Краткая заметка по Modular Policy Framework на межсетевых экранах Cisco ASA. Данная заметка написана относительно L3/L4 трафика.
Class-map — определяет тип трафика.
Policy-map — определяет действие для типа трафика, заданного в class-map.
Service-Policy — определяет место применения policy-map, либо глобально (input direction), либо относительно интерфейса (может быть как input так и output, что указывается в policy-map).
Пример ограничения скорости скачивания (download) и загрузки (upload) на внешнем интерфейсе для HTTP 80 на ASA
(config)#access-list HTTP permit tcp any any eq 80 (config)#access-list HTTP permit tcp any eq 80 any (config)#class-map MATCH_HTTP (config-cmap)#match access-list HTTP (config)#policy-map HTTP_RESTRICT (config-pmap)#class-map MATCH_HTTP (config-pmap-c)#police input 500000 // (500Kbits/s) (config-pmap-c)#police output 500000 //(500Kbits/s) (config)#service-policy HTTP_RESTRICT interface outside
