2024年3月29日发(作者:)

关于ASA限速的问题

对于限速中出现的input和output的方向是针对你把策略应用到的接口,比如:

outside或者Inside接口

如果你应用在inside接口,那么input就是上行流量,output就是下行流量

如果你应用在outside接口,那么Input就是下行流量,output就是上行流量

对单个IP进行限速是可以的,但必须一个ACL匹配一个class-map,否则会速度卡。

举例如下:

access-list xiaozhen extended permit ip any host 192.168.200.100

class-map xiaozhen

match access-list xiaozhen

policy-map xiansu

class xiaozhen

police output 1600000 40000//这里必须指明方向

service-policy xiansu interface inside

如果做和上面一样格式ACL将别的IP加入到xiaozhen这个class-map里,将导致

class内所有的主机很卡

应该一个IP做一个类,这样不会卡。一般我们不建议这样规划设计。

也可以对内网某个网段进行限速:

access-list vlan12 extended permit ip 192.168.10.0 255.255.255.0 any//匹配上

行流量

access-list vlan12 extended permit ip any 192.168.10.0 255.255.255.0//匹配下

行流量

class-map vlan12

match access-list vlan12

policy-map xiansu

class vlan12

policy input 150000 567000//前面一个数字是基本速率,后一个是突发速率

policy output 150000 567000

class *****