En esta imagen se muestra el flujo de tráfico entrante entre la VCN de hub y la VCN web o de aplicación (habla) en una región que utiliza firewalls de defensa de amenazas de Cisco. La región  OCI incluye dos dominios de disponibilidad. La región contiene una VCN de hub y una VCN radial única (nivel web o de aplicación) conectada por el gateway de direccionamiento dinámico (DRG).

  • VCN de hub (192.168.0.0/16):

    La VCN de hub contiene un cluster de dos máquinas virtuales de firewall de defensa de amenazas (VM) de Cisco con una máquina virtual en cada uno de los dominios de disponibilidad como un sándwich entre el equilibrador de carga de red flexible interno y externo. La VCN de hub también incluye Management Center VM (FMC) para gestionar los firewalls de defensa de amenazas de Cisco. La VCN de hub incluye cuatro subredes: una subred de gestión, una subred de confianza, una subred de desconfianza y una subred de nlb.
    • La subred de gestión utiliza la interfaz principal (mgmt) para permitir que los usuarios finales se conecten a la interfaz de usuario.
    • La subred de diagnóstico utiliza una interfaz secundaria (diag) para el diagnóstico del firewall de defensa de amenazas de Cisco.
    • La subred interna utiliza la tercera interfaz gig0/0 para el tráfico interno hacia o desde el firewall de defensa de amenazas de Cisco.
    • La subred saliente utiliza la cuarta interfaz virtual (gig0/1) para el tráfico externo hacia o desde el firewall de defensa ante amenazas de Cisco.
    • La subred nlb permite al usuario final crear un equilibrador de carga de red flexible público o privado, que permite la conexión local y entrante desde Internet.
  • El tráfico entrante entra en la VCN de hub desde fuentes externas a través de la IP pública del equilibrador de carga de red externo a los firewalls de defensa ante amenazas de Cisco:
    • Gateway de Internet: el tráfico de clientes web externos e Internet se dirige al equilibrador de carga de red pública externo y, a continuación, pasa a uno de los firewalls de defensa de amenazas de Cisco a través de la subred externa. El equilibrador de carga público nlb tiene una dirección pública, que permite conectarse desde el exterior. La ruta predeterminada permite el CIDR de destino es 0.0.0.0/0 (todas las direcciones) y la primera dirección IP de host en el CIDR de la subred externa.
    • Gateway de direccionamiento dinámico (DRG): el tráfico del centro de datos del cliente (172.16.0.0/12) se enruta al equilibrador de carga privado externo y, a continuación, pasa a uno de los firewalls de defensa de amenazas de Cisco a través de la subred externa. El CIDR de destino de DRG es 10.0.0.0/24 o 10.0.1.0/24 o las VCN del radio. DRG también se utiliza para admitir la comunicación entre las VCN. Cada VCN tiene una conexión al gateway de direccionamiento dinámico.
    • Defensa de amenazas Cisco: el tráfico se enruta a través de la VM de gateway y la subred interna al DRG. La traducción de direcciones de origen se realiza en Cisco Threat Defense, mediante la dirección IP de la interfaz interna. CIDR de destino por defecto para la subred interna asociada a las VCN radiales (10.0.0.0/24 o 10.0.1.0/24 o las VCN radiales para la aplicación o la base de datos. Esta dirección es la primera dirección IP de host en el CIDR de la subred interna.
    • Gateway de direccionamiento dinámico: el tráfico desde la subred interna hasta la VCN radial se enruta a través del DRG.
      • Aplicación o web: si el tráfico está destinado a esta VCN radial, se enruta a través de una conexión de asociación de VCN de aplicación/Web de DRG.
      • Base de datos: si el tráfico está destinado a esta VCN radial, se enruta a través de la conexión de asociación de VCN de la base de datos DRG.
  • La VCN del nivel de aplicación o web (10.0.0.0/24):

    La VCN contiene una sola subred. Un equilibrador de carga de aplicaciones gestiona el tráfico entre máquinas virtuales web y de aplicaciones en cada uno de los dominios de disponibilidad. El tráfico de la VCN de hub al equilibrador de carga de aplicaciones se enruta a través del gateway de direccionamiento dinámico al equilibrador de carga de aplicaciones. El CIDR de destino de subred radial se enruta a través del DRG como la subred por defecto 0.0.0.0/0 (todas las direcciones).