vigilancia de cisco asa 5512-x

Question

Posiblemente la forma más sencilla de configurar esto sería configurar el ASA en modo transparente con vigilancia por IP. El ASA usaría una de las IP públicas, pero de todos modos necesitaría un /29.

firewall transparent
!
interface Ethernet0/0
 nameif outside
 security-level 0
!
interface Ethernet0/1
 nameif inside
 security-level 100
!
ip address 1.2.3.4 255.255.255.0
route outside 0.0.0.0 0.0.0.0 1.2.3.5 1
!
access-list rate-limit-tenant1 extended permit ip any 1.2.3.1 255.255.255.255
access-list rate-limit-tenant1 extended permit ip 1.2.3.1 255.255.255.255 any
access-list rate-limit-tenant2 extended permit ip any 1.2.3.2 255.255.255.255
access-list rate-limit-tenant2 extended permit ip 1.2.3.2 255.255.255.255 any
access-list rate-limit-tenant3 extended permit ip any 1.2.3.3 255.255.255.255
access-list rate-limit-tenant3 extended permit ip 1.2.3.3 255.255.255.255 any
!
class-map rate-limit-tenant1
 match access-list rate-limit-tenant1
class-map rate-limit-tenant2
 match access-list rate-limit-tenant2
class-map rate-limit-tenant3
 match access-list rate-limit-tenant3
!
policy-map rate-limit-tenant1
 class rate-limit-nuwave
  police input 33300000 10240
  police output 33300000 10240
!
policy-map rate-limit-tenant2
 class rate-limit-nuwave
  police input 33300000 10240
  police output 33300000 10240
!
policy-map rate-limit-tenant3
 class rate-limit-nuwave
  police input 33300000 10240
  police output 33300000 10240
!

Esto le da a cada uno de los 3 inquilinos 33,3 Mbps con una pequeña ráfaga. El ASA utiliza 1.2.3.4 para el acceso de administración y 1.2.3.5 es la puerta de enlace del ISP en este ejemplo. Esto no utiliza vLAN, pero de todos modos no son necesarias. Si quisiera usarlos, tendría que tener subredes separadas para cada inquilino y operar en modo enrutado en lugar de transparente.

_{No he intentado copiar y pegar este código en una configuración predeterminada. Creo que está cerca, pero no es todo lo necesario.}

Answer 1

Posiblemente la forma más sencilla de configurar esto sería configurar el ASA en modo transparente con vigilancia por IP. El ASA usaría una de las IP públicas, pero de todos modos necesitaría un /29.

firewall transparent
!
interface Ethernet0/0
 nameif outside
 security-level 0
!
interface Ethernet0/1
 nameif inside
 security-level 100
!
ip address 1.2.3.4 255.255.255.0
route outside 0.0.0.0 0.0.0.0 1.2.3.5 1
!
access-list rate-limit-tenant1 extended permit ip any 1.2.3.1 255.255.255.255
access-list rate-limit-tenant1 extended permit ip 1.2.3.1 255.255.255.255 any
access-list rate-limit-tenant2 extended permit ip any 1.2.3.2 255.255.255.255
access-list rate-limit-tenant2 extended permit ip 1.2.3.2 255.255.255.255 any
access-list rate-limit-tenant3 extended permit ip any 1.2.3.3 255.255.255.255
access-list rate-limit-tenant3 extended permit ip 1.2.3.3 255.255.255.255 any
!
class-map rate-limit-tenant1
 match access-list rate-limit-tenant1
class-map rate-limit-tenant2
 match access-list rate-limit-tenant2
class-map rate-limit-tenant3
 match access-list rate-limit-tenant3
!
policy-map rate-limit-tenant1
 class rate-limit-nuwave
  police input 33300000 10240
  police output 33300000 10240
!
policy-map rate-limit-tenant2
 class rate-limit-nuwave
  police input 33300000 10240
  police output 33300000 10240
!
policy-map rate-limit-tenant3
 class rate-limit-nuwave
  police input 33300000 10240
  police output 33300000 10240
!

Esto le da a cada uno de los 3 inquilinos 33,3 Mbps con una pequeña ráfaga. El ASA utiliza 1.2.3.4 para el acceso de administración y 1.2.3.5 es la puerta de enlace del ISP en este ejemplo. Esto no utiliza vLAN, pero de todos modos no son necesarias. Si quisiera usarlos, tendría que tener subredes separadas para cada inquilino y operar en modo enrutado en lugar de transparente.

_{No he intentado copiar y pegar este código en una configuración predeterminada. Creo que está cerca, pero no es todo lo necesario.}

vigilancia de cisco asa 5512-x

Respuesta1

información relacionada