# 检查发往子网的流量
请考虑一下,您的流量通过互联网网关进入 VPC,并且希望使用 EC2 实例上安装的防火墙设备检查发往子网(例如子网 B)的所有流量。防火墙设备应安装和配置在与 VPC 中子网 B 不同的子网(例如子网 C)中的 EC2 实例上,然后您可以使用中间盒路由向导为子网 B 和互联网网关之间的流量配置路由。
中间盒路由向导会自动执行以下操作:
+ 创建以下路由表:
+ 互联网网关的路由表
+ 目标子网的路由表
+ 中间盒子网的路由表
+ 将必要的路由添加到新路由表中,如以下部分所述。
+ 取消与互联网网关、子网 B 和子网 C 关联的当前路由表的关联。
+ 将路由表 A 与互联网网关(中间盒路由向导中的 **Source**(源))相关联、路由表 C 与子网 C(中间盒路由向导中的 **Middlebox**(中间盒))相关联,并将路由表 B 与子网 B(中间盒路由向导中的 **Destination**(目的地))相关联。
+ 创建一个标签,指示它是由中间盒路由向导创建的,并创建一个指示创建日期的标签。
中间盒路由向导不会修改现有的路由表。它会创建新的路由表,然后将它们与您的网关和子网资源相关联。如果您的资源已与现有路由表显式关联,则首先取消现有路由表的关联,然后将新路由表与您的资源相关联。您的现有路由表不会被删除。
如果不使用中间盒路由向导,则必须手动配置路由表,然后将路由表分配给子网和互联网网关。
![\[流向 VPC 的入站路由\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/images/ingress-routing-firewall-ipv6.png)
## 互联网网关路由表
将以下路由添加到互联网网关的路由表中。
| 目标位置 | 目标 | 用途 |
| --- | --- | --- |
| 10.0.0.0/16 | 本地 | IPv4 的本地路由 |
| 10.0.1.0/24 | appliance-eni | 将发往子网 B 的 IPv4 流量路由到中间盒 |
| 2001:db8:1234:1a00::/56 | 本地 | IPv6 的本地路由 |
| 2001:db8:1234:1a00::/64 | appliance-eni | 将发往子网 B 的 IPv6 流量路由到中间盒 |
互联网网关和 VPC 之间存在边缘关联。
使用中间盒路由向导时,它将以下标签与路由表相关联:
+ 键为“Origin”,值为“Middlebox wizard”
+ 键为“date\$1created”,值为创建时间(例如“2021-02-18T22:25:49.137Z”)
## 目标子网路由表
将以下路由添加到目标子网(示例图中的子网 B)的路由表中。
| 目标位置 | 目标 | 用途 |
| --- | --- | --- |
| 10.0.0.0/16 | 本地 | IPv4 的本地路由 |
| 0.0.0.0/0 | appliance-eni | 将发往互联网的 IPv4 流量路由到中间盒 |
| 2001:db8:1234:1a00::/56 | 本地 | IPv6 的本地路由 |
| ::/0 | appliance-eni | 将发往互联网的 IPv6 流量路由到中间盒 |
与中间盒子网存在子网关联。
使用中间盒路由向导时,它将以下标签与路由表相关联:
+ 键为“Origin”,值为“Middlebox wizard”
+ 键为“date\$1created”,值为创建时间(例如“2021-02-18T22:25:49.137Z”)
## 中间盒子网路由表
将以下路由添加到中间盒子网(示例图中的子网 C)的路由表中。
| 目标位置 | 目标 | 用途 |
| --- | --- | --- |
| 10.0.0.0/16 | 本地 | IPv4 的本地路由 |
| 0.0.0.0/0 | igw-id | 到互联网网关的 IPv4 流量路由 |
| 2001:db8:1234:1a00::/56 | 本地 | IPv6 的本地路由 |
| ::/0 | eigw-id | 将 IPv6 流量路由到仅出口互联网网关 |
与目标子网存在子网关联。
使用中间盒路由向导时,它将以下标签与路由表相关联:
+ 键为“Origin”,值为“Middlebox wizard”
+ 键为“date\$1created”,值为创建时间(例如“2021-02-18T22:25:49.137Z”)