注意：

此教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure Free Tier 。
它使用 Oracle Cloud Infrastructure 身份证明、租户和区间示例值。完成实验室时，请将这些值替换为特定于您的云环境的值。

在中心 VCN 中使用 pfSense 防火墙路由中心并发出 VCN

简介

云提供商中的 Hub 和分支路由可能令人困惑且难以配置。为此，我们需要使用不同类型的配置配置多个对象。云中多个级别的网络路由和网络安全性使这变得令人困惑。

在本教程中，我们将说明如何配置具有三辐 VCN 的中心 VCN。中心 VCN 将包含 pfSense 防火墙以及到 Internet 和 OCI 服务网络的连接。源自分支 VCN、需要与其他分支 VCN 通信、与 Internet 或 OCI 服务网络通信的所有网络流量都需要通过中心 VCN 进行防火墙检查。

以下图像说明了通信流。

请求到请求连接
Spoke 到 Hub 的连接
星型连接
请求到 Internet 连接
请求到服务连接
Hub 到 Internet 连接
Internet 到 Hub 的连接
注：在本教程中，我们将在发言人中使用多个网络。
- Spoke A VCN 子网：172.16.1.0/25。
- Spoke B VCN 子网：172.16.2.0/25。
- Spoke C VCN 子网：172.16.3.0/25。

目标

使用完全配置的中心路由和分支路由设置 OCI 路由环境。我们将所有网络流量路由到中心 VCN，其中中心 VCN 将包含防火墙，以便检查来自该发言人的所有流量。
- 任务 1：创建中心 VCN 和分支 VCN。
- 任务 2：在中心服务器和分支 VCN 中创建子网。
- 任务 3：创建 DRG、Internet 网关和 NAT 网关。
- 任务 4：在所有 VCN 中添加连接到不同子网的实例。
- 任务 5：在中心 VCN 中添加 pfSense 防火墙。
- 任务 6：在安全列表中打开防火墙规则。
- 任务 7：通过集线器防火墙检查配置不同 VCN 和 Internet 之间的路由。
- 任务 8：验证连接。

任务 1：创建 Hub 和 Spoke VCN

登录到 OCI 控制台，然后单击虚拟云网络或单击汉堡包菜单（≡）、网络和虚拟云网络。
单击创建 VCN 以创建 VCN。
1. 输入中心 VCN 的名称。
2. 为中心 VCN 输入 IPv4 CIDR 块。
3. 向下滚动。
单击创建 VCN 。
1. 请注意，中心 VCN 处于 AVAILABLE 状态。
2. 单击虚拟云网络以返回到 VCN 页面。
下图展示了到目前为止您创建的内容的可视化表示。

现在，我们将创建三个分支 VCN（Spoke A、Spoke B 和 Spoke C）。

单击创建 VCN 以创建第一个分支 VCN(Spoke A)。
1. 输入分支 VCN 的名称。
2. 为分支 VCN 输入 IPv4 CIDR 块。
3. 单击创建 VCN 。
1. 请注意，分支 VCN 处于 AVAILABLE 状态。
2. 单击虚拟云网络以返回到 VCN 页面。
单击创建 VCN 以创建第二个分支 VCN(Spoke B)。
1. 输入分支 VCN 的名称。
2. 为中心 VCN 输入 IPv4 CIDR 块。
3. 单击创建 VCN 。
1. 请注意，分支 VCN 处于 AVAILABLE 状态。
2. 单击虚拟云网络以返回到 VCN 页面。
1. 单击创建 VCN 以创建第三个分支 VCN。
2. 输入分支 VCN 的名称。
3. 为中心 VCN 输入 IPv4 CIDR 块。
4. 单击创建 VCN 。
1. 请注意，分支 VCN 处于 AVAILABLE 状态。
2. 单击虚拟云网络以返回到 VCN 页面。
请注意，我们已经创建了 1 个中心 VCN 和 3 个分支 VCN。
下图展示了到目前为止您创建的内容的可视化表示。

任务 2：在 Hub 中创建子网并发出 VCN

我们有枢纽，并已设置了 VCN。现在，在 VCN 中创建子网。

在中心 VCN 中创建子网

在中心 VCN 中，我们将创建 1 个专用子网和 1 个公共子网。

单击中心 VCN。
单击创建子网以创建第一个子网（专用）。
1. 输入专用子网的名称。
2. 在子网类型中，选择区域。
3. 为专用子网输入 IPv4 CIDR 块。
4. 向下滚动。
1. 在路由表中，选择默认路由表。
2. 在子网访问中，选择专用子网。
3. 向下滚动。
1. 在 DHCP 选项中，选择默认 DHCP 选项。
2. 在安全列表中，选择默认安全列表。
3. 单击创建子网。
请注意，状态设置为预配。
1. 几分钟后，状态将更改为可用。
2. 单击创建子网以创建第二个子网（公共）。
1. 输入专用子网的名称。
2. 在子网类型中，选择区域。
3. 为公共子网输入 IPv4 CIDR 块。
4. 向下滚动。
1. 在路由表中，选择默认路由表。
2. 在子网访问中，选择公共子网。
3. 向下滚动。
1. 在 DHCP 选项中，选择默认 DHCP 选项。
2. 在安全列表中，选择默认安全列表。
3. 单击创建子网。
请注意，状态设置为预配。
几分钟后，状态将更改为可用。
下图展示了到目前为止您创建的内容的可视化表示。

在 Spoke VCN A 中创建子网

在分支 VCN A 中创建一个专用子网。

单击分支 VCN A。
单击创建子网以创建子网（专用）。
1. 输入专用子网的名称。
2. 为专用子网输入 IPv4 CIDR 块。
3. 向下滚动。
1. 在路由表中，选择默认路由表。
2. 在子网访问中，选择专用子网。
3. 向下滚动。
1. 在 DHCP 选项中，选择默认 DHCP 选项。
2. 在安全列表中，选择默认安全列表。
3. 单击创建子网。
请注意，状态设置为预配。
1. 请注意，状态已更改为可用。
2. 单击虚拟云网络以返回到 VCN 页面。
下图展示了到目前为止您创建的内容的可视化表示。

在 Spoke VCN B 中创建子网

在分支 VCN B 中创建一个专用子网。

单击分支 VCN B。
单击创建子网以创建子网（专用）。
1. 输入专用子网的名称。
2. 为专用子网输入 IPv4 CIDR 块。
3. 向下滚动。
1. 在路由表中，选择默认路由表。
2. 在子网访问中，选择专用子网。
3. 向下滚动。
1. 在 DHCP 选项中，选择默认 DHCP 选项。
2. 在安全列表中，选择默认安全列表。
3. 单击创建子网。
请注意，状态设置为预配。
1. 请注意，状态已更改为可用。
2. 单击虚拟云网络以返回到 VCN 页面。
下图展示了到目前为止您创建的内容的可视化表示。

在中心 VCN C 中创建子网

在分支 VCN C 中创建一个专用子网。

单击分支 VCN C。
单击创建子网以创建子网（专用）。
1. 输入专用子网的名称。
2. 为专用子网输入 IPv4 CIDR 块。
3. 向下滚动。
1. 在路由表中，选择默认路由表。
2. 在子网访问中，选择专用子网。
3. 向下滚动。
1. 在 DHCP 选项中，选择默认 DHCP 选项。
2. 在安全列表中，选择默认安全列表。
3. 单击创建子网。
请注意，状态设置为预配。
请注意，状态已更改为可用。
下图展示了到目前为止您创建的内容的可视化表示。

