文档首页/ 云防火墙 CFW/ 用户指南/ 云防火墙防护/ 开启VPC边界流量防护/ 企业路由器模式(新版)/ 配置企业路由器并将流量引至云防火墙
更新时间:2025-06-12 GMT+08:00
查看PDF
分享

配置企业路由器并将流量引至云防火墙

本文指导您通过企业路由器将流量引至云防火墙,并验证网络的连通性。

前提条件

流量互通,确定流量未经过防火墙时正常通信。流量验证请参见验证网络互通情况

配置原理和流程

配置企业路由器时的流量走势如图 流量走势图所示,操作流程如图 配置企业路由器操作步骤所示。

图1 流量走势图
图2 操作流程

将流量引至云防火墙

根据当前业务是否已配置企业路由器,选择配置方式。

  1. 创建VPC边界防火墙,具体操作请参见创建VPC边界防火墙
  2. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  3. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  4. 在左侧导航栏中,选择资产管理 > VPC边界防火墙管理,进入“VPC边界防火墙管理”页面。
  5. 添加VPC连接。

    单击“防火墙状态”侧的“编辑防护VPC”,进入企业路由器页面,在企业路由器中添加连接,支持添加的连接类型请参见连接概述

    下文以防护两个VPC为例(至少需要添加两条VPC连接,用于连接两个VPC和ER之间)。操作步骤请参见企业路由器中添加VPC连接

    图3 添加VPC连接
    • 防火墙创建后自动生成一条防火墙连接(名称:cfw-er-auto-attach,连接类型:云防火墙(CFW)),防护VPC的连接需手动添加;每增加一个防护的VPC,都需要增加一条连接。

      例如:对VPC1连接命名为vpc-1;对VPC2连接命名为vpc-2,需防护VPC3时,增加连接命名为vpc-3。

    • 如需防护其它账号(如账号B)下的VPC,请将当前账号A的企业路由器共享至账号B,共享步骤请参见创建共享,共享成功后在账号B中添加连接,后续配置仍在账号A中进行。

  6. 创建两个路由表,作为关联路由表传播路由表分别用于连接需防护的VPC和连接防火墙。

    单击“路由表”页签,进入路由表设置页面,单击“创建路由表”,参数详情见表1

    表1 创建路由表参数说明

    参数名称

    参数说明

    名称

    输入路由表的名称。

    命名规则如下:
    • 长度范围为1~64位。
    • 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。

    描述

    您可以根据需要在文本框中输入对该路由表的描述信息。

    标签

    您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。

    关于标签更详细的说明,请参见标签概述

  7. 配置关联路由表。

    1. 设置关联功能:在路由表设置页面,选择关联路由表,单击“关联”页签,单击“创建关联”,参数详情见表2

      关联至少需要添加两条,每增加一个防护的VPC,都需增加一条关联。

      例如:选择VPC1的连接vpc-1以及VPC2的连接vpc-2,需防护VPC3时,增加一条关联,选择连接vpc-3。

      图4 创建关联
      表2 创建关联参数说明

      参数名称

      参数说明

      连接类型

      选择连接类型“虚拟私有云(VPC)”

      连接

      在连接下拉列表中,选择需防护的VPC连接。
    2. 设置路由功能:单击“路由”页签,单击“创建路由”,根据实际数量创建路由功能,参数详情见表3
      图5 创建路由
      表3 创建路由参数说明

      参数名称

      参数说明

      目的地址

      设置目的地址。

      • 0.0.0.0/0:VPC的所有流量(IPv4)都会经过云防火墙防护。
      • 网段:该网段的流量会经过云防火墙防护。

      黑洞路由

      建议您保持关闭状态;开启后如果路由匹配上黑洞路由的目的地址,则该路由的报文会被丢弃。

      连接类型

      选择连接类型“云防火墙(CFW)”

      下一跳

      在下拉列表中,选择自动生成的防火墙连接(cfw-er-auto-attach)。

      描述

      (可选)路由的描述信息。

  8. 配置传播路由表。

    1. 设置关联功能:在路由表设置页面,选择传播路由表,单击“关联”页签,单击“创建关联”,参数详情见表4
      图6 创建关联
      表4 创建关联参数说明

      参数名称

      参数说明

      连接类型

      选择连接类型“云防火墙(CFW)”

      连接

      在下拉列表中,选择自动生成的防火墙连接(cfw-er-auto-attach)。
    2. 设置传播功能:单击“传播”页签,单击“创建传播”,参数详情见表5
      图7 创建传播
      表5 创建传播参数说明

      参数名称

      参数说明

      连接类型

      选择连接类型“虚拟私有云(VPC)”

      连接

      在传播下拉列表中,选择需防护的VPC连接。
      • 传播至少需要添加两条,每增加一个防护的VPC,都需增加一条传播。

        例如:选择VPC1的连接vpc-1以及VPC2的连接vpc-2,需防护VPC3时,增加一条传播,选择连接vpc-3。

      • 创建传播后,会自动将连接的路由信息学习到ER路由表中,生成“传播路由”。同一个路由表中,不同传播路由的目的地址可能相同,连接配置不支持修改和删除。
      • 您也可以手动在路由表中配置连接的静态路由,同一个路由表中,静态路由的目的地址不允许重复,连接配置支持修改和删除。
      • 如果路由表中存在多条路由目的地址相同,则优先级:静态路由 > 传播路由。

