本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 網路組態
<a name="core-questions-network"></a>
+ 傳輸閘道 ASN 號碼

  這是邊界閘道協定 (BGP) 工作階段 AWS 端的自治系統編號 (ASN)，必須是唯一的，且不能與 Direct Connect 或 VPN 相同的系統編號。  16 位元 ASNs 的範圍為 64512 到 65534 （含）。
+ 您的 AMS 多帳戶登陸區域基礎設施 VPC CIDR 範圍。

  這些 CIDR 範圍不能與您的內部部署網路重疊

  您可以包含 /22 CIDR 範圍，或個別提供每個 VPC CIDR。請注意，只允許這些 CIDR 範圍：
  + 10.0.0.0 ‒ 10.255.255.255 (10/8 字首)
  + 172.16.0.0 ‒ 172.31.255.255 (172.16/12 字首)
  + 192.168.0.0 ‒ 192.168.255.255 (192.168/16 字首)

  請注意，可能無法使用 IP 範圍 198.18.0.0/15 （由 AWS Directory Service 保留）。
  + 核心基礎設施 VPC CIDR 範圍 （建議 /22 範圍）
  + 網路 VPC CIDR 範圍 （建議 /24 範圍）
  + 共享服務 VPC CIDR 範圍 （建議 /23 範圍）
  + DMZ VPC CIDR 範圍 （建議 /25 範圍）
+ VPN ECMP （啟用或停用）

  若您要在 VPN 連線中取得等價多路徑 (ECMP) 路由支援，請在 VPN ECMP support (VPN ECMP 支援) 中選擇 enable (啟用)。若連接公告相同 CIDR，則流量就是在其之間平均分佈。

## 網路存取控制清單 (NACL)
<a name="core-questions-network-nacl"></a>

網路存取控制清單 (NACL) 是 VPC 的選用安全層，可做為防火牆來控制傳入和傳出一或多個子網路的流量。您可以使用與您的安全群組相似的規則來設定網路 ACL，以為您的 VPC 新增額外的安全 layer。如需安全群組和網路 ACLs 之間差異的詳細資訊，請參閱[安全群組和網路 ACLs的比較](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison)。

不過，在 AMS 多帳戶登陸區域中，為了讓 AMS 有效管理和監控基礎設施，NACLs 的使用僅限於下列範圍：
+ 多帳戶登陸區域核心帳戶不支援 NACLs：管理、聯網、共享服務、記錄和安全性。
+ 多帳戶登陸區域應用程式帳戶支援 NACLs，只要它們只用作「拒絕」清單即可。此外，他們必須設定「允許全部」以確保 AMS 監控和管理操作。

在大規模的多帳戶環境中，您也可以利用集中式輸出防火牆等功能來控制 AMS 多帳戶登陸區域中的傳出流量和/或 AWS Transit Gateway 路由表，以隔離 VPCs之間的網路流量。