注意:
- 此教程需要访问 Oracle Cloud。要注册免费账户,请参阅开始使用 Oracle Cloud Infrastructure Free Tier 。
- 它使用 Oracle Cloud Infrastructure 身份证明、租户和区间示例值。完成实验室时,请将这些值替换为特定于您的云环境的值。
在中心 VCN 中使用 pfSense 防火墙路由中心并发出 VCN
简介
云提供商中的 Hub 和分支路由可能令人困惑且难以配置。为此,我们需要使用不同类型的配置配置多个对象。云中多个级别的网络路由和网络安全性使这变得令人困惑。
在本教程中,我们将说明如何配置具有三辐 VCN 的中心 VCN。中心 VCN 将包含 pfSense 防火墙以及到 Internet 和 OCI 服务网络的连接。源自分支 VCN、需要与其他分支 VCN 通信、与 Internet 或 OCI 服务网络通信的所有网络流量都需要通过中心 VCN 进行防火墙检查。
以下图像说明了通信流。
-
请求到请求连接
-
Spoke 到 Hub 的连接
-
星型连接
-
请求到 Internet 连接
-
请求到服务连接
-
Hub 到 Internet 连接
-
Internet 到 Hub 的连接
注:在本教程中,我们将在发言人中使用多个网络。
- Spoke A VCN 子网:
172.16.1.0/25
。 - Spoke B VCN 子网:
172.16.2.0/25
。 - Spoke C VCN 子网:
172.16.3.0/25
。
- Spoke A VCN 子网:
目标
-
使用完全配置的中心路由和分支路由设置 OCI 路由环境。我们将所有网络流量路由到中心 VCN,其中中心 VCN 将包含防火墙,以便检查来自该发言人的所有流量。
- 任务 1:创建中心 VCN 和分支 VCN。
- 任务 2:在中心服务器和分支 VCN 中创建子网。
- 任务 3:创建 DRG、Internet 网关和 NAT 网关。
- 任务 4:在所有 VCN 中添加连接到不同子网的实例。
- 任务 5:在中心 VCN 中添加 pfSense 防火墙。
- 任务 6:在安全列表中打开防火墙规则。
- 任务 7:通过集线器防火墙检查配置不同 VCN 和 Internet 之间的路由。
- 任务 8:验证连接。
任务 1:创建 Hub 和 Spoke VCN
-
登录到 OCI 控制台,然后单击虚拟云网络或单击汉堡包菜单(≡)、网络和虚拟云网络。
-
单击创建 VCN 以创建 VCN。
- 输入中心 VCN 的名称。
- 为中心 VCN 输入 IPv4 CIDR 块。
- 向下滚动。
-
单击创建 VCN 。
- 请注意,中心 VCN 处于 AVAILABLE 状态。
- 单击虚拟云网络以返回到 VCN 页面。
-
下图展示了到目前为止您创建的内容的可视化表示。
现在,我们将创建三个分支 VCN(Spoke A、Spoke B 和 Spoke C)。
-
单击创建 VCN 以创建第一个分支 VCN(Spoke A)。
- 输入分支 VCN 的名称。
- 为分支 VCN 输入 IPv4 CIDR 块。
- 单击创建 VCN 。
- 请注意,分支 VCN 处于 AVAILABLE 状态。
- 单击虚拟云网络以返回到 VCN 页面。
-
单击创建 VCN 以创建第二个分支 VCN(Spoke B)。
- 输入分支 VCN 的名称。
- 为中心 VCN 输入 IPv4 CIDR 块。
- 单击创建 VCN 。
- 请注意,分支 VCN 处于 AVAILABLE 状态。
- 单击虚拟云网络以返回到 VCN 页面。
- 单击创建 VCN 以创建第三个分支 VCN。
- 输入分支 VCN 的名称。
- 为中心 VCN 输入 IPv4 CIDR 块。
- 单击创建 VCN 。
- 请注意,分支 VCN 处于 AVAILABLE 状态。
- 单击虚拟云网络以返回到 VCN 页面。
-
请注意,我们已经创建了 1 个中心 VCN 和 3 个分支 VCN。
-
下图展示了到目前为止您创建的内容的可视化表示。
任务 2:在 Hub 中创建子网并发出 VCN
我们有枢纽,并已设置了 VCN。现在,在 VCN 中创建子网。
在中心 VCN 中创建子网
在中心 VCN 中,我们将创建 1 个专用子网和 1 个公共子网。
-
单击中心 VCN。
-
单击创建子网以创建第一个子网(专用)。
- 输入专用子网的名称。
- 在子网类型中,选择区域。
- 为专用子网输入 IPv4 CIDR 块。
- 向下滚动。
- 在路由表中,选择默认路由表。
- 在子网访问中,选择专用子网。
- 向下滚动。
- 在 DHCP 选项中,选择默认 DHCP 选项。
- 在安全列表中,选择默认安全列表。
- 单击创建子网。
-
请注意,状态设置为预配。
- 几分钟后,状态将更改为可用。
- 单击创建子网以创建第二个子网(公共)。
- 输入专用子网的名称。
- 在子网类型中,选择区域。
- 为公共子网输入 IPv4 CIDR 块。
- 向下滚动。
- 在路由表中,选择默认路由表。
- 在子网访问中,选择公共子网。
- 向下滚动。
- 在 DHCP 选项中,选择默认 DHCP 选项。
- 在安全列表中,选择默认安全列表。
- 单击创建子网。
-
请注意,状态设置为预配。
-
几分钟后,状态将更改为可用。
-
下图展示了到目前为止您创建的内容的可视化表示。
在 Spoke VCN A 中创建子网
在分支 VCN A 中创建一个专用子网。
-
单击分支 VCN A。
-
单击创建子网以创建子网(专用)。
- 输入专用子网的名称。
- 为专用子网输入 IPv4 CIDR 块。
- 向下滚动。
- 在路由表中,选择默认路由表。
- 在子网访问中,选择专用子网。
- 向下滚动。
- 在 DHCP 选项中,选择默认 DHCP 选项。
- 在安全列表中,选择默认安全列表。
- 单击创建子网。
-
请注意,状态设置为预配。
- 请注意,状态已更改为可用。
- 单击虚拟云网络以返回到 VCN 页面。
-
下图展示了到目前为止您创建的内容的可视化表示。
在 Spoke VCN B 中创建子网
在分支 VCN B 中创建一个专用子网。
-
单击分支 VCN B。
-
单击创建子网以创建子网(专用)。
- 输入专用子网的名称。
- 为专用子网输入 IPv4 CIDR 块。
- 向下滚动。
- 在路由表中,选择默认路由表。
- 在子网访问中,选择专用子网。
- 向下滚动。
- 在 DHCP 选项中,选择默认 DHCP 选项。
- 在安全列表中,选择默认安全列表。
- 单击创建子网。
-
请注意,状态设置为预配。
- 请注意,状态已更改为可用。
- 单击虚拟云网络以返回到 VCN 页面。
-
下图展示了到目前为止您创建的内容的可视化表示。
在中心 VCN C 中创建子网
在分支 VCN C 中创建一个专用子网。
-
单击分支 VCN C。
-
单击创建子网以创建子网(专用)。
- 输入专用子网的名称。
- 为专用子网输入 IPv4 CIDR 块。
- 向下滚动。
- 在路由表中,选择默认路由表。
- 在子网访问中,选择专用子网。
- 向下滚动。
- 在 DHCP 选项中,选择默认 DHCP 选项。
- 在安全列表中,选择默认安全列表。
- 单击创建子网。
-
请注意,状态设置为预配。
-
请注意,状态已更改为可用。
-
下图展示了到目前为止您创建的内容的可视化表示。
任务 3:在中心 VCN 中创建动态路由网关 (Dynamic Routing Gateway,DRG)、互联网网关和 NAT 网关
创建一个 DRG,用于在 VCN 之间路由流量。我们还需要创建互联网网关和 NAT 网关来访问互联网。
-
单击中心 VCN。
-
单击 Internet Gateways 。
