我的办公室有 Covad 双/绑定 T1 服务,通过 Cisco 1841 传输,然后通过 Sonicwall 3060Pro/Enhanced SW 防火墙传输。
我正在寻求一些意见的问题是如何限制单个用户/PC 从互联网下载文件所使用的带宽量。
一个问题是,当一个人下载一个大约 300MB 的文件时,其他员工的正常互联网访问速度就会变得非常缓慢。我通过 MRTG 发现,实际上在下载期间,电路的使用量会跳升至完整的 3mb,然后下降。
可以控制这个吗?我不熟悉 QOS 之类的东西,所以我不确定。
任何帮助都将不胜感激。
谢谢...迈克尔
答案1
迈克尔,
我们已经使用 Sonicwall 大约十年了,我们一直在与这个问题作斗争。您尝试做的事情在 Sonicwall 上是不可能实现的。您可以将总带宽限制为特定协议或端口号,但不能按会话限制。我们目前有一个带有应用程序防火墙的 NSA2400,它仍然是一个总体限制,而不是每个会话的限制。
话虽如此,您可以在 HTTP 协议上设置较低的 QOS,以便任何其他协议都优先。这不会让其他人的浏览速度更快,但不会破坏电子邮件或实时流媒体(除非是 http)。
另一个解决方案是将某些违规者放入用户组中,并将他们限制在您的总带宽的某个部分,所有非违规者仍将剩余的部分用于浏览。这将要求用户在浏览之前登录防火墙,除非您的 3060 具有 LDAP 集成。如果是这样,那么您可以在 Active Directory 中设置组,然后用户就不必每次都登录...
答案2
你无法限制流量在到您的 T1,因为另一侧的设备决定将哪些比特塞入您的管道。因此,您有几个选项需要与运营商沟通(并且可能花费一些额外的费用)。
- 与您的运营商沟通,让他们在来自端口 80 或到外部端口 80 的 TCP 连接上设置 QoS 策略...(如果您只关心这些)。
- 要求他们维护每个流的标记,然后根据您设置的标记设置优先级或带宽分配。因此,您要说的是:“嘿,Covad,让我用 DSCP 优先级 X 标记我的出站 TCP 会话数据包,并确保这些流/会话上的返回流量也标记类似。然后,请确保标记为 X1、X1 或 X2 的流在这些 T1 上分配不低于 A、B 或 C Kbps。”因此,您决定某些流量的价值(即 IT 的 Facebook 和老板的 pr0n > 秘书的实际工作),而 Covad 尊重您对返回路径的决定。
- 与他们沟通,为您的冲浪建立一个辅助通道,并在 1841 上使用 PBR 适当地引导流量出站。您在 2x T1 上有 (46) 个 64Kbps 通道可用,因此请将其中 30 个用作您的优先流量,并将其他 16 个分配给您的网络冲浪者。它们在互联网上显示为不同的 IP,可以应用不同的规则,并且(在此示例中)仅限于 3.0Mbps 连接中的 1Mbps。
- 只需购买“商务级”电缆或 DSL 连接,然后使用基于策略的路由将不重要的流量路由出去。
答案3
如果您不介意安装一台额外的电脑作为网络桥梁,那么该软件可能会有所帮助。
http://www.softperfect.com/products/bandwidth/
我正在使用 SPBWM 和有线连接来限制每个 IP 上的可用带宽。
这是我的网络图。
http://coreybrett.com/images/Network_Diagram.png
我对子网上的每个地址都有一条规则,将带宽限制为 1Mbit/256k。
考虑到我仍在进行 30 次试用,我对技术支持的体验也非常好。
您需要完整版,价格为 100 美元。(因为它有一个用于创建规则的批处理工具)