インターネット接続の帯域幅制御

Question 1

マイケル、

私たちは 10 年ほど Sonicwall を使っていますが、その間ずっとこの問題と戦ってきました。あなたがしようとしていることは、Sonicwall では不可能です。特定のプロトコルまたはポート番号への総帯域幅を制限することはできますが、セッションごとに制限することはできません。現在、アプリケーションファイアウォールを備えた NSA2400 を使用していますが、それでもセッションごとの制限ではなく、総計の制限です。
そうは言っても、HTTP プロトコルの QOS を低く設定して、他のプロトコルを優先させることができます。これによって他のユーザーのブラウジングが速くなることはありませんが、電子メールやリアルタイムストリーミング (http でない限り) が停止することはありません。
もう 1 つの解決策は、特定の違反者をユーザーグループに入れて、総帯域幅の一部に制限し、違反していないすべてのユーザーには残りの部分をブラウジング用に残しておくことです。この場合、3060 に LDAP 統合がない限り、ユーザーはブラウジングする前にファイアウォールにログインする必要があります。LDAP 統合がある場合は、Active Directory にグループを設定すれば、ユーザーは毎回ログインする必要がなくなります...

Answer

マイケル、

私たちは 10 年ほど Sonicwall を使っていますが、その間ずっとこの問題と戦ってきました。あなたがしようとしていることは、Sonicwall では不可能です。特定のプロトコルまたはポート番号への総帯域幅を制限することはできますが、セッションごとに制限することはできません。現在、アプリケーションファイアウォールを備えた NSA2400 を使用していますが、それでもセッションごとの制限ではなく、総計の制限です。
そうは言っても、HTTP プロトコルの QOS を低く設定して、他のプロトコルを優先させることができます。これによって他のユーザーのブラウジングが速くなることはありませんが、電子メールやリアルタイムストリーミング (http でない限り) が停止することはありません。
もう 1 つの解決策は、特定の違反者をユーザーグループに入れて、総帯域幅の一部に制限し、違反していないすべてのユーザーには残りの部分をブラウジング用に残しておくことです。この場合、3060 に LDAP 統合がない限り、ユーザーはブラウジングする前にファイアウォールにログインする必要があります。LDAP 統合がある場合は、Active Directory にグループを設定すれば、ユーザーは毎回ログインする必要がなくなります...

Question 2

あなた流入する交通量を制限できないでT1 には、反対側の機器がチューブに詰め込むビットを決定するため、いくつかのオプションがあります。そのため、キャリアと話し合う必要があります (おそらく追加の費用がかかります)。

キャリアに問い合わせて、ポート 80 からの送信、または外部ポート 80 への TCP 接続に QoS ポリシーを設定するように依頼してください (それがすべてである場合)。
フローごとのマーキングを維持し、設定したマーキングに基づいて優先順位または帯域幅の割り当てを設定するように依頼します。つまり、次のように伝えます。「こんにちは、Covad、送信 TCP セッションパケットに DSCP 優先順位 X をマーキングさせてください。これらのフロー/セッションの戻りトラフィックも同様にマーキングしてください。次に、X1、X1、または X2 とマーキングされたフローに、これらの T1 で A、B、または C Kbps 以上が割り当てられていることを確認してください。」つまり、特定のトラフィックの価値 (つまり、IT の Facebook や上司の pr0n > 秘書の実際の作業) を決定し、Covad は戻りパスに関する決定を尊重します。
彼らと話し合って、サーフィン用のセカンダリチャネルを確立し、1841 の PBR を使用してトラフィックを適切に送信します。2x T1 で (46) の 64Kbps チャネルが利用できるので、そのうち 30 を優先トラフィックに使用し、残りの 16 を Web サーファーに分割します。これらはインターネット上では別の IP として表示され、異なるルールを適用できますが、(この例では) 3.0Mbps 接続の 1Mbps のみに制限されます。
「ビジネスクラス」のケーブルまたは DSL 接続を購入し、ポリシーベースのルーティングを使用して重要でないトラフィックをそこからルーティングするだけです。

Answer

あなた流入する交通量を制限できないでT1 には、反対側の機器がチューブに詰め込むビットを決定するため、いくつかのオプションがあります。そのため、キャリアと話し合う必要があります (おそらく追加の費用がかかります)。

キャリアに問い合わせて、ポート 80 からの送信、または外部ポート 80 への TCP 接続に QoS ポリシーを設定するように依頼してください (それがすべてである場合)。
フローごとのマーキングを維持し、設定したマーキングに基づいて優先順位または帯域幅の割り当てを設定するように依頼します。つまり、次のように伝えます。「こんにちは、Covad、送信 TCP セッションパケットに DSCP 優先順位 X をマーキングさせてください。これらのフロー/セッションの戻りトラフィックも同様にマーキングしてください。次に、X1、X1、または X2 とマーキングされたフローに、これらの T1 で A、B、または C Kbps 以上が割り当てられていることを確認してください。」つまり、特定のトラフィックの価値 (つまり、IT の Facebook や上司の pr0n > 秘書の実際の作業) を決定し、Covad は戻りパスに関する決定を尊重します。
彼らと話し合って、サーフィン用のセカンダリチャネルを確立し、1841 の PBR を使用してトラフィックを適切に送信します。2x T1 で (46) の 64Kbps チャネルが利用できるので、そのうち 30 を優先トラフィックに使用し、残りの 16 を Web サーファーに分割します。これらはインターネット上では別の IP として表示され、異なるルールを適用できますが、(この例では) 3.0Mbps 接続の 1Mbps のみに制限されます。
「ビジネスクラス」のケーブルまたは DSL 接続を購入し、ポリシーベースのルーティングを使用して重要でないトラフィックをそこからルーティングするだけです。

Question 3

ネットワーク上のブリッジとして機能する追加の PC をインストールすることに抵抗がない場合は、このソフトウェアが役立つ可能性があります。

http://www.softperfect.com/products/bandwidth/

私はケーブル接続で SPBWM を使用して、IP ベースごとに利用可能な帯域幅を制限しています。

これが私のネットワークの図です。

http://coreybrett.com/images/Network_Diagram.png

サブネット上の各アドレスに対して、帯域幅を 1Mbit/256k に制限するルールがあります。

まだ 30 日間の試用期間中ですが、テクニカルサポートの対応も非常に良かったです。

フルバージョン（100ドル）が必要になります。（ルールを作成するためのバッチツールがあるため）

Answer