防火牆的四項基本性能指標：吞吐量、時延、新建鏈接速率、併發鏈接數

時間 2019-12-21

原文原文鏈接

吞吐量(Throughput)web

　　吞吐量是衡量一款防火牆或者路由交換設備的最重要的指標，它是指網絡設備在每一秒內處理數據包的最大能力。吞吐量意味這臺設備在每一秒之內所可以處理的最大流量或者說每一秒內能處理的數據包個數。設備吞吐量越高，所能提供給用戶使用的帶寬越大，就像木桶原理所描述的，網絡的最大吞吐取決於網絡中的最低吞吐量設備，足夠的吞吐量能夠保證防火牆不會成爲網絡的瓶頸。舉一個形象的例子，一臺防火牆下面有100個用戶同時上網，每一個用戶分配的是10Mbps的帶寬，那麼這臺防火牆若是想要保證全部用戶全速的網絡體驗，必需要有至少1Gbps的吞吐量。服務器

　　吞吐量的計量單位有兩種方式：常見的就是帶寬計量，單位是Mbps(Megabits per second)或者Gbps(Gigabits per second)，另一種是數據包處理量計量，單位是pps(packets per second)，兩種計量方式是能夠相互換算的。在進行對一款設備進行吞吐性能測試時，一般會記錄一組從64字節到1518字節的測試數據，每個測試結果均有相對應的pps數。64字節的pps數最大，基本上能夠反映出設備處理數據包的最大能力。因此從64字節的這個數，基本上能夠推算出系統最大能處理的吞吐量是多少。網絡

　　不少路由設備的性能指標有一點就是標稱xxMpps，所指的就是設備處理64字節的pps數。好比64字節的pps爲100000pps，吞吐量經過換算爲100000×(64+20) ×8/1000000= 67.2Mbps，拿這個結果計算1518字節的數據爲100000×(1518+20) ×8/100000=1230.4Mbps。其中的20字節是指12字節的幀間距(IPG)以及8字節的前導碼(7字節同步+1字節起始)，測試每個字節的吞吐量都須要將這20字節計算在內。經過前面的算式能夠看出，咱們即便不測試1518字節，也可以大體推算出設備最大的吞吐量是多少。但最終的結果只能小於這個結果。爲何會小於呢？由於不少設備由於接口數或者內部器件帶寬的緣由，限制了最大的帶寬，這樣設備的最大吞吐量就會遠遠低於推算的數值。不過既然得出了64字節的pps數，那麼只要廠商標稱的最大吞吐量低於推算的帶寬，就基本能夠認爲這個標稱值是可信的。併發

　　時延(Latency)ide

　　時延是系統處理數據包所須要的時間。防火牆時延測試指的就是計算它的存儲轉發(Store and Forward)時間，即從接收到數據包開始，處理完並轉發出去所用的所有時間。在一個網絡中，若是咱們訪問某一臺服務器，一般不是直接到達，而是通過大量的路由交換設備。每通過一臺設備，就像咱們在高速公路上通過收費站同樣都會耗費必定的時間，一旦在某一個點耗費的時間過長，就會對整個網絡的訪問形成影響。若是防火牆的延時很低，用戶就徹底不會感受到它的存在，提高了網絡訪問的效率。性能

　　時延的單位一般是微秒，一臺高效率防火牆的時延一般會在一百微秒之內。時延一般是創建在測試完吞吐量的基礎上進行的測試。測試時延以前須要先測出每一個包長下吞吐量的大小，而後使用每一個包長的吞吐量結果的 90%-100%做爲時延測試的流量大小。通常時延的測試要求不可以有任何的丟包。由於若是丟包，會形成時延很是大，結果不許確。咱們測試通常使用最大吞吐量的95%或者90%進行測試。測試結果包括最大時延，最小時延，平均時延，通常記錄平均時延。測試

　　新建鏈接速率(Maximum TCP Connection Establishment Rate).net

　　新建鏈接速率指的是在每一秒之內防火牆所可以處理的HTTP新建連鏈接請求的數量。用戶每打開一個網頁，訪問一個服務器，在防火牆看來會是1個甚至多個新建鏈接。而一臺設備的新建鏈接速率越高，就能夠同時給更多的用戶提供網絡訪問。好比設備的新建鏈接速率是1萬，那麼若是有1萬人同時上網，那麼全部的請求均可以在一秒之內完成，若是有1萬1千人上網的話，那麼前1萬人能夠在第一秒內完成，後1千個請求須要在下一秒才能完成。因此，新建鏈接速率高的設備能夠提供給更多人同時上網，提高用戶的網絡體驗。blog

　　新建鏈接速率雖然英文用的是TCP，可是爲了更接近實際用戶的狀況，一般會採用HTTP來進行測試，測試結果以鏈接每秒(connections per second)做爲單位。爲何針對防火牆要測試這個數據呢？由於咱們知道防火牆是基於會話的機制來處理數據包的，每個數據包通過防火牆都要有相應的會話來對應。會話的創建速度就是防火牆對於新建鏈接的處理速度。新建鏈接的測試採用4-7層測試儀來進行，模擬真實的用戶和服務器之間的HTTP教過過程：首先創建三次握手，而後用戶到HTTP服務器去Get一個頁面，最後採用三次握手或者四次握手關閉鏈接。測試儀經過持續地模擬每秒大量用戶鏈接去訪問服務器以測試防火牆的最大極限新建鏈接速率。接口

　　併發鏈接數(Concurrent TCP Connection Capacity)

　　最後介紹的是併發鏈接數，併發鏈接數就是指防火牆最大可以同時處理的鏈接會話個數。併發鏈接數指的是防火牆設備最大可以維護的鏈接數的數量，這個指標越大，在一段時間內所可以容許同時上網的用戶數越多。隨着web應用複雜化以及P2P類程序的普遍應用，每一個用戶所產生的鏈接愈來愈多，甚至一個用戶的鏈接數就有可能上千，更嚴重的是若是用戶中了***或者蠕蟲病毒，更會產生上萬個鏈接。因此顯而易見，幾十萬的併發鏈接數已經不可以知足網絡的需求了，目前主流的防火牆都要求可以達到幾十萬甚至上千萬的併發鏈接以知足必定規模的用戶需求。

　　併發鏈接數雖然英文用的是TCP，可是爲了更接近實際用戶的狀況，一般會採用HTTP來進行測試。它是個容量的單位，而不是速度。測試結果以鏈接(connections)做爲單位。基本測試的方法和HTTP新建鏈接速率基本一致，主要的區別在於新建鏈接測試會馬上拆除創建的鏈接，而併發鏈接數測試不會拆除鏈接，全部已經創建的鏈接會保持住直到達到設備的極限。
轉自：https://blog.csdn.net/u011247197/article/details/17972319