|
“并發(fā)連接數(shù)”指導(dǎo)防火墻選型
資源天下 2019/8/18 9:47:28
(接上頁)鑒于此���,我們應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)環(huán)境的具體情況和個人不同的上網(wǎng)習(xí)慣來選擇適當(dāng)規(guī)模的并發(fā)連接表�����。因為不同規(guī)模的網(wǎng)絡(luò)會產(chǎn)生大小不同的并發(fā)連接�����,而用戶習(xí)慣于何種網(wǎng)絡(luò)服務(wù)以及如何使用這些服務(wù)�,同樣也會產(chǎn)生不同的并發(fā)連接需求��。
下面��,我們列舉1個常見且典型的網(wǎng)絡(luò)訪問行為����,并統(tǒng)計了其所發(fā)出的連接數(shù)。
WWW訪問——測試站點(http://www.sohu.com)
以3小時為間隔���,對該站點分時段進行多次訪問�����,我們得到了以下幾個統(tǒng)計數(shù)字��,如表1所示����。
表1 統(tǒng)計分時段訪問次數(shù)
事實上,在各常見網(wǎng)絡(luò)協(xié)議中���,產(chǎn)生并發(fā)連接數(shù)最多的業(yè)務(wù)是Web瀏覽(HTTP協(xié)議)����,而產(chǎn)生并發(fā)連接相對較少的協(xié)議則當(dāng)屬FTP和E-mail應(yīng)用���。
但是,不能簡單的以一個協(xié)議或應(yīng)用產(chǎn)生的最大并發(fā)連接數(shù)來斷言它對防火墻并發(fā)連接表的占用率���。這是因為并發(fā)連接表的占用率取決于2個因素:其一是產(chǎn)生的并發(fā)連接表項����;其二是該并發(fā)連接表項在表中維持存在的時間���,即該連接存活的時間�。之所以要引入并發(fā)連接維持時間,是因為每個連接對并發(fā)連接表項的占用不是永久的�����,而是在連接終止后由防火墻自動釋放該表項��,從而可以用來記錄其他新的連接信息���。
表2 按不同協(xié)議計算連接維持時間
所以���,為了正確反映并發(fā)連接表的占用情況,在下文中將給出并發(fā)連接表占用率的計算公式����。
6. 并發(fā)連接表的占用率計算
首先給出公式1,如下所示
某應(yīng)用程序?qū)Σl(fā)連接表的占用率 = ∮t2 t1n(t) ×(t-t1)���。
其中��,n是在某個時間段[t1,t2]內(nèi)該應(yīng)用程序產(chǎn)生的并發(fā)連接數(shù)目實時統(tǒng)計數(shù)目���,它是t的函數(shù),t是位于此時間段[t1,t2]內(nèi)的一個時間點�。
經(jīng)過對公式1的簡化��,可以對并發(fā)連接表占用率按照下面的公式2進行計算�����。
某應(yīng)用程序?qū)Σl(fā)連接表的占用率 =并發(fā)連接數(shù)×連接維持時間�。
在公式2中����,連接維持時間會被防火墻按照不同的協(xié)議(TCP、UDP或IP)進行不同的計算���,如表2所示�。
現(xiàn)在結(jié)合公式2���,重新認(rèn)識在本文第4部分中所列出的各種應(yīng)用對防火墻并發(fā)連接表的占用情況。
從表3中可以看出����,雖然網(wǎng)絡(luò)客戶端程序(如IE瀏覽器)可能會在用戶PC機上長時間運行,但是其所產(chǎn)生的連接卻只存活很短的時間��,因此這些應(yīng)用所產(chǎn)生的連接對防火墻并發(fā)連接表的占用是很短暫的����。根據(jù)不同的鏈路狀況和服務(wù)器的響應(yīng)時間����,IE所產(chǎn)生的HTTP連接維持時間大約在0~10s之間���。過長的連接維持時間通常意味著服務(wù)器響應(yīng)延遲或傳輸延遲過大�,往往會令用戶難以忍受�����,進而放棄此次連接請求���。
表3 客戶端應(yīng)用程序?qū)Σl(fā)連接表在時間上的占用情況
現(xiàn)在假設(shè)一種極端情況:某用戶同時運行了表3中所列出的所有應(yīng)用程序���,而且所有應(yīng)用程序同時發(fā)出所有連接,則該用戶產(chǎn)生的并發(fā)連接數(shù)將達(dá)到其峰值Sum Peak=8.7+14+3+3.3+5+1=35��,即:
WWW_Sohu+WWW_Sina+E-mail+FTP+OICQ+Telnet的并發(fā)連接總和峰值
這是一種非常極端的情況�����,通常在用戶日常使用中很難出現(xiàn)��。因為用戶同時啟動所有這些應(yīng)用的可能性很小��;即使同時啟動了所有的應(yīng)用�,它們同時發(fā)出連接的概率也會非常小�;網(wǎng)段中所有用戶同時啟動所有應(yīng)用的可能性更小����;網(wǎng)段中所有用戶的全部應(yīng)用同時發(fā)出連接沒有實際意義上的可能性。
在實際應(yīng)用中���,由于大多數(shù)連接的維持存活周期非常短��,所以從統(tǒng)計角度上來說�,并發(fā)連接數(shù)/每用戶的等效數(shù)值Sum Statistical = Sum Peak×0.3將是一個非常充分�、寬松的等效換算公式。因此�����,每個用戶所需要的并發(fā)連接數(shù)=35×0.3=10.5個����,這是一個比較合理、科學(xué)的統(tǒng)計估值����。
7. 尋求客戶投資和實際需求之間的平衡點
高并發(fā)連接數(shù)的防火墻設(shè)備通常需要客戶投資更多的設(shè)備,這是因為并發(fā)連接數(shù)的增大牽扯到數(shù)據(jù)結(jié)構(gòu)����、CPU、內(nèi)存�、系統(tǒng)總線和網(wǎng)絡(luò)接口等多方面因素。如何在合理的設(shè)備投資和實際上所能提供的性能之間尋找一個黃金平衡點將是用戶選擇產(chǎn)品的一個重要任務(wù)��。按照并發(fā)連接數(shù)來衡量方案的合理性是一個值得推薦的(未完����,下一頁)
|