Как в cisco ASA выбрать диапазон НЕ частных сетей?

Question

[Сергей]

Пишу по статье Настройка мониторинга и QoS на cisco ASA ограничение скорости доступа в интернет для пользователей.
Но в статье ограничивается вообще вся скорость. Не только в интернет, но и в локальную сеть.
Нужно ограничить доступ только в интернет.
Как выбрать диапазон всех сетей, кроме частных?
Если частные я могу собрать в группу, то как собрать НЕ частные?

object network 10.0.0.0
 subnet 10.0.0.0 255.0.0.0
object network 172.16.0.0
 subnet 172.16.0.0 255.240.0.0
object network 192.168.0.0
 subnet 192.168.0.0 255.255.0.0
object-group network RFC1918
 network-object object 10.0.0.0
 network-object object 172.16.0.0
 network-object object 192.168.0.0

Answer 1

[Karroplan]

обычно, доступ в интернет происходит через отдельный интерфейс. Типа, Gi0/0 - в интернет, Gi0/1 - в локальную сеть, Gi0/2 в сторону WAN нашей компании. Поэтому нет смысла делать какой-то там фильтр по подсетям. просто делаешь шейпер на весь интерфейс в сторону интернета и все.

Comments

[Сергей]

А разве можно внутренний трафик шейперить на внешнем? Там жe IP уже другие буду после NAT-a

[Karroplan]

Сергей: а какая разница? не надо шейпить по ip-адресам, надо просто шейпить. интерфейс Gi0/1 (outside) - шейпить весь исходящий трафик до 20mbps и всё. ну и fair-queue чтоб не повадно. Если трафик идет через интерфейс, значит он идет в интернет, вот и всё, какая разница с каких адресов он идет?

[Karroplan]

Karroplan: скажем так, если у вас в интерфейс с подключенным интернетом убежал трафик направленый на частные адреса - там он и сдохнет, и много места не займет. ну и заодно значит у вас что-то неправильно настроено ) но явно не шейпинг

[Сергей]

Karroplan: В том то и дело, что мне нужно шейпить только трафик от юзеров. Серверный трафик должен использовать весь канал и иметь высший приоритет

[Karroplan]

Сергей: для этого нужно использовать другие средства. например разную маркировку трафика с помощью dscp. трафик от серверов маркировать каким-то классом, допустим af41, а от пользователей принудительно сбрасывать маркировку в be и в policy делать для класса с окраской af41 гарантированную полосу в 80% канала, а остатки в class-default и ему bandwidth remaining

[Karroplan]

Сергей: имею в виду, что после nat адреса конечно не сохранятся, а вот окраска останется.