Diese Abbildung zeigt den ausgehenden Nord-Süd-Trafficfluss vom Web- oder Anwendungs-(Spoke-)VCN über das Hub-VCN in einer Region, die eine Cisco Threat Defense-Firewall verwendet.

Die OCI-Region umfasst zwei Availability-Domains. Die Region enthält ein Hub-VCN und ein einzelnes Spoke-VCN (Web- oder Anwendungsebene), die über dynamische Routinggatewayanhänge verbunden sind.
  • Spoke (Web oder Anwendung) VCN (10.0.0.0/24): Das VCN enthält ein einzelnes Subnetz. Ein Anwendungs-Load Balancer verwaltet Datenverkehr zwischen den Web- oder Anwendungs-VMs in jeder Availability-Domain. Ausgehender Traffic vom Anwendungs-Load Balancer zum Hub-VCN wird über das dynamische Routinggateway weitergeleitet. Das CIDR des Spoke-Subnetzziels ist 0.0.0.0/0 (alle Adressen) über das DRG.
  • Hub-VCN (192.168.0.0/16): Das Hub-VCN enthält ein Cluster mit zwei virtuellen Cisco Threat Defense-Firewall-Maschinen (VMs) mit einer VM in jeder Availability-Domain als Sandwich zwischen internem und externem flexiblen Netzwerk-Load Balancer. Das Hub-VCN umfasst auch Management Center VM (FMC), um Cisco Threat Defense-Firewalls zu verwalten. Das Hub-VCN umfasst vier Subnetze: ein Management-Subnetz, ein Trust-Subnetz, ein nicht vertrauenswürdiges Subnetz und ein nlb-Subnetz.
    • Das Management-Subnetz verwendet die primäre Schnittstelle (mgmt), damit Endbenutzer eine Verbindung zur Benutzeroberfläche herstellen können.
    • Das Diagnose-Subnetz verwendet die sekundäre Schnittstelle (Diag) für Diagnosezwecke der Cisco Threat Defense-Firewall.
    • Das innere Subnetz verwendet die dritte Schnittstelle gig0/0 für den internen Datenverkehr zur oder von der Cisco Threat Defense-Firewall.
    • Das ausgehende Subnetz verwendet die virtuelle vierte Schnittstelle (gig0/1) für externen Datenverkehr zur oder von der Cisco Threat Defense-Firewall.
    • Mit dem nlb-Subnetz können Endbenutzer einen privaten oder öffentlichen flexiblen Netzwerk-Load Balancer erstellen, der eine lokale und eingehende Verbindung über das Internet ermöglicht.
Ausgehender Traffic vom Spoke-VCN (Web oder Anwendung) tritt in den internen Netzwerk-Load Balancer des Hub-VCN ein, der den Traffic an die Cisco Threat Defense-Firewall innerhalb von Schnittstellen und dann über das externe Subnetz an externe Ziele sendet.
  • Cisco Threat Defense: Der Traffic vom DRG wird über den internen Netzwerk-Load Balancer an die Cisco Threat Defense-Firewall innerhalb von Schnittstellen über das innere Subnetz über die Hub-VCN-Gateways an externe Ziele weitergeleitet.
  • Internetgateway: Der Traffic zum Internet und zu externen Webclients wird über ein Internetgateway weitergeleitet. Das CIDR des externen Subnetzziels für das Internetgateway ist 0.0.0.0/0 (alle Adressen).
  • Dynamisches Routinggateway: Der Traffic zum Kunden-Data Center wird über ein dynamisches Routinggateway weitergeleitet. Das CIDR des externen Subnetzziels für das dynamische Routinggateway ist 172.16.0.0/12. DRG wird auch zur Unterstützung der Kommunikation zwischen VCNs verwendet. Jedes VCN verfügt über einen Anhang zum dynamischen Routinggateway.