全部产品
Search

搜索本产品

    Cloud Firewall:Melindungi trafik antara VPC yang terhubung menggunakan router transit CEN

    文档中心

    Cloud Firewall:Melindungi trafik antara VPC yang terhubung menggunakan router transit CEN

    更新时间:Oct 25, 2025

    Jika Anda menggunakan router transit Cloud Enterprise Network (CEN), Anda harus secara manual mengonfigurasi perutean antara router transit dan firewall Virtual Private Cloud (VPC) sebelum dapat menggunakan firewall VPC untuk melindungi trafik antara VPC yang terhubung menggunakan router transit. Topik ini menjelaskan cara mengonfigurasi perutean antara router transit dan firewall VPC.

    Ruang lingkup aplikasi

    Cloud Firewall dapat melindungi trafik antara instance jaringan yang terhubung menggunakan router transit CEN. Instance jaringan tersebut mencakup VPC, Virtual Border Router (VBR), instans Cloud Connect Network (CCN), dan gateway VPN.

    Jika Anda ingin melindungi trafik antara VPC di wilayah yang sama menggunakan firewall VPC, Anda dapat mengikuti prosedur yang dijelaskan dalam topik ini.

    Diagram skenario

    Prasyarat

    Sebuah instans CEN dibuat di Konsol CEN. Dua VPC telah dibuat. Dalam topik ini, VPC-01 dan VPC-02 digunakan. Untuk informasi lebih lanjut, lihat Instans CEN.

    Langkah 1: Buat VPC untuk firewall VPC

    Firewall VPC memerlukan VPC. Oleh karena itu, Anda harus membuat VPC untuk firewall VPC.

    Penting

    VPC dan router transit harus milik Akun Alibaba Cloud yang sama. Jika tidak, pembuatan firewall VPC mungkin gagal.

    1. Masuk ke Konsol VPC.

    2. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat VPC dan klik Create VPC.

    3. Pada halaman Create VPC, konfigurasikan parameter berikut dan klik OK.

      Parameter

      Deskripsi

      Region

      Pilih wilayah tempat Anda ingin mengaktifkan firewall VPC.

      Name

      Masukkan nama untuk VPC. Dalam contoh ini, masukkan Cfw-TR-manual-VPC.

      IPv4 CIDR Block

      Tentukan blok CIDR IPv4 utama untuk VPC. Subnet mask dari blok CIDR harus memiliki panjang minimal 26 bit, dan blok CIDR tidak boleh bertentangan dengan blok CIDR yang digunakan dalam beban kerja Anda.

      vSwitch

      Tentukan vSwitches yang dapat terhubung ke router transit. Subnet mask dari setiap blok CIDR harus memiliki panjang minimal 28 bit.

      Anda harus menentukan dua vSwitches untuk terhubung ke router transit dan memilih dua zona berbeda yang mendukung router transit. Kami sarankan Anda memilih zona di mana beban kerja Anda diterapkan untuk mengurangi latensi. Anda juga harus menentukan vSwitch untuk firewall VPC, dan Anda dapat memilih zona sembarang untuk vSwitch ini.

      Dalam contoh ini, tentukan primary vSwitch bernama TR-Vswitch-01 dan secondary vSwitch bernama TR-VSwitch-02 untuk router transit, dan vSwitch bernama Cfw-Vswitch untuk firewall VPC.

    4. Pada halaman VPC, temukan dan klik ID VPC yang dibuat bernama Cfw-TR-manual-VPC.

    5. Pada halaman yang muncul, klik tab Resource Management, arahkan kursor ke Tabel Rute, dan klik Add di bawah Route Table. Atau, Anda dapat pergi ke halaman Route Tables dan klik Create Route Table.

    6. Pada halaman Create Route Table, konfigurasikan parameter berikut untuk membuat tabel rute dan klik OK.

      Parameter

      Deskripsi

      VPC

      Pilih VPC yang dibuat pada langkah sebelumnya. Dalam contoh ini, pilih Cfw-TR-manual-VPC.

      Associated Resource Type

      Pilih vSwitch sebagai jenis sumber daya yang dapat dikaitkan dengan tabel rute.

      Name

      Masukkan nama untuk tabel rute. Dalam contoh ini, masukkan VPC-CFW-RouteTable.

    Langkah 2: Hubungkan VPC yang dibuat ke router transit

    Langkah ini membangun koneksi antara VPC yang dibuat bernama Cfw-TR-manual-VPC dan router transit Edisi Perusahaan.

    1. Masuk ke Konsol CEN.

    2. Pada halaman Instances, temukan instans CEN yang trafiknya ingin Anda alihkan ke firewall VPC dan klik ID instans tersebut.