任务 3：在中心 VCN 中创建动态路由网关 (Dynamic Routing Gateway，DRG)、互联网网关和 NAT 网关

创建一个 DRG，用于在 VCN 之间路由流量。我们还需要创建互联网网关和 NAT 网关来访问互联网。

单击中心 VCN。
单击 Internet Gateways 。
1. 单击创建 Internet 网关。
2. 输入互联网网关的名称。
3. 单击创建 Internet 网关。
1. 注意，状态为 Available 。
下图展示了到目前为止您创建的内容的可视化表示。
1. 创建互联网网关后，位于中心 VCN 配置页面内。向下滚动。
2. 单击 NAT 网关。
3. 单击创建 NAT 网关。
1. 输入 NAT 网关的名称。
2. 选择 Ephemeral Public IP Address 。
3. 单击创建 NAT 网关。
1. 注意，状态为 Available 。
下图展示了到目前为止您创建的内容的可视化表示。
创建动态路由网关 (DRG)。
1. 单击左上角的汉堡菜单（≡）图标。
2. 单击网络。
3. 单击动态路由网关。
单击创建动态路由网关。
1. 输入动态路由网关的名称。
2. 单击创建动态路由网关。
1. 请注意，状态为 PROVISIONING 。
请注意，状态已更改为 AVAILABLE 。
下图展示了到目前为止您创建的内容的可视化表示。

任务 4：在所有 VCN 中添加连接到不同子网的实例

我们将在所有 VCN 中添加各种 OCI 计算实例，以便测试路由流。

在中心 VCN 中创建实例

在中心 VCN 中，我们将创建具有两个主要功能的 Windows 计算实例：

Windows 实例将作为步骤机器来访问 OCI 环境中的其他实例。
Windows 实例也将是一个网络端点，可用于测试路由流。

Windows 实例作为步骤 Stone

要创建可在 OCI 环境内用作垫脚石的 Windows 实例 (hub-step-stone)，请使用在 Oracle Cloud Infrastructure 中部署 Windows 实例。

注：在继续教程之前，请先创建 Windows 步进石实例 (hub-step-stone)。

下图展示了到目前为止您创建的内容的可视化表示。

在中心 VCN Spoke VCN A 中创建实例

在分支 VCN A 中，我们将创建一个简单的 Linux 实例，该实例将充当网络端点，可用于测试路由流。

请求客户端实例

创建实例。
1. 单击左上角的汉堡菜单（≡）图标。
2. 单击计算。
3. 单击实例。
单击创建实例。
1. 输入实例的名称。
2. 向下滚动。
向下滚动。
1. 在 Primary network（主网络）中，选择 Select existing virtual cloud network（选择现有虚拟云网络）。
2. 在 VCN 中，选择 SPOKE-VCN-A 。
3. 在子网中，选择选择现有子网。
4. 从分支 VCN A 中选择专用子网。
5. 向下滚动。
1. 在 Private IPv4 address（专用 IPv4 地址）中，选择 Automatically assign private IPv4 address（自动分配专用 IPv4 地址）。
2. 向下滚动。
1. 在添加 SSH 密钥中，选择为我生成密钥对。
2. 单击保存专用密钥以在本地保存专用密钥。
3. 单击保存公共密钥以在本地保存公共密钥。
确保密钥存储在本地的某个位置。

注：我们将对其他分支实例使用相同的密钥对。
向下滚动。
单击创建。
请注意，状态为 PROVISIONING 。
1. 请注意，状态已更改为 RUNNING 。
2. 请记下专用 IP 地址以备后用。
3. 单击实例返回到“实例”页。
1. 请注意，实例 A 正在运行。
2. 单击创建实例以创建下一个实例。
下图展示了到目前为止您创建的内容的可视化表示。

在 Spoke VCN B 中创建实例

在 Spoke VCN B 中，我们将创建一个简单的 Linux 实例，该实例将充当网络端点，可用于测试路由流。

Spoke B 客户机实例

创建实例。
1. 输入实例的名称。
2. 向下滚动。
向下滚动。
1. 在 Primary network（主网络）中，选择 Select existing virtual cloud network（选择现有虚拟云网络）。
2. 在 VCN 中，选择 SPOKE-VCN-B 。
3. 在子网中，选择选择现有子网。
4. 从分支 VCN B 选择专用子网。
5. 向下滚动。
1. 在 Private IPv4 address（专用 IPv4 地址）中，选择 Automatically assign private IPv4 address（自动分配专用 IPv4 地址）。
2. 向下滚动。
1. 上载公共密钥文件。
2. 单击浏览。选择在创建实例 A 时保存的公共密钥文件。
3. 确保已选择公钥。
4. 向下滚动。
向下滚动。
单击创建。
请注意，状态为 PROVISIONING 。
1. 请注意，状态已更改为 RUNNING 。
2. 请注意将在后面的步骤中使用的专用 IP 地址。
3. 单击实例返回到“实例”页。
1. 请注意，实例 B 正在运行。
2. 单击创建实例以创建下一个实例。
下图展示了到目前为止您创建的内容的可视化表示。

在 Spoke VCN C 中创建实例

在 Spoke VCN C 中，我们将创建一个简单的 Linux 实例，该实例将充当网络端点，可用于测试路由流。

Spoke C 客户端实例

创建实例。
1. 输入实例名。
2. 向下滚动。
向下滚动。
1. 在 Primary network（主网络）中，选择 Select existing virtual cloud network（选择现有虚拟云网络）。
2. 在 VCN 中，选择 SPOKE-VCN-C 。
3. 在子网中，选择选择现有子网。
4. 从分支 VCN C 中选择专用子网。
5. 向下滚动。
1. 在 Private IPv4 address（专用 IPv4 地址）中，选择 Automatically assign private IPv4 address（自动分配专用 IPv4 地址）。
2. 向下滚动。
1. 上载公共密钥文件。
2. 单击浏览。选择在创建实例 A 时保存的公共密钥文件。
3. 确保已选择公钥
4. 向下滚动。
向下滚动。
单击创建。
请注意，状态为 PROVISIONING 。
1. 请注意，状态已更改为 RUNNING 。
2. 请记下专用 IP 地址以备后用。
3. 单击实例返回到“实例”页
请注意，实例 C 正在运行。
下图展示了到目前为止您创建的内容的可视化表示。

任务 5：在 Hub VCN 中添加 pfSense 防火墙实例

我们需要网络设置的最后一个实例是防火墙。例如，这可以是任何防火墙，例如 OCI 网络防火墙。在本教程中，我们将使用 pfSense 防火墙。

要创建可在 OCI 环境内用作防火墙的 pfSense 实例 (hub-fw)，请使用本教程。

注：请先创建 pfSense 实例，然后再继续教程。

下图展示了到目前为止您创建的内容的可视化表示。

任务 6：安全列表上的开放防火墙规则

在 OCI 环境中，存在多层网络安全性。默认情况下，大多数协议和端口的所有入站网络通信都会被阻止。为了使用 ping 进行测试，我们将打开集线器上的 ICMP 端口和分支 VCN，以便允许进入 VCN 的所有 ICMP 流量。

