Download Throttling with Web Proxy and central UTM

Hi,

QoS works better when you guarantee bandwidth instead of limiting it.  Are the Branch offices and the Central office all on the same IPv4 subnet, or is it possible to differentiate the Branch traffic from the Central traffic?

Cheers - Bob

Hi Bob,

QoS works better when you guarantee bandwidth instead of limiting it.  Are the Branch offices and the Central office all on the same IPv4 subnet, or is it possible to differentiate the Branch traffic from the Central traffic?

No they aren't on the same subnet, so it is possible to differentiate the traffic.

What complaints do the end-users in the central office have?  What limit did you want to have on Branch A?

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

What complaints do the end-users in the central office have?  What limit did you want to have on Branch A?

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

What do you mean with compaints? I want to limit Branch A to 2 MBit/s.

I've actually done this through a UTM at one of our sites. Situation was we needed to limit the one branch to no more then 3Mbps so as to share bandwidth with a sister company's 6Mbps connection. Problem was we couldn't run the sister company through our UTM so I had to artificially cap the UTM's bandwidth.

Process was really simple.

I set a traffic selector for Any(source):Any(service):LAN(destination) and then set a bandwidth pool (using the traffic selector) with a nominal minimum and the 2Mbps maximum. I also enabled the download equalizer on the LAN interface so as not to penalize anyone if we had a sudden large dump of data to one PC.

I was just going to try to suggest a different approach because QoS works better when you guarantee bandwidth instead of limiting it.

Of course, you can limit a branch's internet downloads with a 'Bandwidth Pool' on the Internal interface.  The trick is that you need to create a new Services Group "Web Surfing Responses" or use "Any."  For example, use Traffic Selectors of 'Internet -> Any -> {branch subnet}'.

@Andrew: if you have a DMZ, I would think you would want to use "Internet" as 'Source'...

Cheers - Bob
PS I hope my explanation helped you see the reason you need a different Traffic Selector than TheDrew.

@RedHorse: Bob is right in that using QoS to prioritize traffic is better then the blunt hammer of a rate limiter. Proper QoS tends to result in better performance overall for everyone involved.

Out of the box thought, if the inter-branch links are 3rd party WAN's, why not speak with the supplier about a lower speed link? Our ISP out here offers WAN services at 1.5, 3, 6, and 10Mbps links speeds. The lower you go, the less you pay.

@Bob: This is a quick & dirty way of achieving the aim of a rate limiter and does have it's faults.

In our case, the preferred solution would have been to prioritize the sister company's traffic but because we had no control over their gateway (3rd party vpn gateway and the supplier won't divulge VPN tunnel info) we had to use a blunt hammer to guarantee the sister company had their bandwidth, even though it meant artificially restricting ours.

Drew, what I meant was that the rule limits all traffic to "Internal (Network)" instead of just the traffic from the internet.  So, with a DMZ or if the HTTP Proxy is using caching, even that traffic is limited with "Any" - I know you know that, but just wanted to be clear for others coming here.

Cheers - Bob

Sorry Bob. Missed that on my first re-read. You are of course correct it should be "Internet" and not "Any."