У меня есть одна выделенная линия на 100 Мбайт, которая будет использоваться тремя не связанными между собой компаниями.
Мы собираемся купить cisco ASA 5512-X, и мне нужно использовать контроль, чтобы каждая компания получала 1/3 полосы пропускания. Таким образом, я могу установить три vlan, но могу ли я осуществлять контроль между тремя vlanами.
В качестве альтернативы можно было бы настроить ASA таким образом, чтобы я мог назначать общедоступный IP-адрес каждому из внутренних интерфейсов, продолжая контролировать трафик между ними. Компании смогут подключить маршрутизатор к своему назначенному порту локальной сети.
Возможно, самый простой способ установить это - установить ASA в прозрачный режим с применением политик для каждого IP-адреса. ASA будет использовать один из общедоступных IP-адресов, но вам в любом случае понадобится / 29.
firewall transparent
!
interface Ethernet0/0
nameif outside
security-level 0
!
interface Ethernet0/1
nameif inside
security-level 100
!
ip address 1.2.3.4 255.255.255.0
route outside 0.0.0.0 0.0.0.0 1.2.3.5 1
!
access-list rate-limit-tenant1 extended permit ip any 1.2.3.1 255.255.255.255
access-list rate-limit-tenant1 extended permit ip 1.2.3.1 255.255.255.255 any
access-list rate-limit-tenant2 extended permit ip any 1.2.3.2 255.255.255.255
access-list rate-limit-tenant2 extended permit ip 1.2.3.2 255.255.255.255 any
access-list rate-limit-tenant3 extended permit ip any 1.2.3.3 255.255.255.255
access-list rate-limit-tenant3 extended permit ip 1.2.3.3 255.255.255.255 any
!
class-map rate-limit-tenant1
match access-list rate-limit-tenant1
class-map rate-limit-tenant2
match access-list rate-limit-tenant2
class-map rate-limit-tenant3
match access-list rate-limit-tenant3
!
policy-map rate-limit-tenant1
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
policy-map rate-limit-tenant2
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
policy-map rate-limit-tenant3
class rate-limit-nuwave
police input 33300000 10240
police output 33300000 10240
!
Это дает каждому из трех арендаторов 33,3 Мбит / с с небольшим всплеском. ASA использует 1.2.3.4 для доступа к управлению, а 1.2.3.5 - это шлюз ISP в этом примере. При этом не используются vLAN, но они в любом случае не нужны. Если бы вы действительно захотели их использовать, вам пришлось бы иметь отдельные подсети для каждого клиента и работать в режиме маршрутизации вместо прозрачного.
Я не пробовал копировать этот код в конфигурацию по умолчанию. Я считаю, что это близко, но не все, что нужно.