择待连接的网络实例所在的地域。

中国香港

中国香港

中国香港

转发路由器

系统自动在该地域下创建转发路由器实例。

资源归属UID

选择待连接的网络实例所属的账号类型。

同账号

同账号

同账号

付费方式

默认值按量付费

连接名称

输入网络实例连接的名称。

VPC_1连接

VPC_2连接

VPC_3连接

网络实例

选择待连接的网络实例。

选择VPC1

选择VPC2

选择VPC3

交换机

在转发路由器支持的可用区选择一个交换机实例。

如果您在转发路由器支持的多个可用区均拥有交换机实例,您可以同时选择多个可用区并在每个可用区下选择一个交换机实例。

选择交换机1、2

选择交换机1、2

选择交换机1、2

高级配置

VPC_A、VPC_B、VPC_C均不启用以下三项高级配置。

  • 自动关联至转发路由器的默认路由表

  • 自动传播系统路由至转发路由器的默认路由表

  • 自动为VPC的所有路由表配置指向转发路由器的路由

开启高级配置后,VPC_A、VPC_B和VPC_C将会自动学习到对方的路由,实现相互通信,但无法达到流量安全互访的目的。因此,本示例不启用VPC的高级配置,后续步骤通过手动创建路由表、添加路由条目等方式,自定义网络实例的连通性,以实现流量的安全互访。

步骤三:为VPC创建路由条目

在VPC_A、VPC_B和VPC_C中添加路由条目,引导VPC的流量进入企业版转发路由器,在企业版转发路由器中引导和管理流量实现流量的安全互访。

  1. 登录专有网络管理控制台

  2. 在顶部菜单栏,选择路由表所属的地域。

  3. 为VPC_B和VPC_C添加自定义路由条目。分别在VPC_B和VPC_C的系统路由表中添加目标网段为0.0.0.0/0,下一跳为转发路由器的路由条目,使VPC_B和VPC_C的访问流量均被转发至企业版转发路由器。

  1. 在左侧导航栏,单击路由表

  2. 路由表页面,找到目标路由表,单击路由表实例ID。本示例找到VPC_B的系统路由表。

  3. 路由条目列表页签下单击自定义路由条目页签,然后单击添加路由条目

  4. 添加路由条目面板,配置以下信息,然后单击确定

  • 名称:输入自定义路由条目的名称。

  • 目标网段:本示例输入0.0.0.0/0。

  • 下一跳类型:本示例选择转发路由器

  • 转发路由器:本示例选择VPC_B关联的转发路由器实例。

  1. 请重复上述步骤,在VPC_C的系统路由表中添加相同的路由条目,配置信息如下。

  • 目标网段:本示例输入0.0.0.0/0。

  • 下一跳类型:本示例选择转发路由器

  • 转发路由器:本示例选择VPC_C关联的转发路由器实例。

  1. 为VPC_A创建三张自定义路由表,分别命名为routetable1、routetable2和routetable3。具体操作,请参见创建自定义路由表

  2. 绑定交换机和自定义路由表。具体操作,请参见绑定交换机和路由表。在本示例中,将VPC_A中的交换机1绑定路由表routetable1、交换机2绑定路由表routetable2、交换机3绑定路由表routetable3。

  3. 在VPC_A的自定义路由表中添加路由条目。创建完成后,各个VPC中新添加的路由条目的信息如下表所示:

  1. 路由表页面,选择已创建的一张路由表,单击路由表实例ID。本示例选择与交换机1绑定的自定义路由表routetable1。

  2. 路由条目列表页签下单击自定义路由条目页签,然后单击添加路由条目

  3. 添加路由条目面板,配置以下信息,然后单击确定

  • 名称:输入自定义路由条目的名称。

  • 目标网段:本示例输入0.0.0.0/0。

  • 下一跳类型:本示例选择ECS实例

  • 资源组:本示例选择全部

  • ECS实例:本示例选择VPC_A中交换机3下的安全管控ECS实例。

  1. 请重复上述步骤和配置,在交换机2的自定义路由表routetable2中添加相同的路由条目。

  2. 请重复上述步骤,在交换机3的自定义路由表routetable3中添加路由条目,其中交换机3的路由条目信息如下:

