當您使用了轉寄路由器TR(Transit Router),可以手動設定轉寄路由器與VPC邊界防火牆之間的互訪路由,實現VPC邊界防火牆對轉寄路由器串連的VPC、VBR之間的部分流量進行防護。本文介紹了如何連通轉寄路由器與VPC邊界防火牆之間的網路。
適用對象
Cloud Firewall可以防護通過雲企業網轉寄路由器串連的網路執行個體之間的流量,網路執行個體包括VPC、VBR、CCN、VPN。
本文僅針對VPC邊界防火牆手動引流模式的配置,適用於對多個VPC(相同地區)之間互訪流量的防護。
情境示意圖
前提條件
已在雲企業網控制台建立了雲企業網執行個體,且建立了3個Virtual Private Cloud(本文分別以VPC1、VPC2、DMZ VPC為例)和2個VBR(本文分別以IDC-1、IDC-2為例)。具體操作,請參見建立雲企業網執行個體。
樣本中VPC1、IDC-1、IDC-2和其他VPC之間互訪的流量受Cloud Firewall保護。VPC2和DMZ VPC互訪的流量,不受Cloud Firewall保護。任意VPC、IDC訪問0.0.0.0/0預設路由的流量,不受Cloud Firewall保護。
步驟一:為VPC邊界防火牆建立VPC執行個體
VPC邊界防火牆需要佔用一個VPC,所以您需要專門建立一個VPC執行個體。
登入專用網路管理主控台。
在頂部功能表列,選擇要建立自訂專用網路的地區,單擊建立專用網路。
在建立專用網路頁面,根據以下資訊配置專用網路,然後單擊確定。
配置項
如何設定
地區
選擇需要開啟VPC防火牆的地區。
名稱
VPC執行個體名稱,本文樣本中為FW VPC。
IPv4網段
VPC的主IPv4網段,需要至少26位的私網地址,並且不與業務使用的網段衝突。
交換器
網路連接執行個體可綁定的交換器,需要至少28位的私網地址。
其中,2個交換器提供給TR網路執行個體串連使用,需選擇兩個支援TR服務且不同的可用性區域進行建立,建議選擇業務所在的可用性區域以降低延遲;另1個交換器提供給VPC邊界防火牆使用,可用性區域任選。
本文樣本中,TR網路執行個體串連主交換器命名為TR-Vswitch-01,備交換器命名為TR-VSwitch-02,VPC防火牆交換器命名為Cfw-Vswitch。
在專用網路頁面,定位到防火牆VPC執行個體FW VPC,並單擊執行個體ID。
在該專用網路頁面資源管理頁簽,單擊路由表的添加選項或在路由表頁面單擊建立路由表。
在建立路由表對話方塊,根據以下資訊配置路由表,然後單擊確認。
配置項
如何設定
專用網路
選擇上述步驟建立的防火牆VPC。本文樣本選擇FW VPC。
綁定物件類型
選擇路由表綁定的物件類型為交換器。
名稱
自訂路由表的名稱。本文樣本的自訂路由表名稱配置執行個體值為VPC-CFW-RouteTable。
步驟二:在轉寄路由器中添加防火牆VPC的網路執行個體串連
本步驟建立VPC執行個體(FW VPC)與轉寄路由器企業版之間的串連。
- 登入雲企業網管理主控台。
在雲企業網執行個體頁面,定位到需要引流到Cloud FirewallVPC邊界防火牆的雲企業網執行個體,並單擊執行個體ID。
在該雲企業網執行個體頁面基本資料頁簽,單擊操作列的建立網路執行個體串連或單擊頁面上方VPC基礎資訊右側的
表徵圖。在串連網路執行個體頁面,設定FW VPC和轉寄路由器之間的串連資訊。
以下是建立網路連接執行個體時,關鍵的配置項說明。
配置項
如何設定
執行個體類型
通過雲企業網串連的網路執行個體的類型。此處選擇Virtual Private Cloud。
地區
通過雲企業網串連的網路執行個體的地址。此處需要與建立FW VPC時指定的地區保持一致。
網路執行個體
通過雲企業網串連的網路執行個體。此處選擇FW VPC的執行個體ID。
交換器
網路連接執行個體可綁定的交換器。主交換器選擇TR-Vswitch-01,備交換器為TR-VSwitch-02。
