检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过企业路由器和第三方防火墙实现多VPC互访流量清洗 方案概述 规划组网和资源 创建资源 配置网络 验证网络互通情况
在ER默认路由表中创建传播,并自动学习IDC侧的路由信息。 需要执行2创建虚拟接口后,才可以在ER路由表中查看到IDC侧的路由信息。 创建虚拟接口。 创建虚拟接口用来连接虚拟网关和线下IDC,具体方法请参见步骤3:创建虚拟接口。 本示例中的虚拟接口的资源规划详情请参见表6。 配置IDC侧路由到华为云的路由。 以华为网络设备为例,配置BGP路由:
XX企业在华为云区域A内部署了3个虚拟私有云VPC,其中业务A、业务B分别部署在VPC1、VPC2,VPC3部署有第三方防火墙软件。出于安全考虑,要求业务A和业务B互相访问的流量必须通过VPC3中防火墙软件的过滤清洗。 图1 同区域VPC流量清洗 您可以使用企业路由器的共享功能,将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。
组网和资源规划 通过企业路由器和DC的全域接入网关构建线下IDC和云上VPC互通的混合云组网,您需要规划组网和资源: 规划组网:规划VPC及其子网的网段、专线的全域接入网关和虚拟接口、VPC路由表和ER路由表信息等。 规划资源:规划云上资源的数量、名称以及主要参数等信息,云上资源包括VPC、DC、ECS以及ER。
以登录ecs-demo-01,验证vpc-demo-01与vpc-demo-02的网络互通情况为例: ping 10.1.1.105 回显如下信息,表示网络已通。 重复执行1~2,验证VPC之间的网络互通情况。 父主题: 通过企业路由器实现同区域VPC互通
a,登录ecs-inspection,验证vpc-demo-01到vpc-demo-02的流量是否通过ecs-inspection。 检查eth0网卡的接收流量,至少连续执行两次命令,检查RX packets是否增加。 ifconfig eth0 检查eth1网卡的发送流量,至少连续执行两次命令,检查TX
配置网络 在企业路由器中配置VPC连接 在ECS中配置内核参数及路由 父主题: 通过企业路由器和第三方防火墙实现多VPC互访流量清洗
您需要参考以下操作,创建企业路由器。连通同区域VPC网络,您只需要创建1个企业路由器即可。 操作步骤 进入企业路由器列表页面。 单击页面右上角的“创建企业路由器”。 进入“创建企业路由器”页面。 图1 创建企业路由器 根据界面提示,配置企业路由器的基本信息,如表1所示。 表1 创建企业路由器-参数说明
创建资源 创建企业路由器 创建VPC和ECS 父主题: 通过企业路由器和第三方防火墙实现多VPC互访流量清洗
在ER路由表中,通过下一跳为VPC-A连接的路由将流量送达VPC-A。 表2 DC双链路负载混合云组网规划说明 资源 说明 VPC 业务VPC,实际运行客户业务的VPC,具体说明如下: VPC网段与客户IDC侧网段不能重复。 VPC有一个默认路由表。 VPC默认路由表中的路由信息如表3所示。
W) 资源 说明 VPC 业务VPC,实际运行客户业务的VPC,本示例中为VPC1,具体说明如下: VPC网段与客户IDC侧网段不能重复。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下: local:表示VPC本地IPV4的默认路由条目,用于VPC内子网通信,系统自动配置。
在ER路由表中,通过下一跳为VPC-A连接的路由将流量送达VPC-A。 表2 DC双链路主备混合云组网规划说明(全域接入网关DGW) 资源 说明 VPC 业务VPC,实际运行客户业务的VPC,具体说明如下: VPC网段(CIDR)不能重叠。 本示例中,ER路由表使用的是“虚拟私有云(VPC)”连接的
在ER路由表中,通过下一跳为VPC-A连接的路由将流量送达VPC-A。 表2 DC双链路负载混合云组网规划说明(全域接入网关DGW) 资源 说明 VPC 业务VPC,实际运行客户业务的VPC,具体说明如下: VPC网段与客户IDC侧网段不能重复。 VPC有一个默认路由表。 VPC默认路由表中的路由信息如表3所示。
创建EIP和公网NAT网关 操作场景 本章节指导用户创建弹性公网IP和公网NAT网关。 操作步骤 在区域A内,创建EIP。 创建EIP,具体方法请参见申请弹性公网IP。 在区域A内,创建公网NAT网关。 创建公网NAT网关,具体方法请参见购买公网NAT网关。 本示例中公网NAT网关资源规划详情请参见表7。
创建企业路由器 操作场景 本章节指导用户创建企业路由器。 操作步骤 在区域A内,创建1个企业路由器。 创建企业路由器,具体方法请参见创建企业路由器。 企业路由器资源规划详情请参见表6。 父主题: 创建资源
分别将2个业务VPC接入企业路由器中。 添加“虚拟私有云(VPC)”连接,具体方法请参见在企业路由器中添加VPC连接。 检查ER路由表中指向VPC连接的路由。 本示例中,ER开启了“默认路由表关联”和“默认路由表传播”功能,那么在ER中添加“虚拟私有云(VPC)”连接时,系统会自动添加ER指向VPC的路由,无需手动添加,只需要检查即可。
-p 执行以下命令,查看是否打开系统的转发功能。 sysctl -a | grep ip_forward 回显类似如下信息,“net.ipv4.ip_forward”取值为1,表示打开成功。 执行以下步骤,配置路由。 该路由表示去往VPC1和VPC2的流量清洗后,会通过eth1发出去。
在NAT网关中配置SNAT规则 操作场景 本章节指导用户在公网NAT网关中添加SNAT规则,实现访问公网。 操作步骤 在公网NAT网关中,配置SNAT规则。 配置SNAT规则,具体方法请参见添加SNAT规则。 本示例中SNAT规划详情请参见表7。 父主题: 配置网络
创建企业路由器 操作场景 本章节指导用户创建企业路由器。 操作步骤 在区域A内,创建1个企业路由器。 创建企业路由器,具体方法请参见创建企业路由器。 企业路由器资源规划详情请参见表7。 父主题: 创建资源
如图1所示: 将业务VPC-A和业务VPC-B、DC直接接入企业路由器ER。 VPC-A和VPC-B之间的网络通过ER连通。 VPC-A、VPC-B以及线下IDC之间的网络通过ER和DC连通。 VPC互通:通过企业路由器实现同区域VPC互通 VPC和IDC互通:通过企业路由器和云专线实现线下IDC和云上VPC互通
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
