オフィス環境では、一人のユーザーが大きなファイルをダウンロードすると過剰な帯域幅を消費し、他の全員の重要なアプリケーションの速度が低下する可能性があります。Secure Access Service Edge (SASE) プラットフォームはレート制限機能を提供し、管理者は各デバイスのアップストリームおよびダウンストリームの帯域幅にきめ細かな制限を設定できます。これにより、単一のデバイスが過剰なネットワークリソースを消費するのを防ぎ、コアビジネスアプリケーションの安定性とパフォーマンスを確保します。
仕組み
実行ポイント:レート制限ポリシーは SASE クライアント上でローカルに実行されます。これにより、ユーザーの場所に関わらず帯域幅制限が適用されることが保証されます。
スコープ:レート制限ポリシーは、SASE クライアント経由でアクセスする内部アプリケーションへのトラフィックにのみ影響します。クライアントからインターネットへのトラフィックは影響を受けません。
粒度:ポリシーは個々のデバイスにレート制限を適用します。例えば、あるユーザーが同じアカウントで複数のデバイスにログインした場合、レート制限は各デバイスに個別に適用されます。帯域幅はデバイス間で共有されません。
適用範囲
デバイスに SASE クライアントがインストールされており、ユーザーがログインしている必要があります。
iOS および HarmonyOS はサポートされていません。
レート制限ポリシーの設定
Rate Limiting Policy ページに移動し、Create Policy をクリックします。
Create Policy パネルで、次の表に従ってポリシー設定を構成します。次に、OK をクリックします。
設定項目
説明
Policy Name
レート制限ポリシーの識別しやすい名前を設定します。
Priority
ポリシーの優先度を設定します。値の範囲は 1 から 99 です。値が小さいほど優先度が高くなります。
デバイスが複数のポリシーに一致する場合、最も優先度の高いポリシーのみが有効になります。
デバイスが同じ優先度の複数のポリシーに一致する場合、リストの最初のポリシーのみが有効になります。
Effective Scope
ポリシーを適用するオブジェクトを選択します。
All Users: ポリシーは、SASE クライアントを介して接続するすべてのユーザーに適用されます。
Specific User Group: ポリシーは、選択したユーザーグループにのみ適用されます。
Specific Device Tag:ポリシーは、特定のタグを持つデバイスにのみ適用されます。
Specific Device:ポリシーは、選択したデバイスにのみ適用されます。
Client Upload Speed Limit
単一デバイスのアップストリームレートを設定します。最小値は 100 Kb/s です。
Client Downlink Rate Limit
単一デバイスのダウンストリームレートを設定します。最小値は 100 Kb/s です。
Policy Status
有効:ポリシーは作成後すぐに有効になります。
無効:ポリシーは作成されますが、有効にはなりません。必要に応じて手動で有効化してください。
ポリシーの有効性の検証
ポリシーのステータスの確認: Rate Limiting Policy リストで、対象のポリシーの Status が有効になっていることを確認します。
ポリシー同期の待機:ポリシー設定が配信されて有効になるまで、通常 1〜5 分かかります。
デバイスでの速度テスト:SASE クライアントが実行され、ユーザーがログインしているデバイスで、ブラウザを使用して内部アプリケーションにアクセスするか、そこからファイルをダウンロードします。実際のアップストリームおよびダウンストリームのレートがレート制限ポリシーに従っていることを確認します。
レート制限ホワイトリストの設定
会社の役員やコアサーバーの運用保守エンジニアなど、すべての帯域幅制限から除外する必要がある特別なデバイスやユーザーについては、ホワイトリスト機能を使用できます。ホワイトリストはすべてのレート制限ポリシーから独立しており、最も高い優先度を持ちます。
レート制限ポリシーリストの右上隅で、Configure Whitelist をクリックします。
「アクセスレート制限」ページで、レート制限から除外するオブジェクトを、User Whitelist、User Group Whitelist、Device Whitelist、または Device Tag Whitelist の該当するリストに追加します。