在中心 VCN 中添加入站规则

转到 OCI 控制台。
1. 单击左上角的汉堡菜单（≡）。
2. 单击虚拟云网络或导航到网络和虚拟云网络。
选择 pfSense 防火墙连接到的中心 VCN。
1. 向下滚动。
2. 单击安全列表。
3. 单击 HUB-VCN 的默认安全列表。
单击添加入站规则。
1. 在源类型中，选择 CIDR 。
2. 在源 CIDR 中，输入 0.0.0.0/0。
3. 在 IP Protocol 中，选择 ICMP 。
4. 单击添加入站规则。
请注意，已添加 ICMP 规则。
单击虚拟云网络以返回到 VCN 页面。
下图展示了到目前为止您创建的内容的可视化表示。

在 Spoke VCN A 中添加入站规则

单击分支 VCN A。
1. 向下滚动。
2. 单击安全列表。
3. 单击 SPOKE-VCN-A 的默认安全列表
单击添加入站规则。
1. 在源类型中，选择 CIDR 。
2. 在源 CIDR 中，输入 0.0.0.0/0。
3. 在 IP Protocol 中，选择 ICMP 。
4. 单击添加入站规则。
请注意，已添加 ICMP 规则。
下图展示了到目前为止您创建的内容的可视化表示。

在 Spoke VCN B 中添加入站规则

单击分支 VCN B。
1. 向下滚动。
2. 单击安全列表。
3. 单击 SPOKE-VCN-B 的默认安全列表
单击添加入站规则。
1. 在源类型中，选择 CIDR 。
2. 在源 CIDR 中，输入 0.0.0.0/0。
3. 在 IP Protocol 中，选择 ICMP 。
4. 单击添加入站规则。
请注意，已添加 ICMP 规则。
下图展示了到目前为止您创建的内容的可视化表示。

在 Spoke VCN C 中添加入站规则

单击分支 VCN C。
1. 向下滚动。
2. 单击安全列表。
3. 单击 SPOKE-VCN-C 的默认安全列表
单击添加入站规则。
1. 在源类型中，选择 CIDR 。
2. 在源 CIDR 中，输入 0.0.0.0/0。
3. 在 IP Protocol 中，选择 ICMP 。
4. 单击添加入站规则。
请注意，已添加 ICMP 规则。
下图展示了到目前为止您创建的内容的可视化表示。

任务 7：使用 Hub 防火墙检查配置不同 VCN 和 Internet 之间的路由

我们已经拥有了所有必需的组件。现在，我们需要配置路由。在配置路由之前，需要先将 VCN 连接到 DRG。

在此之后，我们将创建创建不同的 VCN 路由表、DRG 路由表所需的附加，并将这些路由表关联到不同的 VCN、DRG VCN 附加、子网和网关。

任务 7.1：在 DRG 上创建 VCN 附加

在 DRG 上创建 VCN 附加。
1. 单击左上角的汉堡菜单（≡）。
2. 单击网络。
3. 单击动态路由网关。
单击在任务 3 中创建的 DRG。
1. 单击 VCN 附件。
2. 单击创建虚拟网络附加。
1. 为中心 VCN 输入附件名称。
2. 选择中心 VCN。
3. 单击创建 VCN 附加。
请注意，中心 VCN 状态为附加。
下图展示了到目前为止您创建的内容的可视化表示。
1. 请注意，中心 VCN 状态已更改为“已附加”。
2. 单击创建虚拟网络附加以创建下一个附加。
1. 输入分支 VCN A 的附件名称。
2. 选择分支 VCN A。
3. 单击创建 VCN 附加。
请注意，分支 VCN A 状态为附加。
下图展示了到目前为止您创建的内容的可视化表示。
1. 请注意，分支 VCN A 状态已更改为“已附加”。
2. 单击创建虚拟网络附加以创建下一个附加。
1. 输入分支 VCN B 的附件名称。
2. 选择分支 VCN B。
3. 单击创建 VCN 附加。
请注意，分支 VCN B 状态为附加。
下图展示了到目前为止您创建的内容的可视化表示。
1. 请注意，分支 VCN B 的状态已更改为“已附加”。
2. 单击创建虚拟网络附加以创建下一个附加。
1. 为分支 VCN C 输入附件名称。
2. 选择分支 VCN C。
3. 单击创建 VCN 附加。
请注意，分支 VCN C 状态为附加。
请注意，分支 VCN C 状态已更改为“已附加”。
下图展示了到目前为止您创建的内容的可视化表示。

任务 7.2：创建和配置 Spoke VCN 路由表

我们需要创建两种类型的路由表：VCN 路由表和 DRG 路由表。

注：默认情况下，创建 VCN 时会创建一个默认路由表。

Spoke VCN A 仅具有默认 VCN 路由表。

目的地	目标类型	目标	路由类型
0.0.0.0/0	动态路由网关	DRG	静态

单击左上角的汉堡菜单（≡）。
单击网络。
单击虚拟云网络。

单击分支 VCN A。
1. 单击路由表。
2. 单击 SPOKE-VCN-A 的默认路由表。
单击添加路由规则。
1. 在目标类型中，选择动态路由网关。
2. 在目标类型中，选择 CIDR 块。
3. 在目标 CIDR 块中，输入 0.0.0.0/0。
4. 单击添加路由规则。
此规则会将来自分支 VCN A 的所有流量路由到 DRG。
1. 请注意，0.0.0.0/0 路由现在已添加到分支 VCN A 的默认路由表。
2. 单击虚拟云网络以返回到 VCN 页面。
下图展示了到目前为止您创建的内容的可视化表示。

Spoke VCN B 仅具有默认 VCN 路由表。

目的地	目标类型	目标	路由类型
0.0.0.0/0	动态路由网关	DRG	静态

单击分支 VCN B。
1. 单击路由表。
2. 单击来自 SPOKE-VCN-B 的默认路由表。
单击添加路由规则。
1. 在目标类型中，选择动态路由网关。
2. 在目标类型中，选择 CIDR 块。
3. 在目标 CIDR 块中，输入 0.0.0.0/0。
4. 单击添加路由规则。
此规则会将来自分支 VCN B 的所有流量路由到 DRG。
1. 请注意，0.0.0.0/0 路由现在已添加到分支 VCN B 的默认路由表中。
2. 单击虚拟云网络以返回到 VCN 页面。
下图展示了到目前为止您创建的内容的可视化表示。

Spoke VCN C 仅具有默认 VCN 路由表。

目的地	目标类型	目标	路由类型
0.0.0.0/0	动态路由网关	DRG	静态

单击分支 VCN C。
1. 单击路由表。
2. 单击 SPOKE-VCN-C 的默认路由表。
单击添加路由规则。
1. 在目标类型中，选择动态路由网关。
2. 在目标类型中，选择 CIDR 块。
3. 在目标 CIDR 块中，输入 0.0.0.0/0。
4. 单击添加路由规则。
此规则会将来自分支 VCN C 的所有流量路由到 DRG。
请注意，0.0.0.0/0 路由现在已添加到分支 VCN C 的默认路由表。
下图展示了到目前为止您创建的内容的可视化表示。

任务 7.3：创建和配置中心 VCN 路由表

在中心 VCN 中创建路由表 (VCN_HUB_RT_DRG_TRANSIT)。

目的地	目标类型	目标	路由类型
0.0.0.0/0	专用 IP	172.16.0.20(FW IP)	静态
172.16.1.0/24	专用 IP	172.16.0.20(FW IP)	静态
172.16.2.0/24	专用 IP	172.16.0.20(FW IP)	静态
172.16.3.0/24	专用 IP	172.16.0.20(FW IP)	静态

