本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 通过 Transi Amazon t Gateway 网络功能附件路由流量
<a name="route-traffic-nf-attachment"></a>

创建网络功能连接后，您需要更新您的中转网关路由表，以便使用 Amazon VPC 控制台或 CLI，通过防火墙发送流量进行检查。有关更新中转网关路由表关联的步骤，请参阅 [关联中转网关路由表](associate-tgw-route-table.md)。

## 使用控制台通过防火墙连接来路由流量
<a name="route-nf-attachment-console"></a>

使用 Amazon VPC 控制台，通过中转网关网络功能连接来路由流量。

**要使用控制台通过网络功能连接来路由流量**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.amazonaws.cn/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Transit Gateways（中转网关）**。

1. 选择**中转网关路由表**。

1. 选择要修改的路由表。

1. 选择**操作**，然后选择**创建静态路由**。

1. 对于 **CIDR**，请输入该路由的目标 CIDR 数据块。

1. 对于**连接**，请选择“网络功能连接”。例如，这可能是 Amazon Network Firewall 附件。

1. 选择 **Create static route**（创建静态路由）。
**注意**  
仅支持静态路由。

路由表中匹配该 CIDR 数据块的流量，现在将被发送到防火墙连接进行检查，然后再转发至最终目标位置。

## 使用 CLI 或 API 通过网络功能连接来路由流量
<a name="route-nf-attachment-cli-steps"></a>

使用命令行或 API 来路由中转网关网络功能连接。

**要使用命令行或 API 通过网络功能连接来路由流量**
+ 使用 [https://docs.amazonaws.cn/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html](https://docs.amazonaws.cn/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html)。

  例如，该请求可能是路由网络防火墙连接：

  ```
  aws ec2 create-transit-gateway-route \
    --transit-gateway-route-table-id tgw-rtb-0123456789abcdef0 \
    --destination-cidr-block 0.0.0.0/0 \
    --transit-gateway-attachment-id tgw-attach-0123456789abcdef0
  ```

  输出随后返回：

  ```
  {
    "Route": {
      "DestinationCidrBlock": "0.0.0.0/0",
      "TransitGatewayAttachments": [
        {
          "ResourceId": "network-firewall",
          "TransitGatewayAttachmentId": "tgw-attach-0123456789abcdef0",
          "ResourceType": "network-function"
        }
      ],
      "Type": "static",
      "State": "active"
    }
  }
  ```

路由表中匹配该 CIDR 数据块的流量，现在将被发送到防火墙连接进行检查，然后再转发至最终目标位置。