其他配置項的說明,請參見使用企業版轉寄路由器建立VPC串連。
步驟三:為VPC、VBR建立雲企業網網路執行個體串連
您需要為VPC1、VPC2、DMZ VPC及IDC-1、IDC-2分別建立網路執行個體串連,並將建立的VPC和VBR載入到該雲企業網中。
具體操作,請參見使用企業版轉寄路由器建立VPC串連。
步驟四:建立VPC邊界防火牆
本步驟為FW VPC建立VPC邊界防火牆。
在Cloud Firewall控制台頁簽,找到需要開啟防火牆的轉寄路由執行個體,單擊操作列建立。建立該VPC邊界防火牆時,引流模式選擇手動引流、專用網路選擇FW VPC、交換器選擇Cfw-Vswitch。相關內容,請參見配置企業版轉寄路由器的VPC邊界防火牆。
為防火牆配置的Virtual Private Cloud必須和CEN-TR歸屬於同一個帳號,否則無法正常建立VPC防火牆。
完成此步驟後,Cloud Firewall會在Cfw-Vswitch下建立1個彈性網卡用於引流(可在ECS控制台的頁面查看,系統預設分配名稱為cfw-bonding-eni的網卡)。該彈性網卡是一個虛擬網卡,用於路由引流配置,防火牆叢集會預設綁定多個不同可用性區域的虛擬網卡來保障叢集高可用。手動引流模式下防火牆叢集預設是兩個可用性區域雙活模式(自動分配),具備高可用能力。
步驟五:為防火牆VPC配置VPC路由
本步驟配置VPC路由,將TR轉寄到防火牆VPC的流量引流到VPC邊界防火牆上,並將VPC邊界防火牆處理完的流量再轉寄到TR。
登入專用網路管理主控台。
在路由表頁面,選擇防火牆VPC執行個體的系統路由表。
在路由條目列表,選擇自訂路由條目頁簽。
單擊添加路由條目,配置以下路由條目資訊,同時刪除其他自訂路由條目(若有)。
關鍵配置項說明:
目標網段:選擇0.0.0.0/0。
下一跳類型:選擇輔助彈性網卡。
輔助彈性網卡:選擇步驟三建立的Cfw-bonding-eni。
本步驟完成後,TR轉寄到防火牆VPC的流量會被引流到VPC邊界防火牆上。
在路由表頁面,開啟此前建立的自訂路由表VPC-CFW-RouteTable,在已綁定交換器頁簽,單擊綁定交換器。其中交換器選擇Cfw-Vswitch。然後單擊確定。
在路由條目列表頁簽,選擇自訂路由條目頁簽。單擊添加路由條目,配置以下路由條目資訊,同時刪除其他自訂路由條目(若有)。
關鍵配置項說明:
目標網段:選擇0.0.0.0/0。
下一跳類型:選擇轉寄路由器。
轉寄路由器:選擇VPC防火牆的網路執行個體串連。
本操作完成後,VPC邊界防火牆處理完的流量會被再轉寄到TR。
步驟六:配置轉寄路由器的路由
本步驟為VPC-01、VPC-02和防火牆VPC配置轉寄路由器的路由,實現VPC-01和VPC-02互訪流量過VPC邊界防火牆。
- 登入雲企業網管理主控台。
在雲企業網控制台,定位到需要開啟VPC邊界防火牆的轉寄路由器,單擊執行個體ID,然後切換到轉寄路由器路由表頁簽。
建立路由表Cfw-Untrust-RouteTable和Cfw-Trust-RouteTable。
在轉寄路由器路由表頁簽,單擊建立路由表。
在建立路由表對話方塊,配置路由表Cfw-Untrust-RouteTable和Cfw-Trust-RouteTable。
轉寄路由器:選擇需要開啟VPC邊界防火牆的轉寄路由器。
說明路由表Cfw-Untrust-RouteTable:用於轉寄VPC1、IDC-1、IDC-2的流量到FW VPC。
路由表Cfw-Trust-RouteTable:用於轉寄FW VPC流量到VPC1、VPC2、DMZ VPC、IDC-1、IDC-2。
配置路由表Cfw-Trust-RouteTable。
為路由表Cfw-Trust-RouteTable自動同步VPC1、VPC2、DMZ VPC、IDC-1、IDC-2的路由,並將FW VPC的流量關聯轉寄到Cfw-Trust-RouteTable。