    3. Pada tab Basic Information, temukan router transit CEN dan klik Create Connection di kolom Actions, atau klik ikon 添加图标 di sebelah kanan VPC di bagian atas tab.

    4. Pada halaman Connection with Peer Network Instance, konfigurasikan parameter.

      Tabel berikut menjelaskan parameter utama.

      Parameter

      Deskripsi

      Instance Type

      Jenis instance jaringan yang ingin Anda hubungkan ke instans CEN. Dalam contoh ini, pilih Virtual Private Cloud (VPC).

      Region

      Wilayah tempat instance jaringan berada. Dalam contoh ini, pilih wilayah yang Anda tentukan saat membuat Cfw-TR-manual-VPC.

      Network Instance

      Instance jaringan yang ingin Anda hubungkan ke instans CEN. Dalam contoh ini, pilih ID Cfw-TR-manual-VPC.

      VSwitch

      vSwitches yang dapat Anda asosiasikan dengan instance jaringan. Dalam contoh ini, pilih TR-Vswitch-01 sebagai the primary vSwitch dan TR-VSwitch-02 sebagai the secondary vSwitch.

      Untuk informasi lebih lanjut tentang parameter lainnya, lihat Gunakan Router Transit Edisi Perusahaan.

    Langkah 3: Hubungkan VPC-01 dan VPC-02 ke router transit

    Langkah ini membangun koneksi antara VPC-01 dan router transit serta koneksi antara VPC-02 dan router transit. Dengan cara ini, kedua VPC terhubung ke router transit.

    Untuk informasi lebih lanjut, lihat Buat Koneksi VPC.

    Langkah 4: Buat firewall VPC

    Langkah ini membuat firewall VPC untuk Cfw-TR-manual-VPC.

    Untuk membuat firewall VPC, masuk ke Konsol Cloud Firewall. Di panel navigasi kiri, pilih Firewall Settings > VPC Firewall > CEN (Enterprise Edition). Pada tab CEN (Edisi Perusahaan), temukan router transit yang diperlukan dan klik Create di kolom Actions. Dalam kotak dialog Buat Firewall VPC, pilih Manual untuk Traffic Redirection Mode, Cfw-TR-manual-VPC untuk VPC, dan Cfw-Vswitch untuk vSwitch. Untuk informasi lebih lanjut, lihat Konfigurasikan Firewall VPC untuk Router Transit Edisi Perusahaan.

    Catatan

    Setelah menyelesaikan langkah ini, Cloud Firewall membuat Elastic Network Interface (ENI) di Cfw-Vswitch untuk mengarahkan trafik. Secara default, ENI diberi nama cfw-bonding-eni dan terlihat di halaman Network & Security > Elastic Network Interfaces di Konsol ECS. ENI virtual digunakan untuk perutean dan pengalihan trafik, sementara firewall mengikat beberapa antarmuka jaringan virtual di berbagai zona ketersediaan untuk memastikan ketersediaan kluster tinggi. Dalam mode pengalihan lalu lintas manual, kluster firewall beroperasi dalam mode aktif-aktif di dua zona ketersediaan yang dialokasikan otomatis secara default untuk memastikan HA.

    Langkah 5: Konfigurasikan rute untuk Cfw-TR-manual-VPC

    Langkah ini membuat rute untuk mengarahkan trafik yang diteruskan oleh router transit ke Cfw-TR-manual-VPC ke firewall VPC dan kemudian mengarahkan trafik yang diproses oleh firewall VPC ke router transit.

    1. Masuk ke Konsol VPC.

    2. Pada halaman Route Tables, klik tabel rute sistem yang dibuat untuk Cfw-TR-manual-VPC.

    3. Pada tab Route Entry List, klik tab Custom Route.

    4. Klik Add Route Entry dan konfigurasikan parameter. Jika ada rute kustom lainnya, hapus rute kustom tersebut.

      Deskripsi parameter:

      • Destination CIDR Block: Tentukan 0.0.0.0/0.

      • Next Hop Type: Pilih ENI.

      • ENI: Pilih Cfw-bonding-eni, yang dibuat pada Langkah 4.

      Setelah langkah ini selesai, trafik yang diteruskan oleh router transit ke Cfw-TR-manual-VPC diarahkan ke firewall VPC.

    5. Pada halaman Route Tables, klik tabel rute kustom VPC-CFW-RouteTable yang Anda buat. Pada halaman yang muncul, klik tab Associated vSwitch dan klik Associate vSwitch. Dalam kotak dialog Asosiasikan vSwitch, pilih Cfw-Vswitch untuk vSwitch. Lalu, klik OK.

