標籤:

路由器的最大並發連接數和每秒新建連接數這兩個性能指標有什麼意義?

01-21

最大並發連接數是個壓力指標,如果內外一直在建立TCP連接,連接表可能會滿,一旦滿了就建立不了連接了,這個最大限制是最大連接數,一般跟設備內存大小有關。每秒新建連接數是個性能指標,連接不斷建立不斷銷毀,每秒能建立起來的連接數的意思,因為建立連接的時候需要額外的開銷來維護連接表,這個指標用來衡量連接表相關的計算的性能(有的時候也包括NAT建立埠映射的性能,防火牆規則計算的性能等)。

細說一下,傳統的單純的三層路由器是沒有這兩個指標的,IP層沒有連接這個概念,所有的包都是普通的包轉發,有這兩個指標的一般是帶有部分防火牆功能的產品,因為沒記錯的話這兩個測試指標就是在防火牆的安全測試標準裡面定義的,有興趣的可以去讀一下,有比較詳細的測試方法的描述。

防火牆或者帶有防火牆功能(也就是四層功能)的路由器,主要和連接有關的是兩個功能,一個叫做有狀態(stateful)的包過濾,一個叫做NAT,這兩個功能都需要維護一個叫做連接表的數據結構。

有狀態的包過濾是說我們通常在防火牆上面配置:允許從公網使用TCP訪問某個IP的80埠,這條規則配置好之後,如果沒有狀態表,從外網到內網的包的確進來了,但是從內網返回的包呢?為了不需要配置另一條規則讓內網返回的包也可以通過,帶狀態的包過濾會在連接建立過程中維護一個連接狀態項,這樣後續的包就都可以正常往返了;當兩邊連接關閉的時候,狀態表也會跟著進入TIME_WAIT然後超時後清除。這個功能對於防火牆來說是至關重要的,否則我們要允許內網訪問外網任意地址任意埠,就必然也要允許外網的任意地址任意埠訪問內網。

NAT是指在數據包通過路由器時進行地址轉換,這個同樣也是非常依賴狀態表的,因為經常會需要把許多後端機器映射到同一個公網IP上訪問公網,這時候需要把內網使用的埠號映射到不同的源埠上,當數據包返回時,必須要查找狀態表來確認這個數據包應該發往哪一個後端伺服器。

所謂的最大並發連接數,主要就是受這個表的容量的限制。建立速度則是受這個表計算速度的限制。

你提的兩項主要用于衡量防火牆、入侵檢測系統或接入伺服器的性能。

路由器則以數據包吞吐量、路由協議支持、路由表大小、VPN支持、埠結構(模塊化/非模塊化)、網路管理、服務質量(QoS)等指標衡量。

至於為何選擇這些指標,可以先想想:

企業級路由器具體提供什麼服務?

企業級、骨幹級路由器,與家用寬頻路由器是一回事嗎?

家用寬頻路由器的廣告上會宣傳哪些指標?

如果看到路由器宣傳「連接數」,說明它支持防火牆等上層功能。這類似二層、三層交換機之爭,也是因為各型網路設備相互滲透、界限模糊導致的。即便如此經典概念最好還是分清楚。

延伸閱讀

51CTO - 詳解路由器性能的各項指標

最大並發連接數(Maximum Connection)衡量一個路由器的連接容量(Capacity),而每秒新建連接數CPS(Connection Per Second)衡量路由器連接速率。

最大並發連接數決定一台路由器可以終結最大的用戶連接數。公司連接用戶越多,對這個指標的需求也越大!

如果公司很多用戶同時來連接路由器,比如平均一秒有300個連接,而路由器連接速率只有200 CPS,超過的100 CPS將被丟棄,用戶客戶端要不斷重傳,而重傳有可能繼續被丟,這將嚴重影響用戶體驗,所以對於高速率的並發連接速率的場景,對此性能指標也有嚴格的要求。

一般路由器會終結什麼樣的用戶連接呢?

1. PPTP/PPP連接(L2TP/PPP+ IPsec)

用於終結用戶遠程撥號,然後將移動辦公、在家辦公的員工接入公司內網,路由器要維護著PPP connection,既是控制流量的網關,又是數據流量的出入口。

2. SSL連接

有些web伺服器只提供HTTP連接,卻無法提供HTTPS連接,可以將路由器前置在web伺服器前,由路由器終結客戶端的HTTPS(SSL連接),然後路由器再將客戶端的HTTP請求發給後台web伺服器,這樣至少可以在客戶端與路由器之間提供安全加密HTTPS連接。

我不太同意NAT是一種連接,NAT負責公網私網地址的轉換,當然其轉換速率的快慢以及Total NAT Entry 也很重要,在一定程度上影響用戶連接互聯網的速率。

此外路由器作為一個連接伺服器,它和普通的伺服器沒有多少差別,是用純CPU和內存來處理用戶連接,以及維護連接的數據結構,所以對CPU以及Memory有很高的要求。

最大並發:系統同時能創建的連接數(連接不釋放);

每秒連接數:採樣周期是一秒,即一秒內創建的連接數,連接可能在一秒內提前釋放。

結論:最大並發大於每秒連接數

計算機與計算機之間往往不止一個程序需要通信,tcp/ip模型就使用埠號來標識(區分)不同的應用程序使用的連接,而路由器(nat)就需要負責與目標站點建立tcp連接來完成通信,建立(維護)連接越多,需要的內存和cpu資源就越多;cpu越強勁,內存越大,能建立的連接就越多,比較直觀的反應就是bt的速度快切穩定,因為bt下載往往需要建立大量的連接。但是反應路由器性能最直觀的指標是kpps(1000個包每秒)

ps:大家沒必要撕逼了,畢竟現在只有三層選路功能的路由器也幾乎沒有了,還是要分情況討論這些指標才有意義

關閉

這個指標好像意義不大

推薦閱讀:

華為當年為什麼會放棄華為3Com?
我家用無線路由器作交換機,這樣會讓黑客蹭網嗎?
100M光纖,千兆路由器,網速就是達不到100M,為什麼?
有哪些可以信號覆蓋200-300平米房子,並且外觀炫酷或功能多樣的路由器?
山區如何廉價高速的上網?

TAG:互聯網 | 路由器 | Cisco思科 | 計算機網路 | 無線路由器 |