BT可以,不能过分——用ISA防止挤占带宽
局域网·办公
最近我发现企业网内有若干台客户机安装代理软件,为某些不能进行BT下载的机器提供代理服务,占用大量的公网共享线路带宽,常常导致其他员工不能正常上网办公。
而我并不想使用行政手段,或限制提供代理服务的客户机上网的办法来解决,因为利用企业网内的ISA2004防火墙的“连接限制”功能,可以限制这些代理服务客户机的公网连接数,这样BT能用,但却不能占用所有的带宽资源。并且配置“连接限制”功能非常简单,只需要简单的两步就能完成。
定义计算机集:你可以BT
首先为这些提供代理服务的客户机定义一个计算机集,将这些客户机的IP地址都添加其内。
在ISA2004服务器的控制台窗口中,点击左侧栏中的“防火墙策略”选项,右侧框体切换到“网络对象”标签页,点击“新建→计算机集”按钮,弹出“新建计算机集规则元素”对话框(图1),在名称栏中输入“特权客户机”,然后点击下方的“添加”按钮,选择“计算机”选项,下面逐一将提供代理服务的客户机的IP地址添加到列表框中,如192.168.1.12、192.168.1.15、192.168.1.45等,最后点击“确定”,完成“特权客户机”计算机集的定义。
连接限制:BT不要太过分
接下来就要对这些客户机的公网连接数进行限制。在ISA2004服务器控制台窗口的左侧栏中展开“配置→常规”,然后点击右侧栏中的“定义连接限制”链接,弹出“连接限制”配置对话框(图2)。如只允许每台客户机与公网最多建立15个连接,在“自定义连接限制”栏中输入“15”后,点击“将自定义限制应用到这些IP地址”框中的“添加”按钮,弹出“计算机集”对话框,选中“特权客户机”选项,点击“添加”按钮后,就将以上定义“特权客户机”添加到“连接限制”配置对话框中了,点击“确定”按钮,保存修改和配置。
最后在ISA2004服务器控制台窗口中点击左侧栏中的“防火墙策略”选项,在右侧框体中选中“ALL OPEN”访问规则,点击上方的“应用”按钮后,以上的修改和配置就会立即生效,不会再出现其他用户无法正常上网办公的问题。
现在,同事们虽然可以用BT下载,但却不能占用网络的所有的带宽,给了他们BT的机会,却没让他们BT过头。