注：要将从分支到分支 VCN 的流量路由到分支 VCN，还需要在此路由表中的特定路由中添加，因为默认 0.0.0.0/0 不足以使此工作正常。

转到 OCI 控制台。
1. 单击左上角的汉堡菜单（≡）。
2. 单击网络。
3. 单击虚拟云网络。
单击中心 VCN。
1. 单击路由表。
2. 单击创建路由表。
1. 输入新中心 VCN 路由表的名称。
2. 单击 + Another Route Rule（+ 另一个路由规则）（不在屏幕截图中）。
3. 在目标类型中，选择专用 IP 。
4. 向下滚动。
1. 在目标类型中，选择 CIDR 块。
2. 在目标 CIDR 块中，输入 0.0.0.0/0。
3. 在目标选择中，输入 172.16.0.20（这是 pfSense 防火墙的 IP 地址）。
4. 单击创建。
1. 请注意，您将收到以下错误：PrivatelP (ocid 1.privateip.oc1.eu-frankfurt-1.abtheljtrcahk23t4vtbeguxxxxxxxxxxxxxxxxxvwbgypf36ad4cyjmka) is an invalid route target. (The Private IP is attached to a VNIC whose SRC/DST check is enabled)。
2. 单击取消。
要解决此问题，我们需要在 pfSense 防火墙实例 VNIC 上启用跳过源/目标检查。
1. 点击汉堡菜单（≡）。
2. 单击计算。
3. 单击实例。
单击 hub-fw（pfSense 实例）。
向下滚动。
1. 单击 Attached VNICs 。
2. 单击 VNIC 的三个点。
3. 单击编辑 VNIC 。
1. 选择 Skip source/destination check 。
2. 单击 Save changes 。
现在，创建中心 VNC 路由表。
1. 单击左上角的汉堡菜单（≡）。
2. 单击网络。
3. 单击虚拟云网络。
单击中心 VCN。
1. 单击路由表。
2. 单击创建路由表。
1. 输入新中心 VCN 路由表的名称。
2. 单击 + Another Route Rule 。
1. 在目标类型中，选择专用 IP 。
2. 向下滚动。
1. 在目标类型中，选择 CIDR 块。
2. 在目标 CIDR 块中，输入 0.0.0.0/0。
3. 在目标选择中，输入 172.16.0.20（这是 pfSense 防火墙的 IP 地址）。
4. 单击创建。
我们需要向 VCN_HUB_RT_DRG_TRANSIT 路由表添加另外三个路由。
单击添加路由规则。
1. 在目标类型中，选择专用 IP 。
2. 在目标类型中，选择 CIDR 块。
3. 在目标 CIDR 块中，输入 172.16.1.0/24。
4. 在目标选择中，输入 172.16.0.20（这是 pfSense 防火墙的 IP 地址）。
5. 单击 + Another Route Rule 。
1. 在目标类型中，选择专用 IP 。
2. 在目标类型中，选择 CIDR 块。
3. 在目标 CIDR 块中，输入 172.16.2.0/24。
4. 在目标选择中，输入 172.16.0.20（这是 pfSense 防火墙的 IP 地址）。
5. 单击 + Another Route Rule 。
1. 在目标类型中，选择专用 IP 。
2. 在目标类型中，选择 CIDR 块。
3. 在目标 CIDR 块中，输入 172.16.3.0/24。
4. 在目标选择中，输入 172.16.0.20（这是 pfSense 防火墙的 IP 地址）。
5. 单击 + Another Route Rule 。
1. 请注意，创建的 4 个路由规则。
2. 单击中心 VCN 以返回到中心 VCN 页。
1. 请注意，中心 VCN 路由表现在列表中。
2. 再次单击创建路由表，为公共子网创建另一个中心 VCN 路由表。
下图展示了到目前为止您创建的内容的可视化表示。

在中心 VCN 中创建路由表 (VCN_RT_HUB_PUBLIC_SUBNET)。

目的地	目标类型	目标	路由类型
0.0.0.0/0	Internet 网关	Hub-internet-gateway	静态
172.16.1.0/24	专用 IP	172.16.0.20(FW IP)	静态
172.16.2.0/24	专用 IP	172.16.0.20(FW IP)	静态
172.16.3.0/24	专用 IP	172.16.0.20(FW IP)	静态

创建路由表。
1. 输入公共子网的新中心 VCN 路由表的名称。
2. 单击 + Another Route Rule 。
1. 在目标类型中，选择互联网网关。
2. 在目标 CIDR 块中，输入 0.0.0.0/0。
3. 向下滚动。
1. 在目标互联网网关中，选择之前创建的互联网网关。
2. 单击 + Another Route Rule 。
1. 在目标类型中，选择专用 IP 。
2. 在目标类型中，选择 CIDR 块。
3. 在目标 CIDR 块中，输入 172.16.1.0/24。
4. 在目标选择中，输入 172.16.0.20（这是 pfSense 防火墙的 IP 地址）。
5. 向下滚动。
单击 + Another Route Rule 。
1. 在目标类型中，选择专用 IP 。
2. 在目标类型中，选择 CIDR 块。
3. 在目标 CIDR 块中，输入 172.16.2.0/24。
4. 在目标选择中，输入 172.16.0.20（这是 pfSense 防火墙的 IP 地址）。
5. 向下滚动。
单击 + Another Route Rule 。
1. 在目标类型中，选择专用 IP 。
2. 在目标类型中，选择 CIDR 块。
3. 在目标 CIDR 块中，输入 172.16.3.0/24。
4. 在目标选择中，输入 172.16.0.20（这是 pfSense 防火墙的 IP 地址）。
5. 向下滚动。
1. 请注意，已创建公共子网的路由表。单击路由表名称。
2. 另请注意，此路由表包含 4 个路由规则。
请注意是否存在 4 个路由规则。
1. 向上滚动。
2. 单击中心 VCN 以返回到中心 VCN 页。
下图展示了到目前为止您创建的内容的可视化表示。

在中心 VCN 中创建路由表 (VCN_HUB_RT_NAT_TRANSIT)。

目的地	目标类型	目标	路由类型
172.16.1.0/24	专用 IP	172.16.0.20(FW IP)	静态
172.16.2.0/24	专用 IP	172.16.0.20(FW IP)	静态
172.16.3.0/24	专用 IP	172.16.0.20(FW IP)	静态

单击路由表。
再次单击创建路由表，为 NAT 网关创建另一个中心 VCN 路由表。

为 NAT 网关的新中心 VCN 路由表输入名称。
单击 + Another Route Rule 。

在目标类型中，选择专用 IP 。
在目标类型中，选择 CIDR 块。
在目标 CIDR 块中，输入 172.16.1.0/24。
在目标选择中，输入 172.16.0.20（这是 pfSense 防火墙的 IP 地址）。
向下滚动。

单击 + Another Route Rule 。
1. 在目标类型中，选择专用 IP 。
2. 在目标类型中，选择 CIDR 块。
3. 在目标 CIDR 块中，输入 172.16.2.0/24。
4. 在目标选择中，输入 172.16.0.20（这是 pfSense 防火墙的 IP 地址）。
5. 向下滚动。
单击 + Another Route Rule 。
1. 在目标类型中，选择专用 IP 。
2. 在目标类型中，选择 CIDR 块。
3. 在目标 CIDR 块中，输入 172.16.3.0/24。
4. 在目标选择中，输入 172.16.0.20（这是 pfSense 防火墙的 IP 地址）。
5. 向下滚动。
1. 请注意，已创建 NAT 网关的路由表。单击路由表名称。
2. 另请注意，此路由表包含 3 个路由规则。
1. 注意我们创建的 3 个路由规则。
2. 单击中心 VCN 以返回到中心 VCN 页。
下图展示了到目前为止您创建的内容的可视化表示。

