在公有云环境中,用户创建了一个Vnet,添加了若干个网段后,这几个网段是全联通的状态。
如果希望在Vnet中添加一些功能性的设备,比如防火墙、IPS、负载均衡设备等,就需要进行用户自定义路由的配置。
下图就是UDR的一个应用场景:
被保护网络的所有流量需要经过中间的防火墙、IPS等设备。
本文设定的一个简单场景是两个网段,Subnet-1和Subnet-2。有一台设备VM1有两个网卡,跨接了两个网段。另外两台设备VM2和VM3各在一个网段。如下图:
如果不设置UDR,10.1.1.5访问10.1.2.5的流量都通过10.1.1.1->10.1.2.1,不会经过VM1设备。
对每个网段设置一条UDR:
- 在Subnet-1定义UDR:到10.1.2.0/24的流量都发给10.1.1.4
- 在Subnet-2定义UDR:到10.1.1.0/24的流量都发给10.1.2.4
定义好这两条路由后,这两个网段间互相访问的流量都会经过VM1了。
具体配置如下:
1. 创建VM。
VM2和VM3的创建就是普通的创建方式,在Portal页面上操作即可,这里就不描述了。
VM1的创建需要考虑到双网卡,设置静态内网地址等,需要通过PowerShell创建,其命令为:
New-AzureVMConfig -Name hwudr01 -InstanceSize Large -ImageName $vmimage.ImageName | Add-AzureProvisioningConfig -Linux -LinuxUser hengwei -Password password | Set-AzureSubnet -SubnetNames Subnet-1 | Set-AzureStaticVNetIP -IPAddress 10.1.1.4 | Add-AzureNetworkInterfaceConfig -Name nic2 -SubnetName Subnet-2 -StaticVNetIPAddress 10.1.2.4 -IPForwarding Enabled | New-AzureVM -ServiceName hwudr01 -Location "China North" -VNetName hwudr
2. 创建UDR
a. 创建路由表
New-AzureRouteTable -Name hwudrvlan01 -Location "China North" -Label hwudrvlan01
New-AzureRouteTable -Name hwudrvlan02 -Location "China North" -Label hwudrvlan02
b. 设置路由
Get-AzureRouteTable -Name hwudrvlan01 | Set-AzureRoute -RouteName hwudrvlan01 -AddressPrefix 10.1.1.0/24 -NextHopType VirtualAppliance -NextHopIpAddress 10.1.2.4
Get-AzureRouteTable -Name hwudrvlan02 | Set-AzureRoute -RouteName hwudrvlan02 -AddressPrefix 10.1.2.0/24 -NextHopType VirtualAppliance -NextHopIpAddress 10.1.1.4
c. 把路由表关联到网段上
Set-AzureSubnetRouteTable -VirtualNetworkName hwudr -SubnetName Subnet-1 -RouteTableName hwudrvlan02
Set-AzureSubnetRouteTable -VirtualNetworkName hwudr -SubnetName Subnet-2 -RouteTableName hwudrvlan01
d. Enable IP Forwarding
只有开启了IP Forwarding模式,被配置的虚拟机才能进行数据包的转发,否则只能接受目标地址是自己的IP包。
开启的命令如下:
Get-AzureVM -Name hwudr01 -ServiceName hwudr01 | Set-AzureIPForwarding -Enable
配置工作完成。此时在10.1.1.5中ping 10.1.2.5,同时在VM1上抓包,可以看到ICMP的双向数据包都经过了VM1。