- 单击创建 Internet 网关。
- 输入互联网网关的名称。
- 单击创建 Internet 网关。
- 注意,状态为 Available 。
-
下图展示了到目前为止您创建的内容的可视化表示。
- 创建互联网网关后,位于中心 VCN 配置页面内。向下滚动。
- 单击 NAT 网关。
- 单击创建 NAT 网关。
- 输入 NAT 网关的名称。
- 选择 Ephemeral Public IP Address 。
- 单击创建 NAT 网关。
- 注意,状态为 Available 。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
创建动态路由网关 (DRG)。
- 单击左上角的汉堡菜单(≡)图标。
- 单击网络。
- 单击动态路由网关。
-
单击创建动态路由网关。
- 输入动态路由网关的名称。
- 单击创建动态路由网关。
- 请注意,状态为 PROVISIONING 。
-
请注意,状态已更改为 AVAILABLE 。
-
下图展示了到目前为止您创建的内容的可视化表示。
任务 4:在所有 VCN 中添加连接到不同子网的实例
我们将在所有 VCN 中添加各种 OCI 计算实例,以便测试路由流。
在中心 VCN 中创建实例
在中心 VCN 中,我们将创建具有两个主要功能的 Windows 计算实例:
-
Windows 实例将作为步骤机器来访问 OCI 环境中的其他实例。
-
Windows 实例也将是一个网络端点,可用于测试路由流。
Windows 实例作为步骤 Stone
要创建可在 OCI 环境内用作垫脚石的 Windows 实例 (hub-step-stone),请使用在 Oracle Cloud Infrastructure 中部署 Windows 实例。
注:在继续教程之前,请先创建 Windows 步进石实例 (hub-step-stone)。
下图展示了到目前为止您创建的内容的可视化表示。
在中心 VCN Spoke VCN A 中创建实例
在分支 VCN A 中,我们将创建一个简单的 Linux 实例,该实例将充当网络端点,可用于测试路由流。
请求客户端实例
-
创建实例。
- 单击左上角的汉堡菜单(≡)图标。
- 单击计算。
- 单击实例。
-
单击创建实例。
- 输入实例的名称。
- 向下滚动。
-
向下滚动。
- 在 Primary network(主网络)中,选择 Select existing virtual cloud network(选择现有虚拟云网络)。
- 在 VCN 中,选择 SPOKE-VCN-A 。
- 在子网中,选择选择现有子网。
- 从分支 VCN A 中选择专用子网。
- 向下滚动。
- 在 Private IPv4 address(专用 IPv4 地址)中,选择 Automatically assign private IPv4 address(自动分配专用 IPv4 地址)。
- 向下滚动。
- 在添加 SSH 密钥中,选择为我生成密钥对。
- 单击保存专用密钥以在本地保存专用密钥。
- 单击保存公共密钥以在本地保存公共密钥。
-
确保密钥存储在本地的某个位置。
注:我们将对其他分支实例使用相同的密钥对。
-
向下滚动。
-
单击创建。
-
请注意,状态为 PROVISIONING 。
- 请注意,状态已更改为 RUNNING 。
- 请记下专用 IP 地址以备后用。
- 单击实例返回到“实例”页。
- 请注意,实例 A 正在运行。
- 单击创建实例以创建下一个实例。
-
下图展示了到目前为止您创建的内容的可视化表示。
在 Spoke VCN B 中创建实例
在 Spoke VCN B 中,我们将创建一个简单的 Linux 实例,该实例将充当网络端点,可用于测试路由流。
Spoke B 客户机实例
-
创建实例。
- 输入实例的名称。
- 向下滚动。
-
向下滚动。
- 在 Primary network(主网络)中,选择 Select existing virtual cloud network(选择现有虚拟云网络)。
- 在 VCN 中,选择 SPOKE-VCN-B 。
- 在子网中,选择选择现有子网。
- 从分支 VCN B 选择专用子网。
- 向下滚动。
- 在 Private IPv4 address(专用 IPv4 地址)中,选择 Automatically assign private IPv4 address(自动分配专用 IPv4 地址)。
- 向下滚动。
- 上载公共密钥文件。
- 单击浏览。选择在创建实例 A 时保存的公共密钥文件。
- 确保已选择公钥。
- 向下滚动。
-
向下滚动。
-
单击创建。
-
请注意,状态为 PROVISIONING 。
- 请注意,状态已更改为 RUNNING 。
- 请注意将在后面的步骤中使用的专用 IP 地址。
- 单击实例返回到“实例”页。
- 请注意,实例 B 正在运行。
- 单击创建实例以创建下一个实例。
-
下图展示了到目前为止您创建的内容的可视化表示。
在 Spoke VCN C 中创建实例
在 Spoke VCN C 中,我们将创建一个简单的 Linux 实例,该实例将充当网络端点,可用于测试路由流。
Spoke C 客户端实例
-
创建实例。
- 输入实例名。
- 向下滚动。
-
向下滚动。
- 在 Primary network(主网络)中,选择 Select existing virtual cloud network(选择现有虚拟云网络)。
- 在 VCN 中,选择 SPOKE-VCN-C 。
- 在子网中,选择选择现有子网。
- 从分支 VCN C 中选择专用子网。
- 向下滚动。
- 在 Private IPv4 address(专用 IPv4 地址)中,选择 Automatically assign private IPv4 address(自动分配专用 IPv4 地址)。
- 向下滚动。
- 上载公共密钥文件。
- 单击浏览。选择在创建实例 A 时保存的公共密钥文件。
- 确保已选择公钥
- 向下滚动。
-
向下滚动。
-
单击创建。
-
请注意,状态为 PROVISIONING 。
- 请注意,状态已更改为 RUNNING 。
- 请记下专用 IP 地址以备后用。
- 单击实例返回到“实例”页
-
请注意,实例 C 正在运行。
-
下图展示了到目前为止您创建的内容的可视化表示。
任务 5:在 Hub VCN 中添加 pfSense 防火墙实例
我们需要网络设置的最后一个实例是防火墙。例如,这可以是任何防火墙,例如 OCI 网络防火墙。在本教程中,我们将使用 pfSense 防火墙。
要创建可在 OCI 环境内用作防火墙的 pfSense 实例 (hub-fw
),请使用本教程。
注:请先创建 pfSense 实例,然后再继续教程。
下图展示了到目前为止您创建的内容的可视化表示。
任务 6:安全列表上的开放防火墙规则
在 OCI 环境中,存在多层网络安全性。默认情况下,大多数协议和端口的所有入站网络通信都会被阻止。为了使用 ping 进行测试,我们将打开集线器上的 ICMP 端口和分支 VCN,以便允许进入 VCN 的所有 ICMP 流量。
在中心 VCN 中添加入站规则
-
转到 OCI 控制台。
- 单击左上角的汉堡菜单(≡)。
- 单击虚拟云网络或导航到网络和虚拟云网络。
-
选择 pfSense 防火墙连接到的中心 VCN。
- 向下滚动。
- 单击安全列表。
- 单击 HUB-VCN 的默认安全列表。
-
单击添加入站规则。
- 在源类型中,选择 CIDR 。
- 在源 CIDR 中,输入
0.0.0.0/0
。 - 在 IP Protocol 中,选择 ICMP 。
- 单击添加入站规则。
-
请注意,已添加 ICMP 规则。
