이 이미지는 Cisco Threat Defense 방화벽을 사용하는 지역에서 허브 VCN과 웹 또는 애플리케이션(스포크) VCN 간의 북쪽 인바운드 트래픽 플로우를 보여줍니다. OCI 지역에는 두 개의 가용성 도메인이 포함됩니다(&N). 이 지역에는 허브 VCN과 동적 라우팅 게이트웨이(DRG)로 연결된 단일 스포크 VCN(웹 또는 애플리케이션 계층)이 포함되어 있습니다.

  • 허브 VCN(192.168.0.0/16):

    허브 VCN에는 각 가용성 도메인에 있는 VM이 있는 2개의 Cisco Threat Defense Firewall VM(Virtual Machine)이 포함되어 있어 내부 및 외부 가변 네트워크 로드 밸런서 간의 샌드위치로 구성됩니다. 허브 VCN에는 Cisco 위협 방어 방화벽을 관리하기 위한 FMC(Management Center VM)도 포함되어 있습니다. 허브 VCN에는 관리 서브넷, 신뢰 서브넷, 신뢰되지 않은 서브넷 및 nlb 서브넷이 네 개 포함됩니다.
    • 관리 서브넷은 기본 인터페이스(mgmt)를 사용하여 일반 사용자가 사용자 인터페이스에 연결할 수 있도록 합니다.
    • 진단 서브넷은 Cisco Threat Defense 방화벽에 진단 용도로 보조 인터페이스(diag)를 사용합니다.
    • 내부 서브넷은 Cisco Threat Defense 방화벽에 대한 내부 트래픽의 경우 세번째 인터페이스 gig0/0을 사용합니다.
    • 아웃바운드 서브넷은 Cisco Threat Defense 방화벽에 대한 외부 트래픽에 가상 네번째 인터페이스(gig0/1)를 사용합니다.
    • nlb 서브넷을 사용하면 일반 사용자가 전용 또는 공용으로 유연한 네트워크 로드 밸런서를 생성할 수 있으므로 온프레미스 및 인터넷에서의 인바운드 접속이 가능합니다.
  • 인바운드 트래픽은 외부 네트워크 로드 밸런서 공용 IP를 통해 외부 소스에서 Cisco 위협 방어 방화벽으로 들어가는 허브 VCN에 들어갑니다.
    • 인터넷 게이트웨이: 인터넷 및 외부 웹 클라이언트의 트래픽은 외부 공용 네트워크 로드 밸런서로 라우팅된 다음 외부 서브넷을 통해 Cisco Threat Defense 방화벽 중 하나로 이동합니다. nlb 공용 로드 밸런서에는 외부 위치에서 연결할 수 있는 공용 주소가 있습니다. 기본 경로 허용 대상 CIDR은 0.0.0.0/0(모든 주소) 및 외부 서브넷 CIDR의 첫번째 호스트 IP 주소입니다.
    • DRG(동적 라우팅 게이트웨이): 고객 데이터 센터의 트래픽(172.16.0.0/12)은 외부 서브넷을 통해 Cisco 위협 방어 방화벽 중 하나로 라우팅됩니다. DRG 대상 CIDR은 10.0.0.0/24 또는 10.0.1.0/24 또는 Spoke VCN입니다. DRG는 VCN 간의 통신을 지원하는 데도 사용됩니다. 각 VCN에는 동적 라우팅 게이트웨이에 대한 연결이 있습니다.
    • Cisco 위협 방어: 트래픽은 게이트웨이 VM 및 내부 서브넷을 통해 DRG로 라우팅됩니다. 소스 주소 변환은 내부 인터페이스 IP 주소를 사용하여 Cisco Threat Defense에서 수행됩니다. Spoke VCNs(10.0.0.0/24 또는 10.0.1.0/24 또는 애플리케이션 또는 데이터베이스의 Spoke VCN)와 연관된 내부 서브넷의 기본 대상 CIDR입니다. 이 주소는 내부 서브넷 CIDR에서 첫번째 호스트 IP 주소입니다.
    • 동적 라우팅 게이트웨이: 내부 서브넷에서 스포크 VCN으로의 트래픽은 DRG를 통해 라우팅됩니다.
      • 애플리케이션 또는 웹: 트래픽이 이 스포크 VCN으로 전송되는 경우 DRG 애플리케이션/웹 VCN 연결 연결을 통해 라우팅됩니다.
      • 데이터베이스: 트래픽이 이 스포크 VCN으로 전송되는 경우 DRG 데이터베이스 VCN 연결 연결을 통해 라우팅됩니다.
  • 웹 또는 애플리케이션 계층을 통해 VCN(10.0.0.0/24):

    VCN에는 단일 서브넷이 포함되어 있습니다. 애플리케이션 로드 밸런서는 각 가용성 도메인에서 웹 및 애플리케이션 VM 간의 트래픽을 관리합니다. 허브 VCN에서 애플리케이션 로드 밸런서로의 트래픽은 동적 라우팅 게이트웨이를 통해 애플리케이션 로드 밸런서로 라우팅됩니다. Spoke 서브넷 대상 CIDR은 DRG를 통해 기본 서브넷 0.0.0.0/0(모든 주소)로 라우팅됩니다.