You need to enable JavaScript to run this app.
导航
通过路由策略限制VPC之间或VPC与云下IDC网段之间的互通
最近更新时间:2024.09.14 14:51:56首次发布时间:2024.09.13 14:33:05

本文将介绍如何通过路由策略限制VPC之间或VPC与云下IDC网段之间的互通。

场景介绍

通过路由策略限制VPC或网段之间的互通可以实现网络隔离的效果,且能够简化中转路由器的路由配置。本文为您介绍如何配置路由策略实现vpc01与vpc02之间无法互访,且vpc01只能访问IDC中的网段1,vpc02只能访问IDC中的网段2,具体组网场景如下图所示。

说明

通过使用多张TR路由表也可以实现网络隔离,详细配置可按需参考实现指定VPC之间的互通与隔离实现不同VPC与IDC之间的独立互通

alt

前提条件

确保云下IDC接入火山引擎的物理线路及相关资源已准备。具体步骤请参见专线连接快速入门的前三步。

配置步骤

步骤一:配置全互通基础组网

  1. 参考创建中转路由器实例创建一个TR实例。

    说明

    系统同时自动创建了一个系统路由表,下文以rtb-sys为例。

  2. 参考创建VPC类型网络实例连接将vpc01和vpc02连接至TR实例。创建时关联转发、路由学习和路由同步功能均开启。
  3. 参考创建专线网关类型网络实例连接将专线网关连接至TR实例。创建时关联转发和路由学习功能均开启。
  4. 登录VPC中的云服务器实例,通过ping命令验证vpc01、vpc02与云下IDC两个网段之间全互通。

步骤二:创建路由策略

  1. 参考创建路由策略创建一个发方向路由策略,策略条目的配置说明如下表所示。

    优先级匹配条件策略行为描述

    1

    源实例ID = 私有网络 vpc01 的ID
    目的实例ID = 私有网络 vpc02 的ID

    拒绝

    拒绝vpc01访问vpc02

    2

    源实例ID = 私有网络 vpc02 的ID
    目的实例ID = 私有网络 vpc01 的ID

    拒绝

    拒绝vpc02访问vpc01

    3

    路由前缀 = 云下IDC网段2
    目的实例ID = 私有网络 vpc01 的ID

    拒绝

    拒绝vpc01访问云下IDC网段2

    4

    路由前缀 = 云下IDC网段1
    源实例ID = 私有网络 vpc02 的ID

    拒绝

    拒绝vpc02访问云下IDC网段1

  2. 参考绑定路由策略将路由策略绑定至TR路由表rtb-sys。

结果验证

  1. 登录vpc01中的云服务器实例,具体操作请参考登录Linux实例登录Windows实例
  2. 执行ping命令,依次验证与vpc02、IDC网段1和IDC网段2的连通性。
    访问vpc02和IDC网段2不通,访问IDC网段1可通则符合预期隔离效果。
  3. 同理,登录vpc02中的云服务器实例,通过ping命令验证网络隔离效果。