-
单击虚拟云网络以返回到 VCN 页面。
-
下图展示了到目前为止您创建的内容的可视化表示。
在 Spoke VCN A 中添加入站规则
-
单击分支 VCN A。
- 向下滚动。
- 单击安全列表。
- 单击 SPOKE-VCN-A 的默认安全列表
-
单击添加入站规则。
- 在源类型中,选择 CIDR 。
- 在源 CIDR 中,输入
0.0.0.0/0
。 - 在 IP Protocol 中,选择 ICMP 。
- 单击添加入站规则。
-
请注意,已添加 ICMP 规则。
-
下图展示了到目前为止您创建的内容的可视化表示。
在 Spoke VCN B 中添加入站规则
-
单击分支 VCN B。
- 向下滚动。
- 单击安全列表。
- 单击 SPOKE-VCN-B 的默认安全列表
-
单击添加入站规则。
- 在源类型中,选择 CIDR 。
- 在源 CIDR 中,输入
0.0.0.0/0
。 - 在 IP Protocol 中,选择 ICMP 。
- 单击添加入站规则。
-
请注意,已添加 ICMP 规则。
-
下图展示了到目前为止您创建的内容的可视化表示。
在 Spoke VCN C 中添加入站规则
-
单击分支 VCN C。
- 向下滚动。
- 单击安全列表。
- 单击 SPOKE-VCN-C 的默认安全列表
-
单击添加入站规则。
- 在源类型中,选择 CIDR 。
- 在源 CIDR 中,输入
0.0.0.0/0
。 - 在 IP Protocol 中,选择 ICMP 。
- 单击添加入站规则。
-
请注意,已添加 ICMP 规则。
-
下图展示了到目前为止您创建的内容的可视化表示。
任务 7:使用 Hub 防火墙检查配置不同 VCN 和 Internet 之间的路由
我们已经拥有了所有必需的组件。现在,我们需要配置路由。在配置路由之前,需要先将 VCN 连接到 DRG。
在此之后,我们将创建创建不同的 VCN 路由表、DRG 路由表所需的附加,并将这些路由表关联到不同的 VCN、DRG VCN 附加、子网和网关。
任务 7.1:在 DRG 上创建 VCN 附加
-
在 DRG 上创建 VCN 附加。
- 单击左上角的汉堡菜单(≡)。
- 单击网络。
- 单击动态路由网关。
-
单击在任务 3 中创建的 DRG。
- 单击 VCN 附件。
- 单击创建虚拟网络附加。
- 为中心 VCN 输入附件名称。
- 选择中心 VCN。
- 单击创建 VCN 附加。
-
请注意,中心 VCN 状态为附加。
-
下图展示了到目前为止您创建的内容的可视化表示。
- 请注意,中心 VCN 状态已更改为“已附加”。
- 单击创建虚拟网络附加以创建下一个附加。
- 输入分支 VCN A 的附件名称。
- 选择分支 VCN A。
- 单击创建 VCN 附加。
-
请注意,分支 VCN A 状态为附加。
-
下图展示了到目前为止您创建的内容的可视化表示。
- 请注意,分支 VCN A 状态已更改为“已附加”。
- 单击创建虚拟网络附加以创建下一个附加。
- 输入分支 VCN B 的附件名称。
- 选择分支 VCN B。
- 单击创建 VCN 附加。
-
请注意,分支 VCN B 状态为附加。
-
下图展示了到目前为止您创建的内容的可视化表示。
- 请注意,分支 VCN B 的状态已更改为“已附加”。
- 单击创建虚拟网络附加以创建下一个附加。
- 为分支 VCN C 输入附件名称。
- 选择分支 VCN C。
- 单击创建 VCN 附加。
-
请注意,分支 VCN C 状态为附加。
-
请注意,分支 VCN C 状态已更改为“已附加”。
-
下图展示了到目前为止您创建的内容的可视化表示。
任务 7.2:创建和配置 Spoke VCN 路由表
我们需要创建两种类型的路由表:VCN 路由表和 DRG 路由表。
注:默认情况下,创建 VCN 时会创建一个默认路由表。
-
Spoke VCN A 仅具有默认 VCN 路由表。
目的地 目标类型 目标 路由类型 0.0.0.0/0 动态路由网关 DRG 静态 - 单击左上角的汉堡菜单(≡)。
- 单击网络。
- 单击虚拟云网络。
-
单击分支 VCN A。
- 单击路由表。
- 单击 SPOKE-VCN-A 的默认路由表。
-
单击添加路由规则。
- 在目标类型中,选择动态路由网关。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
0.0.0.0/0
。 - 单击添加路由规则。
-
此规则会将来自分支 VCN A 的所有流量路由到 DRG。
- 请注意,
0.0.0.0/0
路由现在已添加到分支 VCN A 的默认路由表。 - 单击虚拟云网络以返回到 VCN 页面。
- 请注意,
-
下图展示了到目前为止您创建的内容的可视化表示。
-
Spoke VCN B 仅具有默认 VCN 路由表。
目的地 目标类型 目标 路由类型 0.0.0.0/0 动态路由网关 DRG 静态 -
单击分支 VCN B。
- 单击路由表。
- 单击来自 SPOKE-VCN-B 的默认路由表。
-
单击添加路由规则。
- 在目标类型中,选择动态路由网关。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
0.0.0.0/0
。 - 单击添加路由规则。
-
此规则会将来自分支 VCN B 的所有流量路由到 DRG。
- 请注意,
0.0.0.0/0
路由现在已添加到分支 VCN B 的默认路由表中。 - 单击虚拟云网络以返回到 VCN 页面。
- 请注意,
-
下图展示了到目前为止您创建的内容的可视化表示。
-
Spoke VCN C 仅具有默认 VCN 路由表。
目的地 目标类型 目标 路由类型 0.0.0.0/0 动态路由网关 DRG 静态 -
单击分支 VCN C。
- 单击路由表。
- 单击 SPOKE-VCN-C 的默认路由表。
-
单击添加路由规则。
- 在目标类型中,选择动态路由网关。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
0.0.0.0/0
。 - 单击添加路由规则。
-
此规则会将来自分支 VCN C 的所有流量路由到 DRG。
-
请注意,
0.0.0.0/0
路由现在已添加到分支 VCN C 的默认路由表。 -
下图展示了到目前为止您创建的内容的可视化表示。
任务 7.3:创建和配置中心 VCN 路由表
-
在中心 VCN 中创建路由表 (
VCN_HUB_RT_DRG_TRANSIT
)。目的地 目标类型 目标 路由类型 0.0.0.0/0 专用 IP 172.16.0.20(FW IP) 静态 172.16.1.0/24 专用 IP 172.16.0.20(FW IP) 静态 172.16.2.0/24 专用 IP 172.16.0.20(FW IP) 静态 172.16.3.0/24 专用 IP 172.16.0.20(FW IP) 静态 注:要将从分支到分支 VCN 的流量路由到分支 VCN,还需要在此路由表中的特定路由中添加,因为默认
0.0.0.0/0
不足以使此工作正常。 -
转到 OCI 控制台。
- 单击左上角的汉堡菜单(≡)。
- 单击网络。
- 单击虚拟云网络。
-
单击中心 VCN。
- 单击路由表。
- 单击创建路由表。
- 输入新中心 VCN 路由表的名称。
- 单击 + Another Route Rule(+ 另一个路由规则)(不在屏幕截图中)。
- 在目标类型中,选择专用 IP 。
- 向下滚动。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
0.0.0.0/0
。 - 在目标选择中,输入
172.16.0.20
