（为了澄清目的：Kbps = 每秒千字节的带宽，KB/s = 每秒千字节的文件/数据传输内容。我单独使用它们是因为 XG 知道 KBps 但不知道 Kbps - 类似的事情发生在 Mbps 和 MB/s ， ETC。）

这听起来有点奇怪，但我们有一个例子，我们有一个 IPSec 隧道，需要在隧道上实现 QoS，总速率不超过 90Mbps。

该基础架构在隧道两侧设置了两个 Virtual Sophos XG 防火墙设备。办公室是我们尝试设置 QoS 规则的地方，而数据中心是该办公室的大部分中央基础设施所在的地方，在此图中（还显示了每个位置的 Internet 上行链路速度：

为此，我们已经获得了不同的管道尺寸，因此我们不想简单地让所有东西都尝试使用超过 100Mbps 的隧道。此外，我们希望通过 VPN 双向限制某些类型的流量，以便它们组合使用的流量永远不会超过一定数量。（这些目前都处于相同的 QoS 优先级）

我们在 Office 端制定了 QoS 规则，以便按如下方式实施流量限制：

我们的网络可以使用这些规则通过此 VPN 隧道进行通信，但我们无法达到我们设置的带宽限制。这方面的具体示例是第三条规则，它有自己的 30Mbps 保证规则。此规则应允许 SMB（用于文件夹重定向和配置文件下载的 Microsoft 文件同步/共享）的数据以比 100KB/s 快得多的速率流动。事实上，我们应该更接近几 MB/s 来代替该传输，即使这是在双向数据传输中拆分的。

这就是说，有了这些 QoS 速率限制，我们的网络流量速率很差，在这些限制附近无法匹配。此外，我们担心如果在数据中心方面没有类似的规则，我们将淹没管道，使其从数据中心管道中消耗过多的带宽。

我的问题是：我们是否应该在 VPN 隧道的两侧都进行 QoS以在任一方向强制执行这些限制？或者只是在网络的一侧进行 QoS 是一种明智的方式？