本文将介绍如何通过路由策略限制VPC之间或VPC与云下IDC网段之间的互通。

场景介绍

通过路由策略限制VPC或网段之间的互通可以实现网络隔离的效果，且能够简化中转路由器的路由配置。本文为您介绍如何配置路由策略实现vpc01与vpc02之间无法互访，且vpc01只能访问IDC中的网段1，vpc02只能访问IDC中的网段2，具体组网场景如下图所示。

前提条件

确保云下IDC接入火山引擎的物理线路及相关资源已准备。具体步骤请参见专线连接快速入门的前三步。

配置步骤

步骤一：配置全互通基础组网

1. 参考创建中转路由器实例创建一个TR实例。

   说明

   系统同时自动创建了一个系统路由表，下文以rtb-sys为例。

2. 参考创建VPC类型网络实例连接将vpc01和vpc02连接至TR实例。创建时关联转发、路由学习和路由同步功能均开启。
3. 参考创建专线网关类型网络实例连接将专线网关连接至TR实例。创建时关联转发和路由学习功能均开启。
4. 登录VPC中的云服务器实例，通过ping命令验证vpc01、vpc02与云下IDC两个网段之间全互通。

步骤二：创建路由策略

1. 参考创建路由策略创建一个发方向路由策略，策略条目的配置说明如下表所示。

   优先级	匹配条件	策略行为	描述
   1	源实例ID = 私有网络 vpc01 的ID 目的实例ID = 私有网络 vpc02 的ID	拒绝	拒绝vpc01访问vpc02
   2	源实例ID = 私有网络 vpc02 的ID 目的实例ID = 私有网络 vpc01 的ID	拒绝	拒绝vpc02访问vpc01
   3	路由前缀 = 云下IDC网段2 目的实例ID = 私有网络 vpc01 的ID	拒绝	拒绝vpc01访问云下IDC网段2
   4	路由前缀 = 云下IDC网段1 源实例ID = 私有网络 vpc02 的ID	拒绝	拒绝vpc02访问云下IDC网段1

2. 参考绑定路由策略将路由策略绑定至TR路由表rtb-sys。

结果验证

1. 登录vpc01中的云服务器实例，具体操作请参考登录Linux实例或登录Windows实例。
2. 执行ping命令，依次验证与vpc02、IDC网段1和IDC网段2的连通性。
   访问vpc02和IDC网段2不通，访问IDC网段1可通则符合预期隔离效果。
3. 同理，登录vpc02中的云服务器实例，通过ping命令验证网络隔离效果。