我有一條 100mb 的租用線路,將由三家不相關的公司共用。
我們正在考慮購買 cisco ASA 5512-X,我需要使用監管來確保每家公司獲得 1/3 的頻寬。所以我可以設定三個 VLAN,但是我可以在這三個 VLAN 之間/之間進行監管嗎?
作為替代方案,可以設定 ASA,以便我可以為每個內部介面指派公用 IP 位址,同時仍會監管它們之間的流量。這些公司將能夠將路由器連接到自己指定的 LAN 連接埠。
答案1
可能最簡單的設定方法是將 ASA 設定為透明模式,並按 IP 進行監管。 ASA 將使用公用 IP 之一,但無論如何您都需要 /29。
firewall transparent
!
interface Ethernet0/0
nameif outside
security-level 0
!
interface Ethernet0/1
nameif inside
security-level 100
!
ip address 1.2.3.4 255.255.255.0
route outside 0.0.0.0 0.0.0.0 1.2.3.5 1
!
access-list rate-limit-tenant1 extended permit ip any 1.2.3.1 255.255.255.255
access-list rate-limit-tenant1 extended permit ip 1.2.3.1 255.255.255.255 any
access-list rate-limit-tenant2 extended permit ip any 1.2.3.2 255.255.255.255
access-list rate-limit-tenant2 extended permit ip 1.2.3.2 255.255.255.255 any
access-list rate-limit-tenant3 extended permit ip any 1.2.3.3 255.255.255.255
access-list rate-limit-tenant3 extended permit ip 1.2.3.3 255.255.255.255 any
!
class-map rate-limit-tenant1
match access-list rate-limit-tenant1
class-map rate-limit-tenant2
match access-list rate-limit-tenant2
class-map rate-limit-tenant3
match access-list rate-limit-tenant3
!
policy-map rate-limit-tenant1
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
policy-map rate-limit-tenant2
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
policy-map rate-limit-tenant3
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
這為 3 個租戶中的每一個提供了 33.3Mbps 的小突發流量。 ASA 使用 1.2.3.4 進行管理訪問,1.2.3.5 是本範例中 ISP 的網關。這不使用 vLAN,但它們並不是必需的。如果您確實想使用它們,那麼您必須為每個租用戶擁有單獨的子網,並且必須以路由模式而不是透明模式運作。
我沒有嘗試將此程式碼複製並貼上到預設配置中。我相信它已經很接近了,但並不是所有必要的。