Esta imagem mostra o fluxo de tráfego de entrada norte-sul entre a VCN hub e a VCN web ou aplicativo (spoke) em uma região que usa firewalls da Cisco Threat Defense. A região  OCI inclui dois domínios de disponibilidade. A região contém uma VCN de hub e uma VCN de spoke única (camada web ou aplicativo) conectada pelo gateway de roteamento dinâmico (DRG).

  • Hub VCN (192.168.0.0/16):

    A VCN de hub contém um cluster de duas VMs (hardware virtual) do Cisco Threat Defense com uma VM em cada um dos domínios de disponibilidade como um sanduíche entre o balanceador de carga de rede flexível interno e externo. A VCN de hub também inclui o Management Center VM (FMC) para gerenciar firewalls da Cisco Threat Defense. A VCN de hub inclui quatro sub-redes: Uma sub-rede de gerenciamento, uma sub-rede confiável, uma sub-rede não confiável e uma sub-rede nlb.
    • A sub-rede de gerenciamento usa a interface primária (mgmt) para permitir que os usuários finais se conectem à interface de usuário.
    • A sub-rede de diagnóstico usa interface secundária (diag) para fins de diagnóstico para o firewall Cisco Threat Defense.
    • A sub-rede interna usa a terceira interface gig0/0 para tráfego interno de ou para o firewall Cisco Threat Defense.
    • A sub-rede de saída usa a quarta interface virtual (gig0/1) para tráfego externo de/para o firewall Cisco Threat Defense.
    • A sub-rede nlb permite que o usuário final crie um balanceador de carga de rede flexível privado ou público, que permite conexão local e de entrada pela Internet.
  • O tráfego de entrada entra na VCN de hub de origens externas por meio do IP público do balanceador de carga de rede externo para os firewalls da Cisco Threat Defense:
    • Gateway de Internet: O tráfego da Internet e dos clientes Web externos é roteado para o balanceador de carga da rede pública externa e, em seguida, vai para um dos firewalls da Cisco Threat Defense por meio da sub-rede externa. O balanceador de carga público nlb tem um endereço público, que permite conectar-se de fora. A rota padrão permite que o CIDR de destino seja 0.0.0.0/0 (todos os endereços) e o primeiro endereço IP do host no CIDR de sub-rede externa).
    • DRG (Dynamic Routing Gateway): O tráfego do data center do cliente (172.16.0.0/12) é roteado para o balanceador de carga privado externo e, em seguida, vai para um dos firewalls da Cisco Threat Defense por meio da sub-rede externa. O CIDR de destino do DRG é 10.0.0.0/24 ou 10.0.1.0/24 ou as VCNs de spoke. O DRG também é usado para suportar a comunicação entre VCNs. Cada VCN tem um anexo ao gateway de roteamento dinâmico.
    • Cisco Threat Defense: O tráfego é roteado por meio da VM de gateway e da sub-rede interna para o DRG. A tradução do endereço de origem acontece no Cisco Threat Defense, usando o endereço IP da interface interna. O CIDR de destino padrão da sub-rede interna associada a VCNs de spoke (10.0.0.0/24 ou 10.0.1.0/24 ou as VCNs de spoke para aplicativo ou banco de dados. Este endereço é o primeiro endereço IP do host no CIDR da sub-rede interna.
    • Gateway de Roteamento Dinâmico: O tráfego da sub-rede interna para a VCN spoke é roteado no DRG.
      • Aplicativo ou Web: Se o tráfego for destinado a essa VCN spoke, ele será roteado por meio da conexão de anexo DRG de Aplicativo/VCN da Web.
      • Banco de Dados: Se o tráfego for destinado a essa VCN de spoke, ele será roteado por meio da conexão de anexo VCN do Banco de Dados DRG.
  • VCN spoke na camada da Web ou do aplicativo (10.0.0.0/24):

    A VCN contém uma única sub-rede. Um balanceador de carga de aplicativo gerencia o tráfego entre as VMs da Web e dos aplicativos em cada um dos domínios de disponibilidade. O tráfego da VCN de hub para o balanceador de carga do aplicativo é roteado pelo gateway de roteamento dinâmico para o balanceador de carga do aplicativo. O CIDR de destino da sub-rede de spoke é roteado por meio do DRG como a sub-rede padrão 0.0.0.0/0 (todos os endereços).