注意事項

僅適用于可用區資源池，實際情況以控制臺展現為準，部署之前請檢查資源池類型。

整體場景說明

前提條件

業務VPC1下的業務子網1、業務VPC2下的業務子網2、防火墻-VPC下的防火墻子網三個網段不能重疊，否則建立對等連接后無法互通。

業務拓撲

• 業務VPC1為客戶的業務主機所在的VPC，業務主機的流量需要轉發到防火墻-VPC進行清洗。
• 客戶的防火墻以云主機+防火墻鏡像的方式部署在公共的防火墻-VPC。
• 業務VPC1和防火墻VPC建立對等連接1；業務VPC2和防火墻-VPC建立對等連接2。
• 業務VPC1或者業務VPC2通過對等連接進入防火墻-VPC進行流量清洗，然后防火墻-VPC將流量轉發至公網、線下IDC；業務VPC1和業務VPC2互訪的流量進入防火墻-VPC進行清洗。

場景1：訪問公網的流量通過公共VPC防火墻進行清洗

基本場景介紹

對外訪問的EIP綁定在防火墻的WAN口 IP上。

防火墻做針對去Internet的做SNAT，從而使得內部多個VPC共同使用防火墻上的EIP出公網。

業務VPC的IP地址不能重疊。

流量路徑

從南往北，從業務VPC1到Internet

1. VPC1 的默認路由表或者自定義路由表均可。
2. 匹配0.0.0.0/0，下一跳為對等連接，將流量發給防火墻VPC。
3. 防火墻VPC收到后匹配防火墻VPC的默認路由表，匹配0.0.0.0/0 下一跳為FW-LAN口或者虛擬IP 。
4. 防火墻做SNAT地址轉換，將SIP替換成WAN VIP， 并將流量從FW-WAN口送出。
5. 防火墻 WAN口綁定了自定義子網路由表，匹配0.0.0.0/0 下一跳為IPv4網關。
6. IPv4網關收到報文后做NAT轉換，將SIP從防火墻 的WAN VIP 替換成EIP，送至Internet。

從北往南，從Internet到VPC1的虛擬機

1. 流量的目的地址為EIP，到達IPv4網關后，IPv4網關將目的地址替換成防火墻WAN口IP。
2. 防火墻WAN口收到后，做NAT轉換，替換為VPC1的虛擬機IP地址。并從防火墻LAN口送出。
3. 防火墻 LAN口綁定了子網自定義路由表，匹配10.0.0.0/24，下一跳為對等連接，將流量發給VPC1。
4. VPC1默認路由表轉發至虛擬機。

場景2：訪問其他VPC的流量通過公共VPC防火墻進行清洗

基本場景介紹

業務子網1訪問公網的流量進入防火墻VPC 進行流量清洗。

業務 VPC1下的業務子網 1:10.0.0.0/24。

防火墻 VPC下防火墻云主機所在的子網：192.168.0.0/24。

操作步驟

1. 業務VPC1和防火墻VPC建立對等連接。

• 在業務VPC1下的默認路由表或者自定義路由表下，創建路由規則如下：
  目的地址: 0.0.0.0，下一跳: 對等連接1
  將子網1關聯至默認路由表或者自定義路由表。

• 在防火墻VPC下創建自定義路由表(不能選擇默認路由表)，并建立如下路由規則：

  目的地址業務子網2 下一跳：對等連接1

  將防火墻子網和自定義路由表做關聯。

2. 業務VPC2和防火墻VPC建立對等連接。

• 在業務VPC2下的默認路由表或者自定義路由表下，創建路由規則如下：
  目的地址：192.168.0.0/24（防火墻子網） 下一跳：對等連接2
  將子網2關聯至默認路由表或者自定義路由表
• 在防火墻VPC下的自定義路由表（不能選擇默認路由表），并建立如下路由規則：
  目的地址：172.16.0.0/24（子網2） 下一跳：對等連接2
  將防火墻子網和自定義路由表做關聯

3. 配置防火墻VPC的默認路由表，將流量引到防火墻云主機
   目的地址：172.16.0.0/24（子網2） 下一跳：防火墻云主機或者虛擬IP（虛擬IP綁定多個防火墻做高可用）
   目的地址：10.10.0.0/24（子網1） 下一跳：防火墻云主機或者虛擬IP（虛擬IP綁定多個防火墻做高可用）
   注意：防火墻子網不能關聯默認路由表

場景3：訪問線下IDC的流量通過公共VPC防火墻進行清洗

基本場景介紹

業務子網1訪問線下IDC子網3的流量進入防火墻VPC進行流量清洗。

業務VPC1 下的業務子網1:10.0.0.0/24。

防火墻VPC 下防火墻云主機所在的子網：192.168.0.0/24。

線下IDC側的子網3:10.0.2.0/24。

操作步驟

1. 業務VPC1和防火墻VPC建立對等連接。

• 在業務VPC1下的默認路由表或者自定義路由表下，創建路由規則如下：
• 目的地址：10.0.2.0/24（子網3），下一跳：對等連接1。
• 將子網1關聯至默認路由表或者自定義路由表。
• 在防火墻VPC下創建自定義路由表（不能選擇默認路由表），并建立如下路由規則：
• 目的地址：10.0.0.0/24（子網1），下一跳：對等連接1。
• 將防火墻子網和自定義路由表做關聯。

2. 配置防火墻VPC的默認路由表，將流量引到防火墻云主機，創建路由規則如下：

• 目的地址：10.10.2.0/24（子網3），下一跳：防火墻云主機或者虛擬IP（虛擬IP綁定多個防火墻做高可用）。
• 目的地址：10.0.0.0/24（子網1），下一跳：防火墻云主機或者虛擬IP（虛擬IP綁定多個防火墻做高可用）。

3. 在防火墻子網的自定義路由表配置路由，將流量引到專線網關/VPN網關。

• 在防火墻VPC下的自定義路由表中添加指向專線網關/VPN網關的路由規則，具體如下：
• 目的地址：10.0.2.0/24（子網3），下一跳：專線網關/VPN網關。
• 將防火墻子網和自定義路由表做關聯。注意，防火墻子網不能關聯默認路由表。
• 專線/VPN配置完成后，系統會自動將目的地址為：子網3； 下一跳：為專線網關/VPN網關；同步至默認路由表且無法刪除，此時默認路由表未關聯防火墻子網，不會真正進行引流。