この図は、Cisco Threat Defenseファイアウォールを使用するリージョナル・ハブおよびスポーク・トポロジでのデータベースからWebまたはアプリケーションへの東西トラフィック・フローを示しています。これには、次の3つの仮想クラウド・ネットワーク(VCN)が含まれます。
- Hub VCN (192.168.0.0/16): Hub VCNには、Cisco Threat Defenseファイアウォールが含まれています。内部サブネットは、Cisco Threat Defenseファイアウォールとの間の内部トラフィックにGig0/ 0を使用します。ハブVCNは、動的ルーティング・ゲートウェイを介してスポークVCNと通信します。
- Web層またはアプリケーション層のスポークVCN (10.0.0.0/24): VCNには単一のサブネットが含まれます。ロード・バランサは、WebまたはアプリケーションVMへのトラフィックを管理します。アプリケーション層VCNは、動的ルーティング・ゲートウェイを介してハブVCNに接続されます。
- データベース層スポークVCN (10.0.1.0/24): VCNには、プライマリ・データベース・システムを含む単一のサブネットが含まれます。データベース層VCNは、動的ルーティング・ゲートウェイを介してハブVCNに接続されます。
- データベース層からWebまたはアプリケーション・ロード・バランサ(10.0.0.10)に移動するトラフィックは、データベース・サブネット・ルート表(宛先0.0.0.0/0)を介してルーティングされます。
- トラフィックは、データベース層スポークVCNのデータベース・サブネット・ルート表からDRGに移動します。
- トラフィックは、内部ネットワーク・ロード・バランサを使用して、ハブVCNイングレス・ルート表を介してDRGからCisco Threat Defense Firewall VMに移動します。ネットワーク・ロード・バランサには、脅威防御ファイアウォールの内部インタフェース(Gig0/ 0)を指す複数のバックエンドがあります。
- Cisco Threat Defenseファイアウォールからのトラフィックは、内部サブネット・ルート表(宛先10.0.0.0/16)を介してルーティングされます。
- トラフィックは、内部サブネット・ルート表からWebスポークVCNのDRGに移動します。
- トラフィックは、WebスポークVCNアタッチメントを介して、WebまたはアプリケーションのWeb、アプリケーションまたはロード・バランサのDRGから移動します。