  9. 修改VPC的路由表。

    1. 在左侧导航栏中,选择网络 > 虚拟私有云 > 路由表,进入“路由表”页面。
    2. “名称/ID”列,单击对应VPC的路由表名称,进入路由表“基本信息”页面。
    3. 单击“添加路由”,参数详情见表6

      至少需要为两个VPC添加路由,每增加一个防护的VPC,都需为该VPC增加一条路由。

      表6 添加路由参数说明

      参数

      说明

      目的地址类型

      选择“IP地址”

      目的地址

      流量到达的网段,且填写的网段不能与已有路由和VPC下子网网段冲突。

      例如两个VPC间防护时,VPC1中添加的路由“目的地址”填写VPC2的网段。

      下一跳类型

      在下拉列表中,选择类型“企业路由器”

      下一跳

      选择下一跳资源。

      下拉列表中将展示您创建的企业路由器名称。

      描述

      (可选)路由的描述信息。

      描述信息内容不能超过255个字符,且不能包含“<”和“>”。

  1. 已创建VPC边界防火墙,具体操作请参见创建VPC边界防火墙
  2. 登录管理控制台
  3. 单击管理控制台左上角的,选择区域。
  4. 在左侧导航栏中,单击左上方的,选择网络 > 企业路由器,进入“企业路由器”页面。
  5. 从默认路由表er-RT1中删除防火墙VPC(vpc-cfw-er)的关联和传播。

    选择路由表 > 关联,在防火墙VPC行的“操作”列,单击“删除”,在删除确认框中,单击“是”

    选择传播,在防火墙VPC行的“操作”列,单击“删除”,在删除确认框中,单击“是”

  6. 创建路由表er-RT2。

    单击页面左上角“创建路由表”。参数详情见表7

    表7 创建路由表参数说明

    参数名称

    参数说明

    取值样例

    名称

    输入路由表的名称。要求如下:

    • 长度范围为1~64位。
    • 名称由中文、英文字母、数字、下划线(_)、中划线(-)、点(.)组成。

    er-RT2

    标签

    您可以在创建路由表的时候为路由表绑定标签,标签用于标识云资源,可通过标签实现对云资源的分类和搜索。

    关于标签更详细的说明,请参见标签概述

    “标签键”:test

    “标签值”:01

    描述

    您可以根据需要在文本框中输入对该路由表的描述信息。

    -

  7. 配置路由表er-RT2:设置关联和传播功能。

    1. 选择路由表er-RT2,单击“关联”页签,单击“创建关联”。如图 创建关联,参数详情见表8
      图8 创建关联
      表8 创建关联参数说明

      参数名称

      参数说明

      取值样例

      连接类型

      选择连接类型“云防火墙(CFW)”

      云防火墙(CFW)

      连接

      在连接下拉列表中,选择防火墙VPC的连接。

      cfw-er-auto
    2. 创建同一路由表(er-RT2)的传播功能。单击“传播”页签,单击“创建传播”。参数详情见表9
      图9 创建传播
      表9 创建传播参数说明

      参数名称

      参数说明

      取值样例

      连接类型

      选择连接类型“虚拟私有云(VPC)”

      虚拟私有云(VPC)

      连接

      在传播下拉列表中,选择需防护的VPC连接。

      vpc-1
      表10 创建传播参数说明

      参数名称

      参数说明

      取值样例

      连接类型

      选择连接类型“虚拟私有云(VPC)”

      虚拟私有云(VPC)

      连接

      在传播下拉列表中,选择需防护的VPC连接。

      vpc-2
      • 传播至少需要添加两条,每增加一个防护的VPC,都需增加一条传播。

        例如:选择VPC1的连接vpc-1以及VPC2的连接vpc-2,需防护VPC3时,增加一条传播,选择连接vpc-3。

      • 创建传播后,会自动将连接的路由信息学习到ER路由表中,生成“传播路由”。同一个路由表中,不同传播路由的目的地址可能相同,连接配置不支持修改和删除。
      • 您也可以手动在路由表中配置连接的静态路由,同一个路由表中,静态路由的目的地址不允许重复,连接配置支持修改和删除。
      • 如果路由表中存在多条路由目的地址相同,则优先级:静态路由 > 传播路由。

  8. 配置默认路由表er-RT1:

    1. 添加静态路由。选择路由表er-RT1,单击路由页签,单击“创建路由”,填写信息如下:
      • 目的地址:0.0.0.0/0
      • 连接类型:“云防火墙(CFW)”
      • 下一跳:选择防火墙VPC的连接(cfw-er-auto)
      图10 添加静态路由
    2. 删除路由表er-RT1中的所有传播。

      单击传播页签,在“操作”列中,单击“删除”,在删除确认框中,单击“是”

  9. (可选)建议您将当前企业路由器的传播路由表改为新创建的路由表(er-RT2),后续添加新VPC时,仅需添加连接,无需进行其它操作。

    返回或进入企业路由器,单击“更多 > 修改配置”,选择传播路由表为er-RT2。如图11所示。
    图11 修改配置

    如需防护其它账号(如账号B)下的VPC,请将当前账号A的企业路由器共享至账号B,共享步骤请参见创建共享,共享成功后在账号B中添加连接即可完成配置。

后续操作

配置后开启VPC边界防护,请参见开启VPC边界防火墙并确认流量经过云防火墙

父主题: 企业路由器模式(新版)