本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 网络配置
<a name="core-questions-network"></a>
+ Transit Gateway ASN 编号

  这是边界网关协议 (BGP) 会话中 AWS 端的自治系统编号 (ASN)，它必须是唯一的，并且不能与用于您的 Direct Connect 或 VPN 的相同。  16 位的范围为 64512 到 65534（含）。 ASNs
+ 您的 AMS 多账户着陆区域基础设施 VPC CIDR 范围。

  这些 CIDR 范围不能与您的本地网络重叠

  您可以包含 /22 CIDR 范围，也可以单独提供每个 VPC CIDR。请注意，仅允许使用以下 CIDR 范围：
  + 10.0.0.0 - 10.255.255.255（10/8 前缀）
  + 172.16.0.0 - 172.31.255.255（172.16/12 前缀）
  + 192.168.0.0 - 192.168.255.255（192.168/16 前缀）

  请注意，不得使用 IP 范围 198.18.0.0/15（由 AWS Directory Service 保留）。
  + 核心基础设施 VPC CIDR 范围（推荐 /22 范围）
  + 网络 VPC CIDR 范围（推荐 /24 范围）
  + 共享服务 VPC CIDR 范围（推荐 /23 范围）
  + DMZ VPC CIDR 范围（推荐 /25 范围）
+ VPN ECMP（启用或禁用）

  对于 VPN ECMP support (VPN ECMP 支持)，如果您在 VPN 连接之前需要等价多路径 (ECMP) 路由支持，则选择 enable (启用)。如果连接通告相同 CIDRs，则流量将在它们之间平均分配。

## 网络访问控制列表 (NACL)
<a name="core-questions-network-nacl"></a>

网络访问控制列表 (NACL) 是您的 VPC 的可选安全层，它充当防火墙，用于控制进出一个或多个子网的流量。您可以使用 ACLs 与您的安全组相似的规则来设置网络，以便为您的 VPC 增加额外的安全层。有关安全组和网络之间差异的更多信息 ACLs，请参阅[安全组和网络的比较 ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison)。

但是，在 AMS 多账户 landing zone 中，为了让 AMS 有效地管理和监控基础设施，使用 NACLs 仅限于以下范围：
+ NACLs 不支持多账户 landing zone 核心账户：管理、联网、共享服务、日志和安全。
+ NACLs 支持多账户 landing zone 应用程序帐户，前提是它们仅用作 “拒绝” 列表。此外，他们必须配置 “Allow All All”，以确保 AMS 的监控和管理运行。

在大规模的多账户环境中，您还可以利用集中式出口防火墙等功能来控制出站流量和/或 AMS 多账户着陆区中的 Tr AWS ansit Gateway 路由表来隔离网络流量。 VPCs