全部产品
Search

搜索本产品

    Cloud Firewall:Melindungi lalu lintas antar VPC yang terhubung menggunakan Router transit CEN

    文档中心

    Cloud Firewall:Melindungi lalu lintas antar VPC yang terhubung menggunakan Router transit CEN

    更新时间:Oct 25, 2025

    Jika Anda menggunakan Router Transit Cloud Enterprise Network (CEN), Anda harus secara manual mengonfigurasi perutean antara router transit dan firewall Virtual Private Cloud (VPC) sebelum dapat menggunakan firewall VPC untuk melindungi lalu lintas antar VPC dan virtual border router (VBR) yang terhubung menggunakan router transit. Topik ini menjelaskan cara mengonfigurasi perutean antara Router Transit CEN (TR) dan firewall VPC.

    Ruang lingkup aplikasi

    Cloud Firewall dapat melindungi lalu lintas antar instans jaringan yang terhubung menggunakan Router Transit CEN. Instans jaringan tersebut mencakup VPC, VBR, instans Cloud Connect Network (CCN), dan gateway VPN.

    Jika Anda ingin melindungi lalu lintas antar VPC di wilayah yang sama menggunakan firewall VPC, Anda dapat mengikuti prosedur dalam topik ini.

    Prasyarat

    Instans CEN telah dibuat di Konsol CEN. Tiga VPC telah dibuat, yaitu VPC1, VPC2, dan DMZ VPC. Dua VBR juga telah dibuat, yaitu IDC-1 dan IDC-2. Untuk informasi lebih lanjut, lihat Instans CEN.

    Dalam topik ini, lalu lintas antara VPC lainnya dan masing-masing instans jaringan berikut dilindungi oleh Cloud Firewall: VPC1, IDC-1, dan IDC-2. Lalu lintas antara VPC2 dan DMZ VPC tidak dilindungi oleh Cloud Firewall. Lalu lintas dari VPC atau pusat data mana pun ke 0.0.0.0/0 pada rute default tidak dilindungi oleh Cloud Firewall.

    Langkah 1: Buat VPC untuk firewall VPC

    Firewall VPC memerlukan VPC. Oleh karena itu, Anda harus membuat VPC untuk firewall VPC.

    1. Masuk ke Konsol VPC.

    2. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat VPC dan klik Create VPC.

    3. Pada halaman Create VPC, konfigurasikan parameter berikut dan klik OK.

      Parameter

      Deskripsi

      Region

      Pilih wilayah tempat Anda ingin mengaktifkan firewall VPC.

      Name

      Masukkan nama untuk VPC. Dalam contoh ini, masukkan FW VPC.

      IPv4 CIDR Block

      Tentukan blok CIDR IPv4 utama untuk VPC. Mask subnet blok CIDR harus memiliki panjang minimal 26 bit, dan blok CIDR tidak boleh bertentangan dengan blok CIDR yang digunakan dalam beban kerja Anda.

      vSwitch

      Tentukan vSwitch yang dapat Anda hubungkan ke router transit. Mask subnet setiap blok CIDR harus memiliki panjang minimal 28 bit.

      Anda perlu menentukan dua vSwitch untuk terhubung ke router transit dan memilih dua zona berbeda yang mendukung router transit. Kami sarankan Anda memilih zona tempat beban kerja Anda diterapkan untuk mengurangi latensi. Anda juga perlu menentukan vSwitch untuk firewall VPC, dan Anda dapat memilih zona apa saja untuk vSwitch ini.

      Dalam contoh ini, tentukan vSwitch utama bernama TR-Vswitch-01 dan vSwitch sekunder bernama TR-VSwitch-02 untuk router transit, dan vSwitch bernama Cfw-Vswitch untuk firewall VPC.

    4. Pada halaman VPC, temukan dan klik ID VPC yang telah dibuat bernama FW VPC.

    5. Pada halaman yang muncul, klik tab Resource Management, arahkan kursor ke Tabel Rute, dan klik Add di bawah Route Table. Sebagai alternatif, Anda dapat pergi ke halaman Route Tables dan klik Create Route Table.

    6. Pada halaman Create Route Table, konfigurasikan parameter berikut untuk membuat tabel rute dan klik OK.

      Parameter

      Deskripsi

      VPC

      Pilih VPC yang dibuat pada langkah sebelumnya. Dalam contoh ini, pilih FW VPC.

      Associated Resource Type

      Pilih vSwitch sebagai jenis sumber daya yang dapat dikaitkan dengan tabel rute.

