policiamento cisco asa 5512-x

Question

Possivelmente a maneira mais fácil de configurar isso seria definir o ASA para o modo transparente com policiamento por IP. O ASA usaria um dos IP públicos, mas você precisaria de um /29 de qualquer maneira.

firewall transparent
!
interface Ethernet0/0
 nameif outside
 security-level 0
!
interface Ethernet0/1
 nameif inside
 security-level 100
!
ip address 1.2.3.4 255.255.255.0
route outside 0.0.0.0 0.0.0.0 1.2.3.5 1
!
access-list rate-limit-tenant1 extended permit ip any 1.2.3.1 255.255.255.255
access-list rate-limit-tenant1 extended permit ip 1.2.3.1 255.255.255.255 any
access-list rate-limit-tenant2 extended permit ip any 1.2.3.2 255.255.255.255
access-list rate-limit-tenant2 extended permit ip 1.2.3.2 255.255.255.255 any
access-list rate-limit-tenant3 extended permit ip any 1.2.3.3 255.255.255.255
access-list rate-limit-tenant3 extended permit ip 1.2.3.3 255.255.255.255 any
!
class-map rate-limit-tenant1
 match access-list rate-limit-tenant1
class-map rate-limit-tenant2
 match access-list rate-limit-tenant2
class-map rate-limit-tenant3
 match access-list rate-limit-tenant3
!
policy-map rate-limit-tenant1
 class rate-limit-nuwave
  police input 33300000 10240
  police output 33300000 10240
!
policy-map rate-limit-tenant2
 class rate-limit-nuwave
  police input 33300000 10240
  police output 33300000 10240
!
policy-map rate-limit-tenant3
 class rate-limit-nuwave
  police input 33300000 10240
  police output 33300000 10240
!

Isso dá a cada um dos três locatários 33,3 Mbps com uma pequena explosão. O ASA usa 1.2.3.4 para acesso de gerenciamento, e 1.2.3.5 é o gateway do ISP neste exemplo. Isso não usa vLANs, mas elas não são necessárias de qualquer maneira. Se você quisesse usá-los, teria que ter sub-redes separadas para cada locatário e operar no modo roteado em vez de transparente.

_{Não tentei copiar e colar esse código em uma configuração padrão. Acredito que esteja perto, mas não é tudo o que é necessário.}

Answer 1

Possivelmente a maneira mais fácil de configurar isso seria definir o ASA para o modo transparente com policiamento por IP. O ASA usaria um dos IP públicos, mas você precisaria de um /29 de qualquer maneira.

firewall transparent
!
interface Ethernet0/0
 nameif outside
 security-level 0
!
interface Ethernet0/1
 nameif inside
 security-level 100
!
ip address 1.2.3.4 255.255.255.0
route outside 0.0.0.0 0.0.0.0 1.2.3.5 1
!
access-list rate-limit-tenant1 extended permit ip any 1.2.3.1 255.255.255.255
access-list rate-limit-tenant1 extended permit ip 1.2.3.1 255.255.255.255 any
access-list rate-limit-tenant2 extended permit ip any 1.2.3.2 255.255.255.255
access-list rate-limit-tenant2 extended permit ip 1.2.3.2 255.255.255.255 any
access-list rate-limit-tenant3 extended permit ip any 1.2.3.3 255.255.255.255
access-list rate-limit-tenant3 extended permit ip 1.2.3.3 255.255.255.255 any
!
class-map rate-limit-tenant1
 match access-list rate-limit-tenant1
class-map rate-limit-tenant2
 match access-list rate-limit-tenant2
class-map rate-limit-tenant3
 match access-list rate-limit-tenant3
!
policy-map rate-limit-tenant1
 class rate-limit-nuwave
  police input 33300000 10240
  police output 33300000 10240
!
policy-map rate-limit-tenant2
 class rate-limit-nuwave
  police input 33300000 10240
  police output 33300000 10240
!
policy-map rate-limit-tenant3
 class rate-limit-nuwave
  police input 33300000 10240
  police output 33300000 10240
!

Isso dá a cada um dos três locatários 33,3 Mbps com uma pequena explosão. O ASA usa 1.2.3.4 para acesso de gerenciamento, e 1.2.3.5 é o gateway do ISP neste exemplo. Isso não usa vLANs, mas elas não são necessárias de qualquer maneira. Se você quisesse usá-los, teria que ter sub-redes separadas para cada locatário e operar no modo roteado em vez de transparente.

_{Não tentei copiar e colar esse código em uma configuração padrão. Acredito que esteja perto, mas não é tudo o que é necessário.}

policiamento cisco asa 5512-x

Responder1

informação relacionada