在ISA Server 2000中，帶寬管理功能是通過設(shè)置優(yōu)先級來實現(xiàn)，但是管理員更多的是希望限制用戶可以使用的實時帶寬，并且ISA Server 2000中的帶寬管理功能難以理解和部署，所以在ISA Server 2004中，微軟取消了帶寬管理功能，如果你要限制用戶使用的帶寬，只能通過限制線程來實現(xiàn)。目前ISA Server的插件中，還沒有可以限制用戶實時帶寬的。不過，已經(jīng)有其他軟件能夠?qū)崿F(xiàn)這一點：Bandwidth Controller和SoftPerfect Bandwidth Manager。SoftPerfect Bandwidth Manager在How to ：使用SoftPerfect Bandwidth Manager來實現(xiàn)帶寬控制一文中已經(jīng)進行了介紹，在這篇文章中我給大家介紹Bandwidth Controller，在此文撰寫時它的***版本為0.31b，你可以在http://www.isacn.org/info/info.php?sessid=&infoid=236下載30天的試用版。

和KNM（Kerio Network Monitor）一樣，Bandwidth Controller是通過在所有網(wǎng)絡(luò)適配器上加載專用驅(qū)動來實現(xiàn)對帶寬的控制，不過它的驅(qū)動也沒有通過微軟的認(rèn)證，在安裝過程中會出現(xiàn)未通過Windows徽標(biāo)測試的警告，忽略即可。在我們的實際使用過程中，Bandwidth Controller還是比較穩(wěn)定的；不過在高可靠性要求的環(huán)境，我還是建議你使用限制線程來限制用戶的帶寬，畢竟越少的服務(wù)意味著越高的穩(wěn)定性。

Bandwidth Controller必須安裝在網(wǎng)關(guān)上，否則不能實現(xiàn)其功能。它的配置和ISA是完全獨立的，你必須在ISA中部署防火墻策略允許內(nèi)部用戶訪問外部網(wǎng)絡(luò)，然后再在Bandwidth Controller中部署過濾規(guī)則來限制用戶的實時帶寬。

下圖是我們的試驗網(wǎng)絡(luò)拓樸結(jié)構(gòu)，ISA防火墻作為邊緣防火墻，連接內(nèi)部網(wǎng)絡(luò)和Internet；Istanbul（61.139.0.8/24）為Internet上的一臺Web/FTP服務(wù)器。

在這個實驗中我將使用Bandwidth Controller來限制ISA防火墻的下行和上行帶寬，已在ISA防火墻的防火墻策略中允許了本地主機到外部網(wǎng)絡(luò)的所有協(xié)議；各計算機的TCP/IP設(shè)置如下，此試驗中不涉及DNS解析，DNS服務(wù)器均設(shè)置為空：

ISA防火墻外部接口：

IP：61.139.0.1/24

DG：61.139.0.8

Istanbul：

IP：61.139.0.8/24

DG：None

在這篇文章中我們將按照以下步驟進行試驗：

安裝和初始化Bandwidth Controller；

建立***條過濾規(guī)則：限制ISA防火墻下行速率為50KB/s；

建立第二條過濾規(guī)則：限制ISA防火墻上行速率為200KB/s；

測試。#p#

安裝和初始化Bandwidth Controller

在安裝Bandwidth Controller之前，你必須對你所擁有的帶寬進行正確的量化。可能很多朋友會說，我的帶寬是10Mb/s或者100Mb/s，這些都只是網(wǎng)絡(luò)接口的理論數(shù)值而已，并不是你真正擁有的實際帶寬。我建議你通過閑時（例如凌晨4點～6點）使用FTP連接到你的ISP的服務(wù)器（***是和你外部接口同子網(wǎng)的服務(wù)器，或者離你外部接口跳數(shù)較近的服務(wù)器，但是對方一定要有足夠的帶寬）進行上傳下載來量化你的帶寬，當(dāng)然有條件時使用其他測試工具如NetIQ Chariot等，測試出更為精確的數(shù)值更好。

下圖是我分別使用HTTP下載和FTP下載、上傳得出的我的外部連接的上行下行帶寬數(shù)值。我的HTTP下載速率為2.12MB/s，F(xiàn)tp下載速率為3036.85KB/s，上傳速率為5060.66KB/s。HTTP下載速率更慢，忽略不計。

