本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# VPC CIDR 區塊
<a name="vpc-cidr-blocks"></a>

您的虛擬私有雲端 (VPC) 的 IP 地址使用無類別域間路由 (CIDR) 表示法來表示。VPC 必須具有關聯的 IPv4 CIDR 區塊。您可以選擇將額外的 IPv4 CIDR 區塊與一個或多個 IPv6 CIDR 區塊建立關聯。如需詳細資訊，請參閱[您 VPC 和子網路的 IP 定址](vpc-ip-addressing.md)。

**Topics**
+ [

## IPv4 VPC CIDR 區塊
](#vpc-sizing-ipv4)
+ [

## 管理 VPC 的 IPv4 CIDR 區塊
](#vpc-resize)
+ [

## IPv4 CIDR 區塊關聯限制
](#add-cidr-block-restrictions)
+ [

## IPv6 VPC CIDR 區塊
](#vpc-sizing-ipv6)

## IPv4 VPC CIDR 區塊
<a name="vpc-sizing-ipv4"></a>

在您建立 VPC 時，您必須指定 VPC 的 IPv4 CIDR 區塊。允許的區塊大小介於 `/16` 網路遮罩 (65,536 個 IP 地址) 和 `/28` 網路遮罩 (16 個 IP 地址) 之間。在您建立 VPC 之後，您可以將其他 IPv4 CIDR 區塊與 VPC 建立關聯。如需詳細資訊，請參閱[從您的 VPC 中新增或移除 CIDR 區塊](add-ipv4-cidr.md)。

當您建立 VPC 時，我們建議您指定來自 [RFC 1918](http://www.faqs.org/rfcs/rfc1918.html) 中指定之私有 IPv4 地址範圍的 CIDR 區塊。


| RFC 1918 範圍 | CIDR 區塊範例 | 
| --- | --- | 
| 10.0.0.0 ‒ 10.255.255.255 (10/8 字首) | 10.0.0.0/16 | 
| 172.16.0.0 ‒ 172.31.255.255 (172.16/12 字首) | 172.31.0.0/16 | 
| 192.168.0.0 ‒ 192.168.255.255 (192.168/16 字首) | 192.168.0.0/20 | 

**考量事項**
+ 您無法為 VPC 指定下列 CIDR 區塊：
  + 0.0.0.0/8
  + 127.0.0.0/8 (內部主機回送位址範圍)
  + 169.254.0.0/16 ([連結本機位址範圍](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#link-local-addresses))
  + 224.0.0.0/4 (多播位址範圍)
+ 當您建立 VPC 以搭配 AWS 服務使用時，請檢查服務文件，以確認其組態是否有特定需求。
+ 有些 AWS 服務使用 `172.17.0.0/16` CIDR 範圍。如果該 IP 位址範圍已在網路中使用，服務可能會遇到 IP 位址衝突。例如， AWS Cloud9 Amazon SageMaker AI 使用 `172.17.0.0/16`。為避免發生衝突，請勿在建立 VPC 時使用此範圍。如需詳細資訊，請參閱《AWS Cloud9 使用者指南》**中的[無法連接到 EC2 環境，因為 VPC 的 IP 地址已由 Docker 使用](https://docs.aws.amazon.com/cloud9/latest/user-guide/troubleshooting.html#docker-bridge)。
+ 您可以建立具有可公開路由 CIDR 區塊的 VPC，而此 CIDR 區塊不在 RFC 1918 所指定的私有 IPv4 地址範圍內。不過，基於本文件的用途，我們會將*私有 IP 地址*參照為您 VPC 之 CIDR 範圍內的 IPv4 地址。
+ 如果您使用命令列工具或 Amazon EC2 API 建立 VPC，CIDR 區塊會自動修改為其正式形式。例如，如果您為 CIDR 區塊指定 100.68.0.18/18，我們會建立一個範圍為 100.68.0.0/18 CIDR 區塊。

## 管理 VPC 的 IPv4 CIDR 區塊
<a name="vpc-resize"></a>

您可以將輔助 IPv4 CIDR 區塊與您的 VPC 建立關聯。當您將 CIDR 區塊與您的 VPC 建立關聯時，會自動將路由新增至您的 VPC 路由表，以啟用 VPC 內的路由 (目標為 CIDR 區塊，方向則是 `local`)。

在下列範例中，VPC 具有主要 CIDR 區塊及次要 CIDR 區塊。子網 A 和子網 B 的 CIDR 區塊來自主要 VPC CIDR 區塊。子網 C 的 CIDR 區塊來自次要 VPC CIDR 區塊。

![\[使用單一及多個 CIDR 區塊的 VPC\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/userguide/images/vpc-multiple-cidrs.png)


