本文為您介紹如何通過路由策略功能限制專有網絡VPC(Virtual Private Cloud)與某個網段間的互通關系。
前提條件
本地IDC已經通過專線與阿里云連接。具體操作,請參見本地IDC通過專線訪問云服務器ECS。
背景信息
默認情況下,云企業網采取VPC與VPC、邊界路由器VBR(Virtual Border Router)和云連接網CCN(Cloud Connect Network)各個網段間互通的策略,但在特定場景下,您可能需要限制VPC與VPC、VBR以及CCN某個網段間的互通關系。
如上圖,VBR通過BGP從IDC側學習到網段1和網段2兩條路由,VPC、VBR均加入到云企業網中。默認情況下,VPC與IDC網段1和IDC網段2互通。如果您不希望VPC與IDC網段1互通,您可以通過路由策略限制VPC與IDC網段1間的互通關系,VPC與IDC網段2依然可以互通。
步驟一:設置拒絕通過VBR網段1路由的路由策略
完成以下操作,設置拒絕通過VBR網段1路由的路由策略。
登錄云企業網管理控制臺。
在云企業網實例頁面,找到目標云企業網實例,單擊目標實例ID。
在云企業網實例詳情頁面,根據要配置路由策略的地域,單擊該地域的轉發路由器ID。
在轉發路由器詳情頁面,單擊轉發路由器路由表頁簽,然后單擊路由策略。
在路由策略頁面,單擊添加路由策略。根據以下信息配置路由策略,然后單擊確定。
策略優先級:路由策略的優先級。優先級數字越小,優先級越高。 本示例輸入20。
地域:選擇路由策略應用的地域。本示例輸入華東1(杭州)。
生效方向:選擇路由策略應用的方向。 本示例選擇入地域網關。
匹配條件:路由策略的匹配條件。本示例添加以下兩個匹配條件:
源實例ID列表為VBR實例ID。
路由前綴為192.168.0.0/24,且匹配方法選擇精確匹配。
策略行為:選擇策略行為。本示例選擇拒絕。
添加路由策略后,您可以在網絡實例路由信息頁簽下查看VPC中已經刪除了去往192.168.0.0/24的路由。
步驟二:測試網絡連通性
完成以下操作,測試VPC與IDC側網段1的網絡連通性。
登錄VPC下的ECS實例。
通過ping命令pingIDC側網段1的IP地址,驗證通信是否正常。
經驗證,ECS實例不能訪問IDC側網段1的IP地址。
完成以下操作,測試VPC與IDC側網段2的網絡連通性。
登錄VPC下的ECS實例。
通過ping命令pingIDC側網段2的IP地址,驗證通信是否正常。
經驗證,ECS實例可以訪問網段2的IP地址。