在中心 VCN 中创建路由表 (VCN_RT_HUB_PRIVATE_SUBNET)。

目的地	目标类型	目标	路由类型
0.0.0.0/0	NAT 网关	集线器 -nat-gw	静态
172.16.1.0/24	动态路由网关	DRG	静态
172.16.2.0/24	动态路由网关	DRG	静态
172.16.3.0/24	动态路由网关	DRG	静态

单击路由表。
单击专用子网的路由表。如果没有此表，则创建该表。要创建路由表，请单击创建路由表。

请注意，已存在一个路由规则，该规则会将所有流量 (0.0.0.0/0) 路由到专用子网实例的 NAT 网关。
单击添加路由规则。

在目标类型中，选择动态路由网关。
在目标类型中，选择 CIDR 块。
在目标 CIDR 块中，输入 172.16.1.0/24。
单击 + Another Route Rule 。

在目标类型中，选择动态路由网关。
在目标类型中，选择 CIDR 块。
在目标 CIDR 块中，输入 172.16.2.0/24。
单击 + Another Route Rule 。

在目标类型中，选择动态路由网关。
在目标类型中，选择 CIDR 块。
在目标 CIDR 块中，输入 172.16.3.0/24。
单击添加路由规则。

请注意专用子网路由表的所有路由规则。
下图展示了到目前为止您创建的内容的可视化表示。

任务 7.4：创建和配置 DRG 路由表

在 DRG 中创建路由分配组 (DRG_RDG_IMPORT)。

优先级	匹配类型	匹配标准	操作
1	附件	SPOKE_VCN-A_ATTACHMENT	ACCEPT
2	附件	SPOKE_VCN-B_ 附件	ACCEPT
3	附件	SPOKE_VCN-C_ATTACHMENT	ACCEPT

单击左上角的汉堡菜单（≡）。
单击网络。
单击动态路由网关。

单击在任务 3 中创建的 DRG 。
1. 单击导入路由分配。
2. 单击创建导入路由分配。
在创建导入路由分配页中，输入以下信息。
1. 输入路由分配的名称。
2. 新建路由分配语句。
  - 优先级：输入 1 。
  - 匹配类型：选择附件。
  - 附件类型筛选器：选择虚拟云网络。
  - DRG 附加：选择发出 VCN A 。
  - 操作：选择接受。
3. 新建路由分配语句
  - 优先级：输入 2 。
  - 匹配类型：选择附件。
  - 附件类型筛选器：选择虚拟云网络。
  - DRG 附加：选择辐条企业 (VCN B) 。
  - 操作：选择接受。
4. 新建路由分配语句
  - 优先级：输入 3 。
  - 匹配类型：选择附件。
  - 附件类型筛选器：选择虚拟云网络。
  - DRG 附加：选择发出 VCN C 。
  - 操作：选择接受。
5. 单击创建导入路由分配。
单击新的导入路由分配。
1. 记下路由分配语句。
2. 单击动态路由网关详细信息可返回到 DRG 详细信息页。
下图展示了到目前为止您创建的内容的可视化表示。

在 DRG 中创建路由表 (DRG_RT_SPOKE_VCN_2)。

目的地 CIDR	下一个跃点附加类型	下一个跃点附加名称
0.0.0.0/0	虚拟云网络	HUB_VCN_ATTACHMENT

单击 DRG 路由表。
单击创建 DRG 路由表。

输入 DRG 路由表的名称。
添加新的静态规则：
- 目标 CIDR 块：输入 0.0.0.0/0。
- 下一跃点连接类型：选择 Virtual Cloud Network（虚拟云网络）
- 下一个跃点连接：选择 hub VCN 。
单击创建 DRG 路由表。

等待创建路由表。
1. 请注意，将创建新的 DRG 路由表。
2. 单击创建 DRG 路由表以创建另一个 DRG 路由表。
下图展示了到目前为止您创建的内容的可视化表示。
在 DRG 中创建路由表 (DRG_RT_HUB_VCN_3)，然后导入路由分配组 (DRG_RDG_IMPORT)。
1. 输入 DRG 路由表的名称。
2. 单击显示高级选项。
导入之前创建的导入路由分配。
1. 单击路由表设置。
2. 选择启用导入路由分配。
3. 选择之前创建的导入路由分配。
4. 单击创建 DRG 路由表。
1. 请注意，将创建新的 DRG 路由表。
下图展示了到目前为止您创建的内容的可视化表示。

任务 7.5：附加路由表

现在我们已经创建了路由表，我们需要将路由表附加到 DRG、VCN、子网和网关。

注：这是激活工艺路线的地方，因此，在生产环境中实施或进行更改之前，需要考虑先进行正确测试的谨慎流程。

附加 DRG 路由表：

让我们首先附加 DRG 路由表。

将 DRG 路由表附加到 Spoke VCN 附加

路由信息：(DRG_RT_SPOKE_VCN_2) 此 DRG 路由表和路由表附加将确保来自分支 VCN 的所有流量现在都路由到中心 VCN。

首先，我们将 ()DRG_RT_SPOKE_VCN_2) DRG 路由表附加到所有分支 VCN 附加。

转到 DRG 页。单击网络、动态路由网关并选择先前创建的 DRG。
1. 单击 VCN 附件。
2. 单击 Spoke A 的 VCN 附加。
1. 请注意，Spoke A 的 VCN 附加关联了自动生成的 DRG 表。我们需要更改此设置。
2. 单击编辑。
单击显示高级选项。
1. 选择 DRG 路由表。
2. 选择先前创建的 DRG 路由表：DRG_RT_SPOKE_VCN_2。
3. 单击 Save Changes（保存更改）。
1. 请注意，新的 DRG 路由表在分支 A VCN 附加上处于活动状态。
2. 单击 DRG 返回到 DRG 详细信息页。
下图展示了到目前为止您创建的内容的可视化表示。
单击分支 B 的 VCN 附加。
1. 请注意，分支 B 的 VCN 附加具有关联的自动生成的 DRG 表。我们需要更改此设置。
2. 单击编辑。
1. 单击显示高级选项。
2. 选择 DRG 路由表选项卡。
3. 选择先前创建的 DRG 路由表 (DRG_RT_SPOKE_VCN_2)。
4. 单击 Save Changes（保存更改）。
1. 请注意，新的 DRG 路由表在分支 B VCN 附加上处于活动状态。
2. 单击 DRG 返回到 DRG 详细信息页。
下图展示了到目前为止您创建的内容的可视化表示。
单击分支 C 的 VCN 附加。
1. 请注意，分支 C 的 VCN 附加关联了自动生成的 DRG 表。我们需要更改此设置。
2. 单击编辑。
1. 单击显示高级选项。
2. 选择 DRG 路由表选项卡。
3. 选择先前创建的 DRG 路由表 (DRG_RT_SPOKE_VCN_2)。
4. 单击 Save Changes（保存更改）。
1. 请注意，新的 DRG 路由表在分支 VCN C 附加上处于活动状态。
2. 单击 DRG 返回到 DRG 详细信息页。
下图展示了到目前为止您创建的内容的可视化表示。