現(xiàn)在就需要將這個KB/s折算Kb/s了，本來1Byte等于8bit，但是在網(wǎng)絡(luò)傳輸過程中，由于校驗碼及其他傳輸開銷，我建議你使用倍數(shù)10來進行折算，再適當(dāng)擴大一點，折算后，我所擁有的下行帶寬大約是31,000Kb/s，上行帶寬大約是51,000Kb/s。

注意：在這個試驗中，我只是簡單的通過ftp命令來進行測試。但是你在商業(yè)環(huán)境中使用時，請使用專業(yè)的FTP客戶端，另外請多測試幾次，并使用其中***的數(shù)值。

現(xiàn)在我們可以安裝Bandwidth Controller了，雙擊下載的BandwidthControllerSetup.exe進行安裝，安裝過程比較簡單，在此我就不多說了。只是在安裝網(wǎng)絡(luò)核心驅(qū)動時，在彈出的未通過Windows徽標(biāo)測試的警告對話框上點擊仍然繼續(xù)。

在安裝好后，Bandwidth Controller會要求你對所擁有的帶寬進行設(shè)定，在彈出的要求配置帶寬對話框上點擊確定；

在帶寬控制選項對話框，首先你必須設(shè)定接口的速率。這個地方需要注意的是，對于你的外部和內(nèi)部接口，上行（發(fā)送）帶寬和下行（接收）帶寬剛好是相反的，請你一定記住這一點。Bandwidth Controller是控制連接到Internet的帶寬的，你定義的接口速率是指的此接口通往Internet的速率，而不管此接口是否直接連接到Internet。外部接口是直連到Internet的，它的上下行速率是我們在上面計算出的速率。但是對于其他沒有直連到Internet的接口（如內(nèi)部網(wǎng)絡(luò)接口）呢，這個數(shù)值又是怎么計算的呢？它的上下行速率是和直連到Internet的接口（外部接口）的上下行速率剛好相反的，Why？因為對于內(nèi)部網(wǎng)絡(luò)和Internet之間的通信而言，內(nèi)部網(wǎng)絡(luò)發(fā)送給Internet的數(shù)據(jù)是ISA防火墻從內(nèi)部接口（非直連到Internet的接口）接收，然后從外部接口（直連到Internet的接口）發(fā)送的，而從Internet發(fā)送給內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)是ISA防火墻從外部接口接收的，然后從內(nèi)部接口發(fā)送的。

根據(jù)上面我們的計算，對于外部接口，我們上行帶寬為51,000 kbps，下行帶寬為31,000 kbps。點擊外部接口，然后在右邊的發(fā)送帶寬文本框中填入51,000，在下面的接收帶寬文本框中填入31,000。

而對于內(nèi)部接口，填入相反的數(shù)值。

默認(rèn)情況下Bandwidth Controller會過濾通往所有網(wǎng)絡(luò)的數(shù)據(jù)。我們沒有必要讓它對內(nèi)部網(wǎng)絡(luò)中的數(shù)據(jù)進行過濾，所以勾選不要過濾本地通信，然后在IP地址范圍中輸入內(nèi)部網(wǎng)絡(luò)的地址10.2.1.0到10.2.1.255。下面的Manager框定義了管理窗口的一些選項，根據(jù)你的喜好進行選擇，然后點擊確定。

***在Bandwidth Controller關(guān)于在任務(wù)欄托盤區(qū)運行的提示上點擊確定，

我們對它的安裝和初始化就完成了。#p#

建立***條過濾規(guī)則：限制ISA防火墻下行速率為50KB/s

運行Bandwidth Controller，在管理窗口中點擊新建過濾，

在彈出的歡迎使用過濾添加向?qū)ы?，點擊下一步；

然后在名字和適配器頁，在上面的名字欄我輸入過濾規(guī)則名字為Limit Localhost Download rate to 50KB/s。下面的選擇網(wǎng)絡(luò)適配器欄你一定要注意，你必須選擇過濾規(guī)則所針對的主機到達Internet的路徑上（無論是作為源還是目的）離Bandwidth Controller的最近的一個適配器。例如，如果我想限制內(nèi)部網(wǎng)絡(luò)中的主機的下載速率，內(nèi)部網(wǎng)絡(luò)中的主機到達Internet的路徑是內(nèi)部網(wǎng)絡(luò)->ISA防火墻內(nèi)部接口->ISA防火墻外部接口->Internet，它離Bandwidth Controller最近的接口是內(nèi)部接口，所以此時就應(yīng)該選擇內(nèi)部接口。由于我是想對本地主機進行限制，本地主機到達Internet的路徑是ISA防火墻外部接口->Internet，所以我們該選擇外部接口。選擇外部接口，然后點擊下一步；