下方的路由表顯示了 VPC 的本機路由。


| 目標 | 目標 | 
| --- | --- | 
| 10.0.0.0/16 | 區域 | 
| 10.2.0.0/16 | 區域 | 

若要將 CIDR 區塊新增到您的 VPC，將套用下列規則：
+ 允許的區塊大小介於 `/28` 網路遮罩和 `/16` 網路遮罩之間。
+ CIDR 區塊不可和任何現有與 VPC 相關聯的 CIDR 區塊重疊。
+ 您可以使用的 IPv4 地址範圍有所限制。如需詳細資訊，請參閱 [IPv4 CIDR 區塊關聯限制](#add-cidr-block-restrictions)。
+ 您無法增加或減少現有 CIDR 區塊的大小。
+ 您可以與 VPC 建立關聯的 CIDR 區塊數，以及您可以新增到路由表的路由數皆具有配額。如果會導致您超過配額，便無法與 CIDR 區塊建立關聯。如需詳細資訊，請參閱 [Amazon VPC 配額](amazon-vpc-limits.md)。
+ CIDR 區塊不可和任何 VPC 路由表中路由的目的地 CIDR 範圍相同，或大於該範圍。例如，在主要 CIDR 區塊所在的 VPC 中 `10.2.0.0/16`，路由表中有一個現有的路由，其目的地 `10.0.0.0/24` 為虛擬私有閘道。您想要關聯 `10.0.0.0/16` 範圍中的次要 CIDR 區塊。由於現有的路由，您無法關聯 `10.0.0.0/24` 或更大的 CIDR 區塊。但是，您可以與 `10.0.0.0/25` 或更小的 CIDR 區塊建立關聯。
+ 下列規則會在您將 IPv4 CIDR 區塊新增到做為 VPC 對等互連連線一部分的 VPC 時套用：
  + 若 VPC 對等互連連線為 `active`，只要它們不會和對等 VPC 的 CIDR 區塊重疊，您便可以將 CIDR 區塊新增到 VPC。
  + 若 VPC 對等互連連線為 `pending-acceptance`，則申請者 VPC 的擁有者便無法將任何 CIDR 區塊新增到 VPC，無論其是否與接受者 VPC 的 CIDR 區塊重疊。接受者 VPC 的擁有者必須接受對等互連連線，否則申請者 VPC 的擁有者必須刪除 VPC 對等互連連線請求、新增 CIDR 區塊，然後請求新的 VPC 對等互連連線。
  + 若 VPC 對等互連連線為 `pending-acceptance`，則接受者 VPC 的擁有者可將 CIDR 區塊新增到 VPC。若輔助 CIDR 區塊與申請者 VPC 的 CIDR 區塊重疊，則 VPC 對等互連連線會失敗，無法獲得接受。
+ 如果您使用 透過 Direct Connect 閘道 Direct Connect 連線至多個 VPCs，則與 Direct Connect 閘道相關聯的 VPCs 不得有重疊的 CIDR 區塊。若您將 CIDR 區塊新增到其中一個與 Direct Connect 閘道建立關聯的 VPC，請確認新的 CIDR 區塊不會和任何其他相關聯 VPC 的現有 CIDR 區塊重疊。如需詳細資訊，請參閱《*Direct Connect 使用者指南*》中的 [Direct Connect 閘道](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)。
+ 當您新增或移除 CIDR 區塊時，它可能會經過多種狀態：`associating` \$1`associated` \$1`disassociating` \$1`disassociated` \$1`failing` \$1`failed` 。當其處於 `associated` 狀態時，表示 CIDR 區塊已準備好可供您使用。

您可以取消關聯您已和 VPC 建立關聯的 CIDR 區塊；但是，您無法取消關聯您一開始用來建立 VPC (主要 CIDR 區塊) 的 CIDR 區塊。若要在 Amazon VPC 主控台中檢視 VPC 的主要 CIDR，請選擇 **Your VPCs** (您的 VPC)，接著選取 VPC 的核取方塊，然後選擇 **CIDRs** 標籤頁。若要使用 檢視主要 CIDR AWS CLI，請使用 [describe-vpcs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpcs.html) 命令，如下所示。主要 CIDR 會在頂層 `CidrBlock element` 中傳回。

```
aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d --query Vpcs[*].CidrBlock --output text
```

以下為範例輸出。

```
10.0.0.0/16
```

## IPv4 CIDR 區塊關聯限制
<a name="add-cidr-block-restrictions"></a>

下表概述了現有 VPC CIDR 區塊允許與限制的關聯規則。限制的原因在於某些 AWS 服務會使用跨 VPC 和跨帳戶功能，這些功能需要在 AWS 服務端上無衝突的 CIDR 區塊。