将 DRG 路由表附加到中心 VCN 附加

我们将 ()DRG_RT_HUB_VCN_3) DRG 路由表附加到中心 VCN 附加。我们还将 (VCN_HUB_RT_DRG_TRANSIT) VCN 路由表附加到中心 VCN 附加。

路由信息：(DRG_RT_HUB_VCN_3) 此 DRG 路由表和路由表附加将确保来自发言人的所有网络在 DRG 上已知并在 DRG 上了解，以便 DRG 知道发言人可用的网络，从而知道将辐条网络路由到的位置。

路由信息：(VCN_HUB_RT_DRG_TRANSIT) 此 VCN 路由表和路由表附加将确保所有流量都路由到集线器中的防火墙。

转到 DRG 页。单击网络、动态路由网关并选择先前创建的 DRG。
1. 单击 VCN 附件。
2. 单击中心的 VCN 附加。
1. 请注意，中心的 VCN 附加具有关联的自动生成的 DRG 表。我们需要更改此设置。
2. 请注意，集线器的 VCN 附加没有关联的 VCN 表。我们需要添加这个。
3. 单击编辑。
1. 单击显示高级选项。
2. 选择 DRG 路由表选项卡。
3. 选择先前创建的 DRG 路由表 (DRG_RT_HUB_VCN_3)。
4. 单击 VCN 路由表选项卡。
1. 选择选择现有以选择现有 VCN 路由表。
2. 选择先前创建的 VCN 路由表 (VCN_HUB_RT_DRG_TRANSIT)。
3. 单击 Save Changes（保存更改）。
1. 请注意，新的 DRG 路由表在中心 VCN 附加上处于活动状态。
2. 请注意，新的 VCN 路由表在中心 VCN 附加上处于活动状态。
下图展示了到目前为止您创建的内容的可视化表示。

附加 VCN 路由表：

现在，我们将附加 VCN 路由表，即使在上一项任务中已开始对其中一个 VCN 路由表执行此操作也是如此。

将 VCN 路由表连接到中心 VCN 公共子网

将 (VCN_RT_HUB_PUBLIC_SUBNET) VCN 路由表连接到中心 VCN 中的公共子网。

路由信息：(VCN_RT_HUB_PUBLIC_SUBNET) 此 VCN 路由表会将流量发送到防火墙的发言人。连接到互联网网关的流量（非辐条网络的所有流量）也将由此路由表路由。

转到 OCI 控制台。
1. 单击左上角的汉堡菜单（≡）。
2. 单击网络。
3. 单击虚拟云网络。
单击中心 VCN。
1. 单击 Subnets（子网）。
2. 单击 Public hub Subnet 。
1. 请注意，公共中心子网具有关联的默认 VCN 表。我们需要更改此设置。
2. 单击编辑。
1. 选择先前创建的 VCN 路由表 (VCN_RT_HUB_PUBLIC_SUBNET)。
2. 单击 Save Changes（保存更改）。
1. 请注意，新的 VCN 路由表在中心公共子网中处于活动状态。
2. 单击中心 VCN 以返回到中心 VCN 详细信息页。
下图展示了到目前为止您创建的内容的可视化表示。

将 VCN 路由表连接到中心 VCN 专用子网

接下来，我们将 (VCN_RT_HUB_PRIVATE_SUBNET) VCN 路由表连接到中心 VCN 中的专用子网。

路由信息：(VCN_RT_HUB_PRIVATE_SUBNET) 此 VCN 路由表会将流量发送到防火墙的发言人。传输到 Internet 的流量（非分支网络的所有流量）到 NAT 网关的流量也将由此路由表进行路由。

转到中心 VCN。
1. 单击专用中心子网。
1. 请注意，专用中心子网已经关联了 VCN 路由表。如果您仍具有关联的默认 VCN 表，请更改此项。要更改，请单击编辑并将其更改为 VCN_RT_HUB_PRIVATE_SUBNET。
2. 向下滚动。
下图展示了到目前为止您创建的内容的可视化表示。

将 VCN 路由表连接到中心 VCN NAT 网关

将 (VCN_HUB_RT_NAT_TRANSIT) VCN 路由表连接到中心 VCN 中的 NAT 网关。

路由信息：(VCN_HUB_RT_NAT_TRANSIT) 此 VCN 路由表会将流量发送到防火墙的发言人。

转到 OCI 控制台。
1. 单击 NAT 网关。
2. 请注意，NAT 网关没有任何关联的路由表。
3. 单击三个点。
4. 单击 Associate Route Table 。
1. 选择先前创建的 VCN 路由表 (VCN_HUB_RT_NAT_TRANSIT)。
2. 单击 Associate Route Table 。
请注意，新的 VCN 路由表在中心 NAT 网关上处于活动状态。
下图展示了到目前为止您创建的内容的可视化表示。

将 VCN 路由表附加到 Spoke VCN 专用子网

在前面的任务之一中，我们已经配置了默认分支 VCN 路由表。分支（A、B 和 C）专用子网将自动使用默认 VCN 路由表，无需更改此路由表。我们可以做一个快速检查。

转到 OCI 控制台，导航到网络和虚拟云网络。

单击发出 VCN A 。
单击创建专用子网。
1. 请注意，使用 Spoke VCN A 的“默认路由”表。
2. 单击虚拟云网络以返回到 VCN 页面。
单击发出 VCN B 。
单击 spoke B Private Subnet 。
1. 请注意，使用 Spoke VCN B 的“默认路由”表。
2. 单击虚拟云网络以返回到 VCN 页面。
单击发出 VCN C 。
单击 spoke C Private Subnet 。
请注意，使用 Spoke VCN C 的“默认路由”表。
下图展示了到目前为止您创建的内容的可视化表示。

任务 8：验证连接

路由是为整个环境配置的。现在，我们可以测试路由是否有效。

任务 8.1：使用 RDP 连接到 Spoke 步骤 Stone 实例

我们通过 Internet 使用 RDP 连接到 Windows 步进石。流量将通过互联网网关路由。

成功连接后，您将能够看到桌面。从此桌面，我们将执行一些 ping 测试并在 pfSense 中心防火墙上执行管理。

任务 8.2：从中心 VCN 到 Spoke VCN 的试通

我们要做的第一个试通测试是从中心步骤到分支 VCN 实例。

由于路由配置：
- 流量将发送到 pfSense 防火墙。
- pfSense 防火墙将根据配置的防火墙规则允许或拒绝流量。
- 接受 ICMP 流量时，它将流量路由到 DRG。
- 然后，DRG 将流量路由到正确的分支 VCN。
1. 对中心步骤节点中的分支 VCN 实例 A IP 地址执行 ping 操作。
2. 请注意，包丢失率为 0%，因此 ping 成功。
3. 从中心步骤节点对分支 VCN 实例 B IP 地址执行 ping 操作。
4. 请注意，包丢失率为 0%，因此 ping 成功。
5. 对中心步骤石中的分支 VCN 实例 C IP 地址执行 ping 操作。
6. 请注意，包丢失率为 0%，因此 ping 成功。
这些 ping 都是成功的，因为我们在 pfSense 中心防火墙中设置了允许所有 ICMP 流量的防火墙规则。在以下教程中创建 pfSense 防火墙时：在 Oracle Cloud Infrastructure 中安装 pfSense 防火墙，我们添加了此防火墙规则。

