iT邦幫忙

0

限制IP流量

  • 分享至 

  • xImage

公司現在想要針對每一個client IP做流量限制
希望每一個IP從早上9點到下午4點的流量限制5MB,超過就不能繼續使用網路
公司本身已經有wan load balance了,但是只有單純的頻頻整合而已
請問一下,這部分需要採購什麼樣的設備來達成呢??

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
16
krimy
iT邦新手 4 級 ‧ 2010-08-06 12:00:35

fortinet的防火牆Fortigate可以作到,但我實際在使用上限頻(Traffic Shaping)的功能都有問題,我用的是FotiOS 3.0,可能是韌體的Bug,不曉得4.0有沒有Fix..

zyman2008 iT邦大師 6 級 ‧ 2010-08-06 15:24:45 檢舉

FortiOS 4.0 有支援 traffic accounting and quota enforcement.

14
Ray
iT邦大神 1 級 ‧ 2010-08-06 12:14:23

krimy 所說的 Traffic shaping, 可能不是樓主想要的東西....
依照樓主的敘述, 應該比較像是 Traffic Accounting 才對....

因為他想限制「每天累積傳輸量」, 並不是「最大可用頻寬」, 而且超過要鎖 IP..

看更多先前的回應...收起先前的回應...
krimy iT邦新手 4 級 ‧ 2010-08-06 12:19:02 檢舉

多謝大師指點...我沒仔細看 ..汗

Ray iT邦大神 1 級 ‧ 2010-08-06 12:41:47 檢舉

這也不能錯怪您, 畢竟在大部分應用上, 還是以 Traffic Shaping 居多, 很少人會想要用 Traffic Accounting 去做管制, 只有大型的電信公司才會用到.

而且我也不是很確定樓主是否知道其中的差別? 所以才特別點出來, 希望能釐清...

企業內要做 Traffic Accounting 可能不是投資一個設備就可以解決的. 雖然有很多種方法可以達到, 小弟先提一種常見的架構:

  1. 所有的 Switch 都更換成可支援 802.1x 的型號 (如:Cisco 3560)
  2. 架設 Radius Server 經由 EAP 驗證後才放行上網
  3. 由 Gateway 取出資料流量統計 (可經由 NetFlow/RMON 協定, 當然設備也要支援)
  4. 定時將流量統計匯入 Accounting Server 計算是否超限使用?
  5. Accounting Server 統計到超限使用時, 通知 Radius Server 暫停放行
  6. Accounting Server 每天午夜 Reset 所有人的流量累計值為 0, 以便隔日重新累計.

以上 1,2 步驟, 可以參考實作案例:
http://ops9.blogspot.com/2007/10/cisco-switch-8021x-port-based.html
但該實例中, 尚未整合 Traffic accounting.

lovejulie iT邦新手 5 級 ‧ 2010-08-06 16:10:14 檢舉

謝謝raytracy的解說,我們公司應該是要做您所說的Traffic Accounting
上述的5和6就是公司想做的,所以應該不是買一個設備就可以解決的嚕??

Ray iT邦大神 1 級 ‧ 2010-08-06 16:39:52 檢舉

上述的5和6就是公司想做的

經由樓上 zyman2008 的指引, 我查了 FortiOS 4.0 的手冊, 確實有提到 traffic accounting and quota enforcement 的功能. 如此一來, 您應該只需要買一台 Fortinet 的防火牆即可啟用此功能.

在 FortiOS 的畫面上, 他的設定方法很簡單, 只需要先把 Per-IP 的 Traffic Shaping Rule 設定好, 然後到 quotas and accounting 選項裡面去填寫您的要的限制, 如:

小時(or 天/周/月)可允許 xxx MB傳輸量.

但是他只有這樣粗略的設定, 無法設定每天幾點到幾點之間的時段. 不過, FortiNet 防火牆的價格不貴, 這也不失為可接受的一種解決方案. 但開啟 Accounting 功能會大量消耗設備的 CPU 資源, 您在挑選型號時, 最好要比實際用量多預留些空間, 以免防火牆負荷過重而當機.

16
plums
iT邦高手 1 級 ‧ 2010-08-06 12:48:32

建議一套大陸這邊開發的軟體:網路崗(有繁體版的),功能超強,要限制上網、日期、流量、白名單、黑名單、瀏覽記錄等等都不成問題,也不會影響網路正常運作,價格不是很貴,一個CLIENT端定價RMB160(可議價),不一定要買足額,只要買要管控的數量即可

8
cafeer
iT邦新手 4 級 ‧ 2010-08-07 13:01:38

您好
我們公司有一個產品或許可以符合您的需求
BRICK AOS
可以做到L7流量識別與頻寬管理
因為是採橋接透通的模式
所以也不必更改您公司目前的網路架構
目前最新的版本可以做到流量配額(Quota)的功能
如您有興趣可寄信給我
我可以提供您一些簡報資料
cafeer @ fairline . com . tw

6
raziel
iT邦新手 3 級 ‧ 2010-08-07 15:28:06

其實一些頻寬/流量管理的閘道端設備已可以by IP做到這種配額功能,
而且可以免除依附在認證去做accounting的手段, 不過, 我是覺得網路不宜
限流量配額做反制的動作,您可以用log或是警訊來追蹤誰有超過流量, 從政策面加以施力, 因為設備自己在accounting過後自動封鎖該用戶或IP, 那就等同是一種阻斷式攻擊, 用乎將無法使用網路, 除非你來解除或是配額被重置(reset).
以現在的網路使用習慣與網頁的資料量,樓主如果只限5MB配額, 我相信9:30
前你就會開始不停收到客戶的報修電話說網路不通, 含mail在內,至少給個
100MB或許可以撐到下午, 如果工作到一半被封鎖只是徒增大家許多困擾.
事後檢討過量使用, 反而可收管理之效.

我要發表回答

立即登入回答