    6. Pada tab Route Entry List, klik tab Custom Route. Klik Add Route Entry dan konfigurasikan parameter. Jika ada rute kustom lainnya, hapus rute kustom tersebut.

      Deskripsi parameter:

      • Destination CIDR Block: Tentukan 0.0.0.0/0.

      • Next Hop Type: Pilih Transit Router.

      • Transit Router: Pilih router transit untuk mana firewall VPC dibuat.

      Setelah langkah ini selesai, trafik yang diproses oleh firewall VPC diteruskan ke router transit.

    Langkah 6: Konfigurasikan rute untuk router transit

    Langkah ini membuat rute untuk VPC-01, VPC-02, dan Cfw-TR-manual-VPC untuk memungkinkan trafik antara VPC-01 dan VPC-02 melewati firewall VPC.

    1. Masuk ke Konsol CEN.

    2. Masuk ke konsol CEN, dan temukan serta klik router transit untuk mana Anda ingin mengaktifkan firewall VPC. Tab Route Table muncul.

    3. Pada tab Route Table, klik tabel rute sistem di daftar tabel rute di sebelah kiri.

    4. Dalam bagian Route Table Details, klik tab Route Propagation.

    5. Pada tab Route Propagation, buat korelasi pembelajaran rute untuk VPC-01 dan VPC-02. Untuk membuat korelasi pembelajaran rute untuk VPC-01, pilih VPC-01 untuk Attachment. Untuk membuat korelasi pembelajaran rute untuk VPC-02, pilih VPC-02 untuk Attachment.

      Setelah korelasi pembelajaran rute dibuat, sistem mempelajari rute dari VPC-01 dan VPC-02.

      Selain itu, Anda dapat melihat informasi tentang rute yang dipelajari sistem pada tab Route Entry.

    6. Klik tabel rute sistem di daftar tabel rute di sebelah kiri. Dalam bagian Route Table Details, klik tab Route Table Association.

    7. Pada tab Route Table Association, klik Create Association.

    8. Dalam kotak dialog Add Association, pilih Cfw-TR-manual-VPC untuk Asosiasi.

      Setelah langkah ini selesai, Cfw-TR-manual-VPC dapat secara otomatis meneruskan trafik yang ditujukan ke VPC-01 dan VPC-02 menggunakan router transit.

    9. Klik Create Route Table di sisi kiri tab Route Table. Dalam kotak dialog Create Route Table, konfigurasikan parameter.

      Atur Transit Router ke router transit untuk mana Anda ingin mengaktifkan firewall VPC dan tentukan tabel rute. Atur parameter Nama Tabel Rute ke Cfw-TR-RouteTable.

      Tabel rute Cfw-TR-RouteTable digunakan untuk meneruskan trafik dari VPC-01 dan VPC-02 ke Cfw-TR-manual-VPC.

    10. Klik tabel rute Cfw-TR-RouteTable. Lalu, klik Add Route Entry. Dalam kotak dialog Add Route Entry, konfigurasikan parameter.

      Deskripsi parameter:

      • Destination CIDR: Pertahankan nilai default 0.0.0.0/0.

      • Blackhole Route: Pertahankan nilai default Tidak.

      • Next Hop: Pilih router transit yang terhubung ke Cfw-TR-manual-VPC.

    11. Pada tab Route Table, klik tabel rute sistem dalam daftar tabel rute di sebelah kiri. Dalam bagian Route Table Details, klik tab Route Table Association.

      Peringatan

      Saat Anda melakukan operasi 12 hingga 14, koneksi TCP persisten mungkin ditutup karena pergantian rute. Kami sarankan Anda melakukan operasi selama jam-jam sepi atau selama jendela perubahan.

    12. Pada tab Route Table Association, hapus asosiasi forwarding yang dibuat untuk VPC-01 dan VPC-02. Pada tab Route Table, klik tabel rute Cfw-TR-RouteTable dalam daftar tabel rute di sebelah kiri.

    13. Dalam bagian Route Table Details, klik tab Route Table Association dan klik Create Association.

    14. Dalam kotak dialog Add Association, pilih VPC-01 dan VPC-02 untuk Association dan klik OK.

      Setelah langkah ini selesai, trafik VPC-01 dan VPC-02 diteruskan ke Cfw-TR-RouteTable, dan trafik antara VPC-01 dan VPC-02 diteruskan ke Cfw-TR-manual-VPC.

    Langkah 7: Periksa apakah konfigurasi forwarding berhasil

    Anda dapat pergi ke tab Catatan Lalu Lintas halaman Audit Log untuk memeriksa apakah catatan lalu lintas instans CEN dicatat. Jika catatan lalu lintas dicatat, konfigurasi forwarding berhasil. Untuk informasi lebih lanjut, lihat Audit Log.