此圖像顯示 Hub VCN 與使用 Cisco 威脅防火牆之區域中的 Web 或應用程式 (網幅) VCN 之間的北弱輸入流量流程。OCI 區域包含兩個可用性網域。此區域包含一個 Hub VCN 和一個由動態路由閘道 (DRG) 連線的網幅 VCN (Web 或應用程式層)。

• Hub VCN (192.168.0.0/16)：

  Hub VCN 包含兩個 Cisco Threat Defense 防火牆虛擬機器 (VM) 的叢集，每個可用性網域中都有一個 VM，作為內部與外部彈性網路負載平衡器之間的三明治。中樞 VCN 也包含管理中心 VM (FMC)，可管理 Cisco 威脅防火牆。Hub VCN 包含四個子網路：管理子網路、信任子網路、不受信任的子網路以及 nlb 子網路。
  • 管理子網路使用主要介面 (mgmt) 來允許一般使用者連線至使用者介面。
  • 診斷子網路使用次要介面 (diag) 作為 Cisco 威脅防火牆的診斷用途。
  • 內部子網路使用第三個介面 gig0/0 作為 Cisco 威脅防火牆的內部流量。
  • 輸出子網路使用虛擬第四個介面 (gig0/1) 作為 Cisco 威脅防火牆的外部流量。
  • nlb 子網路可讓一般使用者建立專用或公用彈性網路負載平衡器，以允許從網際網路進行內部部署和輸入連線。
• 輸入流量會透過外部網路負載平衡器公用 IP，將 Hub VCN 輸入 Cisco 威脅防火牆：
  • 網際網路閘道：從網際網路和外部 Web 從屬端的流量會路由至外部公用網路負載平衡器，然後透過外部子網路移至其中一個 Cisco 威脅防火牆。nlb 公用負載 balanacer 有一個公用位址，可讓您從外部連線。預設路由允許目的地 CIDR 為 0.0.0.0/0 (所有位址) 和外部子網路 CIDR 中的第一個主機 IP 位址。
  • 動態路由閘道 (DRG)：從客戶資料中心 (172.16.0.0/12) 傳送流量至外部專用負載平衡器，然後透過外部子網路傳送至其中一個 Cisco 威脅防火牆。DRG 目的地 CIDR 為 10.0.0.0/24、10.0.1.0/24 或網幅 VCN。DRG 也用來支援 VCN 之間的通訊。每個 VCN 都有一個動態路由閘道的連附項。
  • Cisco 威脅防禦：流量會透過閘道 VM 和內部子網路遞送至 DRG。使用內部介面 IP 位址在 Cisco 威脅防禦上進行來源位址轉譯。與網幅 VCN (10.0.0.0/24 或 10.0.1.0/24) 關聯之內部子網路的預設目的地 CIDR，或應用程式或資料庫的網幅 VCN。此位址是子網路 CIDR 內的第一個主機 IP 位址。
  • 動態路由閘道：從內部子網路到網幅 VCN 的流量會透過 DRG 路由。
    • 應用程式或 Web：如果流量目的地為此網幅 VCN，則會透過 DRG Application/Web VCN 附件連線來遞送。
    • 資料庫：如果流量目的地為此網幅 VCN，則會透過 DRG Database VCN 連附連線來遞送。
• Web 或應用程式層網幅 VCN (10.0.0.0/24)：

  VCN 包含單一子網路。應用程式負載平衡器可管理每個可用性網域中 Web 與應用程式 VM 之間的流量。從中樞 VCN 到應用程式負載平衡器的流量會透過動態路由閘道遞送至應用程式負載平衡器。網幅子網路目的地 CIDR 會透過 DRG 遞送為預設子網路 0.0.0.0/0 (所有位址)。