# 网关路由表
您可以将路由表与互联网网关或虚拟私有网关相关联。当路由表关联到某个网关时,它称为*网关路由表*。您可以创建网关路由表,以精细控制进入 VPC 的流量的路由路径。例如,对于通过互联网网关进入 VPC 的流量,您可以将流量重定向到 VPC 中的中间盒设备(例如安全设备)来进行拦截。
**Topics**
+ [网关路由表路由](#gateway-route-table-routes)
+ [规则和注意事项](#gateway-route-table-rules)
## 网关路由表路由
与互联网网关关联的网关路由表支持具有以下目标的路由:
+ 默认本地路由
+ [网关负载均衡器端点](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/)
+ 中间盒设备的网络接口
与虚拟私有网关关联的网关路由表支持具有以下目标的路由:
+ 默认本地路由
+ [网关负载均衡器端点](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/)
+ 中间盒设备的网络接口
当目标是网关负载均衡器端点或网络接口时,允许使用以下目标:
+ 您的 VPC 的整个 IPv4 或 IPv6 CIDR 块。在这种情况下,您将替换默认本地路由的目标。
+ VPC 中子网的整个 IPv4 或 IPv6 CIDR 块。这是比默认本地路由更明确的路由。
如果您将网关路由表中本地路由的目标更改为 VPC 中的网络接口,则以后可以将其还原为默认 `local` 目标。有关更多信息,请参阅 [替换或还原本地路由的目标](replace-local-route-target.md)。
**示例**
在下面的网关路由表中,流向具有 `172.31.0.0/20` CIDR 块的子网的流量将路由到特定网络接口。流向 VPC 中所有其他子网的流量使用本地路由。
| 目的地 | 目标 |
| --- | --- |
| 172.31.0.0/16 | 本地 |
| 172.31.0.0/20 | eni-id |
**示例**
在以下网关路由表中,本地路由的目标替换为网络接口 ID。流向 VPC 中所有子网的流量将路由到网络接口。
| 目的地 | 目标 |
| --- | --- |
| 172.31.0.0/16 | eni-id |
## 规则和注意事项
如果以下任何情况适用,则无法将路由表与网关相关联:
+ 路由表包含的现有路由具有网络接口、网关负载均衡器端点或默认本地路由以外的其他目标。
+ 路由表包含的路由指向 VPC 范围之外的 CIDR 块。
+ 为路由表启用了路由传播。
此外,还适用以下规则和注意事项:
+ 您不能将路由添加到 VPC 范围之外的任何 CIDR 块,包括超出单个 VPC CIDR 块的范围。
+ 您只能将 `local`、网关负载均衡器端点或网络接口指定为目标。不能指定任何其他类型的目标,包括单个主机 IP 地址。有关更多信息,请参阅 [示例路由选项](route-table-options.md)。
+ 不能将前缀列表指定为目的地。
+ 您不能使用网关路由表来控制或拦截 VPC 外部的流量,例如,流经所连接传输网关的流量。您可以拦截进入您 VPC 的流量,并仅能将其重定向到相同 VPC 中的另一个目标。
+ 要确保流量到达您的中间盒设备,必须将目标网络接口连接到正在运行的实例。对于流经互联网网关的流量,目标网络接口还必须具有公有 IP 地址。
+ 配置中间盒设备时,请注意[设备注意事项](route-table-options.md#appliance-considerations)。
+ 通过中间盒设备路由流量时,来自目标子网的返回流量必须通过同一设备路由。不支持非对称路由。
+ 路由表规则适用于离开子网的所有流量。离开子网的流量定义为发往该子网网关路由器 MAC 地址的流量。发往子网中另一个网络接口 MAC 地址的流量使用数据链路(第 2 层)路由而不是网络(第 3 层)路由,因此这些规则不适用于此流量。
+ 并非所有 Local Zones 都支持与虚拟私有网关的边缘关联。有关可用区域的更多信息,请参阅《AWS Local Zones 用户指南》**中的[注意事项](https://docs.aws.amazon.com/local-zones/latest/ug/how-local-zones-work.html#considerations)。