任务 8.3：使用 SSH 连接到 Spoke 实例

ping (ICMP) 在任务 8.2 中工作。现在，让我们使用 SSH 连接到分支实例，因为我们还需要从分支实例执行一些连接测试。

由于路由配置：
- 流量将发送到 pfSense 防火墙。
- pfSense 防火墙将根据配置的防火墙规则允许或拒绝流量。
- 接受 SSH 流量时，它将流量路由到 DRG。
- 然后，DRG 将流量路由到正确的分支 VCN。
对于本教程，我已经预配置了 Royal TSX 应用程序中的所有 SSH 会话。
1. 连接到分支 VCN A 实例。
2. 请注意，连接正在尝试通过。
请注意，连接超时。这是因为我们在 pfSense 集线器防火墙中没有允许 TCP/22 (SSH) 流量的防火墙规则。
连接到 pfSense 管理控制台。
1. 单击 Firewall（防火墙）下拉菜单。
2. 单击规则。
单击添加。
1. 在操作中，选择通过。
2. 在协议中，选择 TCP 。
1. 在目标网络中，输入 172.16.1.0/25。
2. 在目标端口范围中，选择 SSH (22) 。
3. 单击保存。
1. 请注意，现在存在防火墙规则，允许通过 SSH 访问分支 VCN A 网络。
2. 单击应用更改。
请注意，更改已成功应用。
1. 再次连接到分支 VCN A 实例。
2. 请注意，我们收到一个问题来缓存 VCN A 实例的 SSH 指纹，因为这是我们迄今为止的第一个连接。
3. 单击是。
请注意，从集线器步骤到带 SSH 的分支 A 实例的连接现在成功。
我们只允许分支 A 网络，但还需要为分支 B 和分支 C 网络添加规则。返回到 psSense 管理控制台。
克隆/复制/复制创建的规则，以允许通过 SSH 访问分支 A VCN。
1. 将目标更改为 172.16.2.0/25。
2. 单击保存。
1. 请注意，现在存在防火墙规则，允许通过 SSH 访问分支 VCN B 网络。
2. 单击应用更改。
克隆/复制/复制创建的规则，以允许通过 SSH 访问分支 B VCN。
1. 将目标更改为 172.16.3.0/25。
2. 单击保存。
1. 请注意，现在存在防火墙规则，允许通过 SSH 访问分支 VCN C 网络。
2. 单击应用更改。
请注意，更改已成功应用。
使用 SSH 连接到所有 Spoke 实例。

问题： SSH 会话将在几秒钟后终止。我们注意到 SSH 连接在大约 10 秒后就会断开，我们在多个级别上解决了此问题。我们检查了 OCI 中的安全列表、OCI 中的路由以及 pfSense 中的防火墙规则。最终，我们发现 SSH 丢弃问题与 pfSense 相关。

要解决 SSH 放置问题，请转到 pfSense 管理控制台。
1. 单击 System（系统）下拉菜单。
2. 单击高级。
1. 单击 Firewall & NAT 。
2. 选择清除无效的 DF 位，而不是删除包
3. 在 Firewall Optimization（防火墙优化）中，选择 Conservative（保守）。
4. 向下滚动。
单击保存。

任务 8.4：从 Spoke VCN 到 Hub VCN 的试通

现在，我们与发言人建立了稳定的连接，可以从分支 VCN 实例执行一些 ping 测试。

由于路由配置：
- 流量将发送到 DRG。
- 然后，DRG 将流量路由到 pfSense 防火墙。
- pfSense 防火墙将根据配置的防火墙规则允许或拒绝流量。
- 接受 ICMP 流量时，它将流量路由到集线器步骤石。
1. 对分支 A VCN 实例中的中心步骤执行 ping 操作。
2. 请注意，包丢失率为 0%，因此 ping 成功。
1. 对分支 B VCN 实例中的中心步骤执行试通。
2. 请注意，包丢失率为 0%，因此 ping 成功。
1. 对分支 C VCN 实例中的中心步骤执行 ping 操作。
2. 请注意，包丢失率为 0%，因此 ping 成功。

任务 8.5：从 Spoke VCN A 到 Spoke VCN B 的试通

我们可以做的另一个 ping 测试是从一个通话到另一个通话。

由于路由配置：
- 流量将从分支 VCN A 发送到 DRG。
- 然后，DRG 将流量路由到 pfSense 防火墙。
- pfSense 防火墙将根据配置的防火墙规则允许或拒绝流量。
- 接受 ICMP 流量时，它将流量路由回 DRG
- DRG 将流量路由到分支 VCN B。
1. 对分支 A VCN 实例中的分支 B VCN 实例执行 ping 操作。
2. 请注意，包丢失率为 0%，因此 ping 成功。

任务 8.6：从 Spoke VCN 到 Internet 的试通

从分支 VCN 实例到互联网执行一些试通测试。

由于路由配置：
- 流量将发送到 DRG。
- 然后，DRG 将流量路由到 pfSense 防火墙。
- pfSense 防火墙将根据配置的防火墙规则允许或拒绝通信。
- 接受 ICMP 流量时，它将流量路由到 NAT 网关。
- NAT 网关会将流量路由到 Internet。
1. 从分支 A VCN 实例对 Google 的 DNS 服务器 8.8.8.8 执行 ping 操作。
2. 请注意，包丢失率为 0%，因此 ping 成功。
1. 从分支 B VCN 实例对 Google 的 DNS 服务器 8.8.8.8 执行 ping 操作。
2. 请注意，包丢失率为 0%，因此 ping 成功。
1. 从分支 C VCN 实例对 Google 的 DNS 服务器 8.8.8.8 执行 ping 操作。
2. 请注意，包丢失率为 0%，因此 ping 成功。

任务 8.7：从 Spoke VCN 连接到 Internet

我们做了一个基本的 ping 测试。现在，我们需要打开中心 VCN 入站安全列表来允许所有 TCP 流量通过互联网传输，因为我们的防火墙检查由 pfSense 防火墙完成，并且没有多层防火墙安全机制，除非有要求。

更新中心 VCN 安全列表

转到 OCI 控制台，单击网络和虚拟云网络。

单击中心 VCN 。
1. 单击安全列表。
2. 单击 HUB-VCN 的默认安全列表。
单击添加入站规则。
1. 在源类型中，选择 CIDR 。
2. 在源 CIDR 中，输入 172.16.1.0/25。
3. 在 IP Protocol 中，选择 TCP 。
4. 在目标端口范围中，输入全部。
5. 单击 + Another Ingress Rule 。
1. 在源类型中，选择 CIDR 。
2. 在源 CIDR 中，输入 172.16.2.0/25。
3. 在 IP Protocol 中，选择 TCP 。
4. 在目标端口范围中，输入全部。
5. 单击 + Another Ingress Rule 。
1. 在源类型中，选择 CIDR 。
2. 在源 CIDR 中，输入 172.16.3.0/25。
3. 在 IP Protocol 中，选择 TCP 。
4. 在目标端口范围中，输入全部。
5. 单击 + Another Ingress Rule 。
请注意，存在所有规则。
下图展示了到目前为止您创建的内容的可视化表示。

验证 pfSense 防火墙

为了简化测试，我们向 pfSense 防火墙添加了一个规则以允许所有流量。
让我们在分支 VCN A 实例上安装一个名为 Telnet 的简单应用程序。
1. 运行 sudo dnf install telnet 命令在分支 VCN A 实例中安装 Telnet。
2. 在 Is this ok 中，输入 Y 。
3. 请注意，连接超时。
4. 单击 CTRL + C 停止请求。

