Diese Abbildung zeigt den eingehenden Nord-Süd-Trafficfluss zwischen dem Hub-VCN und dem Web- oder Anwendungs-(Spoke-)VCN in einer Region, die Firewalls für Cisco-Bedrohungen verwendet. Die  OCI-Region umfasst zwei Availability-Domains. Die Region enthält ein Hub-VCN und ein einzelnes Spoke-VCN (Web- oder Anwendungsebene), die über das dynamische Routinggateway (DRG) verbunden sind.

  • Hub-VCN (192.168.0.0/16):

    Das Hub-VCN enthält ein Cluster mit zwei virtuellen Cisco Threat Defense-Firewall-Maschinen (VMs) mit einer VM in jeder Availability-Domain als Sandwich zwischen internem und externem flexiblen Netzwerk-Load Balancer. Das Hub-VCN umfasst auch Management Center VM (FMC), um Cisco Threat Defense-Firewalls zu verwalten. Das Hub-VCN umfasst vier Subnetze: ein Management-Subnetz, ein Trust-Subnetz, ein nicht vertrauenswürdiges Subnetz und ein nlb-Subnetz.
    • Das Management-Subnetz verwendet die primäre Schnittstelle (mgmt), damit Endbenutzer eine Verbindung zur Benutzeroberfläche herstellen können.
    • Das Diagnose-Subnetz verwendet die sekundäre Schnittstelle (Diag) für Diagnosezwecke für die Cisco Threat Defense-Firewall.
    • Das innere Subnetz verwendet die dritte Schnittstelle gig0/0 für den internen Datenverkehr zur oder von der Cisco Threat Defense-Firewall.
    • Das ausgehende Subnetz verwendet die virtuelle vierte Schnittstelle (gig0/1) für externen Datenverkehr zur oder von der Cisco Threat Defense-Firewall.
    • Mit dem nlb-Subnetz können Endbenutzer einen privaten oder öffentlichen flexiblen Netzwerk-Load Balancer erstellen, der eine lokale und eingehende Verbindung über das Internet ermöglicht.
  • Eingehender Traffic tritt vom Hub-VCN aus externen Quellen über die öffentliche IP des externen Netzwerk-Load Balancers an die Cisco Threat Defense-Firewalls ein:
    • Internetgateway: Traffic aus dem Internet und externen Webclients leitet den Load Balancer des externen öffentlichen Netzwerks an und geht dann zu einem der Cisco Threat Defense-Firewalls über das externe Subnetz. Der öffentliche nlb-Load Balanacer hat eine öffentliche Adresse, mit der Sie eine Verbindung von außen herstellen können. Das CIDR-Ziel ist standardmäßig 0.0.0.0/0 (alle Adressen) und die erste Host-IP-Adresse im CIDR des externen Subnetzes.
    • Dynamisches Routinggateway (DRG): Traffic vom Kunden-Data Center (172.16.0.0/12) wird an einen externen privaten Load Balancer weitergeleitet und dann an einen der Cisco Threat Defense-Firewalls über das externe Subnetz geleitet. Das DRG-Ziel-CIDR ist 10.0.0.0/24 oder 10.0.1.0/24 oder die Spoke-VCNs. DRG wird auch zur Unterstützung der Kommunikation zwischen VCNs verwendet. Jedes VCN verfügt über einen Anhang zum dynamischen Routinggateway.
    • Cisco Threat Defense: Traffic wird über die Gateway-VM und das innere Subnetz an das DRG weitergeleitet. Die Übersetzung der Quelladresse erfolgt bei Cisco Threat Defense mit der IP-Adresse der inneren Schnittstelle. Das Standardziel-CIDR für das interne Subnetz, das mit Spoke-VCNs verknüpft ist (10.0.0.0/24 oder 10.0.1.0/24 oder den Spoke-VCNs für Anwendungen oder Datenbanken. Diese Adresse ist die erste Host-IP-Adresse im CIDR des inneren Subnetzes.
    • Dynamisches Routinggateway: Der Traffic vom inneren Subnetz zum Spoke-VCN wird über das DRG weitergeleitet.
      • Anwendung oder Web: Wenn der Traffic für dieses Spoke-VCN bestimmt ist, wird er über die DRG-Anwendungs-/Web-VCN-Anhangverbindung weitergeleitet.
      • Datenbank: Wenn Traffic zu diesem Spoke-VCN bestimmt ist, wird er über die DRG-Datenbank-VCN-Anhangverbindung weitergeleitet.
  • Web- oder Anwendungs-Tier Spoke-VCN (10.0.0.0/24):

    Das VCN enthält ein einzelnes Subnetz. Ein Anwendungs-Load Balancer verwaltet Datenverkehr zwischen Web- und Anwendungs-VMs in jeder Availability-Domain. Traffic vom Hub-VCN zum Anwendungs-Load Balancer wird über das dynamische Routinggateway an den Anwendungs-Load Balancer weitergeleitet. Das CIDR des Spoke-Subnetzziels wird über das DRG als Standard-Subnetz 0.0.0.0/0 (alle Adressen) weitergeleitet.