我有一条 100mb 的租用线路,将由三家不相关的公司共享。
我们正在考虑购买思科 ASA 5512-X,我需要使用监管来确保每家公司都能获得 1/3 的带宽。因此我可以设置三个 VLAN,但我可以在三个 VLAN 之间进行监管吗?
另一种方法是配置 ASA,这样我就可以为每个内部接口分配一个公共 IP 地址,同时仍然监管它们之间的流量。然后公司可以将路由器连接到自己分配的 LAN 端口。
答案1
最简单的设置方法可能是将 ASA 设置为透明模式,并根据 IP 进行监管。ASA 将使用其中一个公共 IP,但无论如何您都需要一个 /29。
firewall transparent
!
interface Ethernet0/0
nameif outside
security-level 0
!
interface Ethernet0/1
nameif inside
security-level 100
!
ip address 1.2.3.4 255.255.255.0
route outside 0.0.0.0 0.0.0.0 1.2.3.5 1
!
access-list rate-limit-tenant1 extended permit ip any 1.2.3.1 255.255.255.255
access-list rate-limit-tenant1 extended permit ip 1.2.3.1 255.255.255.255 any
access-list rate-limit-tenant2 extended permit ip any 1.2.3.2 255.255.255.255
access-list rate-limit-tenant2 extended permit ip 1.2.3.2 255.255.255.255 any
access-list rate-limit-tenant3 extended permit ip any 1.2.3.3 255.255.255.255
access-list rate-limit-tenant3 extended permit ip 1.2.3.3 255.255.255.255 any
!
class-map rate-limit-tenant1
match access-list rate-limit-tenant1
class-map rate-limit-tenant2
match access-list rate-limit-tenant2
class-map rate-limit-tenant3
match access-list rate-limit-tenant3
!
policy-map rate-limit-tenant1
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
policy-map rate-limit-tenant2
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
policy-map rate-limit-tenant3
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
这为 3 个租户中的每一个提供了 33.3Mbps 的带宽,并出现了小幅突发。ASA 使用 1.2.3.4 进行管理访问,而 1.2.3.5 是本例中的 ISP 网关。这不使用 vLAN,但它们无论如何都不是必需的。如果您确实想使用它们,那么您必须为每个租户设置单独的子网,并且必须在路由模式下运行,而不是透明模式下运行。
我还没有尝试过将此代码复制粘贴到默认配置中。我相信这很接近,但不是全部必要的。