本文為您介紹如何利用云企業網路由策略功能讓加入到云企業網中的專有網絡(VPC)間的網絡默認不互通,只單獨放行需要互通的VPC實例,提高您網絡的安全性,建議您用此方式管理云企業網路由。
前提條件
本文僅適用于基礎版轉發路由器。
背景信息
默認情況下,云企業網采取VPC與VPC、VPC與邊界路由器(VBR)、VPC與云連接網(CCN)間互通的策略。但對于VPC、VBR、CCN網絡實例較多,且時有新增網絡實例,訪問控制較為復雜的用戶,您可以選擇先設置默認拒絕的低優先級路由策略,然后根據需求再做開通的高優先級路由策略。
如上圖所示,VPC1、VPC2位于中國香港,VPC3位于德國(法蘭克福),且三個VPC均已加載到云企業網中。默認情況下,VPC1、VPC2和VPC3全互通。為了方便您后續擴大網絡規模,管理維護網絡,您可以先設置全部網絡實例VPC1、VPC2、VPC3默認拒絕云企業網中國香港轉發路由器和德國(法蘭克福)轉發路由器下發的路由,然后再設置高優先級路由策略讓VPC1和VPC3互通。
網段規劃
VPC1、VPC2、VPC3的網段規劃如下表所示。
網絡實例 | 網段規劃 | 云服務器(ECS)IP地址 |
VPC1 | VPC網段:10.0.0.0/8 vswitch1網段:10.0.1.0/24 vswitch2網段:10.0.2.0/24 | ECS1:10.0.1.95 ECS2:10.0.2.120 |
VPC2 | VPC網段:172.16.0.0/12 vswitch網段:172.16.1.0/24 | ECS:172.16.1.80 |
VPC3 | VPC網段:192.168.0.0/16 vswitch網段:192.168.1.0/24 | ECS:192.168.1.151 |
步驟一:設置全部網絡實例拒絕云企業網轉發路由器下發路由的路由策略
完成以下操作,設置VPC1、VPC2、VPC3網絡實例拒絕中國香港轉發路由器和德國(法蘭克福)轉發路由器下發路由的路由策略。
登錄云企業網管理控制臺。
在云企業網實例頁面,找到目標云企業網實例,單擊目標實例ID鏈接。
在云企業網實例詳情頁面,根據要配置路由策略的地域,單擊該地域的轉發路由器ID鏈接。
在轉發路由器詳情頁面,單擊轉發路由器路由表頁簽,然后單擊路由策略。
在路由策略頁面,單擊添加路由策略。根據以下信息配置德國(法蘭克福)轉發路由器路由策略,然后單擊確定。
策略優先級:路由策略的優先級。優先級數字越小,優先級越高。本示例輸入100。
描述:(可選項)路由策略描述。本示例輸入法蘭克福地域所有VPC實例拒絕云企業網轉發路由器下發的路由。
地域:選擇路由策略應用的地域。本示例選擇德國(法蘭克福)。
生效方向:選擇路由策略應用的方向。本示例選擇出地域網關。
匹配條件:路由策略的匹配條件。本示例選擇目的實例類型為VPC。
策略行為:選擇策略行為。本示例選擇拒絕。
在添加路由策略頁面,根據以下信息配置中國香港轉發路由器路由策略,然后單擊確定。
策略優先級:路由策略的優先級。優先級數字越小,優先級越高。本示例輸入100。
描述:(可選項)路由策略描述。本示例輸入中國香港地域所有VPC實例拒絕云企業網轉發路由器下發的路由。
地域:選擇路由策略應用的地域。本示例選擇中國香港。
生效方向:選擇路由策略應用的方向。本示例選擇出地域網關。
匹配條件:路由策略的匹配條件。本示例輸入目的實例類型為VPC。
策略行為:選擇策略行為。本示例選擇拒絕。
添加路由策略后,您可以在網絡實例路由信息頁簽下分別查看VPC1、VPC2、VPC3實例拒絕了所有本地域的云企業網關發來的路由。VPC1示例如下圖所示。
步驟二:配置允許VPC1接受VPC3路由的路由策略
完成以下操作,允許VPC1接受VPC3的路由。
在左側導航欄,單擊云企業網實例。
在云企業網實例頁面,找到目標云企業網實例,單擊目標實例ID鏈接。
在云企業網實例詳情頁面,根據要配置路由策略的地域,單擊該地域的轉發路由器ID鏈接。
在轉發路由器詳情頁面,單擊轉發路由器路由表頁簽,然后單擊路由策略。
在路由策略頁面,單擊添加路由策略。根據以下信息配置路由策略,然后單擊確定。
策略優先級:路由策略的優先級。優先級數字越小,優先級越高。本示例輸入50。
描述:(可選項)路由策略描述。本示例輸入允許VPC1接受VPC3的路由。
地域:選擇路由策略應用的地域。本示例輸入中國香港。
生效方向:選擇路由策略應用的方向。本示例選擇出地域網關。
匹配條件:路由策略的匹配條件。本示例配置信息如下所示。
源地域:選擇德國(法蘭克福)。
源實例ID列表:選擇VPC3實例ID。
目的實例ID列表:選擇VPC1實例ID。
策略行為:選擇策略行為。本示例選擇允許。
添加路由策略后,您可以在網絡實例路由信息頁簽下查看VPC1已經接受VPC3的路由。
步驟三:配置允許VPC3接受VPC1路由的路由策略
完成以下操作,允許VPC3接受VPC1的路由。
在左側導航欄,單擊云企業網實例。
在云企業網實例頁面,找到目標云企業網實例,單擊目標實例ID鏈接。
在云企業網實例詳情頁面,根據要配置路由策略的地域,單擊該地域的轉發路由器ID鏈接。
在轉發路由器詳情頁面,單擊轉發路由器路由表頁簽,然后單擊路由策略。
在路由策略頁面,單擊添加路由策略。根據以下信息配置路由策略,然后單擊確定。
策略優先級:路由策略的優先級。優先級數字越小,優先級越高。本示例輸入50。
描述:(可選項)路由策略描述。本示例輸入允許VPC3接受VPC1的路由。
地域:選擇路由策略應用的地域。本示例輸入德國(法蘭克福)。
生效方向:選擇路由策略應用的方向。本示例選擇出地域網關。
匹配條件:路由策略的匹配條件。
源地域:選擇中國香港。
源實例ID列表:選擇VPC1實例ID。
目的實例ID列表:選擇VPC3實例ID。
策略行為:選擇策略行為。本示例選擇允許。
添加路由策略后,您可以在網絡實例路由信息頁簽下查看VPC3已經接受VPC1的路由。
步驟四:測試網絡連通性
完成以下操作,測試VPC之間的網絡連通性。
登錄VPC1下的ECS1實例。
通過ping命令pingVPC3下的ECS實例的IP地址,驗證通信是否正常。
經驗證,VPC1實例可以正常訪問VPC3實例,VPC1與VPC3之間互通。
登錄VPC2下的ECS實例。
通過ping命令pingVPC1下的ECS1實例的IP地址,驗證通信是否正常。
經驗證,VPC2實例不可訪問VPC1實例,VPC2和VPC1之間不通。
登錄VPC3下的ECS實例。
通過ping命令pingVPC2下的ECS實例的IP地址,驗證通信是否正常。
經驗證,VPC3實例不可訪問VPC2實例,VPC2和VPC3之間不通。