# 检查子网之间的流量
<a name="intra-vpc-route"></a>

请考虑如下场景，其中您在 VPC 中有多个子网，并且希望使用防火墙设备检查这些子网之间的流量。在 VPC 的单独子网中的 EC2 实例上配置并安装防火墙设备。

下图显示子网 C 中的 EC2 实例上安装的防火墙设备。此设备检查从子网 A 传输到子网 B（请参见 1）和从子网 B 传输到子网 A（请参见 2）的所有流量。

![\[检查子网流量\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/images/middlebox-intra-vpc_updated.png)


您使用 VPC 和中间盒子网的主路由表。子网 A 和 B 各有一个自定义路由表。

中间盒路由向导会自动执行以下操作：
+ 创建路由表。
+ 将必要的路由添加到新路由表中。
+ 取消与子网关联的当前路由表的关联。
+ 将中间盒路由向导创建的路由表与子网相关联。
+ 创建一个标签，指示它是由中间盒路由向导创建的，并创建一个指示创建日期的标签。

中间盒路由向导不会修改现有的路由表。它会创建新的路由表，然后将它们与您的网关和子网资源相关联。如果您的资源已与现有路由表显式关联，则首先取消现有路由表的关联，然后将新路由表与您的资源相关联。您的现有路由表不会被删除。

如果不使用中间盒路由向导，则必须手动配置路由表，然后将路由表分配给子网和互联网网关。

## 自定义子网 A 的路由表
<a name="subneta-route-table-table"></a>

子网 A 的路由表具有以下路由。


| 目标位置 | 目标 | 用途 | 
| --- | --- | --- | 
| VPC CIDR | 本地 | 本地路由 | 
| 子网 B CIDR | appliance-eni | 将发往子网 B 的流量路由到中间盒 | 

使用中间盒路由向导时，它将以下标签与路由表相关联：
+ 键为“Origin”，值为“Middlebox wizard”
+ 键为“date\$1created”，值为创建时间（例如“2021-02-18T22:25:49.137Z”）

## 自定义子网 B 的路由表
<a name="subnetb-route-table-table"></a>

子网 B 的路由表具有以下路由。


| 目标位置 | 目标 | 用途 | 
| --- | --- | --- | 
| VPC CIDR | 本地 | 本地路由 | 
| 子网 A CIDR | appliance-eni | 将发往子网 A 的流量路由到中间盒 | 

使用中间盒路由向导时，它将以下标签与路由表相关联：
+ 键为“Origin”，值为“Middlebox wizard”
+ 键为“date\$1created”，值为创建时间（例如“2021-02-18T22:25:49.137Z”）

## 主路由表
<a name="example-main-route-table"></a>

子网 C 使用主路由表。主路由表具有以下路由。


| 目标位置 | 目标 | 用途 | 
| --- | --- | --- | 
| VPC CIDR | 本地 | 本地路由 | 

使用中间盒路由向导时，它将以下标签与路由表相关联：
+ 键为“Origin”，值为“Middlebox wizard”
+ 键为“date\$1created”，值为创建时间（例如“2021-02-18T22:25:49.137Z”）