En esta imagen se muestra el flujo de tráfico saliente norte-sur desde la VCN web o de aplicación (habla) a través de la VCN de hub en una región que utiliza un firewall de serie de VM.

La región  OCI incluye dos dominios de disponibilidad. La región contiene una VCN de hub y una VCN radial única (nivel web o de aplicación) conectada mediante asociaciones de gateway de direccionamiento dinámico (DRG).
  • VCN de Spoke (web o aplicación) (10.0.0.0/24): la VCN contiene una sola subred. Un equilibrador de carga de aplicaciones gestiona el tráfico entre las máquinas virtuales web o de aplicación en cada uno de los dominios de disponibilidad. El tráfico saliente del equilibrador de carga de aplicaciones a la VCN de hub se enruta a través del gateway de direccionamiento dinámico (DRG). El CIDR de destino de subred radial es 0.0.0.0/0 (todas las direcciones) a través del DRG.
  • VCN de hub (192.168.0.0/16): la VCN de hub contiene un cluster de dos máquinas virtuales de firewall (VM) de serie VM con una VM en cada uno de los dominios de disponibilidad como un sándwich entre el equilibrador de carga de red flexible interno y externo (NLB). La VCN de hub también puede incluir una máquina virtual de gestión (Panorama) para gestionar los firewalls de VM Series. La VCN de hub incluye cuatro subredes:
    • Una subred de gestión, una subred de confianza, una subred que no es de confianza y una subred de NLB. La subred de gestión utiliza la interfaz principal (vNIC0) para permitir que los usuarios finales se conecten a la interfaz de usuario.
    • La subred que no es de confianza utiliza la segunda interfaz (vNIC1) para el tráfico externo hacia o desde el firewall de la serie VM.
    • La subred de confianza utiliza la tercera interfaz (vNIC2) para el tráfico interno hacia o desde el firewall de la serie VM.
    • La subred de NLB permite a los usuarios finales crear un equilibrador de carga de red flexible público o privado, que permite la conexión local y entrante desde Internet.
El tráfico saliente de la VCN radial (web o aplicación) entra en el equilibrador de carga de red interno de la VCN de hub, que envía el tráfico a las interfaces de confianza del firewall de la serie de VM y, a continuación, sale de la subred que no es de confianza a los destinos externos.
  • Firewall de VM Series: el tráfico del DRG se enruta a través del equilibrador de carga de red interno a las interfaces de confianza del firewall de VM Series a través de la subred de confianza, a través de los gateways de VCN de hub a destinos externos. La traducción de origen se realiza aquí mediante la IP privada de interfaz de desconexión en cada firewall para admitir el tráfico saliente.
  • Gateway de Internet: el tráfico a Internet y a clientes web externos se enruta a través de un gateway de Internet. El CIDR de destino de subred que no es de confianza para el gateway de Internet es 0.0.0.0/0 (todas las direcciones).
  • Gateway de enrutamiento dinámico: el tráfico al centro de datos del cliente se enruta a través de un DRG. El CIDR de destino de subred de desconfianza para el gateway de enrutamiento dinámico es 172.16.0.0/12. DRG también se utiliza para admitir la comunicación entre las VCN. Cada VCN tiene una asociación a un DRG.