(这是 pfSense 防火墙的 IP 地址)。 - 单击创建。
-
请注意,您将收到以下错误:
PrivatelP (ocid 1.privateip.oc1.eu-frankfurt-1.abtheljtrcahk23t4vtbeguxxxxxxxxxxxxxxxxxvwbgypf36ad4cyjmka) is an invalid route target. (The Private IP is attached to a VNIC whose SRC/DST check is enabled)
。 -
单击取消。
-
要解决此问题,我们需要在 pfSense 防火墙实例 VNIC 上启用跳过源/目标检查。
- 点击汉堡菜单(≡)。
- 单击计算。
- 单击实例。
-
单击
hub-fw
(pfSense 实例)。 -
向下滚动。
- 单击 Attached VNICs 。
- 单击 VNIC 的三个点。
- 单击编辑 VNIC 。
- 选择 Skip source/destination check 。
- 单击 Save changes 。
-
现在,创建中心 VNC 路由表。
- 单击左上角的汉堡菜单(≡)。
- 单击网络。
- 单击虚拟云网络。
-
单击中心 VCN。
- 单击路由表。
- 单击创建路由表。
- 输入新中心 VCN 路由表的名称。
- 单击 + Another Route Rule 。
- 在目标类型中,选择专用 IP 。
- 向下滚动。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
0.0.0.0/0
。 - 在目标选择中,输入
172.16.0.20
(这是 pfSense 防火墙的 IP 地址)。 - 单击创建。
-
我们需要向
VCN_HUB_RT_DRG_TRANSIT
路由表添加另外三个路由。 -
单击添加路由规则。
- 在目标类型中,选择专用 IP 。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.1.0/24
。 - 在目标选择中,输入
172.16.0.20
(这是 pfSense 防火墙的 IP 地址)。 - 单击 + Another Route Rule 。
- 在目标类型中,选择专用 IP 。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.2.0/24
。 - 在目标选择中,输入
172.16.0.20
(这是 pfSense 防火墙的 IP 地址)。 - 单击 + Another Route Rule 。
- 在目标类型中,选择专用 IP 。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.3.0/24
。 - 在目标选择中,输入
172.16.0.20
(这是 pfSense 防火墙的 IP 地址)。 - 单击 + Another Route Rule 。
- 请注意,创建的 4 个路由规则。
- 单击中心 VCN 以返回到中心 VCN 页。
- 请注意,中心 VCN 路由表现在列表中。
- 再次单击创建路由表,为公共子网创建另一个中心 VCN 路由表。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
在中心 VCN 中创建路由表 (
VCN_RT_HUB_PUBLIC_SUBNET
)。目的地 目标类型 目标 路由类型 0.0.0.0/0 Internet 网关 Hub-internet-gateway 静态 172.16.1.0/24 专用 IP 172.16.0.20(FW IP) 静态 172.16.2.0/24 专用 IP 172.16.0.20(FW IP) 静态 172.16.3.0/24 专用 IP 172.16.0.20(FW IP) 静态 -
创建路由表。
- 输入公共子网的新中心 VCN 路由表的名称。
- 单击 + Another Route Rule 。
- 在目标类型中,选择互联网网关。
- 在目标 CIDR 块中,输入
0.0.0.0/0
。 - 向下滚动。
- 在目标互联网网关中,选择之前创建的互联网网关。
- 单击 + Another Route Rule 。
- 在目标类型中,选择专用 IP 。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.1.0/24
。 - 在目标选择中,输入
172.16.0.20
(这是 pfSense 防火墙的 IP 地址)。 - 向下滚动。
-
单击 + Another Route Rule 。
- 在目标类型中,选择专用 IP 。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.2.0/24
。 - 在目标选择中,输入
172.16.0.20
(这是 pfSense 防火墙的 IP 地址)。 - 向下滚动。
-
单击 + Another Route Rule 。
- 在目标类型中,选择专用 IP 。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.3.0/24
。 - 在目标选择中,输入
172.16.0.20
(这是 pfSense 防火墙的 IP 地址)。 - 向下滚动。
- 请注意,已创建公共子网的路由表。单击路由表名称。
- 另请注意,此路由表包含 4 个路由规则。
-
请注意是否存在 4 个路由规则。
- 向上滚动。
- 单击中心 VCN 以返回到中心 VCN 页。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
在中心 VCN 中创建路由表 (
VCN_HUB_RT_NAT_TRANSIT
)。目的地 目标类型 目标 路由类型 172.16.1.0/24 专用 IP 172.16.0.20(FW IP) 静态 172.16.2.0/24 专用 IP 172.16.0.20(FW IP) 静态 172.16.3.0/24 专用 IP 172.16.0.20(FW IP) 静态 - 单击路由表。
- 再次单击创建路由表,为 NAT 网关创建另一个中心 VCN 路由表。
- 为 NAT 网关的新中心 VCN 路由表输入名称。
- 单击 + Another Route Rule 。
- 在目标类型中,选择专用 IP 。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.1.0/24
。 - 在目标选择中,输入
172.16.0.20
(这是 pfSense 防火墙的 IP 地址)。 - 向下滚动。
-
单击 + Another Route Rule 。
- 在目标类型中,选择专用 IP 。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.2.0/24
。 - 在目标选择中,输入
172.16.0.20
(这是 pfSense 防火墙的 IP 地址)。 - 向下滚动。
-
单击 + Another Route Rule 。
- 在目标类型中,选择专用 IP 。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.3.0/24
。 - 在目标选择中,输入
172.16.0.20
(这是 pfSense 防火墙的 IP 地址)。 - 向下滚动。
- 请注意,已创建 NAT 网关的路由表。单击路由表名称。
- 另请注意,此路由表包含 3 个路由规则。
- 注意我们创建的 3 个路由规则。
