En esta imagen se muestran dos regiones de Oracle Cloud Infrastructure que incluyen dos dominios de disponibilidad. Cada región incluye al menos tres redes virtuales en la nube (VCN) necesarias para desplegar esta arquitectura. Las VCN están dispuestas aquí como capas funcionales.

VCN de gestión:

La VCN de gestión contiene dos máquinas virtuales (VM) del firewall virtual (Cisco ASA con una máquina virtual en cada uno de los dominios de disponibilidad como un sándwich entre el equilibrador de carga de red flexible interno y externo. También puede desplegar el servidor de gestión dentro de la VCN de gestión para gestionar la configuración de firewall. La VCN de gestión incluye una única subred de gestión. Cada firewall tiene un pool de VPN dedicado y el usuario final obtiene una dirección IP de ese pool.

La subred de gestión utiliza la interfaz principal (nic0/0) para permitir a los usuarios finales conectarse a la interfaz de usuario.

La VCN de gestión utiliza un gateway de Internet para conectar clientes web externos e Internet al firewall virtual de Cisco ASA para gestionar la configuración. La VCN de gestión también contiene dos máquinas virtuales (VM) del firewall virtual (Cisco ASA con una máquina virtual en cada uno de los dominios de disponibilidad, entre el equilibrador de carga de red flexible. La VCN de Mmgt incluye una única subred de gestión. Cada firewall también tiene un pool de VPN dedicado y el usuario final obtiene una dirección IP de ese pool.

Fuera de la VCN:

La VCN contiene al menos una subred externa, que utiliza la interfaz secundaria (nic0/1) para permitir a los usuarios finales enviar tráfico de VPN a esta interfaz a través del equilibrador de carga de red. La VCN externa incluye el siguiente equilibrador de carga de red externo flexible. Este equilibrador de carga de red pública también tiene interfaces externas del firewall virtual de Cisco ASA. Esto garantiza que cualquier tráfico que llegue a través de un equilibrador de carga de red flexible vaya a uno de los firewall que hay detrás. Los usuarios finales utilizan esta IP VIP de equilibrador de carga de red como extremo principal de VPN. Utiliza 2-tuple-Hash para garantizar que la carga equilibre el tráfico a uno de los firewall virtuales de Cisco ASA. Esto mantendría la permanencia tanto para los clientes AnyConnect como para el tráfico de aplicaciones.

Dentro de la VCN:

La VCN contiene al menos una subred interna. La subred interna utiliza la interfaz secundaria (nic0/2) para permitir a los usuarios finales enviar tráfico de VPN a esta interfaz a través del equilibrador de carga de red. También puede desplegar otro juego de equilibradores de carga de red para dirigir el tráfico de VCN de Spoke enrutados a NLB interno y el firewall ASAv correspondiente.

VCN de Spoke o de aplicación (opcional): la VCN puede ser una VCN de aplicación que actúa como VCN de Spoke. Una vez que se conecte desde el exterior y obtenga una IP de un pool de VPN dedicado, puede acceder a la VCN radial mediante el gateway de intercambio de tráfico local o el gateway de enrutamiento dinámico. Un sistema de base de datos primaria reside en el dominio de disponibilidad 1 y un sistema de base de datos en espera reside en el dominio de disponibilidad 2. La VCN de nivel de base de datos está conectada a la VCN de hub mediante un gateway de enrutamiento dinámico.