วิธีการทำ Rate Limit (Traffic Shaping) บน Cisco FirePOWER

ช่วงที่ผ่านมาผมได้มี Requirement จากทางลูกค้ารายนึงในประเทศเพื่อนบ้านของเราซึ่งค่าให้บริการอินเตอร์เน็ตยังราคาสูงมาก ตรงกันข้ามกับเมืองไทยที่ราคาค่อนข้างถูกลงมาเรื่อย ๆ สวนทางกับความเร็วที่เพิ่มขึ้นให้กับทางลูกค้า จึงทำให้ลูกค้าในฝั่งประเทศเพื่อนบ้านเราหลาย ๆ องค์กรมีความต้องการก็คือ ต้องการ Shape Bandwidth หรือจำกัดความเร็วของการใช้งานอินเตอร์เน็ตโดยกำหนดเป็น By User ที่ sync จาก Active Directory ทางลูกค้ามี FirePOWER รุ่น FP2120 ซึ่งเป็นรุ่นที่ต้องบริหารจัดการแบบ Offbox โดยใช้ FMC (FirePOWER Management Center) ที่เป็น Guest อยู่บน VMWare ESXi ทำการ Configure มาที่ตัวอุปกรณ์ FP2120

หลายคนที่เคยทำ Cisco PIX Firewall และ ASA Firewall เมื่อมาเจอความต้องการของลูกค้าแบบนี้ก็มักจะส่ายหน้า และก็บอกกลับไปว่าจอด ทำไม่ได้ แต่ผมกำลังมาแจ้งข่าวดีว่า Cisco FirePOWER รุ่นใหม่พร้อมกับตัว FMC สามารถทำการบีบอัดความเร็ว (Bandwidth) ได้แล้วนะครับ!!

FirePOWER รุ่นใหม่จะใช้ QoS policy ให้การจัดการเรื่องของการจำกัด Bandwidth ซึ่ง Cisco จะเรียกว่าการทำ Rate Limiting เรามาดูวิธีการทำในแต่ละขั้นตอนกันเลยนะครับ

Feature Requirements

  • FMC/vFMC running 6.2.0 (build 42)
  • FTD/vFTD running 6.2.0

1.ทำที่ FMC และไปที่เมนู Devices/QoS และ Click ไปที่ New Policy 2.ใส่ค่า Name, Description และเลือกอุปกรณ์ที่ต้องจะ Deploy Policy นี้ลงไป แล้วกดปุ่ม Save
3.หลังจากนั้นให้เราทำการใส่ค่า Name, QoS apply บน Source Interface และใส่ค่า Download Limit/Upload Limit ลงไป รวมไปถึง Networks ไหนที่เราต้องการจะทำการ Rate Limit หรือหากเป็น Users ก็สามารถเลือกได้ไม่ว่าจะเป็น group หรือเป็นรายบุคคลจาก Active Directory ที่ทำการ Sync มาจาก Microsoft Windows Server โดยในส่วนนี้ไว้กล่าวถึงวิธีการ sync ในบทความต่อ ๆ ไปอีกครั้งนะครับ ว่าสามารถทำอย่างไรได้บ้าง โดยคร่าว ๆ คือเราสามารถ Sync ผ่าน pxGrid ของ Cisco ISE หรือจะลง Agent แล้วให้ไปดึงข้อมูล User จาก AD โดยตรงก็ได้เช่นกัน

เมื่อใส่ข้อมูลต่าง ๆ เรียบร้อยแล้ว ให้ทำการกด OK เพื่อ Apply Policy และทำการกดปุ่ม Deploy ไปยังตัวอุปกรณ์ FirePOWER

4.ทำการ Verify ว่าสิ่งที่เราทำมันจัดการ Bandwidth ได้จริงโดยการ Test speed ซึ่งผลลัพธ์ที่ออกมาก็ต้องได้ตามที่เราทำ QoS ไว้นั่นเอง จะเห็นได้ว่า FirePOWER ทำการ shape bandwidth ทั้งขา download/upload ให้เหลือเพียงแค่ 10 Mbps ตามที่เราได้ทำ QoS Policy ไว้แล้ว

สำหรับใครที่มี FirePOWER อยู่แล้ว ก็ลองไป Configure และใช้งานกันดูได้นะครับ หากมีคำถามหรือข้อสงสัยส่วนไหนก็สามารถติดต่อมาได้นะครับ และฝากกด Like กด Share บทความเพื่อเป็นกำลังใจให้กันและกันด้วยนะครับ ขอบคุณมากครับ 🙂