- 单击中心 VCN 以返回到中心 VCN 页。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
在中心 VCN 中创建路由表 (
VCN_RT_HUB_PRIVATE_SUBNET
)。目的地 目标类型 目标 路由类型 0.0.0.0/0 NAT 网关 集线器 -nat-gw 静态 172.16.1.0/24 动态路由网关 DRG 静态 172.16.2.0/24 动态路由网关 DRG 静态 172.16.3.0/24 动态路由网关 DRG 静态 - 单击路由表。
- 单击专用子网的路由表。如果没有此表,则创建该表。要创建路由表,请单击创建路由表。
- 请注意,已存在一个路由规则,该规则会将所有流量 (
0.0.0.0/0
) 路由到专用子网实例的 NAT 网关。 - 单击添加路由规则。
- 在目标类型中,选择动态路由网关。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.1.0/24
。 - 单击 + Another Route Rule 。
- 在目标类型中,选择动态路由网关。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.2.0/24
。 - 单击 + Another Route Rule 。
- 在目标类型中,选择动态路由网关。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.3.0/24
。 - 单击添加路由规则。
-
请注意专用子网路由表的所有路由规则。
-
下图展示了到目前为止您创建的内容的可视化表示。
任务 7.4:创建和配置 DRG 路由表
-
在 DRG 中创建路由分配组 (
DRG_RDG_IMPORT
)。优先级 匹配类型 匹配标准 操作 1 附件 SPOKE_VCN-A_ATTACHMENT ACCEPT 2 附件 SPOKE_VCN-B_ 附件 ACCEPT 3 附件 SPOKE_VCN-C_ATTACHMENT ACCEPT - 单击左上角的汉堡菜单(≡)。
- 单击网络。
- 单击动态路由网关。
-
单击在任务 3 中创建的 DRG 。
- 单击导入路由分配。
- 单击创建导入路由分配。
-
在创建导入路由分配页中,输入以下信息。
- 输入路由分配的名称。
- 新建路由分配语句。
- 优先级:输入 1 。
- 匹配类型:选择附件。
- 附件类型筛选器:选择虚拟云网络。
- DRG 附加:选择发出 VCN A 。
- 操作:选择接受。
- 新建路由分配语句
- 优先级:输入 2 。
- 匹配类型:选择附件。
- 附件类型筛选器:选择虚拟云网络。
- DRG 附加:选择辐条企业 (VCN B) 。
- 操作:选择接受。
- 新建路由分配语句
- 优先级:输入 3 。
- 匹配类型:选择附件。
- 附件类型筛选器:选择虚拟云网络。
- DRG 附加:选择发出 VCN C 。
- 操作:选择接受。
- 单击创建导入路由分配。
-
单击新的导入路由分配。
- 记下路由分配语句。
- 单击动态路由网关详细信息可返回到 DRG 详细信息页。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
在 DRG 中创建路由表 (
DRG_RT_SPOKE_VCN_2
)。目的地 CIDR 下一个跃点附加类型 下一个跃点附加名称 0.0.0.0/0 虚拟云网络 HUB_VCN_ATTACHMENT - 单击 DRG 路由表。
- 单击创建 DRG 路由表。
- 输入 DRG 路由表的名称。
- 添加新的静态规则:
- 目标 CIDR 块:输入
0.0.0.0/0
。 - 下一跃点连接类型:选择 Virtual Cloud Network(虚拟云网络)
- 下一个跃点连接:选择 hub VCN 。
- 目标 CIDR 块:输入
- 单击创建 DRG 路由表。
-
等待创建路由表。
- 请注意,将创建新的 DRG 路由表。
- 单击创建 DRG 路由表以创建另一个 DRG 路由表。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
在 DRG 中创建路由表 (
DRG_RT_HUB_VCN_3
),然后导入路由分配组 (DRG_RDG_IMPORT
)。- 输入 DRG 路由表的名称。
- 单击显示高级选项。
-
导入之前创建的导入路由分配。
- 单击路由表设置。
- 选择启用导入路由分配。
- 选择之前创建的导入路由分配。
- 单击创建 DRG 路由表。
- 请注意,将创建新的 DRG 路由表。
-
下图展示了到目前为止您创建的内容的可视化表示。
任务 7.5:附加路由表
现在我们已经创建了路由表,我们需要将路由表附加到 DRG、VCN、子网和网关。
注:这是激活工艺路线的地方,因此,在生产环境中实施或进行更改之前,需要考虑先进行正确测试的谨慎流程。
附加 DRG 路由表:
让我们首先附加 DRG 路由表。
将 DRG 路由表附加到 Spoke VCN 附加
路由信息:(DRG_RT_SPOKE_VCN_2
) 此 DRG 路由表和路由表附加将确保来自分支 VCN 的所有流量现在都路由到中心 VCN。
首先,我们将 ()DRG_RT_SPOKE_VCN_2
) DRG 路由表附加到所有分支 VCN 附加。
-
转到 DRG 页。单击网络、动态路由网关并选择先前创建的 DRG。
- 单击 VCN 附件。
- 单击 Spoke A 的 VCN 附加。
- 请注意,Spoke A 的 VCN 附加关联了自动生成的 DRG 表。我们需要更改此设置。
- 单击编辑。
-
单击显示高级选项。
- 选择 DRG 路由表。
- 选择先前创建的 DRG 路由表:
DRG_RT_SPOKE_VCN_2
。 - 单击 Save Changes(保存更改)。
- 请注意,新的 DRG 路由表在分支 A VCN 附加上处于活动状态。
- 单击 DRG 返回到 DRG 详细信息页。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
单击分支 B 的 VCN 附加。
- 请注意,分支 B 的 VCN 附加具有关联的自动生成的 DRG 表。我们需要更改此设置。
- 单击编辑。
- 单击显示高级选项。
- 选择 DRG 路由表选项卡。
- 选择先前创建的 DRG 路由表 (
DRG_RT_SPOKE_VCN_2
)。 - 单击 Save Changes(保存更改)。
- 请注意,新的 DRG 路由表在分支 B VCN 附加上处于活动状态。
- 单击 DRG 返回到 DRG 详细信息页。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
单击分支 C 的 VCN 附加。
- 请注意,分支 C 的 VCN 附加关联了自动生成的 DRG 表。我们需要更改此设置。
- 单击编辑。
- 单击显示高级选项。
- 选择 DRG 路由表选项卡。
- 选择先前创建的 DRG 路由表 (
DRG_RT_SPOKE_VCN_2
)。 - 单击 Save Changes(保存更改)。
- 请注意,新的 DRG 路由表在分支 VCN C 附加上处于活动状态。
- 单击 DRG 返回到 DRG 详细信息页。
-
下图展示了到目前为止您创建的内容的可视化表示。
将 DRG 路由表附加到中心 VCN 附加
我们将 ()DRG_RT_HUB_VCN_3
) DRG 路由表附加到中心 VCN 附加。我们还将 (VCN_HUB_RT_DRG_TRANSIT
) VCN 路由表附加到中心 VCN 附加。
路由信息:(DRG_RT_HUB_VCN_3
