此图显示了使用 Cisco 威胁防御防火墙的区域中中心服务器 VCN 与 Web 或应用程序（分支）VCN 之间的北南入站通信流。OCI 区域包含两个可用性域。该区域包含一个集线器 VCN 和一个由动态路由网关 (DRG) 连接的单个分支 VCN （Web 或应用程序层）。

• Hub VCN (192.168.0.0/16)：

  中心服务器 VCN 包含一个由两个 Cisco 威胁防御防火墙虚拟机 (VM) 组成的群集，每个可用性域中有一个 VM 作为内部和外部灵活网络负载平衡器之间的三角形。集线器 VCN 还包括管理中心 VM (Management Center VM, FMC)，用于管理 Cisco 威胁防御防火墙。中心服务器 VCN 包含四个子网：管理子网、信任子网、不可信子网和 nlb 子网。
  • 管理子网使用主接口 (mgmt) 允许最终用户连接到用户界面。
  • 诊断子网使用辅助接口 (diag) 进行 Cisco 威胁防御防火墙诊断。
  • 内部子网使用第三个接口 gig0/0 进行进出 Cisco 威胁防御防火墙的内部通信。
  • 出站子网使用虚拟第四个接口 (gig0/1) 进行与 Cisco 威胁防御防火墙之间的外部通信。
  • nlb 子网允许最终用户创建专用或公共灵活的网络负载平衡器，从而允许从 Internet 进行内部部署和入站连接。
• 入站通信从外部源通过外部网络负载平衡器公共 IP 进入集线器 VCN 到 Cisco 威胁防御防火墙：
  • Internet 网关：从 Internet 和外部 Web 客户机的通信将路由到外部公共网络负载平衡器，然后通过外部子网转到 Cisco 威胁防御防火墙之一。nlb 公共负载平衡器具有公共地址，允许您从外部连接。默认路由允许目标 CIDR 为 0.0.0.0/0（所有地址）和外部子网 CIDR 中的第一个主机 IP 地址）。
  • 动态路由网关 (DRG)：从客户数据中心 (172.16.0.0/12) 流量路由到外部专用负载平衡器，然后通过外部子网转到 Cisco 威胁防御防火墙之一。DRG 目标 CIDR 为 10.0.0.0/24 或 10.0.1.0/24 或分支 VCN。DRG 还用于支持 VCN 之间的通信。每个 VCN 都有一个指向动态路由网关的附件。
  • Cisco 威胁防御：流量通过网关 VM 和内部子网路由到 DRG。源地址转换是在 Cisco 威胁防御中使用内部接口 IP 地址进行的。与分支 VCN 关联的内部子网（10.0.0.0/24 或 10.0.1.0/24 或应用程序或数据库的分支 VCN）的默认目标 CIDR。此地址是内部子网 CIDR 中的第一个主机 IP 地址。
  • 动态路由网关：从内部子网到分支 VCN 的通信通过 DRG 进行路由。
    • 应用程序或 Web：如果流量指向此通话 VCN，则通过 DRG Application/Web VCN 附件连接进行路由。
    • 数据库：如果流量被指定到此分支 VCN，则它将通过 DRG Database VCN 附件连接路由。
• Web 或应用程序层表示 VCN (10.0.0.0/24)：

  VCN 包含一个子网。应用程序负载平衡器管理每个可用性域中的 Web VM 和应用程序 VM 之间的通信。从集线器 VCN 到应用负载平衡器的通信通过动态路由网关路由到应用负载平衡器。分支子网目标 CIDR 通过 DRG 路由为默认子网 0.0.0.0/0（所有地址）。