在最小和***速率頁，輸入此過濾規(guī)則設(shè)置的最小速率和***速率，單位都是Byte/s。最小速率是Bandwidth Controller為此過濾規(guī)則保留的帶寬，無論當(dāng)前連接線路是否擁擠，Bandwidth Controller會保證此規(guī)則擁有此最小帶寬，所以此最小速率必須小于你的網(wǎng)絡(luò)到達Internet的對應(yīng)流向的實際帶寬，而不管哪個接口；此條過濾規(guī)則是我限制本地主機從Internet下載，因此對應(yīng)流向的實際帶寬是外部接口的下行速率31,000kbps，折算為3100KB/s。如果是想限制內(nèi)部網(wǎng)絡(luò)中的主機進行下載，數(shù)據(jù)流向為 Internet->ISA防火墻外部接口->ISA防火墻內(nèi)部接口->內(nèi)部網(wǎng)絡(luò)主機，那么對應(yīng)的網(wǎng)絡(luò)連接是內(nèi)部接口的上行（發(fā)送）速率，也是31,000kbps。而***速率是Bandwidth Controller允許此過濾規(guī)則使用的***帶寬，當(dāng)連接線路空閑時，Bandwidth Controller允許此規(guī)則使用比最小速率更高的帶寬，直至***速率。為了便于測試，我全部填入50000，即大約50KB/s。點擊下一步；

注意：為什么我說是大約50KB/s呢，因為1K=1024，50000/1024≈48.83K，所以用戶的實際速率大概是48.8KB/s。

在優(yōu)先級和重要性頁，選擇優(yōu)先級和輸入重要性。Bandwidth Controller中的優(yōu)先級為9級，***為9；當(dāng)網(wǎng)絡(luò)連接擁塞時，Bandwidth Controller會優(yōu)先考慮優(yōu)先級高的數(shù)據(jù)，而優(yōu)先級低的數(shù)據(jù)只有在具有空閑帶寬時才會進行傳輸，這點對VoIP數(shù)據(jù)非常有用。而重要性是用于決定空余帶寬的使用的，Bandwidth Controller將此過濾規(guī)則的重要性除以所有過濾規(guī)則的重要性的總和，然后將空余帶寬按比例分配給對應(yīng)的過濾規(guī)則。例如，我有兩條過濾規(guī)則，一條的重要性是5，另外一條的重要性是3，那么前者可以獲得5/(5+3)=5/8的空閑帶寬，而后者可以或者3/8的空閑帶寬。我選擇優(yōu)先級為9，輸入重要性為5后點擊下一步繼續(xù)；

在協(xié)議和方向頁，協(xié)議我建議大家選擇IP協(xié)議，不過你也可以選擇TCP/UDP，然后定義端口，這樣過濾規(guī)則就只會應(yīng)用到對應(yīng)的服務(wù)。下部的方向非常重要，如果是限制內(nèi)部網(wǎng)絡(luò)中的主機下載，那么在前面網(wǎng)絡(luò)適配器選擇內(nèi)部接口后，在此你應(yīng)該選擇發(fā)送，因為數(shù)據(jù)是從內(nèi)部接口發(fā)送出去的；在此因為我是限制本地主機下載，它是從外部接口獲取數(shù)據(jù)的，所以我在前面選擇外部接口，然后在此選擇接收。點擊下一步；

在源地址頁定義規(guī)則應(yīng)用到的源地址，這個必須根據(jù)你的要求小心的進行設(shè)置。由于我們是限制本地主機下載，而不管它從哪兒下載（對于限制內(nèi)部網(wǎng)絡(luò)中主機下載同理）；所以我選擇忽略源地址，然后點擊下一步；

在目的地址頁，這個地方就應(yīng)該輸入本地主機的地址了，由于Internet是發(fā)送到本地主機的外部接口61.139.0.1，所以我選擇IP地址，然后輸入此IP地址（限制內(nèi)部網(wǎng)絡(luò)中的主機下載同理）。點擊下一步；

