本文为您介绍如何利用云企业网路由策略功能让加入到云企业网中的专有网络(VPC)间的网络默认不互通,只单独放行需要互通的VPC实例,提高您网络的安全性,建议您用此方式管理云企业网路由。

前提条件

配置路由策略前,请确保满足以下条件:

背景信息

默认情况下,云企业网采取VPC与VPC、VPC与边界路由器(VBR)、VPC与云连接网(CCN)间互通的策略。但对于VPC、VBR、CCN网络实例较多,且时有新增网络实例,访问控制较为复杂的用户,您可以选择先设置默认拒绝的低优先级路由策略,然后根据需求再做开通的高优先级路由策略。架构图1.1

如上图所示,VPC1、VPC2位于中国(香港),VPC3位于德国(法兰克福),且三个VPC均已加载到云企业网中。默认情况下,VPC1、VPC2和VPC3全互通。为了方便您后续扩大网络规模,管理维护网络,您可以先设置全部网络实例VPC1、VPC2、VPC3默认拒绝云企业网中国(香港)地域网关和德国(法兰克福)地域网关下发的路由,然后再设置高优先级路由策略让VPC1和VPC3互通。

网段规划

VPC1、VPC2、VPC3的网段规划如下表所示。

网络实例 网段规划 云服务器(ECS)IP地址
VPC1

VPC网段:10.0.0.0/8

vswitch1网段:10.0.1.0/24

vswitch2网段:10.0.2.0/24

ECS1:10.0.1.95

ECS2:10.0.2.120

VPC2

VPC网段:172.16.0.0/12

vswitch网段:172.16.1.0/24

ECS:172.16.1.80
VPC3

VPC网段:192.168.0.0/16

vswitch网段:192.168.1.0/24

ECS:192.168.1.151

步骤一:设置全部网络实例拒绝云企业网地域网关下发路由的路由策略

完成以下操作,设置VPC1、VPC2、VPC3网络实例拒绝中国(香港)地域网关和德国(法兰克福)地域网关下发路由的路由策略。

  1. 登录云企业网管理控制台
  2. 在左侧导航栏,单击云企业网实例
  3. 云企业网实例页面,找到目标云企业网实例,单击操作列下的管理
  4. 云企业网页面,单击路由策略页签,然后单击添加路由策略
  5. 添加路由策略页面,根据以下信息配置德国(法兰克福)地域网关路由策略,然后单击确定
    • 策略优先级:路由策略的优先级。优先级数字越小,优先级越高。本示例输入100
    • 描述:(可选项)路由策略描述。本示例输入法兰克福地域所有VPC实例拒绝云企业网地域网关下发的路由
    • 地域:选择路由策略应用的地域。本示例选择德国(法兰克福)
    • 应用方向:选择路由策略应用的方向。本示例选择出地域网关
    • 匹配条件:路由策略的匹配条件。本示例选择目的实例类型VPC
    • 策略行为:选择策略行为。本示例选择拒绝
    法兰克福拒绝路由
  6. 添加路由策略页面,根据以下信息配置中国(香港)地域网关路由策略,然后单击确定
    • 策略优先级:路由策略的优先级。优先级数字越小,优先级越高。本示例输入100
    • 描述:(可选项)路由策略描述。本示例输入中国香港地域所有VPC实例拒绝云企业网地域网关下发的路由
    • 地域:选择路由策略应用的地域。本示例选择中国(香港)
    • 应用方向:选择路由策略应用的方向。本示例选择出地域网关
    • 匹配条件:路由策略的匹配条件。本示例输入目的实例类型VPC
    • 策略行为:选择策略行为。本示例选择拒绝
    香港拒绝1
    添加路由策略后,您可以在路由信息页签下分别查看VPC1、VPC2、VPC3实例拒绝了所有本地域的云企业网关发来的路由。VPC1示例如下图所示。拒绝路由1.1

步骤二:配置允许VPC1接受VPC3路由的路由策略

完成以下操作,允许VPC1接受VPC3的路由。

  1. 在左侧导航栏,单击云企业网实例
  2. 云企业网实例页面,找到目标云企业网实例,单击操作列下的管理
  3. 云企业网页面,单击路由策略页签,然后单击添加路由策略
  4. 添加路由策略页面,根据以下信息配置路由策略,然后单击确定
    • 策略优先级:路由策略的优先级。优先级数字越小,优先级越高。本示例输入50
    • 描述:(可选项)路由策略描述。本示例输入允许VPC1接受VPC3的路由
    • 地域:选择路由策略应用的地域。本示例输入中国(香港)
    • 应用方向:选择路由策略应用的方向。 本示例选择出地域网关
    • 匹配条件:路由策略的匹配条件。本示例配置信息如下所示。
      • 源地域:选择德国(法兰克福)
      • 源实例ID列表:选择VPC3实例ID。
      • 目的实例ID列表:选择VPC1实例ID。
    • 策略行为:选择策略行为。本示例选择允许
    VPC1允许VPC3
    添加路由策略后,您可以在路由信息页签下查看VPC1已经接受VPC3的路由。VPC1路由1.1

步骤三:配置允许VPC3接受VPC1路由的路由策略

完成以下操作,允许VPC3接受VPC1的路由。

  1. 在左侧导航栏,单击云企业网实例
  2. 云企业网实例页面,找到目标云企业网实例,单击操作列下的管理
  3. 云企业网页面,单击路由策略页签,然后单击添加路由策略
  4. 添加路由策略页面,根据以下信息配置路由策略,然后单击确定
    • 策略优先级:路由策略的优先级。优先级数字越小,优先级越高。本示例输入50
    • 描述:(可选项)路由策略描述。本示例输入允许VPC3接受VPC1的路由
    • 地域:选择路由策略应用的地域。本示例输入德国(法兰克福)
    • 应用方向:选择路由策略应用的方向。 本示例选择出地域网关
    • 匹配条件:路由策略的匹配条件。
      • 源地域:选择中国(香港)
      • 源实例ID列表:选择VPC1实例ID。
      • 目的实例ID列表:选择VPC3实例ID。
    • 策略行为:选择策略行为。本示例选择允许
    VPC3允许VPC1
    添加路由策略后,您可以在路由信息页签下查看VPC3已经接受VPC1的路由。VPC3路由1.1

步骤四:测试网络连通性

完成以下操作,测试VPC之间的网络连通性。

  1. 登录VPC1下的ECS1实例。
  2. 通过ping命令pingVPC3下的ECS实例的IP地址,验证通信是否正常。
    经验证,VPC1实例可以正常访问VPC3实例,VPC1与VPC3之间互通。pingVPC3
  3. 登录VPC2下的ECS实例。
  4. 通过ping命令pingVPC1下的ECS1实例的IP地址,验证通信是否正常。
    经验证,VPC2实例不可访问VPC1实例,VPC2和VPC1之间不通。VPC2访问VPC1
  5. 登录VPC3下的ECS实例。
  6. 通过ping命令pingVPC2下的ECS实例的IP地址,验证通信是否正常。
    经验证,VPC3实例不可访问VPC2实例,VPC2和VPC3之间不通。pingVPC3-2