  • 目标网段:本示例输入0.0.0.0/0。

  • 下一跳类型:本示例选择转发路由器

  • 转发路由器:本示例选择VPC_A关联的转发路由器实例。

网络实例

路由表名称

路由表关联的交换机

路由条目

下一跳

VPC_A

routetable1

交换机1

0.0.0.0/0

交换机3中的ECS实例

routetable2

交换机2

0.0.0.0/0

交换机3中的ECS实例

routetable3

交换机3

0.0.0.0/0

VPC_A关联的转发路由器实例

VPC_B

系统路由表

  • 交换机1

  • 交换机2

  • 交换机3

0.0.0.0/0

VPC_B关联的转发路由器实例

VPC_C

系统路由表

  • 交换机1

  • 交换机2

  • 交换机3

0.0.0.0/0

VPC_C关联的转发路由器实例

步骤四:在转发路由器中配置路由

VPC的流量进入企业版转发路由器后,在企业版转发路由器通过创建路由表、添加路由条目等方式自定义连通性,引导VPC_B和VPC_C的流量进入VPC_A,并将经过VPC_A过滤后的流量引导至目的地。

  1. 登录云企业网管理控制台

  2. 云企业网实例页面,单击目标实例ID。

  3. 基本信息 > 转发路由器页签,找到已创建的企业版转发路由器实例,单击实例ID。

  4. 转发路由器路由表页签下,为企业版转发路由器创建两张自定义路由表,分别命令为TR_routetable1和TR_routetable2。具体操作,请参见自定义路由表

  5. 将VPC_B连接和VPC_C连接关联至企业版转发路由器的自定义路由表并为其配置路由条目。完成上述操作后,VPC_B和VPC_C的所有访问流量将被转发到VPC_A。

  1. 转发路由器路由表页签下,选择自定义路由表TR_routetable1,单击关联转发页签,然后单击创建关联转发

  2. 添加关联转发对话框,选择要关联至该自定义路由表的网络实例连接,然后单击确定。本示例中,请将VPC_B连接和VPC_C连接关联至该自定义路由表。

  3. 保持在该路由表详情页面,单击路由条目页签,然后单击创建路由条目

  4. 添加路由条目对话框,根据以下信息进行配置,然后单击确定。更多信息,请参见转发路由器自定义路由条目

  • 目的地址CIDR:本示例输入0.0.0.0/0。

  • 是否为黑洞路由:如果选择路由为黑洞路由后,所有去往该路由的流量均会被丢弃。本示例选择

  • 下一跳连接:本示例选择VPC_A连接。

  1. 为VPC_A关联自定义路由表并配置路由条目。创建完成后,企业版转发路由器的路由条目信息如下表所示:

  1. 转发路由器路由表页签下,选择自定义路由表TR_routetable2,单击关联转发页签,然后单击创建关联转发

  2. 添加关联转发对话框,选择要关联至该自定义路由表的网络实例连接,然后单击确定。本示例中,请将VPC_A连接关联至该自定义路由表。

  3. 保持在该路由表详情页面,单击路由学习页签,然后单击创建路由学习

  4. 添加路由学习对话框,选择该路由表要学习其路由的网络实例连接,然后单击确定。本示例中,请将VPC_B连接和VPC_C连接关联至该路由表。关联后,该路由表将能学习到VPC_B和VPC_C的路由。VPC_A通过查询该路由表和VPC_B及VPC_C互通。

路由表名称

目标网段

下一跳

TR_routetable1

0.0.0.0/0

VPC_A连接

TR_routetable2

10.2.0.0/24

VPC_B连接

10.2.1.0/24

VPC_B连接

10.2.2.0/24

VPC_B连接

10.3.0.0/24

VPC_C连接

10.3.1.0/24

VPC_C连接

10.3.2.0/24

VPC_C连接

步骤五:测试连通性

完成上述操作后,VPC_A、VPC_B和VPC_C之间已可以按照期望的路径进行安全互访,以下内容为您介绍如何测试VPC实例之间的连通性。

经过上述配置,发现VPC_A里面的ecs能够与VPC_B、C互访。但VPC_B里面的ECS无法访问VPC_C。

在VPC_A的ECS主机配置转发

echo 1 > /proc/sys/net/ipv4/ip_forward

通过这个配置之后,就可以实现VPC_B与VPC_C之间互访。

注意!如果客户准备使用第三方商业防火墙,可以使用场景四的方案。

2.5 场景五:TR + 云防火墙防护VPC之间的流量

场景描述:转发路由器TR(Transit Router),可以手动配置转发路由器与VPC边界防火墙之间的互访路由,实现VPC边界防火墙对转发路由器连接的VPC之间的所有流量进行防护。

