Ich habe eine einzelne 100-MB-Standleitung, die von drei unabhängigen Unternehmen gemeinsam genutzt wird.
Wir möchten einen Cisco ASA 5512-X kaufen und ich muss Policing verwenden, um sicherzustellen, dass jedes Unternehmen 1/3 der Bandbreite erhält. Ich kann also drei VLANs einrichten, aber kann ich Policing über/zwischen den drei VLANs durchführen?
Alternativ wäre es möglich, die ASA so zu konfigurieren, dass ich jeder der internen Schnittstellen eine öffentliche IP-Adresse zuweisen und gleichzeitig den Verkehr zwischen ihnen überwachen kann. Die Unternehmen könnten dann einen Router an ihren eigenen zugewiesenen LAN-Port anschließen.
Antwort1
Die einfachste Möglichkeit, dies einzurichten, besteht wahrscheinlich darin, die ASA in den transparenten Modus mit Überwachung pro IP zu versetzen. Die ASA würde eine der öffentlichen IPs verwenden, aber Sie benötigen ohnehin eine /29.
firewall transparent
!
interface Ethernet0/0
nameif outside
security-level 0
!
interface Ethernet0/1
nameif inside
security-level 100
!
ip address 1.2.3.4 255.255.255.0
route outside 0.0.0.0 0.0.0.0 1.2.3.5 1
!
access-list rate-limit-tenant1 extended permit ip any 1.2.3.1 255.255.255.255
access-list rate-limit-tenant1 extended permit ip 1.2.3.1 255.255.255.255 any
access-list rate-limit-tenant2 extended permit ip any 1.2.3.2 255.255.255.255
access-list rate-limit-tenant2 extended permit ip 1.2.3.2 255.255.255.255 any
access-list rate-limit-tenant3 extended permit ip any 1.2.3.3 255.255.255.255
access-list rate-limit-tenant3 extended permit ip 1.2.3.3 255.255.255.255 any
!
class-map rate-limit-tenant1
match access-list rate-limit-tenant1
class-map rate-limit-tenant2
match access-list rate-limit-tenant2
class-map rate-limit-tenant3
match access-list rate-limit-tenant3
!
policy-map rate-limit-tenant1
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
policy-map rate-limit-tenant2
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
policy-map rate-limit-tenant3
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
Dies gibt jedem der 3 Mieter 33,3 Mbit/s mit einem kleinen Schub. Die ASA verwendet 1.2.3.4 für den Verwaltungszugriff und 1.2.3.5 ist in diesem Beispiel das Gateway des ISPs. Dies verwendet keine vLANs, aber sie sind sowieso nicht notwendig. Wenn Sie sie verwenden möchten, müssen Sie für jeden Mieter separate Subnetze haben und im gerouteten statt im transparenten Modus arbeiten.
Ich habe nicht versucht, diesen Code in eine Standardkonfiguration zu kopieren oder einzufügen. Ich glaube, es kommt dem nahe, aber es ist nicht alles, was nötig ist.