软件安装和升级或基于 Oracle Linux 的计算实例不是通过 Internet 完成的。

要在 Oracle Linux 实例上安装软件，Oracle 仅允许从其软件资料档案库执行此操作，并且可以使用服务网关访问这些软件。

下一个也是最后一个任务是创建服务网关并配置路由，以便通过该新服务网关路由 Oracle 服务的流量。

任务 8.8：允许 Linux 实例使用服务网关安装和更新软件

我们尚未为 OCI 服务配置路由。

配置路由后：
- 流量将发送到 DRG。
- 然后，DRG 将流量路由到服务网关。
- 而且，服务网关会将流量路由到 OCI 服务网络。
要配置路由，请转到 OCI 控制台，单击左上角的汉堡菜单，即网络和虚拟云网络。
单击中心 VCN 。
1. 单击服务网关。
2. 单击创建服务网关。
1. 输入服务网关的名称。
2. 在服务中，选择Oracle 服务网络中的所有服务。
3. 单击创建服务网关。
单击关闭。
1. 请注意，服务网关可用。
2. 单击路由表。
下图展示了到目前为止您创建的内容的可视化表示。

在中心 VCN 中创建路由表 (VCN_HUB_RT_SERVICE_TRANSIT)。

目的地	目标类型	目标	路由类型
172.16.1.0/24	动态路由网关	DRG	静态
172.16.2.0/24	动态路由网关	DRG	静态
172.16.3.0/24	动态路由网关	DRG	静态

单击创建路由表。
1. 输入公共子网的新中心 VCN 路由表的名称。
2. 单击 + Another Route Rule 。
1. 在目标类型中，选择动态路由网关。
2. 在目标类型中，选择 CIDR 块。
3. 在目标 CIDR 块中，输入 172.16.1.0/24。
4. 单击 + Another Route Rule 。
1. 在目标类型中，选择动态路由网关。
2. 在目标类型中，选择 CIDR 块。
3. 在目标 CIDR 块中，输入 172.16.2.0/24。
4. 单击 + Another Route Rule 。
1. 在目标类型中，选择动态路由网关。
2. 在目标类型中，选择 CIDR 块。
3. 在目标 CIDR 块中，输入 172.16.3.0/24。
4. 单击 + Another Route Rule 。
1. 请注意，已创建服务网关的路由表。单击路由表名称。
1. 请注意服务网关路由表的所有路由规则。
2. 单击中心 VCN 以返回到中心 VCN 页。
下图展示了到目前为止您创建的内容的可视化表示。
现在，我们有了新的 VCN 路由表，需要将其与服务网关关联。

路由信息：(VCN_HUB_RT_SERVICE_TRANSIT) 此 VCN 路由表会将流量发送到 DRG 的发言人。
1. 单击服务网关。
2. 请注意，服务网关没有任何关联的路由表。
3. 单击三个点。
4. 单击 Associate Route Table 。
1. 选择先前创建的 VCN 路由表：VCN_HUB_RT_SERVICE_TRANSIT。
2. 单击 Associate Route Table 。
请注意，新的 VCN 路由表在服务网关上处于活动状态。
下图展示了到目前为止您创建的内容的可视化表示。
确保 DRG 还将流量正确路由到新服务网关，我们需要更新 VCN_HUB_RT_DRG_TRANSIT 路由表。

更新 Hub VCN 中的路由表 (VCN_HUB_RT_DRG_TRANSIT)。

目的地	目标类型	目标	路由类型
0.0.0.0/0	专用 IP	172.16.0.20(FW IP)	静态
Oracle 服务网络中的所有 FRA 服务	服务网关	集线器 - 服务 -GW	静态

单击路由表。
选择 VCN_HUB_RT_DRG_TRANSIT 路由表。

单击添加路由规则。
1. 在目标类型中，选择服务网关。
2. 在目标服务中，选择Oracle 服务网络中的所有服务。
3. 选择上面创建的服务网关。
4. 单击添加路由规则。
1. 请注意我们刚刚创建的新路由规则。
2. 单击虚拟云网络以返回到 VCN 页面。
下图展示了到目前为止您创建的内容的可视化表示。
请确保分支 VCN 也将流量正确路由到新服务网关，我们需要更新默认分支 VCN 路由表。

更新分支 VCN A 中的默认 VCN 路由表。

目的地	目标类型	目标	路由类型
0.0.0.0/0	动态路由网关	DRG	静态
Oracle 服务网络中的所有 FRA 服务	动态路由网关	DRG	静态

单击发出 VCN 。
1. 单击路由表。
2. 单击 SPOKE-VCN-A 的默认路由表。
单击添加路由规则。
1. 在目标类型中，选择动态路由网关。
2. 在目标类型中，选择服务。
3. 在目标服务中，选择Oracle 服务网络中的所有服务。
4. 单击添加路由规则。
1. 请注意，OCI 服务路由现在已添加到分支 VCN A 的默认路由表中。
2. 单击虚拟云网络以返回到 VCN 页面。
下图展示了到目前为止您创建的内容的可视化表示。

更新分支 VCN B 中的默认 VCN 路由表。

目的地	目标类型	目标	路由类型
0.0.0.0/0	动态路由网关	DRG	静态
Oracle 服务网络中的所有 FRA 服务	动态路由网关	DRG	静态

单击辐条企业 VCN 。
1. 单击路由表。
2. 单击 SPOKE-VCN-B 的默认路由表。
单击添加路由规则。
1. 在目标类型中，选择动态路由网关。
2. 在目标类型中，选择服务。
3. 在目标服务中，选择Oracle 服务网络中的所有服务。
4. 单击添加路由规则。
1. 请注意，OCI 服务路由现在已添加到分支 VCN B 的默认路由表中。
2. 单击虚拟云网络以返回到 VCN 页面。
下图展示了到目前为止您创建的内容的可视化表示。

更新分支 VCN C 中的默认 VCN 路由表。

目的地	目标类型	目标	路由类型
0.0.0.0/0	动态路由网关	DRG	静态
Oracle 服务网络中的所有 FRA 服务	动态路由网关	DRG	静态

单击辐条企业 VCN 。
1. 单击路由表。
2. 单击 SPOKE-VCN-C 的默认路由表。
单击添加路由规则。
1. 在目标类型中，选择动态路由网关。
2. 在目标类型中，选择服务。
3. 在目标服务中，选择Oracle 服务网络中的所有服务。
4. 单击添加路由规则。
请注意，OCI 服务路由现在已添加到分支 VCN C 的默认路由表中。
下图展示了到目前为止您创建的内容的可视化表示。
由于我们的（服务）路由配置：
- 流量将发送到 DRG。
- 然后，DRG 将流量路由到服务网关。
- 而且，服务网关会将流量路由到 OCI 服务网络。
  
  注：我们的服务网络流量不会通过 pfSense 防火墙进行路由，因为 OCI 服务网络无论如何都是安全路径。
让我们再次在分支 VCN A 实例上安装 Telnet 应用程序。
1. 运行 sudo dnf install telnet 命令在分支 VCN A 实例中安装 Telnet。
2. 在 Is this ok 中，输入 Y 。
3. 请注意，安装已完成！
1. 运行 sudo dnf install telnet 命令以在分支 VCN B 实例中安装 Telnet。
2. 在 Is this ok 中，输入 Y 。
3. 请注意，安装已完成！
1. 运行 sudo dnf install telnet 命令以在分支 VCN C 实例中安装 Telnet。
2. 在 Is this ok 中，输入 Y 。
3. 请注意，安装已完成！