检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过企业路由器和第三方防火墙实现多VPC互访流量清洗 方案概述 规划组网和资源 创建资源 配置网络 验证网络互通情况
vpc-demo-01到vpc-demo-02的流量是否通过ecs-inspection。 检查eth0网卡的接收流量,至少连续执行两次命令,检查RX packets是否增加。 ifconfig eth0 检查eth1网卡的发送流量,至少连续执行两次命令,检查TX packets是否增加。
在企业路由器中添加“云防火墙(CFW)”连接,即创建VPC边界防火墙时选择企业路由器,则会在企业路由器的连接列表中看到对应的“云防火墙(CFW)”连接。 VPC边界防火墙支持VPC之间通信流量的访问控制,可以实现VPC内业务互访活动的可视化与安全防护。 操作步骤 您需要通过云防火墙控制台添加
配置网络 在企业路由器中配置VPC连接 在ECS中配置内核参数及路由 父主题: 通过企业路由器和第三方防火墙实现多VPC互访流量清洗
在“弹性网卡”页签下,关闭第二个网卡(eth1)的“源/目的检查”,以确保从eth1出来的流量不会被拦截。 在ECS3中安装第三方防火墙。 您可以自行安装或者通过华为云市场购买第三方防火墙。 父主题: 创建资源
创建企业路由器 操作场景 本章节指导用户创建企业路由器。 操作步骤 在区域A内,创建1个企业路由器。 创建企业路由器,具体方法请参见创建企业路由器。 企业路由器资源规划详情请参见表7。 父主题: 创建资源
在企业路由器中配置VPC连接 操作场景 本章节指导用户在企业路由器中配置“虚拟私有云(VPC)”连接,即将VPC接入企业路由器中,并配置企业路由器和VPC的路由。 操作步骤 将3个VPC分别接入企业路由器中。 添加“虚拟私有云(VPC)”连接,具体方法请参见在企业路由器中添加VPC连接。
查看流日志信息 操作场景 本章节指导用户查看ER流日志详情,包括连接ID、源/目的地址、源/目的端口以及数据包大小、数量等信息。 约束与限制 流日志的捕获窗口周期大约为10分钟,即每10分钟输出一次流日志记录。所以流日志创建完成后,您需要等待大约10分钟,才能看到流日志记录详情。
删除CFW连接 您无法直接删除CFW连接,如果确认不再使用,请退订云防火墙,将会同步删除企业路由器内的CFW连接。 父主题: CFW连接
子网1的eth0网卡接收流量。在VPC3默认路由表中,通过下一跳为ECS3的路由,以及ECS内核配置,将流量从eth0网卡转送到eth1网卡。 子网2的eth1网卡通过防火墙清洗并送出流量。在VPC3自定义路由表中,通过下一跳为ER的路由,将清洗后的流量转送到ER。 VPC3关联
sysctl -p 执行以下命令,查看是否打开系统的转发功能。 sysctl -a | grep ip_forward 回显类似如下信息,“net.ipv4.ip_forward”取值为1,表示打开成功。 执行以下步骤,配置路由。 该路由表示去往VPC1和VPC2的流量清洗后,会通过eth1发出去。
查看配额 操作场景 本章节指导用户查看企业路由器相关配额。 怎样查看我的配额? 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面右上角,选择“资源 > 我的配额”。 系统进入“服务配额”页面。 图1 我的配额 您可以在“服务配额”页面,查看各项资源的总配额及使用情况。
云VPC,其中业务A、业务B分别部署在VPC1、VPC2,VPC3部署有第三方防火墙软件。出于安全考虑,要求业务A和业务B互相访问的流量必须通过VPC3中防火墙软件的过滤清洗。 图1 同区域VPC流量清洗 您可以使用企业路由器的共享功能,将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。
查看路由表的标签 操作场景 本章节指导用户查看路由表的标签。 查看路由表的标签 进入企业路由器列表页面。 通过名称过滤,快速找到待查看路由表标签的企业路由器。 单击企业路由器名称,并选择“路由表”页签。 进入路由表列表页面。 在标签列表中,查看路由表的标签信息,包括“标签键”和“标签值”。
的全域接入网关。 “云防火墙(CFW)”连接:接入同区域的云防火墙。 图1 企业路由器使用方法 当您了解了企业路由器的使用方法后,接下来将为您详细介绍企业路由器的工作原理。工作原理如图2所示,详细说明请参见表2。 图2 企业路由器工作原理图 表1 网络流量路径说明 序号 路径 说明
查看连接的标签 操作场景 本章节指导用户查看连接的标签。 操作步骤 进入企业路由器列表页面。 通过名称过滤,快速找到待查看连接标签的企业路由器。 单击企业路由器名称,并选择“连接”页签。 进入连接列表页面。 单击待查看标签的连接名称。 进入连接详情页面。 在标签列表中,查看连接的标签信息,包括“标签键”和“标签值”。
创建资源 创建企业路由器 创建VPC和ECS 父主题: 通过企业路由器和第三方防火墙实现多VPC互访流量清洗
虚拟私有云(VPC) 对等连接(Peering) 云防火墙(CFW) 创建路由,具体请参见创建静态路由。 路由优先级 如果路由表中存在多条路由目的地址相同,则优先级从高到低排序如下: 静态路由 > “虚拟私有云(VPC)”连接的传播路由=“云防火墙(CFW)”连接的传播路由 > “虚拟网关(VGW)”连接的传播路由
希望快速搭建满足安全要求的云上组网。 企业路由器价值 客户在组网中部署云防火墙,通过将VPC和云防火墙关联至企业路由器中不同的路由表,控制VPC1和VPC2互访流量经过防火墙。 最佳实践 通过企业路由器和云防火墙构建组网
您可以将企业连接网络接入企业路由器,帮助企业实现本地网络和云上网络之间的互联互通。 云防火墙(Cloud Firewall,CFW) 您可以通过企业路由器、虚拟私有云VPC和云防火墙构建组网,实现云上VPC间的流量防护。 统一身份认证服务(Identity and Access Management
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