) 此 DRG 路由表和路由表附加将确保来自发言人的所有网络在 DRG 上已知并在 DRG 上了解,以便 DRG 知道发言人可用的网络,从而知道将辐条网络路由到的位置。
路由信息:(VCN_HUB_RT_DRG_TRANSIT
) 此 VCN 路由表和路由表附加将确保所有流量都路由到集线器中的防火墙。
-
转到 DRG 页。单击网络、动态路由网关并选择先前创建的 DRG。
- 单击 VCN 附件。
- 单击中心的 VCN 附加。
- 请注意,中心的 VCN 附加具有关联的自动生成的 DRG 表。我们需要更改此设置。
- 请注意,集线器的 VCN 附加没有关联的 VCN 表。我们需要添加这个。
- 单击编辑。
- 单击显示高级选项。
- 选择 DRG 路由表选项卡。
- 选择先前创建的 DRG 路由表 (
DRG_RT_HUB_VCN_3
)。 - 单击 VCN 路由表选项卡。
- 选择选择现有以选择现有 VCN 路由表。
- 选择先前创建的 VCN 路由表 (
VCN_HUB_RT_DRG_TRANSIT
)。 - 单击 Save Changes(保存更改)。
- 请注意,新的 DRG 路由表在中心 VCN 附加上处于活动状态。
- 请注意,新的 VCN 路由表在中心 VCN 附加上处于活动状态。
-
下图展示了到目前为止您创建的内容的可视化表示。
附加 VCN 路由表:
现在,我们将附加 VCN 路由表,即使在上一项任务中已开始对其中一个 VCN 路由表执行此操作也是如此。
将 VCN 路由表连接到中心 VCN 公共子网
将 (VCN_RT_HUB_PUBLIC_SUBNET
) VCN 路由表连接到中心 VCN 中的公共子网。
路由信息:(VCN_RT_HUB_PUBLIC_SUBNET
) 此 VCN 路由表会将流量发送到防火墙的发言人。连接到互联网网关的流量(非辐条网络的所有流量)也将由此路由表路由。
-
转到 OCI 控制台。
- 单击左上角的汉堡菜单(≡)。
- 单击网络。
- 单击虚拟云网络。
-
单击中心 VCN。
- 单击 Subnets(子网)。
- 单击 Public hub Subnet 。
- 请注意,公共中心子网具有关联的默认 VCN 表。我们需要更改此设置。
- 单击编辑。
- 选择先前创建的 VCN 路由表 (
VCN_RT_HUB_PUBLIC_SUBNET
)。 - 单击 Save Changes(保存更改)。
- 请注意,新的 VCN 路由表在中心公共子网中处于活动状态。
- 单击中心 VCN 以返回到中心 VCN 详细信息页。
-
下图展示了到目前为止您创建的内容的可视化表示。
将 VCN 路由表连接到中心 VCN 专用子网
接下来,我们将 (VCN_RT_HUB_PRIVATE_SUBNET
) VCN 路由表连接到中心 VCN 中的专用子网。
路由信息:(VCN_RT_HUB_PRIVATE_SUBNET
) 此 VCN 路由表会将流量发送到防火墙的发言人。传输到 Internet 的流量(非分支网络的所有流量)到 NAT 网关的流量也将由此路由表进行路由。
-
转到中心 VCN。
- 单击专用中心子网。
- 请注意,专用中心子网已经关联了 VCN 路由表。如果您仍具有关联的默认 VCN 表,请更改此项。要更改,请单击编辑并将其更改为
VCN_RT_HUB_PRIVATE_SUBNET
。 - 向下滚动。
-
下图展示了到目前为止您创建的内容的可视化表示。
将 VCN 路由表连接到中心 VCN NAT 网关
将 (VCN_HUB_RT_NAT_TRANSIT
) VCN 路由表连接到中心 VCN 中的 NAT 网关。
路由信息:(VCN_HUB_RT_NAT_TRANSIT
) 此 VCN 路由表会将流量发送到防火墙的发言人。
-
转到 OCI 控制台。
- 单击 NAT 网关。
- 请注意,NAT 网关没有任何关联的路由表。
- 单击三个点。
- 单击 Associate Route Table 。
- 选择先前创建的 VCN 路由表 (
VCN_HUB_RT_NAT_TRANSIT
)。 - 单击 Associate Route Table 。
-
请注意,新的 VCN 路由表在中心 NAT 网关上处于活动状态。
-
下图展示了到目前为止您创建的内容的可视化表示。
将 VCN 路由表附加到 Spoke VCN 专用子网
在前面的任务之一中,我们已经配置了默认分支 VCN 路由表。分支(A、B 和 C)专用子网将自动使用默认 VCN 路由表,无需更改此路由表。我们可以做一个快速检查。
转到 OCI 控制台,导航到网络和虚拟云网络。
-
单击发出 VCN A 。
-
单击创建专用子网。
- 请注意,使用 Spoke VCN A 的“默认路由”表。
- 单击虚拟云网络以返回到 VCN 页面。
-
单击发出 VCN B 。
-
单击 spoke B Private Subnet 。
- 请注意,使用 Spoke VCN B 的“默认路由”表。
- 单击虚拟云网络以返回到 VCN 页面。
-
单击发出 VCN C 。
-
单击 spoke C Private Subnet 。
-
请注意,使用 Spoke VCN C 的“默认路由”表。
-
下图展示了到目前为止您创建的内容的可视化表示。
任务 8:验证连接
路由是为整个环境配置的。现在,我们可以测试路由是否有效。
任务 8.1:使用 RDP 连接到 Spoke 步骤 Stone 实例
我们通过 Internet 使用 RDP 连接到 Windows 步进石。流量将通过互联网网关路由。
成功连接后,您将能够看到桌面。从此桌面,我们将执行一些 ping 测试并在 pfSense 中心防火墙上执行管理。
任务 8.2:从中心 VCN 到 Spoke VCN 的试通
我们要做的第一个试通测试是从中心步骤到分支 VCN 实例。
-
由于路由配置:
- 流量将发送到 pfSense 防火墙。
- pfSense 防火墙将根据配置的防火墙规则允许或拒绝流量。
- 接受 ICMP 流量时,它将流量路由到 DRG。
- 然后,DRG 将流量路由到正确的分支 VCN。
- 对中心步骤节点中的分支 VCN 实例 A IP 地址执行 ping 操作。
- 请注意,包丢失率为 0%,因此 ping 成功。
- 从中心步骤节点对分支 VCN 实例 B IP 地址执行 ping 操作。
- 请注意,包丢失率为 0%,因此 ping 成功。
- 对中心步骤石中的分支 VCN 实例 C IP 地址执行 ping 操作。
- 请注意,包丢失率为 0%,因此 ping 成功。
-
这些 ping 都是成功的,因为我们在 pfSense 中心防火墙中设置了允许所有 ICMP 流量的防火墙规则。在以下教程中创建 pfSense 防火墙时:在 Oracle Cloud Infrastructure 中安装 pfSense 防火墙,我们添加了此防火墙规则。
任务 8.3:使用 SSH 连接到 Spoke 实例
ping (ICMP) 在任务 8.2 中工作。现在,让我们使用 SSH 连接到分支实例,因为我们还需要从分支实例执行一些连接测试。
-
由于路由配置:
- 流量将发送到 pfSense 防火墙。
- pfSense 防火墙将根据配置的防火墙规则允许或拒绝流量。
- 接受 SSH 流量时,它将流量路由到 DRG。
- 然后,DRG 将流量路由到正确的分支 VCN。
-
对于本教程,我已经预配置了 Royal TSX 应用程序中的所有 SSH 会话。
- 连接到分支 VCN A 实例。
- 请注意,连接正在尝试通过。
-
请注意,连接超时。这是因为我们在 pfSense 集线器防火墙中没有允许 TCP/
22
(SSH) 流量的防火墙规则。 -
连接到 pfSense 管理控制台。
- 单击 Firewall(防火墙)下拉菜单。
- 单击规则。
-
单击添加。
