有几种方法可以设置单用户带宽消耗的限制。除非他们确实怀有恶意，否则个人严重影响您的整个网络的情况并不常见。除了技术建议外，还值得添加管理建议。

• 访问控制：限制谁可以访问您的机器以及在它们上执行的操作。这不是技术步骤，甚至在每种情况下都不可行（例如下游客户），但您最初的问题让我相信您担心网络上的恶意用户。一个好的步骤是不要让他们开始或阻止他们获得允许他们做你试图阻止的事情的工具集。

  你几乎总是会发现，一旦穿透了较低的层，较高的层就会开始跟随。找到容易受到您从exploitdb 中发现的某个0-day 漏洞的机器并不总是很常见，但是找到一个开放端口、发送虚假ARP 回复然后欺骗网站是很常见的（并且很容易）。802.1X 在大多数组织中得到大力推动的原因是：端口安全不再削减它。

• 可靠的设备基线：获得一个良好、安全的基线，让您的所有设备都可以正常工作。即使您将某人限制为 128k 连接，也不会阻止任何放大攻击，并且会使整个先攻无效。可以在NSA 的站点上找到良好的设备基线以及可靠的解释。

• 监管：这有效地为您选择的任何端口设置了硬上限。超出预分配带宽的任何内容都会被截断并发送到位桶。如果您希望将单个端口限制为特定的带宽量，这是实现它的最简单方法。

  这确实有一个严重的缺点，它在任何方面都不智能；一旦接口达到该阈值，它就消失了。当没有人使用网络时，这意味着什么？好吧，那些警察也不会。您可以将其视为浪费可用带宽。

• 整形：在您的 LAN 边界内执行此操作的方法不是很好，但它在边缘共享带宽（可能是您的 POP 或您的客户 POP）方面做得非常出色。如果您监管一个端口，该端口永远不会超过您提供的数量。当您整形时，您可以设置组带宽百分比和不同的丢弃特性，允许优先端口在实际需要时使用它们可以占用的所有带宽。

  这也有一个很大的缺点。走起来有点困难。您将需要找出一个标记/排队规则，它可以准确地满足您的需求。此外，您需要让网络上的所有设备都使用相同的语言（配置方面），然后才能从中获得真正的好处。

有很多方法可以解决这个问题，您可以根据具体情况选择哪一种。让我来谈谈一些更常见的。

1. 服务质量（也称为 QoS）——这可能包括速率限制、管制、标记流量等。根据所使用设备的功能，这可以采用多种形式。
2. 风暴控制 - 根据您的设备，这可以对从主机接收的流量提供硬限制和/或缩放限制。这通常至少包括广播流量，但也可以包括多播和/或单播流量。
3. 802.1X/RADIUS - 这不仅提供了要求设备对网络进行身份验证的限制，您还可以配置主机将受到限制的策略，例如在给定时间段内允许的流量。
4. IDS/IPS/SEIM - 这将是一个基于安全的解决方案，它将寻找各种类型的事件或异常行为。它通常可以配置为在发生某些类型的事件时发出警报和/或采取行动。

一种方法是使用 ACL/防火墙过滤器（取决于供应商）来限制这些端口上的流量。这取决于您的盒子支持什么类型的功能。