
私は 100 MB の専用回線を 1 本所有しており、これを無関係な 3 つの企業で共有する予定です。
Cisco ASA 5512-X の購入を検討しており、各会社が帯域幅の 1/3 を受け取るようにポリシングを使用する必要があります。3 つの VLAN を設定できますが、3 つの VLAN 間でポリシングを行うことはできますか。
代替案として、ASA を設定して、内部インターフェイスのそれぞれにパブリック IP アドレスを割り当てながら、それらの間のトラフィックをポリシングできるようにすることは可能でしょうか。企業は、割り当てられた LAN ポートにルーターを接続できるようになります。
答え1
おそらく、これを設定する最も簡単な方法は、ASA を IP ごとにポリシングする透過モードに設定することです。ASA はパブリック IP の 1 つを使用しますが、いずれにしても /29 が必要になります。
firewall transparent
!
interface Ethernet0/0
nameif outside
security-level 0
!
interface Ethernet0/1
nameif inside
security-level 100
!
ip address 1.2.3.4 255.255.255.0
route outside 0.0.0.0 0.0.0.0 1.2.3.5 1
!
access-list rate-limit-tenant1 extended permit ip any 1.2.3.1 255.255.255.255
access-list rate-limit-tenant1 extended permit ip 1.2.3.1 255.255.255.255 any
access-list rate-limit-tenant2 extended permit ip any 1.2.3.2 255.255.255.255
access-list rate-limit-tenant2 extended permit ip 1.2.3.2 255.255.255.255 any
access-list rate-limit-tenant3 extended permit ip any 1.2.3.3 255.255.255.255
access-list rate-limit-tenant3 extended permit ip 1.2.3.3 255.255.255.255 any
!
class-map rate-limit-tenant1
match access-list rate-limit-tenant1
class-map rate-limit-tenant2
match access-list rate-limit-tenant2
class-map rate-limit-tenant3
match access-list rate-limit-tenant3
!
policy-map rate-limit-tenant1
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
policy-map rate-limit-tenant2
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
policy-map rate-limit-tenant3
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
これにより、3 つのテナントそれぞれに、小さなバーストで 33.3Mbps が提供されます。ASA は管理アクセスに 1.2.3.4 を使用し、この例では 1.2.3.5 が ISP のゲートウェイです。これは vLAN を使用しませんが、いずれにしても必要ありません。vLAN を使用する場合は、テナントごとに別々のサブネットを用意し、透過モードではなくルーティング モードで動作する必要があります。
このコードをコピーしてデフォルト設定に貼り付けることは試していません。近いものだと思いますが、必要なものがすべてではありません。