- 在操作中,选择通过。
- 在协议中,选择 TCP 。
- 在目标网络中,输入
172.16.1.0/25
。 - 在目标端口范围中,选择 SSH (22) 。
- 单击保存。
- 请注意,现在存在防火墙规则,允许通过 SSH 访问分支 VCN A 网络。
- 单击应用更改。
-
请注意,更改已成功应用。
- 再次连接到分支 VCN A 实例。
- 请注意,我们收到一个问题来缓存 VCN A 实例的 SSH 指纹,因为这是我们迄今为止的第一个连接。
- 单击是。
-
请注意,从集线器步骤到带 SSH 的分支 A 实例的连接现在成功。
-
我们只允许分支 A 网络,但还需要为分支 B 和分支 C 网络添加规则。返回到 psSense 管理控制台。
-
克隆/复制/复制创建的规则,以允许通过 SSH 访问分支 A VCN。
- 将目标更改为
172.16.2.0/25
。 - 单击保存。
- 请注意,现在存在防火墙规则,允许通过 SSH 访问分支 VCN B 网络。
- 单击应用更改。
- 将目标更改为
-
克隆/复制/复制创建的规则,以允许通过 SSH 访问分支 B VCN。
- 将目标更改为
172.16.3.0/25
。 - 单击保存。
- 请注意,现在存在防火墙规则,允许通过 SSH 访问分支 VCN C 网络。
- 单击应用更改。
- 将目标更改为
-
请注意,更改已成功应用。
-
使用 SSH 连接到所有 Spoke 实例。
问题: SSH 会话将在几秒钟后终止。我们注意到 SSH 连接在大约 10 秒后就会断开,我们在多个级别上解决了此问题。我们检查了 OCI 中的安全列表、OCI 中的路由以及 pfSense 中的防火墙规则。最终,我们发现 SSH 丢弃问题与 pfSense 相关。
-
要解决 SSH 放置问题,请转到 pfSense 管理控制台。
- 单击 System(系统)下拉菜单。
- 单击高级。
- 单击 Firewall & NAT 。
- 选择清除无效的 DF 位,而不是删除包
- 在 Firewall Optimization(防火墙优化)中,选择 Conservative(保守)。
- 向下滚动。
-
单击保存。
任务 8.4:从 Spoke VCN 到 Hub VCN 的试通
现在,我们与发言人建立了稳定的连接,可以从分支 VCN 实例执行一些 ping 测试。
-
由于路由配置:
- 流量将发送到 DRG。
- 然后,DRG 将流量路由到 pfSense 防火墙。
- pfSense 防火墙将根据配置的防火墙规则允许或拒绝流量。
- 接受 ICMP 流量时,它将流量路由到集线器步骤石。
- 对分支 A VCN 实例中的中心步骤执行 ping 操作。
- 请注意,包丢失率为 0%,因此 ping 成功。
- 对分支 B VCN 实例中的中心步骤执行试通。
- 请注意,包丢失率为 0%,因此 ping 成功。
- 对分支 C VCN 实例中的中心步骤执行 ping 操作。
- 请注意,包丢失率为 0%,因此 ping 成功。
任务 8.5:从 Spoke VCN A 到 Spoke VCN B 的试通
我们可以做的另一个 ping 测试是从一个通话到另一个通话。
-
由于路由配置:
- 流量将从分支 VCN A 发送到 DRG。
- 然后,DRG 将流量路由到 pfSense 防火墙。
- pfSense 防火墙将根据配置的防火墙规则允许或拒绝流量。
- 接受 ICMP 流量时,它将流量路由回 DRG
- DRG 将流量路由到分支 VCN B。
- 对分支 A VCN 实例中的分支 B VCN 实例执行 ping 操作。
- 请注意,包丢失率为 0%,因此 ping 成功。
任务 8.6:从 Spoke VCN 到 Internet 的试通
从分支 VCN 实例到互联网执行一些试通测试。
-
由于路由配置:
- 流量将发送到 DRG。
- 然后,DRG 将流量路由到 pfSense 防火墙。
- pfSense 防火墙将根据配置的防火墙规则允许或拒绝通信。
- 接受 ICMP 流量时,它将流量路由到 NAT 网关。
- NAT 网关会将流量路由到 Internet。
- 从分支 A VCN 实例对 Google 的 DNS 服务器
8.8.8.8
执行 ping 操作。 - 请注意,包丢失率为 0%,因此 ping 成功。
- 从分支 B VCN 实例对 Google 的 DNS 服务器
8.8.8.8
执行 ping 操作。 - 请注意,包丢失率为 0%,因此 ping 成功。
- 从分支 C VCN 实例对 Google 的 DNS 服务器
8.8.8.8
执行 ping 操作。 - 请注意,包丢失率为 0%,因此 ping 成功。
任务 8.7:从 Spoke VCN 连接到 Internet
我们做了一个基本的 ping 测试。现在,我们需要打开中心 VCN 入站安全列表来允许所有 TCP 流量通过互联网传输,因为我们的防火墙检查由 pfSense 防火墙完成,并且没有多层防火墙安全机制,除非有要求。
更新中心 VCN 安全列表
转到 OCI 控制台,单击网络和虚拟云网络。
-
单击中心 VCN 。
- 单击安全列表。
- 单击 HUB-VCN 的默认安全列表。
-
单击添加入站规则。
- 在源类型中,选择 CIDR 。
- 在源 CIDR 中,输入
172.16.1.0/25
。 - 在 IP Protocol 中,选择 TCP 。
- 在目标端口范围中,输入全部。
- 单击 + Another Ingress Rule 。
- 在源类型中,选择 CIDR 。
- 在源 CIDR 中,输入
172.16.2.0/25
。 - 在 IP Protocol 中,选择 TCP 。
- 在目标端口范围中,输入全部。
- 单击 + Another Ingress Rule 。
- 在源类型中,选择 CIDR 。
- 在源 CIDR 中,输入
172.16.3.0/25
。 - 在 IP Protocol 中,选择 TCP 。
- 在目标端口范围中,输入全部。
- 单击 + Another Ingress Rule 。
-
请注意,存在所有规则。
-
下图展示了到目前为止您创建的内容的可视化表示。
验证 pfSense 防火墙
-
为了简化测试,我们向 pfSense 防火墙添加了一个规则以允许所有流量。
-
让我们在分支 VCN A 实例上安装一个名为 Telnet 的简单应用程序。
- 运行
sudo dnf install telnet
命令在分支 VCN A 实例中安装 Telnet。 - 在 Is this ok 中,输入 Y 。
- 请注意,连接超时。
- 单击 CTRL + C 停止请求。
- 运行
软件安装和升级或基于 Oracle Linux 的计算实例不是通过 Internet 完成的。
要在 Oracle Linux 实例上安装软件,Oracle 仅允许从其软件资料档案库执行此操作,并且可以使用服务网关访问这些软件。
下一个也是最后一个任务是创建服务网关并配置路由,以便通过该新服务网关路由 Oracle 服务的流量。
任务 8.8:允许 Linux 实例使用服务网关安装和更新软件
我们尚未为 OCI 服务配置路由。
-
配置路由后:
- 流量将发送到 DRG。
- 然后,DRG 将流量路由到服务网关。
- 而且,服务网关会将流量路由到 OCI 服务网络。
-
要配置路由,请转到 OCI 控制台,单击左上角的汉堡菜单,即网络和虚拟云网络。
-
单击中心 VCN 。
- 单击服务网关。
- 单击创建服务网关。
- 输入服务网关的名称。
- 在服务中,选择Oracle 服务网络中的所有服务。
- 单击创建服务网关。
-
单击关闭。
- 请注意,服务网关可用。