在***的正在完成新建過濾規(guī)則向?qū)ы?，點擊完成，此時，我們***條過濾規(guī)則就建立好了。#p#

建立第二條過濾規(guī)則：限制ISA防火墻上行速率為200KB/s

現(xiàn)在我們來建立第二條規(guī)則，限制ISA防火墻的上行速率為200KB/S，再次點擊新建過濾按鈕，在彈出的歡迎使用過濾添加向?qū)ы?，點擊下一步；

然后在名字和適配器頁，在名字欄輸入過濾規(guī)則名字為Limit Localhost upload rate to 200KB/s。接口選擇原理同***條規(guī)則，選擇外部接口（如果是限制內(nèi)部網(wǎng)絡(luò)中的主機上傳則選擇內(nèi)部接口）后點擊下一步；

在最小和***速率頁，輸入此過濾規(guī)則設(shè)置的最小速率和***速率，原理同***條規(guī)則。我均輸入200000（大約為200KB/S)，然后點擊下一步；

在優(yōu)先級和重要性頁，選擇優(yōu)先級和輸入重要性，接受默認(rèn)設(shè)置，點擊下一步繼續(xù)；

在協(xié)議和方向頁，選擇IP協(xié)議。下部的方向就需要仔細(xì)考慮了，對于本地主機來說，限制上傳就是限制它發(fā)送數(shù)據(jù)，但是對于內(nèi)部網(wǎng)絡(luò)中的主機來說，卻是接收，Why？因為Bandwidth Controller是從內(nèi)部網(wǎng)卡上接收到內(nèi)部網(wǎng)絡(luò)中的主機發(fā)送到Internet的數(shù)據(jù)的。在此我是限制本地主機發(fā)送數(shù)據(jù)，所以選擇發(fā)送，點擊下一步；

在源地址頁定義規(guī)則應(yīng)用到的源地址,由于我們是限制本地主機發(fā)送數(shù)據(jù)，所以源地址為本地主機連接Internet的外部接口（對于限制內(nèi)部網(wǎng)絡(luò)中主機上傳同理）；所以我選擇IP地址，然后輸入外部接口的IP地址61.139.0.1，然后點擊下一步；

在目的地址頁定義規(guī)則應(yīng)用到的目的地址，由于我們是限制本地主機上傳，而不管它上傳到哪兒（對于限制內(nèi)部網(wǎng)絡(luò)中主機上傳同理）；所以我選擇忽略目的地址，然后點擊下一步；

在***的正在完成新建過濾規(guī)則向?qū)ы?，點擊完成，此時，我們第二條過濾規(guī)則就建立好了。

此時，我們的兩條規(guī)則都建立好了，如下圖所示。Bandwidth Controller的過濾規(guī)則是即時生效的，并且是從上到下執(zhí)行***條匹配的過濾規(guī)則。你可以右擊過濾規(guī)則選擇上移、下移來調(diào)整過濾規(guī)則的順序。

 #p#

測試

現(xiàn)在我們可以進行測試了。先測試HTTP下載，下面兩張圖分別是正在下載和下載完成時IE和Bandwidth Controller中的過濾規(guī)則的狀態(tài)信息；

可以看出，Bandwidth Controller成功的把帶寬控制在50000B/s（48.8KB/s）左右。

然后我們再測試一下FTP上傳，下面兩張圖分別是正在上傳和上傳完成時Ftp和Bandwidth Controller中的過濾規(guī)則的狀態(tài)信息；

可以看出，Bandwidth Controller也成功的把帶寬控制在200000B/s（196KB/s）左右。

至此，我們的試驗就成功結(jié)束了。Bandwidth Controller是ISA防火墻帶寬控制能力不足的一個很好的補充，不過,Bandwidth Controller也不僅僅限制ISA環(huán)境，在任何需要帶寬限制的環(huán)境，Bandwidth Controller都可以大顯身手。

另外在使用的過程中，發(fā)現(xiàn)了BC的一個問題：由于BC所有規(guī)則的數(shù)據(jù)包緩沖區(qū)為500個數(shù)據(jù)包，當(dāng)出現(xiàn)數(shù)據(jù)包緩沖區(qū)被占滿時（例如你限制用戶的速率為一個很低的值，而此客戶又不斷的大量發(fā)送數(shù)據(jù)包，那么這500個數(shù)據(jù)包緩沖區(qū)會很快被占滿），BC會丟棄所有接收到的數(shù)據(jù)包，這樣會導(dǎo)致其他客戶也不能正常的訪問。對于這種情況，請?zhí)岣連C限制的速率，或者不在BC中做限制。