创建VPC间防火墙时，如何配置InspectionVPC的网段？

在创建VPC间防火墙时，CFW将默认创建InspectionVPC（流量检测专用 VPC）。该VPC的核心作用是作为流量中转载体，一方面将VPC间流量转发至云防火墙进行检测与防护，另一方面会自动分配与云防火墙关联的专用子网，专门承载并转发东西向VPC间云防火墙流量（即不同VPC之间互访的流量）。

配置InspectionVPC的网段需要特别注意以下几点：

• 资源归属与网段规划：InspectionVPC不归属用户账户（不在用户账户资源列表中显示），但需由用户自主规划其网段。网段可用空间越大，云防火墙后续扩容（如增加防护节点、扩展流量处理能力）的灵活性越高。
• 网段冲突规避：规划的InspectionVPC网段，不得与当前已接入防护的业务网段重合，也需避免与后续拟接入防护的业务网段冲突，防止流量路由异常。
• 创建后无法修改：东西向引流场景下，InspectionVPC的网段一旦设置完成，暂不支持后续修改。因此，强烈建议在配置前充分评估后续业务扩展需求，提前预留网段冗余。具体可参考下表配置InspectionVPC的网段掩码，确保满足长期使用需求：

  网段掩码	支持防护的最大流量
  / 24	20 Gbps
  / 23	45 Gbps
  / 22	95 Gbps
  / 21	195 Gbps
  / 20	395 Gbps

• 网段掩码限制：因云防火墙需预留部分地址用于运维管理、系统更新等核心操作，故InspectionVPC的网段掩码不允许小于 / 24（即子网掩码不得大于255.255.255.0），否则将无法满足服务运行基础需求。