如何在两个 ASA 之间为 IPSec 流量实施流量监管?

网络工程 思科 警务
2021-07-06 18:42:34

由于我们已经获得了巨大的互联网升级,我尝试在我们的本地 ASA 设置流量监管规则。目前,我们的一个办公室有一个 1GB 的互联网上行链路,使一些低速办公室饱和。

我正在尝试使用以下配置全面限制来自该站点的所有 esp 流量。我对这条规则的理解是“所有穿越 NYHQ-OUTSIDE_COGENT 的 esp 协议流量都将被限制在 8kb/秒”,但是通过该接口发送和接收的速度都以每秒 60 兆字节的速度运行。

谁能指出我在哪里犯了错误?

编辑:这是有关 ASA 的 sh inv:


NYHQ-ASA# sh inv
Name: "Chassis", DESCR: "ASA 5515-X with SW, 6 GE Data, 1 GE Mgmt, AC"
PID: ASA5515


access-list NYHQ-OUTSIDE_COGENT_mpc extended permit esp any any

class-map Cogent-Class
 match access-list NYHQ-OUTSIDE_COGENT_mpc

policy-map Cogent-Policy
 class Cogent-Class
  police input 8000
  police output 8000
!
service-policy Cogent-Policy interface NYHQ-OUTSIDE_COGENT
1个回答

前段时间我也有类似的要求,请参阅这篇文章,其中详细说明了隧道组的限制,它将捕获通过该特定 VPN 的任何内容,cisco-asa-rate-limit-vpn-tunnel

希望这会有所帮助,任何问题都可以告诉我。请查看更多详情:

隧道组应该已经按照通常的配置就位:

隧道组 85.205.255.6 类型 ipsec-l2l
隧道组 85.205.255.6 ipsec 属性
 预共享密钥 *

1) 创建一个类映射来定义应该匹配的流量,在我们的例子中,我们将匹配任何通过隧道组的流量:

类映射 VF-VPN-Class
 匹配隧道组 85.205.255.6
 匹配流 ip 目标地址

2)创建一个策略映射,将类映射与它相关联,并为匹配的流量定义一个动作,下面的数据以bps为单位:

政策地图外政策
 类 VF-VPN-类
  警察输出 75000000 37500

3) 通过将策略映射分配给外部接口来激活它:

服务策略外策略接口外

4) 通过从防火墙后面的服务器跨隧道 ping 验证策略是否生效:

(asa)# sh 服务政策
外部接口:
  服务政策:外部政策
    类图:VF-VPN-Class
      输出报警接口外:
        cir 75000000 bps, bc 37500 字节
        符合4个数据包,440字节;动作:传送
        超出0包,0字节;动作:放下
        符合 200 bps,超过 0 bps
其它你可能感兴趣的问题
上一篇是否可以强制 DHCPv6 在没有 DHCP 服务器的情况下配置客户端的地址? 下一篇Cisco 2960 交换机随机拒绝 Telnet 连接