Isso depende da sua infraestrutura, mas assumirei uma configuração simples na qual você alternará o tráfego internamente e terá uma conexão externa.
Para monitorar o tráfego, você pode usar um scanner como o wireshark e configurar o modo promíscuo no switch para capturar o tráfego.
Para colocar cota nas conexões dos usuários você poderia usar uma caixa Pfsense ou algo similar. Tem a capacidade, mas acho que ainda haverá alguns scripts envolvidos. (Eu não tenho caixa de teste na mão e já faz um tempo desde que eu usei)
A idéia é que você perceba todo o tráfego para o lado de fora (wan) através desta caixa para que você possa colocar limites no lugar que você achar adequado.