更新时间:2024-10-09 GMT+08:00
配置企业路由器
防火墙创建完成后,您还需关联企业路由器和设置引流。
配置原理
配置企业路由器时需要执行以下流程。
图1 配置企业路由器操作步骤
前提条件
已完成创建防火墙步骤。
约束条件
- 企业路由器需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。
- 仅专业版支持VPC间防火墙防护功能。
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域。 - 在左侧导航栏中,单击左上方的
,选择,进入云防火墙的总览页面。 - (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择,进入“VPC边界防火墙管理”页面。
- 单击“配置企业路由器”,进入“企业路由器”页面,在企业路由器中添加连接,支持添加的连接类型请参见连接概述。
下文以防护两个VPC为例(至少需要添加两条VPC连接,用于连接两个VPC和ER之间)。操作步骤请参见企业路由器中添加VPC连接。
- 连接至少需要添加三条,例如:对防火墙连接命名为cfw-er-auto(创建防火墙后自动生成);对VPC1连接命名为vpc-1;对VPC2连接命名为vpc-2。
- 如需防护其他账号(如账号B)下的VPC,请将当前账号A的企业路由器共享至账号B,共享步骤请参见创建共享,共享成功后在账号B中添加连接,后续配置仍在账号A中进行。
- 创建两个路由表分别用于连接需防护的VPC和连接防火墙。
单击“路由表”页签,进入路由表设置页面,单击“创建路由表”。
如图 创建路由表,参数详情见表 创建路由表参数说明。
表1 创建路由表参数说明 参数名称
参数说明
取值样例
名称
输入路由表的名称。
命名规则如下:- 长度范围为1~64位。
- 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。
er-rlb-4cd1
描述
您可以根据需要在文本框中输入对该路由表的描述信息。
-
标签
您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。
关于标签更详细的说明,请参见标签概述。
-
- 设置关联和路由功能。
- 在路由表设置页面,选择用于连接需防护VPC的路由表,单击“关联”页签,单击“创建关联”。
如图 创建关联,参数详情见表 创建关联参数说明。
- 创建同一路由表的路由功能。单击“路由”页签,单击“创建路由”,根据实际数量创建路由功能。
如图 创建路由,参数详情见表 创建路由参数说明。
- 在路由表设置页面,选择用于连接需防护VPC的路由表,单击“关联”页签,单击“创建关联”。
- 设置关联和传播功能。
- 在路由表设置页面,单击“关联”页签,选择用于连接防火墙的路由表,单击“创建关联”。
如图 创建关联,参数详情见表 创建关联参数说明 。
- 创建同一路由表的传播功能。单击“传播”页签,单击“创建传播”。
如图 创建传播,参数详情见表 创建传播参数说明。
表5 创建传播参数说明 参数名称
参数说明
取值样例
连接类型
选择连接类型“虚拟私有云(VPC)”。
虚拟私有云(VPC)
传播
在传播下拉列表中,选择需防护的VPC连接。
er-attach-02
- 创建传播后,会自动将连接的路由信息学习到ER路由表中,生成“传播路由”。同一个路由表中,不同传播路由的目的地址可能相同,连接配置不支持修改和删除。
- 您也可以手动在路由表中配置连接的静态路由,同一个路由表中,静态路由的目的地址不允许重复,连接配置支持修改和删除。
- 如果路由表中存在多条路由目的地址相同,则优先级:静态路由 > 传播路由。
- 在路由表设置页面,单击“关联”页签,选择用于连接防火墙的路由表,单击“创建关联”。
配置验证方法
前提条件
- 已完成全部配置步骤。
- 两个VPC中各有一台ECS。
验证方式
VPC中的ECS互相ping,确定流量未经过防火墙时是否正常通信。
故障定位
- 企业路由器的两个路由表配置是否正确。正确配置方式请参见8和9。
- 检查待防护VPC的默认路由表是否将路由转向企业路由器。
查看方式:
1、在左侧导航栏中,选择,进入“路由表”页面,在“名称/ID”列,单击对应VPC的路由表名称。
2、查看是否存在“下一跳类型”为“企业路由器”的路由。若不存在,单击“添加路由”,参数详情见表 添加路由参数说明。
