检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过企业路由器和第三方防火墙实现多VPC互访流量清洗 方案概述 规划组网和资源 创建资源 配置网络 验证网络互通情况
在企业路由器中添加“云防火墙(CFW)”连接,即创建VPC边界防火墙时选择企业路由器,则会在企业路由器的连接列表中看到对应的“云防火墙(CFW)”连接。 VPC边界防火墙支持VPC之间通信流量的访问控制,可以实现VPC内业务互访活动的可视化与安全防护。 操作步骤 您需要通过云防火墙控制台添加
创建资源 创建企业路由器 创建VPC和ECS 父主题: 通过企业路由器和第三方防火墙实现多VPC互访流量清洗
XX企业在华为云区域A内部署了3个虚拟私有云VPC,其中业务A、业务B分别部署在VPC1、VPC2,VPC3部署有第三方防火墙软件。出于安全考虑,要求业务A和业务B互相访问的流量必须通过VPC3中防火墙软件的过滤清洗。 图1 同区域VPC流量清洗 您可以使用企业路由器的共享功能,将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。
配置网络 在企业路由器中配置VPC连接 在ECS中配置内核参数及路由 父主题: 通过企业路由器和第三方防火墙实现多VPC互访流量清洗
子网1的eth0网卡接收流量。在VPC3默认路由表中,通过下一跳为ECS3的路由,以及ECS内核配置,将流量从eth0网卡转送到eth1网卡。 子网2的eth1网卡通过防火墙清洗并送出流量。在VPC3自定义路由表中,通过下一跳为ER的路由,将清洗后的流量转送到ER。 VPC3关联的是ER路由表2,在ER路由表2
回显类似如下信息,表示流量通过ecs-inspection。 重复执行1~2,登录ecs-demo-02,验证反向路径。 父主题: 通过企业路由器和第三方防火墙实现多VPC互访流量清洗
关闭第二个网卡(eth1)的“源/目的检查”,以确保从eth1出来的流量不会被拦截。 在ECS3中安装第三方防火墙。 您可以自行安装或者通过华为云市场购买第三方防火墙。 父主题: 创建资源
创建企业路由器 操作场景 本章节指导用户创建企业路由器。 操作步骤 在区域A内,创建1个企业路由器。 创建企业路由器,具体方法请参见创建企业路由器。 企业路由器资源规划详情请参见表7。 父主题: 创建资源
在ECS中配置内核参数及路由 操作场景 ECS3具有双网卡,需要配置内核参数并添加路由,确保eth0和eth1之间的流量转发路径可达。 本示例中的ECS操作系统为CentOS 8.0 64bit,操作系统不同,配置命令可能存在差异。 操作步骤 登录弹性云服务器。 弹性云服务器有多
在企业路由器中配置VPC连接 操作场景 本章节指导用户在企业路由器中配置“虚拟私有云(VPC)”连接,即将VPC接入企业路由器中,并配置企业路由器和VPC的路由。 操作步骤 将3个VPC分别接入企业路由器中。 添加“虚拟私有云(VPC)”连接,具体方法请参见在企业路由器中添加VPC连接。
删除CFW连接 您无法直接删除CFW连接,如果确认不再使用,请退订云防火墙,将会同步删除企业路由器内的CFW连接。 父主题: CFW连接
云上同区域组网 通过企业路由器和第三方防火墙实现多VPC互访流量清洗 企业路由器ER 虚拟私有云VPC 弹性云服务器ECS XX企业在华为云区域A内部署了3个虚拟私有云VPC,其中业务A、业务B分别部署在VPC1、VPC2,VPC3部署有第三方防火墙软件。出于安全考虑,要求业务A和业
希望快速搭建满足安全要求的云上组网。 企业路由器价值 客户在组网中部署云防火墙,通过将VPC和云防火墙关联至企业路由器中不同的路由表,控制VPC1和VPC2互访流量经过防火墙。 最佳实践 通过企业路由器和云防火墙构建组网
虚拟私有云(VPC) 对等连接(Peering) 云防火墙(CFW) 创建路由,具体请参见创建静态路由。 路由优先级 如果路由表中存在多条路由目的地址相同,则优先级从高到低排序如下: 静态路由 > “虚拟私有云(VPC)”连接的传播路由=“云防火墙(CFW)”连接的传播路由 > “虚拟网关(VGW)”连接的传播路由
“企业连接网(ECN)”连接:接入同区域或者不同区域的企业连接网络。 “全域接入网关(DGW)”连接:接入同区域云专线DC的全域接入网关。 “云防火墙(CFW)”连接:接入同区域的云防火墙。 图1 企业路由器使用方法 当您了解了企业路由器的使用方法后,接下来将为您详细介绍企业路由器的工作原理。工作原理如图2所示,详细说明请参见表2。
拟私有云。 对等连接(Peering):表示接入的网络实例是企业路由器的对等体,即跨区域的另外一个企业路由器。 云防火墙(CFW)连接:表示接入的网络实例是云防火墙。 关于连接更多信息,请参见连接概述。 虚拟私有云(VPC) 下一跳 如果不开启黑洞路由,则该项是必选参数。 如果开启黑洞路由,则该项无需填写。
删除ECN连接 全域接入网关(DGW) 云专线DC的全域接入网关。 在企业路由器中添加DGW连接 查看企业路由器中的连接 删除DGW连接 云防火墙(CFW) 云防火墙。 在企业路由器中添加CFW连接 查看企业路由器中的连接 删除CFW连接 父主题: 连接
全部路由信息 对等连接(Peering) 全部路由信息 企业连接网(ECN) 全部路由信息 全域接入网关(DGW) 全部路由信息 云防火墙(CFW) 云防火墙承载VPC的网段 父主题: 传播
是同区域或者不同区域的企业连接网络。 “全域接入网关(DGW)”:表示接入的网络实例是云专线的全域接入网关。 “云防火墙(CFW)”连接:表示接入的网络实例是云防火墙。 关于连接更多信息,请参见连接概述。 虚拟私有云(VPC) 传播 必选参数。 在传播下拉列表中,选择待创建传播的连接。