| 現有的 IPv4 位址範圍 | 受限制的關聯 | 許可的關聯 | 
| --- | --- | --- | 
|  10.0.0.0/8  |  來自其他 RFC 1918\$1 範圍 (172.16.0.0/12 及 192.168.0.0/16) 的 CIDR 區塊。 如果與 VPC 關聯的任何 CIDR 區塊位於 10.0.0.0/15 範圍 (10.0.0.0 至 10.1.255.255) 內，您便無法新增來自 10.0.0.0/16 範圍 (10.0.0.0 至 10.0.255.255) 的 CIDR 區塊。 來自 198.19.0.0/16 範圍的 CIDR 區塊。  |  介於 /16 網路遮罩和 /28 網路遮罩之間 10.0.0.0/8 範圍的任何其他 CIDR 區塊，不受限制。 /16 網路遮罩和 /28 網路遮罩之間的任何可公開路由 IPv4 CIDR 區塊 (非 RFC 1918)，或 /16 網路遮罩和 /28 網路遮罩之間 100.64.0.0/10 範圍的 CIDR 區塊。  | 
|  169.254.0.0/16  |  如 [RFC 5735](https://www.rfc-editor.org/rfc/rfc5735) 中所述，會保留來自「本機連結」區塊的 CIDR 區塊，且無法指派給 VPC。  |  | 
|  172.16.0.0/12  |  來自其他 RFC 1918\$1 範圍 (10.0.0.0/8 及 192.168.0.0/16) 的 CIDR 區塊。 來自 172.31.0.0/16 範圍的 CIDR 區塊。 來自 198.19.0.0/16 範圍的 CIDR 區塊。  |  介於 /16 網路遮罩和 /28 網路遮罩之間 172.16.0.0/12 範圍的任何其他 CIDR 區塊，不受限制。 /16 網路遮罩和 /28 網路遮罩之間的任何可公開路由 IPv4 CIDR 區塊 (非 RFC 1918)，或 /16 網路遮罩和 /28 網路遮罩之間 100.64.0.0/10 範圍的 CIDR 區塊。  | 
|  192.168.0.0/16  |  來自其他 RFC 1918\$1 範圍 (10.0.0.0/8 及 172.16.0.0/12) 的 CIDR 區塊。 來自 198.19.0.0/16 範圍的 CIDR 區塊。  |  /16 網路遮罩和 /28 網路遮罩之間 192.168.0.0/16 範圍的任何其他 CIDR 區塊。 /16 網路遮罩和 /28 網路遮罩之間的任何可公開路由 IPv4 CIDR 區塊 (非 RFC 1918)，或 /16 網路遮罩和 /28 網路遮罩之間 100.64.0.0/10 範圍的 CIDR 區塊。  | 
|  198.19.0.0/16  |  來自 RFC 1918\$1 範圍的 CIDR 區塊。  |  /16 網路遮罩和 /28 網路遮罩之間的任何可公開路由 IPv4 CIDR 區塊 (非 RFC 1918)，或 /16 網路遮罩和 /28 網路遮罩之間 100.64.0.0/10 範圍的 CIDR 區塊。  | 
|  可公開路由的 CIDR 區塊 (非 RFC 1918)，或是來自 100.64.0.0/10 範圍的 CIDR 區塊  |  來自 RFC 1918\$1 範圍的 CIDR 區塊。 來自 198.19.0.0/16 範圍的 CIDR 區塊。  |  /16 網路遮罩和 /28 網路遮罩之間的任何其他可公開路由 IPv4 CIDR 區塊 (非 RFC 1918)，或 /16 網路遮罩和 /28 網路遮罩之間 100.64.0.0/10 範圍的 CIDR 區塊。 您也可以關聯 RFC 1918 範圍內的一個 CIDR，但若要執行此操作，您必須在建立 VPC 時先新增該 CIDR，再新增非 RFC 1918 範圍內的 CIDR。  | 

\$1 RFC 1918 範圍是 [RFC 1918](http://www.faqs.org/rfcs/rfc1918.html) 中指定的私有 IPv4 地址範圍。

## IPv6 VPC CIDR 區塊
<a name="vpc-sizing-ipv6"></a>

您可以在建立新 VPC 時關聯單一 IPv6 CIDR 區塊，或者從 `/44` 至 `/60` (增量為 `/4`) 關聯最多五個 IPv6 CIDR 區塊。您可以從 Amazon 的 IPv6 地址集區中申請 IPv6 CIDR 區塊。如需詳細資訊，請參閱[從您的 VPC 中新增或移除 CIDR 區塊](add-ipv4-cidr.md)。

若您已將 IPv6 CIDR 區塊與您的 VPC 建立關聯，您可以將 IPv6 CIDR 區塊與您 VPC 中的現有子網，或是在您建立新的子網時建立關聯。如需詳細資訊，請參閱[IPv6 的子網規模](subnet-sizing.md#subnet-sizing-ipv6)。

例如，您建立 VPC，並指定您希望將 Amazon 提供的 IPv6 CIDR 區塊與 VPC 建立關聯。Amazon 會指派下列 IPv6 CIDR 區塊給您的 VPC：`2001:db8:1234:1a00::/56`。您不能自行選擇 IP 地址的範圍。您可以建立子網，並關聯來自此範圍的 IPv6 CIDR 區塊；例如：`2001:db8:1234:1a00::/64`。

您可以取消 IPv6 CIDR 區塊與 VPC 的關聯 在您將 IPv6 CIDR 區塊與 VPC 取消關聯後，若您在稍後重新將 IPv6 CIDR 區塊與 VPC 建立關聯，您無法預期取得相同的 CIDR。