image.png

注意!这个适合于使用阿里云防火墙来实现安全VPC。

前提条件

  1. 已在云企业网控制台创建了云企业网实例,且创建了两个专有网络VPC(本文中分别以VPC-01VPC-02为例)。具体操作,请参见创建云企业网实例

  2. 已在专有网络控制台手动创建了VPC边界防火墙的VPC实例(本文中以Cfw-TR-manual-VPC为例),且为该VPC实例创建了3个交换机(其中2个交换机提供给TR网络实例连接使用,可用区与TR网络实例连接的主备可用区保持一致。本文示例中命名分别为TR-Vswitch-01和TR-VSwitch-02,1个交换机提供给创建VPC边界防火墙的时候使用,本文示例中命名为Cfw-Vswitch)。

  3. 已在专有网络控制台为Cfw-TR-manual-VPC创建自定义路由表(本文中以VPC-CFW-RouteTable为例)。

数据规划

  • 本示例3个VPC网络规划如下表所示:

VPC

交换机

交换机可用区

网段规划

ECS地址

Cfw-TR-manual-VPC

主网段:10.1.0.0/16

TR-Vswitch-01

可用区G

10.1.0.0/24

TR-Vswitch-02

可用区F

10.1.1.0/24

Cfw-Vswitch (创建VPC边界防火墙)

可用区G

10.1.2.0/24

VPC_01

主网段:10.2.0.0/16

交换机1

可用区G

10.2.0.0/24

10.2.2.89

交换机2

可用区F

10.2.1.0/24

交换机3(部署业务)

可用区F

10.2.2.0/24

VPC_02

主网段:10.3.0.0/16

交换机1

可用区G

10.3.0.0/24

10.3.2.201

交换机2

可用区F

10.3.1.0/24

交换机3(部署业务)

可用区F

10.3.2.0/24

步骤一:创建VPC连接

  1. 登录云企业网管理控制台

  2. 云企业网实例页面,定位到需要引流到云防火墙VPC边界防火墙的云企业网实例,并单击实例ID。

  3. 基本信息页签的VPC区域,单击图标

image.png

  1. 连接网络实例页面,根据以下信息进行配置,然后单击确定创建。

配置项

配置项说明

VPC_01

VPC_02

Cfw-TR-manual-VPC

实例类型

选择待连接的网络实例类型。

专有网络(VPC)

专有网络(VPC)

VPC

地域

选择待连接的网络实例所在的地域。

上海

上海

上海

转发路由器

系统自动在该地域下创建转发路由器实例。

资源归属UID

选择待连接的网络实例所属的账号类型。

同账号

同账号

同账号

付费方式

默认值按量付费

连接名称

输入网络实例连接的名称。

VPC_1连接

VPC_2连接

cfw-tr

网络实例

选择待连接的网络实例。

选择VPC_01

选择VPC_02

选择

Cfw-TR-manual-VPC

交换机

在转发路由器支持的可用区选择一个交换机实例。

如果您在转发路由器支持的多个可用区均拥有交换机实例,您可以同时选择多个可用区并在每个可用区下选择一个交换机实例。

选择交换机1、2

选择交换机1、2

选择交换机

TR-Vswitch-01、

TR-Vswitch-02

高级配置

这三个VPC启用以下三项高级配置。

  • 自动关联至转发路由器的默认路由表

  • 自动传播系统路由至转发路由器的默认路由表

  • 自动为VPC的所有路由表配置指向转发路由器的路由

可以先开启,后面配置过程中会删除部分路由。


步骤二:创建VPC边界防火墙

在云防火墙控制台防火墙开关 > 防火墙开关页面的VPC边界防火墙页签,单击云企业网定位到网络实例Cfw-TR-manual-VPC,单击操作创建。创建该VPC边界防火墙时,路由模式选择手动专有网络选择Cfw-TR-manual-VPC、交换机选择Cfw-Vswitch。入侵防御保持默认选项。相关内容,请参见为云企业网创建VPC边界防火墙

说明 完成此步骤后,您会拥有1个弹性网卡(在ECS控制台的网络与安全 > 弹性网卡页面,系统默认分配名称为cfw-bonding-eni的网卡)。

步骤三:为VPC-01和VPC-02创建路由

本步骤为云企业网和VPC边界防火墙之间的流量创建路由。

  1. 登录云企业网管理控制台

  2. 云企业网实例页面,定位到需要引流到云防火墙VPC边界防火墙的云企业网实例,并单击实例ID。

  3. 在该云企业网实例页面的转发路由器列表,单击路由表列下的数字,打开转发路由器路由表页签。

  4. 单击转发路由器路由表页签左侧的创建路由表。在创建路由表对话框,配置路由表的信息。转发路由器选择默认的路由器。本示例中路由表名称设置为Cfw-TR-RouteTable。新增的路由表Cfw-TR-RouteTable用于转发VPC-01和VPC-02到VPC边界防火墙Cfw-TR-manual-VPC之间的流量。

