如何限制IP流量的使用上限？

如何限制IP流量的使用上限？
到iT邦幫忙

lovejulie（iT邦初學者10級）發問：
公司想要針對每個用戶端做IP流量限制，希望早上9點到下午4點的流量限制為5MB，超過就不能繼續使用網路。請問一下，需要什麼樣的設備才能達成？

krimy（iT邦初學者10級）：
Fortinet的防火牆FortiGate可以作到，但我實際在使用上限頻（Traffic Shaping）的功能都有問題，我用的是FotiOS 3.0，可能是韌體的Bug，不曉得4.0有沒有修正。

raytracy（iT邦大師8級）：
krimy所說的Traffic Shaping，可能不是樓主想要的東西。依照樓主的敘述，應該比較像是Traffic Accounting才對。

企業內要做Traffic Accounting，可能不是投資一個設備就可以解決的，雖然有很多種方法可以達到，小弟先提一種常見的架構：

1. 所有的交換器都更換成可支援802.1x的型號（如：Cisco 3560）。

2. 架設RADIUS Server，經由EAP驗證後才放行上網。

3. 由Gateway取出資料流量統計（可經由 NetFlow/RMON協定，當然設備也要支援）。

4. 定時將流量統計匯入Accounting Server，計算是否超限使用？

5. Accounting Server統計到超限使用時，通知RADIUS Server暫停放行。

6. Accounting Server每天午夜重設所有人的流量累計值為0，以便隔日重新累計。

我查了FortiOS 4.0的手冊，發現確實有「traffic accounting and quota enforcement」的功能。如此一來，應該只需要買一臺 Fortinet的防火牆即可啟用此功能。

在FortiOS的畫面上，它的設定方法很簡單，只需要先把Per-IP的Traffic Shaping Rule設定好，然後到「quotas and accounting」選項裡面去填寫你的要的限制，如：

每小時（或天/周/月）可允許 xxx MB傳輸量。

但是它只有這樣粗略的設定，無法設定每天幾點到幾點之間的時段。不過Fortinet防火牆的價格不貴，這也不失為可接受的一種解決方案。但開啟Accounting功能會大量消耗設備的CPU資源，你在挑選型號時，最好要比實際用量多預留些空間，以免防火牆負荷過重而當機。