この図は、Cisco Threat Defenseファイアウォールを使用するリージョナル・ハブおよびスポーク・トポロジでのWebまたはアプリケーションからデータベースへの東西トラフィック・フローを示しています。
これには、次の3つの仮想クラウド・ネットワーク(VCN)が含まれます。
- ハブVCN (192.168.0.0/16):ハブVCNはCisco Threat Defenseファイアウォールを格納します。内部サブネットは、Cisco Threat Defenseファイアウォールとの間の内部トラフィックにGig0/ 0を使用します。ハブVCNは、動的ルーティング・ゲートウェイを介してスポークVCNと通信します。
- Web層またはアプリケーション層のスポークVCN (10.0.0.0/24): VCNには単一のサブネットが含まれます。アプリケーション・ロード・バランサは、WebまたはアプリケーションVMへのトラフィックを管理します。アプリケーション層VCNは、動的ルーティング・ゲートウェイを介してハブVCNに接続されます。
- データベース層スポークVCN (10.0.1.0/24): VCNには、プライマリ・データベース・システムを含む単一のサブネットが含まれます。データベース層VCNは、動的ルーティング・ゲートウェイを介してハブVCNに接続されます。
- Web層またはアプリケーション層からデータベース層(10.0.1.10)に移動するトラフィックは、Webまたはアプリケーションのサブネット・ルート表(宛先0.0.0.0/0)を介してルーティングされます。
- トラフィックは、Webまたはアプリケーション・サブネットのルート表から、VCNをスポークしたデータベース層のDRGに移動します。
- トラフィックは、内部ネットワーク・ロード・バランサを使用して、ハブVCNイングレス・ルート表を介してDRGからCisco Threat Defense Firewall VMに移動します。ネットワーク・ロード・バランサには、VM Seriesファイアウォールの内部インタフェース(Gig0/ 0)を指す複数のバックエンドがあります。
- Cisco Threat Defenseファイアウォールからのトラフィックは、内部サブネット・ルート表(宛先: 10.0.1.0/24)を介してルーティングされます。
- トラフィックは、データベース・スポークVCNの内部サブネット・ルート表からDRGに移動します。
- トラフィックは、データベース・スポークVCNアタッチメントを介してデータベース・システムのDRGから移動します。