      Name

      Masukkan nama untuk tabel rute. Dalam contoh ini, masukkan VPC-CFW-RouteTable.

    Langkah 2: Hubungkan VPC yang dibuat ke router transit

    Langkah ini membangun koneksi antara VPC yang dibuat bernama FW VPC dan Router Transit Edisi Perusahaan.

    1. Masuk ke Konsol CEN.

    2. Pada halaman Instances, temukan instans CEN yang lalu lintasnya ingin Anda alihkan ke firewall VPC dan klik ID instans tersebut.

    3. Pada tab Basic Information, temukan Router Transit CEN dan klik Create Connection di kolom Actions, atau klik ikon 添加图标 di sebelah kanan VPC di bagian atas tab.

    4. Pada halaman Connection with Peer Network Instance, konfigurasikan parameter.

      Tabel berikut menjelaskan parameter penting.

      Parameter

      Deskripsi

      Network Type

      Jenis instans jaringan yang ingin Anda hubungkan ke instans CEN. Dalam contoh ini, pilih VPC.

      Region

      Wilayah tempat instans jaringan berada. Dalam contoh ini, pilih wilayah yang Anda tentukan saat membuat FW VPC.

      Network Instance

      Instans jaringan yang ingin Anda hubungkan ke instans CEN. Dalam contoh ini, pilih ID FW VPC.

      VSwitch

      vSwitch yang dapat Anda asosiasikan dengan instans jaringan. Dalam contoh ini, pilih TR-Vswitch-01 sebagai vSwitch utama dan TR-VSwitch-02 sebagai vSwitch sekunder.

      Untuk informasi lebih lanjut tentang parameter lainnya, lihat Gunakan Router Transit Edisi Perusahaan.

    Langkah 3: Hubungkan VPC dan VBR ke router transit

    Langkah ini secara terpisah membangun koneksi antara router transit dan masing-masing instans jaringan berikut: VPC1, VPC2, DMZ VPC, IDC-1, dan IDC-2. Dengan cara ini, VPC dan VBR terhubung ke instans CEN.

    Untuk informasi lebih lanjut, lihat Gunakan Router Transit Edisi Perusahaan.

    Langkah 4: Buat firewall VPC

    Langkah ini membuat firewall VPC untuk FW VPC.

    Untuk membuat firewall VPC, masuk ke Konsol Cloud Firewall. Di bilah navigasi kiri, pilih Firewall Settings > VPC Firewall > CEN (Enterprise Edition). Pada tab CEN (Edisi Perusahaan), temukan router transit yang diperlukan dan klik Create di kolom Actions. Dalam kotak dialog Buat Firewall VPC, pilih Manual untuk Traffic Redirection Mode, FW VPC untuk VPC, dan Cfw-Vswitch untuk vSwitch. Untuk informasi lebih lanjut, lihat Konfigurasikan Firewall VPC untuk Router Transit Edisi Perusahaan.

    Penting

    • VPC untuk firewall dan CEN-TR harus milik akun yang sama. Jika tidak, firewall VPC tidak dapat dibuat.

    • Setelah langkah ini, Cloud Firewall membuat Elastic Network Interface (ENI) di Cfw-Vswitch untuk mengalihkan lalu lintas. Anda dapat melihat ENI ini di Konsol ECS. Buka halaman Network & Security > Elastic Network Interfaces. Secara default, antarmuka jaringan dinamai `cfw-bonding-eni`. ENI virtual digunakan untuk pengalihan dan routing lalu lintas, sementara firewall mengikat beberapa antarmuka jaringan virtual di berbagai zona ketersediaan untuk memastikan ketersediaan kluster tinggi. Dalam mode pengalihan lalu lintas manual, kluster firewall menggunakan pola aktif-aktif secara default di dua zona ketersediaan yang dialokasikan otomatis untuk menyediakan ketersediaan tinggi.

    Langkah 5: Konfigurasikan rute untuk FW VPC

    Langkah ini membuat rute untuk mengarahkan lalu lintas yang diteruskan oleh router transit ke FW VPC ke firewall VPC dan kemudian mengarahkan lalu lintas yang diproses oleh firewall VPC ke router transit.

    1. Masuk ke Konsol VPC atau .

    2. Pada halaman Route Tables, klik tabel rute sistem yang dibuat untuk FW VPC.

    3. Pada tab Route Entry List, klik tab Custom Route.

    4. Klik Add Route Entry dan konfigurasikan parameter. Jika ada rute kustom lainnya, hapus rute kustom tersebut.

      Deskripsi parameter:

      • Destination CIDR Block: Tentukan 0.0.0.0/0.

