Questa immagine mostra il flusso di traffico in entrata nord-sud tra l'hub VCN e l'applicazione Web o VCN (spoke) in un'area che utilizza i firewall Cisco Threat Defense. L'area OCI include due domini di disponibilità. L'area contiene un VCN hub e un singolo VCN spoke (livello Web o applicazione) connesso dal gateway di instradamento dinamico (DRG).

  • Hub VCN (192.168.0.0/16):

    L'hub VCN contiene un cluster di due virtual machine (VM) firewall Cisco Threat Defense con una VM in ciascuno dei domini di disponibilità come sandwich tra load balancer di rete flessibile interno ed esterno. L'hub VCN include anche Management Center VM (FMC) per gestire i firewall Cisco Threat Defense. L'hub VCN include quattro subnet: una subnet di gestione, una subnet trust, una subnet non sicura e una subnet nlb.
    • La subnet di gestione utilizza l'interfaccia primaria (management) per consentire agli utenti finali di connettersi all'interfaccia utente.
    • La subnet di diagnostica utilizza l'interfaccia secondaria (diag) per scopi diagnostici per il firewall Cisco Threat Defense.
    • La subnet interna utilizza la terza interfaccia gig0/0 per il traffico interno da o verso il firewall Cisco Threat Defense.
    • La subnet in uscita utilizza la quarta interfaccia virtuale (gig0/1) per il traffico esterno da o verso il firewall Cisco Threat Defense.
    • La subnet nlb consente all'utente finale di creare un load balancer flessibile di rete privato o pubblico, che consente la connessione in locale e in entrata da Internet.
  • Il traffico in entrata immette l'hub VCN da origini esterne mediante l'IP pubblico del load balancer di rete esterna nei firewall Cisco Threat Defense:
    • Gateway Internet: il traffico da Internet e da client Web esterni passa al load balancer della rete pubblica esterna e passa a uno dei firewall Cisco Threat Defense attraverso la subnet esterna. Il balanacer di carico pubblico nlb ha un indirizzo pubblico, che consente di connettersi dall'esterno. L'instradamento predefinito per consentire la destinazione CIDR è 0.0.0.0/0 (tutti gli indirizzi) e il primo indirizzo IP host nella subnet CIDR esterna).
    • Gateway di instradamento dinamico (DRG): il traffico dal data center cliente (172.16.0.0/12) viene instradato al load balancer privato esterno, quindi passa a uno dei firewall Cisco Threat Defense attraverso la subnet esterna. Il CIDR di destinazione DRG è 10.0.0.0/24 o 10.0.1.0/24 o i VCN spoke. DRG viene utilizzato anche per supportare la comunicazione tra VCN. Ogni VCN ha un allegato al gateway di instradamento dinamico.
    • Cisco Threat Defense: il traffico viene instradato attraverso la VM gateway e la subnet interna a DRG. La traduzione dell'indirizzo di origine avviene in Cisco Threat Defense, utilizzando l'indirizzo IP dell'interfaccia interna. CIDR di destinazione predefinito per la subnet interna associata ai VCN spoke (10.0.0.0/24 o 10.0.1.0/24 o ai VCN spoke per l'applicazione o il database. Questo indirizzo è il primo indirizzo IP host nella subnet CIDR interna.
    • Gateway instradamento dinamico: il traffico dalla subnet interna a VCN parlato viene instradato su DRG.
      • Applicazione o Web: se il traffico è destinato a questo VCN spoke, viene instradato tramite la connessione all'allegato DRG Application/Web VCN.
      • Database: se il traffico è destinato a questo VCN spoke, viene instradato tramite la connessione all'allegato VCN del database DRG.
  • Il livello Web o applicazione ha parlato di VCN (10.0.0.0/24):

    VCN contiene una singola subnet. Un load balancer dell'applicazione gestisce il traffico tra VM Web e applicazioni in ciascuno dei domini di disponibilità. Il traffico dall'hub VCN al load balancer applicazione viene instradato sul gateway di instradamento dinamico al load balancer applicazione. La destinazione subnet parlata CIDR viene instradata attraverso DRG come subnet predefinita 0.0.0.0/0 (tutti gli indirizzi).