  5. 定位到Cfw-TR-RouteTable路由表,单击创建路由条目。在添加路由条目对话框,配置路由条目的信息。配置项说明:本操作完成后,来自云企业网自定义路由表Cfw-TR-RouteTable的流量会默认指向VPC防火墙。

  • 目的地址:选择默认地址段0.0.0.0/0

  • 是否为黑洞路由:选择默认选项

  • 下一跳连接:选择防火墙VPC实例Cfw-TR-manual-VPC。

  1. 转发路由器路由表页签,单击左侧路由表列表中的系统路由表,然后在路由表详情页签,单击关联转发

  2. 关联转发页签,删除下一跳为VPC-01和VPC-02的关联转发(步骤一中选择的高级选项)。然后在转发路由器路由表页签,单击左侧路由表列表中Cfw-TR-RouteTable路由表。

  3. 路由表详情页面,单击关联转发,然后单击创建关联转发

  4. 添加关联转发页面,关联转发选择VPC-01和VPC-02,单击确定保存该关联转发设置。本操作完成后,两个VPC的流量关联转发到Cfw-TR-RouteTable。

  5. 转发路由器页面,单击左侧路由器列表中的系统路由表。

  6. 在系统路由表的路由表详情页签中,单击路由学习页签。

  7. 路由学习页签,创建两条路由学习,关联连接分别选择VPC-01和VPC-02。本操作会为系统路由表创建路由学习,自动同步VPC-01和VPC-02的路由。路由学习创建完成后,您可以在路由条目页签查看自动学习的路由信息。

  8. 在当前的系统路由表的路由表详情页面,单击关联转发页签。

  9. 关联转发页签,单击创建关联转发

  10. 添加关联转发对话框,选择Cfw-TR-manual-VPC

本步骤完成后,云企业网路由配置完成,流量牵引到VPC边界防火墙的VPC实例上。

步骤四:添加VPC路由表到VPC边界防火墙

本步骤将防火墙VPC实例的路由引流到VPC边界防火墙上。

  1. 登录专有网络管理控制台

  2. 路由表页面,打开路由表VPC-CFW-RouteTable,在已绑定交换机页签,单击绑定交换机。其中交换机选择Cfw-Vswitch。然后单击确定

  3. 路由条目列表页签,选择自定义路由条目页签。单击添加路由条目,配置路由条目信息。关键配置项说明:本操作完成后,VPC边界防火墙出方向的流量会通过子网路由表转发到云企业网转发路由器TR。

  • 目标网段:选择0.0.0.0/0

  • 下一跳类型:选择转发路由器

  • 转发路由器:选择默认项,即VPC防火墙的网络实例连接。

  1. 在路由表列表页面,选择防火墙VPC实例的系统路由表。

  2. 路由条目列表,单击自定义页签。

  3. 单击添加自定义路由条目,配置路由条目信息。关键配置项说明:

  • 目标网段:选择0.0.0.0/0。

  • 下一跳类型:选择辅助弹性网卡

  • 辅助弹性网卡:选择Cfw-bonding-eni

  1. 自定义页签,单击其他自定义路由条目操作删除,删除其他自定义路由条目。本步骤完成后,来自防火墙VPC实例的流量会牵引到云防火墙实例上。(步骤一因为高级选项在这一步将其删除)

步骤五:验证转发配置是否成功

在VPC_01与VPC_02中各创建一台ECS来做验证。

  1. 先在云防火墙->访问控制->VPC边界防火墙配置一条策略

2.jpg

  1. 在VPC_01的ECS上面去telnet VPC_02中的ECS主机。然后在云防火墙日志审计中可以看到对应的日志。

1.jpg

这样的话,就可以非常灵活地控制2个VPC之间的访问流量了。

3. 总结

基于TR还可以组建复杂的企业级组网方案,支持跨地互联、混合云、多云等场景。再结合云生的防火墙产品,可以确保网络安全、可防、可控,让企业的网络更地灵活、安全。

4. 参考链接

链接1

链接2

链接3

作者介绍
目录