ASA5500 traffic policing – obousměrný „shaping“

Pokud je třeba omezovat šířku pásma z/do interfacu, nevystačíme pouze se shapingem ale musíme použít policy shaping. Shaping totiž omezuje pásmo pouze ve směru z interfacu. Příklad konfigurace policy shapingu je zde.

### Definice ACL pro shaping, je možno omezovat pouze konkrétní port, zde je ovšem omezení na ip ###
asa5500(config)# access-list shape-WiFi extended permit ip any 172.31.255.0 255.255.255.0
asa5500(config)# access-list shape-WiFi extended permit ip 172.31.255.0 255.255.255.0 any

### Definice class mapy ###
asa5500(config)# class-map CM-WiFi
asa5500(config-cmap)# match access-list shape-WiFi

### Definice policy mapy – je možno omezit pouze jeden směr, zde je omezení pro oba směry ###
asa5500(config)# policy-map PM-WiFi
asa5500(config-pmap)# class CM-WiFi
asa5500(config-pmap-c)# police input 512000 64000 conform-action transmit exceed-action drop
asa5500(config-pmap-c)# police output 512000 64000 conform-action transmit exceed-action drop

### Nasazení policy mapy na interface ###
asa5500(config)# service-policy PM-WiFi interface DMZWiFi

### Ověření funkčnosti a výpis statistik ###
asa5500(config)# show service-policy interface DMZWiFi
Interface DMZWiFi:
Service-policy: PM-WiFi
Class-map: CM-WiFi
Input police Interface DMZWiFi:
cir 512000 bps, bc 64000 bytes
conformed 447 packets, 216136 bytes; actions: transmit
exceeded 0 packets, 0 bytes; actions: drop
conformed 1120 bps, exceed 0 bps
Output police Interface DMZWiFi:
cir 512000 bps, bc 64000 bytes
conformed 414 packets, 53048 bytes; actions: transmit
exceeded 0 packets, 0 bytes; actions: drop
conformed 272 bps, exceed 0 bps

zdroj: http://blog.ine.com/2008/09/20/qos-on-the-pixasa-%E2%80%93-part-4traffic-shaping-and-traffic-policing/

 

Nexus 5548UP – output errors
Při průchodu jumbo paketů switchem Nexus, který funguje v režimu cut-through, se generují chyby na výstupu z portů.
Řešením je v nastavení jumbo mtu viz níže. Tato rada pochází z Cisco TAC.

system jumbomtu 9216
policy-map type network-qos INCREASE_MTU
class type network-qos class-default
mtu 9216
system qos
service-policy type network-qos INCREASE_MTU

Cisco ASA remote management přes VPN
Pokud požadujeme zabezpečit management Cisco ASA5500 šifrováním přes spojení VPN klienta, lze to provést následovně.
V konfiguraci nastavíme interface, který bude přes VPN spojení dostupný. Bez tohoto příkazu se na inside interface z klientské VPN terminované na outside rozhraní nelze dostat, neboť ASA není router a defaultně neodpovídá z rozhraní, ke kterému nejsme připojeni resp. do kterého přímo neteče provoz od nás.
Popis:
VPN pool: 192.168.255.0/24
interface inside ip: 192.168.1.1
Příkazy:
! zpřístupnění inside rozhraní pro management
management-access inside
! povolení ssh a ASDM z VPN poolu
ssh 192.168.255.0 255.255.255.0 inside
http 192.168.255.0 255.255.255.0 inside

V tomto okamžiku můžeme přes spojenou klientskou VPN terminovat ssh a ASDM na ip adresu inside rozhraní – 192.168.1.1