관련 없는 세 회사가 공유할 단일 100MB 임대 회선이 있습니다.
우리는 cisco ASA 5512-X를 구매할 예정이며 각 회사가 대역폭의 1/3을 받도록 정책을 사용해야 합니다. 따라서 3개의 VLAN을 설정할 수 있지만 3개의 VLAN 간에 정책을 수행할 수 있습니까?
대안으로, 각 내부 인터페이스에 공용 IP 주소를 할당하는 동시에 내부 인터페이스 간의 트래픽을 계속 관리할 수 있도록 ASA를 구성할 수도 있습니다. 회사에서는 할당된 LAN 포트에 라우터를 연결할 수 있습니다.
답변1
아마도 이를 설정하는 가장 쉬운 방법은 IP당 정책을 적용하여 ASA를 투명 모드로 설정하는 것입니다. ASA는 공용 IP 중 하나를 사용하지만 어쨌든 /29가 필요합니다.
firewall transparent
!
interface Ethernet0/0
nameif outside
security-level 0
!
interface Ethernet0/1
nameif inside
security-level 100
!
ip address 1.2.3.4 255.255.255.0
route outside 0.0.0.0 0.0.0.0 1.2.3.5 1
!
access-list rate-limit-tenant1 extended permit ip any 1.2.3.1 255.255.255.255
access-list rate-limit-tenant1 extended permit ip 1.2.3.1 255.255.255.255 any
access-list rate-limit-tenant2 extended permit ip any 1.2.3.2 255.255.255.255
access-list rate-limit-tenant2 extended permit ip 1.2.3.2 255.255.255.255 any
access-list rate-limit-tenant3 extended permit ip any 1.2.3.3 255.255.255.255
access-list rate-limit-tenant3 extended permit ip 1.2.3.3 255.255.255.255 any
!
class-map rate-limit-tenant1
match access-list rate-limit-tenant1
class-map rate-limit-tenant2
match access-list rate-limit-tenant2
class-map rate-limit-tenant3
match access-list rate-limit-tenant3
!
policy-map rate-limit-tenant1
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
policy-map rate-limit-tenant2
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
policy-map rate-limit-tenant3
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
이는 3개의 테넌트 각각에 작은 버스트로 33.3Mbps를 제공합니다. ASA는 관리 액세스에 1.2.3.4를 사용하고 이 예에서는 1.2.3.5가 ISP의 게이트웨이입니다. 이는 vLAN을 사용하지 않지만 어쨌든 필요하지는 않습니다. 이를 사용하려면 각 테넌트에 대해 별도의 서브넷이 있어야 하며 투명 모드 대신 라우팅 모드에서 작동해야 합니다.
이 코드를 기본 구성에 복사하여 붙여넣는 시도는 하지 않았습니다. 나는 그것이 가깝다고 생각하지만 그것이 필요한 전부는 아닙니다.