      • Next Hop Type: Pilih ENI.

      • ENI: Pilih Cfw-bonding-eni, yang dibuat pada Langkah 4.

      Setelah langkah ini selesai, lalu lintas yang diteruskan oleh router transit ke FW VPC dialihkan ke firewall VPC.

    5. Pada halaman Route Tables, klik tabel rute kustom VPC-CFW-RouteTable yang Anda buat. Pada halaman yang muncul, klik tab Associated vSwitch dan klik Associate vSwitch. Dalam kotak dialog Asosiasikan vSwitch, pilih Cfw-Vswitch untuk vSwitch. Lalu, klik OK.

    6. Pada tab Route Entry List, klik tab Custom Route. Klik Add Route Entry dan konfigurasikan parameter. Jika ada rute kustom lainnya, hapus rute kustom tersebut.

      Deskripsi parameter:

      • Destination CIDR Block: Tentukan 0.0.0.0/0.

      • Next Hop Type: Pilih Transit Router.

      • Transit Router: Pilih router transit tempat firewall VPC dibuat.

      Setelah langkah ini selesai, lalu lintas yang diproses oleh firewall VPC diteruskan ke router transit.

    Langkah 6: Konfigurasikan rute untuk router transit

    Langkah ini membuat rute untuk VPC-01, VPC-02, dan Cfw-TR-manual-VPC untuk mengizinkan lalu lintas antara VPC-01 dan VPC-02 melewati firewall VPC.

    1. Masuk ke Konsol CEN.

    2. Masuk ke Konsol CEN, dan temukan serta klik router transit tempat Anda ingin mengaktifkan firewall VPC. Tab Route Table akan muncul.

    3. Buat tabel rute bernama Cfw-Untrust-RouteTable dan Cfw-Trust-RouteTable.

      1. Pada tab Route Table, klik Create Route Table.

      2. Dalam kotak dialog Create Route Table, konfigurasikan parameter untuk tabel rute Cfw-Untrust-RouteTable dan Cfw-Trust-RouteTable.

        Transit Router: Pilih router transit tempat Anda ingin mengaktifkan firewall VPC.

        Catatan

        • Tabel rute Cfw-Untrust-RouteTable digunakan untuk meneruskan lalu lintas dari VPC1, IDC-1, dan IDC-2 ke FW VPC.

        • Tabel rute Cfw-Trust-RouteTable digunakan untuk meneruskan lalu lintas dari FW VPC ke VPC1, VPC2, DMZ VPC, IDC-1, dan IDC-2.

    4. Konfigurasikan tabel rute Cfw-Trust-RouteTable.

      Setelah operasi ini selesai, tabel rute Cfw-Trust-RouteTable secara otomatis mempelajari rute dari VPC1, VPC2, DMZ VPC, IDC-1, dan IDC-2, serta lalu lintas dari FW VPC diteruskan berdasarkan tabel rute Cfw-Trust-RouteTable.

      1. Klik tabel rute Cfw-Trust-RouteTable yang Anda buat. Di bagian kanan, klik tab Route Propagation.

      2. Pada tab Route Propagation, klik Enable Route Propagation.

      3. Dalam kotak dialog Enable Route Propagation, pilih VPC1, VPC2, DMZ VPC, IDC-1, dan IDC-2 untuk Lampiran, lalu klik OK.

        Setelah pembelajaran rute diaktifkan, Anda dapat melihat informasi tentang rute yang dipelajari sistem pada tab Route Entry.

      4. Pada tab Route Table, klik tabel rute sistem di daftar tabel rute sisi kiri. Di bagian Route Table Details, klik tab Route Table Association.

      5. Pada tab Route Table Association, klik tabel rute Cfw-Trust-RouteTable yang Anda buat. Pada tab Route Table Association, klik Create Association.

      6. Dalam kotak dialog Add Association, pilih FW VPC untuk Association. Lalu, klik OK.

    5. Konfigurasikan tabel rute Cfw-Untrust-RouteTable.

      Setelah operasi ini selesai, lalu lintas diteruskan ke FW VPC berdasarkan tabel rute Cfw-Untrust-RouteTable.