- 单击路由表。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
在中心 VCN 中创建路由表 (
VCN_HUB_RT_SERVICE_TRANSIT
)。目的地 目标类型 目标 路由类型 172.16.1.0/24 动态路由网关 DRG 静态 172.16.2.0/24 动态路由网关 DRG 静态 172.16.3.0/24 动态路由网关 DRG 静态 -
单击创建路由表。
- 输入公共子网的新中心 VCN 路由表的名称。
- 单击 + Another Route Rule 。
- 在目标类型中,选择动态路由网关。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.1.0/24
。 - 单击 + Another Route Rule 。
- 在目标类型中,选择动态路由网关。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.2.0/24
。 - 单击 + Another Route Rule 。
- 在目标类型中,选择动态路由网关。
- 在目标类型中,选择 CIDR 块。
- 在目标 CIDR 块中,输入
172.16.3.0/24
。 - 单击 + Another Route Rule 。
- 请注意,已创建服务网关的路由表。单击路由表名称。
- 请注意服务网关路由表的所有路由规则。
- 单击中心 VCN 以返回到中心 VCN 页。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
现在,我们有了新的 VCN 路由表,需要将其与服务网关关联。
路由信息:(
VCN_HUB_RT_SERVICE_TRANSIT
) 此 VCN 路由表会将流量发送到 DRG 的发言人。- 单击服务网关。
- 请注意,服务网关没有任何关联的路由表。
- 单击三个点。
- 单击 Associate Route Table 。
- 选择先前创建的 VCN 路由表:
VCN_HUB_RT_SERVICE_TRANSIT
。 - 单击 Associate Route Table 。
-
请注意,新的 VCN 路由表在服务网关上处于活动状态。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
确保 DRG 还将流量正确路由到新服务网关,我们需要更新
VCN_HUB_RT_DRG_TRANSIT
路由表。 -
更新 Hub VCN 中的路由表 (
VCN_HUB_RT_DRG_TRANSIT
)。目的地 目标类型 目标 路由类型 0.0.0.0/0 专用 IP 172.16.0.20(FW IP) 静态 Oracle 服务网络中的所有 FRA 服务 服务网关 集线器 - 服务 -GW 静态 - 单击路由表。
- 选择
VCN_HUB_RT_DRG_TRANSIT
路由表。
-
单击添加路由规则。
- 在目标类型中,选择服务网关。
- 在目标服务中,选择Oracle 服务网络中的所有服务。
- 选择上面创建的服务网关。
- 单击添加路由规则。
- 请注意我们刚刚创建的新路由规则。
- 单击虚拟云网络以返回到 VCN 页面。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
请确保分支 VCN 也将流量正确路由到新服务网关,我们需要更新默认分支 VCN 路由表。
-
更新分支 VCN A 中的默认 VCN 路由表。
目的地 目标类型 目标 路由类型 0.0.0.0/0 动态路由网关 DRG 静态 Oracle 服务网络中的所有 FRA 服务 动态路由网关 DRG 静态 -
单击发出 VCN 。
- 单击路由表。
- 单击 SPOKE-VCN-A 的默认路由表。
-
单击添加路由规则。
- 在目标类型中,选择动态路由网关。
- 在目标类型中,选择服务。
- 在目标服务中,选择Oracle 服务网络中的所有服务。
- 单击添加路由规则。
- 请注意,OCI 服务路由现在已添加到分支 VCN A 的默认路由表中。
- 单击虚拟云网络以返回到 VCN 页面。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
更新分支 VCN B 中的默认 VCN 路由表。
目的地 目标类型 目标 路由类型 0.0.0.0/0 动态路由网关 DRG 静态 Oracle 服务网络中的所有 FRA 服务 动态路由网关 DRG 静态 -
单击辐条企业 VCN 。
- 单击路由表。
- 单击 SPOKE-VCN-B 的默认路由表。
-
单击添加路由规则。
- 在目标类型中,选择动态路由网关。
- 在目标类型中,选择服务。
- 在目标服务中,选择Oracle 服务网络中的所有服务。
- 单击添加路由规则。
- 请注意,OCI 服务路由现在已添加到分支 VCN B 的默认路由表中。
- 单击虚拟云网络以返回到 VCN 页面。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
更新分支 VCN C 中的默认 VCN 路由表。
目的地 目标类型 目标 路由类型 0.0.0.0/0 动态路由网关 DRG 静态 Oracle 服务网络中的所有 FRA 服务 动态路由网关 DRG 静态 -
单击辐条企业 VCN 。
- 单击路由表。
- 单击 SPOKE-VCN-C 的默认路由表。
-
单击添加路由规则。
- 在目标类型中,选择动态路由网关。
- 在目标类型中,选择服务。
- 在目标服务中,选择Oracle 服务网络中的所有服务。
- 单击添加路由规则。
-
请注意,OCI 服务路由现在已添加到分支 VCN C 的默认路由表中。
-
下图展示了到目前为止您创建的内容的可视化表示。
-
由于我们的(服务)路由配置:
- 流量将发送到 DRG。
- 然后,DRG 将流量路由到服务网关。
-
而且,服务网关会将流量路由到 OCI 服务网络。
注:我们的服务网络流量不会通过 pfSense 防火墙进行路由,因为 OCI 服务网络无论如何都是安全路径。
-
让我们再次在分支 VCN A 实例上安装 Telnet 应用程序。
- 运行
sudo dnf install telnet
命令在分支 VCN A 实例中安装 Telnet。 - 在 Is this ok 中,输入 Y 。
- 请注意,安装已完成!
- 运行
sudo dnf install telnet
命令以在分支 VCN B 实例中安装 Telnet。 - 在 Is this ok 中,输入 Y 。
- 请注意,安装已完成!
- 运行
sudo dnf install telnet
命令以在分支 VCN C 实例中安装 Telnet。 - 在 Is this ok 中,输入 Y 。
- 请注意,安装已完成!
- 运行
Network Visualizer
我们可以使用 Network Visualizer 工具获取集线器和 VCN 与 DRG 的图形视图。
确认
-
作者 - Iwan Hoogendoorn(OCI 网络专家)
-
贡献者 - Anas Abdallah(OCI 网络专家)
更多学习资源
浏览 docs.oracle.com/learn 上的其他实验室,或者通过 Oracle Learning YouTube 频道访问更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。
有关产品文档,请访问 Oracle 帮助中心。
Route Hub and Spoke VCN with pfSense Firewall in the Hub VCN
G10016-01
June 2024