本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Direct Connect 閘道允許的字首互動
<a name="allowed-to-prefixes"></a>

瞭解允許的字首如何與傳輸閘道和虛擬私有閘道互動。如需詳細資訊，請參閱[路由政策和 BGP 社群](routing-and-bgp.md)。

## 虛擬私有閘道關聯
<a name="allowed-to-prefixes-virtual-private-gateway"></a>

字首清單 (IPv4 和 IPv6) 可做為篩選條件，允許向 Direct Connect 閘道公告相同的 CIDR 或較小範圍的 CIDR。您必須將字首設定為與 VPC CIDR 區塊相同或更寬的範圍。

**注意**  
允許的清單僅可作為篩選條件使用，並且只有相關聯的 VPC CIDR 會公告至客戶閘道。

考量以下情境：您的 VPC 使用 CIDR 10.0.0.0/16 並連接到虛擬私有閘道。
+ 允許字首清單設定為 22.0.0.0/24 時，您不會收到任何路由，因為 22.0.0.0/24 與 10.0.0.0/16 不相同或更廣泛。
+ 允許字首清單設定為 10.0.0.0/24 時，您不會收到任何路由，因為 10.0.0.0/24 與 10.0.0.0/16 不相同。
+ 允許字首清單設定為 10.0.0.0/15 時，您會收到 10.0.0.0/16，因為 IP 地址比 10.0.0.0/16 更廣泛。

當您移除或新增允許的字首時，不使用該字首的流量不會受到影響。在更新期間，狀態會從 `associated` 變更為 `updating`。修改現有的字首只能延遲或捨棄使用該字首的流量。

## 傳輸閘道關聯
<a name="allowed-to-prefixes-transit-gateway"></a>

對於傳輸閘道關聯，您可在 Direct Connect 閘道上佈建允許字首的清單。即使附加到傳輸閘道的 VPC 沒有指派的 CIDR，清單仍可路由內部部署流量至傳輸閘道，或從 Direct Connect 閘道路由內部部署流量至傳輸閘道。根據閘道類型，允許的字首運作方式會有所不同：
+ 對於傳輸閘道關聯，只有輸入的允許字首會公告到內部部署。這些會顯示為來自 Direct Connect 閘道 ASN。
+ 對於虛擬私有閘道，輸入的允許字首會做為篩選條件，以允許使用相同或較小的 CIDR。

考量以下情景：您的 VPC 使用 CIDR 10.0.0.0/16 並連接到傳輸閘道。
+ 允許字首清單設定為 22.0.0.0/24 時，您會在傳輸虛擬介面中透過 BGP 收到 22.0.0.0/24。您無法收到 10.0.0.0/16，因為我們直接佈建允許字首清單中的字首。
+ 允許字首清單設定為 10.0.0.0/24 時，您會在傳輸虛擬介面中透過 BGP 收到 10.0.0.0/24。您無法收到 10.0.0.0/16，因為我們直接佈建允許字首清單中的字首。
+ 允許字首清單設定為 10.0.0.0/8 時，您會在傳輸虛擬介面中透過 BGP 收到 10.0.0.0/8。

當多個傳輸閘道與 Direct Connect 閘道相關聯時，不允許使用允許的字首重疊。例如，如果您的傳輸閘道具有包含 10.1.0.0/16 的允許字首清單，而第二個傳輸閘道具有包含 10.2.0.0/16 和 0.0.0.0/0 的允許字首清單，則無法將第二個傳輸閘道的關聯設定為 0.0.0.0/0。由於 0.0.0.0/0 包含所有 IPv4 網路，因此，如果多個傳輸閘道與一個 Direct Connect 閘道相關聯，您就無法設定 0.0.0.0/0。傳回錯誤，指出允許的路由與 Direct Connect 閘道上的一或多個現有允許的路由重疊。

當您移除或新增允許的字首時，不使用該字首的流量不會受到影響。在更新期間，狀態會從 `associated` 變更為 `updating`。修改現有的字首只能延遲或捨棄使用該字首的流量。

## 範例：允許傳輸閘道組態中的字首
<a name="prefix-example"></a>

考慮您在兩個不同 AWS 區域中有執行個體需要存取公司資料中心的組態。您可以為此組態使用下列資源：
+ 每個區域中的傳輸閘道。
+ 傳輸閘道對等連線。
+ Direct Connect 閘道。
+ 其中一個傳輸閘道 (us-east-1 中的閘道) 與 Direct Connect 閘道之間的傳輸閘道關聯。
+ 來自內部部署位置和 Direct Connect 位置的傳輸虛擬介面。

![私有 VIF 路由編號 AS_PATH](http://docs.aws.amazon.com/zh_tw/directconnect/latest/UserGuide/images/dxg-asn.png)


為 資源設定下列選項：
+ Direct Connect 閘道：將 ASN 設定為 65030。如需詳細資訊，請參閱[建立 Direct Connect 閘道](create-direct-connect-gateway.md)。
+ 傳輸虛擬介面：將 VLAN 設定為 899，並將客戶路由器對等 ASN 設定為 65020。如需詳細資訊，請參閱[建立傳輸虛擬介面以連往 Direct Connect 閘道](create-transit-vif-dx.md)。
+ Direct Connect 閘道與傳輸閘道的關聯：將允許的字首設定為 10.0.0.0/8。

  此 CIDR 區塊包含 VPC CIDR 區塊 (10.0.0.0/16 和 10.2.0.0/16)。如需詳細資訊，請參閱[建立或取消傳輸閘道與 Direct Connect 的關聯。](associate-tgw-with-direct-connect-gateway.md)。
+ VPC 路由：若要從 10.2.0.0/16 VPC 路由流量，請在 VPC 路由表中建立目的地為 0.0.0.0/0 且傳輸閘道 ID 為目標的路由。這可讓來自 VPC 的流量到達 Direct Connect 閘道。如需有關路由至傳輸閘道的詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[傳輸閘道的路由](https://docs.aws.amazon.com/vpc/latest/userguide/route-table-options.html#route-tables-tgw)。