單擊已建立的Cfw-Trust-RouteTable路由表,在右側地區,單擊路由學習。
在路由學習頁簽,單擊建立路由學習。
在添加路由學習對話方塊,關聯串連分別選擇VPC1、VPC2、DMZ VPC、IDC-1、IDC-2。然後單擊確定。
路由學習建立完成後,您可以在路由條目頁簽中看到自動學習的路由資訊。
在轉寄路由器路由表頁簽,單擊左側路由表列表中的系統路由表,然後在路由表詳情頁簽,單擊關聯轉寄。
在關聯轉寄頁簽,單擊已建立的Cfw-Trust-RouteTable路由表,在關聯轉寄頁簽,單擊建立關聯轉寄。
在添加關聯轉寄頁面,在關聯轉寄下拉框,選擇FW VPC。然後單擊確定。
配置路由表Cfw-Untrust-RouteTable。
將雲企業網自訂路由表Cfw-Untrust-RouteTable的流量會預設指向VPC執行個體。
單擊已建立的Cfw-Untrust-RouteTable路由表,在右側地區,單擊路由條目。
在路由條目頁簽,單擊建立路由條目。
在添加路由條目對話方塊,配置路由條目的資訊。
配置項說明:
目的地址CIDR:選擇預設位址區段10.0.0.0/8。
是否為黑洞路由:選擇預設選項否。
下一跳串連:選擇防火牆VPC執行個體(FW VPC)。
重複上述步驟,新增如下網段路由。
新增172.16.0.0/12網段路由,下一跳到防火牆VPC執行個體(FW VPC)。
新增192.168.0.0/16的網段路由,下一跳到防火牆VPC執行個體(FW VPC)。
新增61.20.0.0/16的網段路由,下一跳到防火牆VPC執行個體(FW VPC)。
新增0.0.0.0/0的網段路由,下一跳到DMZ VPC。
配置系統路由表實現訪問VPC1、IDC-1和IDC-2的流量經過Cloud Firewall。
警告本操作期間會產生流量中斷,請在業務低峰期或者變更視窗期進行操作。
在轉寄路由器路由表頁簽,單擊左側路由表列表中的系統路由表,然後在右側地區,單擊路由學習。
在路由學習頁簽,刪除VPC1、IDC-1、FW VPC、IDC-2的路由學習。
該操作後,您的系統路由表只保留VPC2和DMZ VPC的路由學習。配置完成後,您可以在路由條目頁簽中看到自動學習的路由資訊。
在路由條目頁簽,單擊建立路由條目。
在添加路由條目對話方塊,新增如下網段路由。
新增10.0.0.0/24(VPC1)網段路由,下一跳到防火牆VPC執行個體(FW VPC)。
新增172.16.0.0/12(IDC-1)的網段路由,下一跳到防火牆VPC執行個體(FW VPC)。
新增61.20.0.0/16(IDC-2)的網段路由,下一跳到防火牆VPC執行個體(FW VPC)。
切換關聯轉寄實現VPC1、IDC-1和IDC-2訪問其他VPC的流量經過Cloud Firewall。
將VPC1、IDC-1、IDC-2的流量關聯轉寄到Cfw-Untrust-RouteTable。
警告本操作期間會產生流量中斷,請在業務低峰期或者變更視窗期進行操作。
在系統路由表的關聯轉寄頁簽,刪除下一跳為VPC1、IDC-1、IDC-2的關聯轉寄。
在Cfw-Untrust-RouteTable路由表的關聯轉寄頁簽,單擊建立關聯轉寄。
在添加關聯轉寄對話方塊,在關聯轉寄下拉框,選擇VPC1、IDC-1、IDC-2。然後單擊確定。
在關聯轉寄頁簽,單擊建立關聯轉寄。
在添加關聯轉寄對話方塊,在關聯轉寄下拉框,選擇VPC1、IDC-1、IDC-2。然後單擊確定。
本步驟完成後,雲企業網路由配置完成,流量牽引到VPC邊界防火牆的VPC執行個體上。
步驟七:驗證轉寄配置是否成功
您可以在流量日誌功能查看是否有來自該雲企業網的流量日誌。如果有相關流量日誌,代錶轉發配置成功。例如:
VPC1與VPC2之間能夠訪問正常,且有流量日誌。
VPC2與DMZ VPC之間能夠訪問正常,但是無流量日誌。
具體步驟,請參見日誌審計。