本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Direct Connect 网关允许的前缀交互
<a name="allowed-to-prefixes"></a>

了解允许的前缀如何与中转网关和虚拟私有网关交互。有关更多信息，请参阅 [Routing policies and BGP communities](routing-and-bgp.md)。

## 虚拟私有网关关联
<a name="allowed-to-prefixes-virtual-private-gateway"></a>

前缀列表（IPv4 和 IPv6）作为筛选器，允许相同的 CIDR 或更小范围的 CIDR 公布到 Direct Connect 网关。您必须将前缀设置为与 VPC CIDR 块相同或比此块更宽的范围。

**注意**  
允许的列表仅起到筛选器的作用，并且只有关联的 VPC CIDR 才会公布到客户网关。

请考虑以下情况：将具有 CIDR 10.0.0.0/16 的 VPC 附加到虚拟私有网关。
+ 当允许的前缀列表设置为 22.0.0.0/24 时，您不会收到任何路由，因为 22.0.0.0/24 与 10.0.0.0/16 不同，或者比后者更宽。
+ 当允许的前缀列表设置为 10.0.0.0/24 时，您不会收到任何路由，因为 10.0.0.0/24 与 10.0.0.0/16 不同。
+ 当允许的前缀列表设置为 10.0.0.0/15 时，您会收到 10.0.0.0/16，因为此 IP 地址比 10.0.0.0/16 更宽。

删除或添加允许的前缀时，不使用该前缀的流量不会受到影响。在更新过程中，状态从 `associated` 变为 `updating`。修改现有前缀只能延迟或丢弃使用该前缀的流量。

## 中转网关关联
<a name="allowed-to-prefixes-transit-gateway"></a>

对于中转网关关联，您可以在 Direct Connect 网关上预置允许的前缀列表。此列表将往返于 Direct Connect 网关的本地流量路由到中转网关，即使连接到中转网关的 VPC 未分配 CIDR。允许的前缀工作方式不同，具体取决于网关类型：
+ 对于中转网关关联，只有输入的允许前缀才会公布到本地。这些前缀将显示为来自 Direct Connect 网关 ASN。
+ 对于虚拟私有网关，输入的允许前缀充当筛选器，允许相同或更小的 CIDR。

请考虑这样的场景：将一个 CIDR 为 10.0.0.0/16 的 VPC 连接到中转网关。
+ 当允许的前缀列表设置为 22.0.0.0/24 时，您在中转虚拟接口上通过 BGP 收到 22.0.0.0/24。您不会收到 10.0.0.0/16，因为我们直接配置允许的前缀列表中的前缀。
+ 当允许的前缀列表设置为 10.0.0.0/24 时，您在中转虚拟接口上通过 BGP 收到 10.0.0.0/24。您不会收到 10.0.0.0/16，因为我们直接配置允许的前缀列表中的前缀。
+ 当允许的前缀列表设置为 10.0.0.0/8 时，您在中转虚拟接口上通过 BGP 收到 10.0.0.0/8。

当多个中转网关与 Direct Connect 网关关联时，不允许出现允许的前缀重叠。例如，如果您有一个中转网关的允许前缀列表包含 10.1.0.0/16，而第二个中转网关的允许前缀列表包含 10.2.0.0/16 和 0.0.0.0/0，则您不能将第二个中转网关的关联设置为 0.0.0.0/0。由于 0.0.0.0/0 包括所有 IPv4 网络，因此如果多个中转网关与 Direct Connect 网关关联，则无法配置 0.0.0.0/0。系统将返回错误消息，表示允许的路由与 Direct Connect 网关上的一个或多个现有的允许路由重叠。

删除或添加允许的前缀时，不使用该前缀的流量不会受到影响。在更新过程中，状态从 `associated` 变为 `updating`。修改现有前缀只能延迟或丢弃使用该前缀的流量。

## 示例：允许在中转网关配置中添加前缀
<a name="prefix-example"></a>

考虑以下配置：在两个不同的 Amazon 区域拥有需要访问公司数据中心的实例。对于此配置，可以使用以下资源：
+ 每个区域的中转网关。
+ 中转网关对等连接。
+ Direct Connect 网关。
+ 其中一个中转网关（us-east-1 中的网关）与 Direct Connect 网关之间的中转网关关联。
+ 来自本地位置和 Amazon Direct Connect 位置的中转虚拟接口。

![\[私有 VIF 路由无 AS_PATH\]](http://docs.amazonaws.cn/directconnect/latest/UserGuide/images/dxg-asn.png)


为资源配置以下选项：
+ Direct Connect 网关：将 ASN 设置为 65030。有关更多信息，请参阅 [创建 Direct Connect 网关](create-direct-connect-gateway.md)。
+ 中转虚拟接口：将 VLAN 设置为 899，将客户路由器对等 ASN 设置为 65020。有关更多信息，请参阅 [创建到 Direct Connect 网关的中转虚拟接口](create-transit-vif-dx.md)。
+ Direct Connect 网关与中转网关关联：将允许的前缀设置为 10.0.0.0/8。

  此 CIDR 数据块包含两个 VPC CIDR 数据块（10.0.0.0/16 和 10.2.0.0/16）。有关更多信息，请参阅 [将中转网关与 Direct Connect 关联或解除其关联。](associate-tgw-with-direct-connect-gateway.md)。
+ VPC 路由：要路由来自 10.2.0.0/16 VPC 的流量，请在 VPC 路由表中创建一个目的地为 0.0.0.0/0，目标为中转网关 ID 的路由。这使来自 VPC 的流量可以到达 Direct Connect 网关。有关路由到中转网关的更多信息，请参阅《Amazon VPC 用户指南》**中的[中转网关路由](https://docs.amazonaws.cn/vpc/latest/userguide/route-table-options.html#route-tables-tgw)。