      1. Klik tabel rute Cfw-Untrust-RouteTable yang Anda buat. Di bagian kanan, klik tab Route Entry.

      2. Pada tab Route Entry, klik Add Route Entry.

      3. Dalam kotak dialog Add Route Entry, konfigurasikan parameter.

        Deskripsi parameter:

        • Destination CIDR: Pertahankan nilai default 10.0.0.0/8.

        • Blackhole Route: Pertahankan nilai default No.

        • Next Hop: Pilih FW VPC.

      4. Ulangi langkah-langkah sebelumnya untuk menambahkan rute berikut:

        • Rute dengan CIDR Tujuan 172.16.0.0/12 dan Hop Berikutnya adalah FW VPC.

        • Rute dengan CIDR Tujuan 192.168.0.0/16 dan Hop Berikutnya adalah FW VPC.

        • Rute dengan CIDR Tujuan 61.20.0.0/16 dan Hop Berikutnya adalah FW VPC.

        • Rute dengan CIDR Tujuan 0.0.0.0/0 dan Hop Berikutnya adalah DMZ VPC.

    6. Konfigurasikan tabel rute sistem untuk mengizinkan lalu lintas yang ditujukan ke VPC1, IDC-1, dan IDC-2 melewati Cloud Firewall.

      Peringatan

      Saat melakukan operasi ini, lalu lintas mungkin terganggu. Kami sarankan Anda melakukan operasi ini selama jam non-puncak atau selama jendela perubahan.

      1. Pada tab Route Table, klik tabel rute sistem di daftar tabel rute di sebelah kiri. Di bagian kanan, klik tab Route Propagation.

      2. Pada tab Route Propagation, hapus korelasi pembelajaran rute yang dibuat untuk VPC1, IDC-1, FW VPC, dan IDC-2.

        Setelah operasi ini selesai, tabel rute sistem hanya menyimpan korelasi pembelajaran rute yang dibuat untuk VPC2 dan DMZ VPC. Anda dapat melihat informasi tentang rute yang dipelajari sistem secara otomatis pada tab Entri Rute.

      3. Pada tab Route Entry, klik Add Route Entry.

      4. Dalam kotak dialog Add Route Entry, tambahkan rute berikut:

        • Rute dengan CIDR Tujuan 10.0.0.0/24 (VPC1) dan Hop Berikutnya adalah FW VPC.

        • Rute dengan CIDR Tujuan 172.16.0.0/12 (IDC-1) dan Hop Berikutnya adalah FW VPC.

        • Rute dengan CIDR Tujuan 61.20.0.0/16 (IDC-2) dan Hop Berikutnya adalah FW VPC.

    7. Ubah asosiasi pengalihan terkait untuk mengizinkan lalu lintas dari VPC1, IDC-1, dan IDC-2 ke VPC lainnya melewati Cloud Firewall.

      Setelah operasi ini selesai, lalu lintas dari VPC1, IDC-1, dan IDC-2 diteruskan berdasarkan tabel rute Cfw-Untrust-RouteTable.

      Peringatan

      Saat melakukan operasi ini, lalu lintas mungkin terganggu. Kami sarankan Anda melakukan operasi ini selama jam non-puncak atau selama jendela perubahan.

      1. Pada tab Route Table Association dari tabel rute sistem, hapus asosiasi pengalihan terkait yang dibuat untuk VPC1, IDC-1, dan IDC-2.

      2. Pada tab Route Table Association dari tabel rute Cfw-Untrust-RouteTable, klik Create Association.

      3. Dalam kotak dialog Add Association, pilih VPC1, IDC-1, dan IDC-2 untuk Association. Lalu, klik OK.

      4. Pada tab Route Table Association, klik Create Association.

      5. Dalam kotak dialog Add Association, pilih VPC1, IDC-1, dan IDC-2 untuk Association. Lalu, klik OK.

    Setelah langkah ini selesai, rute antara instans CEN dan FW VPC telah dibuat, dan lalu lintas dapat diteruskan ke FW VPC.

    Langkah 7: Periksa apakah konfigurasi pengalihan berhasil

    Anda dapat memeriksa apakah log lalu lintas instans CEN ditampilkan pada tab Log Lalu Lintas. Jika log lalu lintas ditampilkan, konfigurasi pengalihan berhasil. Contoh:

    • VPC1 dan VPC2 dapat berkomunikasi satu sama lain, dan log lalu lintas ditampilkan.

    • VPC2 dan DMZ VPC dapat berkomunikasi satu sama lain, tetapi tidak ada log lalu lintas yang ditampilkan.

    Untuk informasi lebih lanjut, lihat Audit Log.