レート制限ポリシーの管理
ポリシーを作成した後、レート制限ポリシーリストで管理できます。
編集:対象のポリシーの構成を変更するには、Actions 列で [編集] をクリックします。
優先度の調整:対象のポリシーの Priority 列にある
アイコンをクリックします。 表示されるパネルで、[優先度] を変更します。有効/無効:対象のポリシーのStatus列のスイッチをクリックして、有効または無効にします。
削除: 対象のポリシーのActions列にある[削除]をクリックします。
説明ポリシーを削除すると、影響を受けるデバイスから帯域幅制限が即座に解除され、ネットワークトラフィックが急増する可能性があります。ポリシーを削除する前に、まずポリシーを無効にして影響を確認するか、オフピーク時間帯に削除操作を実行することを推奨します。
割り当てと制限
ポリシーの競合:
デバイスが複数のポリシーに一致する場合、最も優先度の高い (数値が最も小さい) ポリシーのみが有効になります。
デバイスが同じ優先度の複数のポリシーに一致する場合、リストの最初のポリシーのみが有効になります。
レート制限の対象:ポリシーは、SASE クライアント経由でアクセスする内部アプリケーションへのトラフィックにのみ影響します。これには、内部アクセスとエンタープライズアクセラレーショントラフィックが含まれます。レート制限は Software as a Service (SaaS) アクセスポイントでのみ有効になります。専用アクセスポイントはこのポリシーの影響を受けません。
レート制限の単位:ポリシーは個々のデバイスにレート制限を適用します。ユーザーアカウントが同じであっても、複数のデバイスの帯域幅制限は独立しており、共有されません。
レート制限速度:クライアントのアップストリームおよびダウンストリームのレート制限の最小設定値は 100 Kb/s です。
クライアントへの依存:ポリシーを有効にするには、エンドユーザーが SASE クライアントをインストールし、ログインしている必要があります。
よくある質問
レート制限ポリシーが機能しないのはなぜですか?
次の項目を順番に確認してください:
ポリシーステータス: コンソールの Rate Limiting Policy ページで、対象のポリシーが [有効] であることを確認します。
ホワイトリストの確認:対象のデバイス、ユーザー、またはユーザーグループが [ホワイトリストの設定] に含まれていないことを確認します。ホワイトリスト内のオブジェクトは、すべてのレート制限ポリシーから除外されます。
優先度の競合: 現在のポリシーを上書きする、より高いPriority (小さい数値) を持つ別のポリシーがデバイスに適用されていないか確認します。
有効範囲:対象デバイス、またはそのユーザー、ユーザーグループ、またはデバイスタグが、ポリシーで指定された Effective Scope 内にあることを確認します。
クライアントのステータス:デバイス上の SASE クライアントがログインしていることを確認します。
同期の遅延:約 5 分待ってから再度テストし、ポリシー配信の遅延の可能性を排除します。
ユーザーが複数のレート制限付きユーザーグループに属している場合、どのポリシーが有効になりますか?
最も優先度の高い (数値が最も小さい) ポリシーのみが有効になります。帯域幅制限は累積されません。
デバイスが複数のポリシーに一致する場合、最も優先度の高いポリシーのみが有効になります。
デバイスが同じ優先度の複数のポリシーに一致する場合、リストの最初のポリシーのみが有効になります。
チームに適した帯域幅制限を設定するにはどうすればよいですか?
適切な帯域幅の値は、業務の種類によって異なります。まず制限を設けないか、高い制限値から始め、1〜2 週間帯域幅の使用状況をモニタリングすることを推奨します。その後、モニタリングデータのピーク値または平均値を使用して初期の制限値を設定できます。一般的なオフィス利用の場合、5 Mbps から 10 Mbps の制限から始めることができます。大きなファイルを頻繁に転送する開発チームや設計チームの場合は、通常、より高い制限値が必要です。
ホワイトリストとレート制限ポリシーの優先順位はどうなっていますか?
ホワイトリストが最も高い優先度を持ちます。[ホワイトリストの設定] に追加されたオブジェクトは、その優先度に関わらず、すべてのレート制限ポリシーから除外されます。