【51CTO.com 綜合報(bào)道】我們知道，“最大并發(fā)連接數(shù)”是衡量網(wǎng)絡(luò)設(shè)備處理能力的重要技術(shù)指標(biāo)之一，它體現(xiàn)了設(shè)備在大流量、高連接的網(wǎng)絡(luò)環(huán)境下的適應(yīng)性。然而，在實(shí)際使用中，由于大量P2P無效連接的存在，造成設(shè)備的連接處理能力大打折扣，會(huì)嚴(yán)重影響用戶實(shí)際可用的網(wǎng)絡(luò)連接資源。面對(duì)上述問題，應(yīng)當(dāng)如何實(shí)現(xiàn)無效連接的及時(shí)清理，保障用戶在大流量、高連接下及時(shí)獲得有效的連接資源呢？本文將就此問題進(jìn)行論述。 

◆“連接表維護(hù)”是網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)連接的關(guān)鍵環(huán)節(jié)

在網(wǎng)絡(luò)中，任何用戶的計(jì)算機(jī)想要與其它計(jì)算機(jī)進(jìn)行通信，必須依靠網(wǎng)絡(luò)設(shè)備進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)。其中，某些安全類網(wǎng)絡(luò)設(shè)備（例如防火墻、安全網(wǎng)關(guān)、應(yīng)用控制網(wǎng)關(guān)等）為了實(shí)現(xiàn)對(duì)數(shù)據(jù)包進(jìn)行追蹤和管理，首先需要具備對(duì)數(shù)據(jù)包中連接信息的記錄和處理能力。

網(wǎng)絡(luò)設(shè)備對(duì)數(shù)據(jù)包的處理是在協(xié)議棧中完成的。所謂“協(xié)議?！?，是根據(jù)OSI體系模型劃分的各層協(xié)議的總和，它形象的反映了數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸過程。而在協(xié)議棧對(duì)數(shù)據(jù)包進(jìn)行處理的過程中，首先要做的就是對(duì)網(wǎng)絡(luò)連接進(jìn)行記錄和跟蹤維護(hù)，以便能夠?qū)?shù)據(jù)包和所屬連接關(guān)聯(lián)起來，實(shí)現(xiàn)對(duì)數(shù)據(jù)包的控制，這一階段稱為“連接表維護(hù)”，之后才對(duì)數(shù)據(jù)包進(jìn)行路由轉(zhuǎn)發(fā)、封裝、解封裝等“后繼處理”。

顧名思義，“連接表維護(hù)”就是記錄連接的狀態(tài)信息，其中最主要記錄內(nèi)容是連接的五元組信息，即源IP、目的IP、源端口、目的端口、協(xié)議類型。無論TCP還是UDP，只要數(shù)據(jù)包的五元組信息一致，就被認(rèn)為屬于同一連接。如果缺少了這一連接維護(hù)的過程，網(wǎng)絡(luò)設(shè)備將無法獲知如何將數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，網(wǎng)絡(luò)中的計(jì)算機(jī)終端也必然無法正常通信。

◆無效連接大量侵占連接表資源，導(dǎo)致網(wǎng)絡(luò)設(shè)備連接數(shù)指標(biāo)形同虛設(shè)

當(dāng)前各種網(wǎng)絡(luò)設(shè)備進(jìn)行連接信息的維護(hù)時(shí)，使用的是單級(jí)表結(jié)構(gòu)。當(dāng)一個(gè)數(shù)據(jù)包傳送過來后，首先會(huì)在該表中進(jìn)行查詢，以判斷該連接是否已經(jīng)存在。如果存在，則更新該連接的統(tǒng)計(jì)及狀態(tài)信息，否則將創(chuàng)建代表這一新連接的表項(xiàng)。如圖1所示： 

圖1

然而，隨著P2P應(yīng)用大量出現(xiàn)，傳統(tǒng)網(wǎng)絡(luò)模型被極大地改變了。P2P應(yīng)用中不存在服務(wù)器與客戶端的區(qū)分，每個(gè)安裝了P2P軟件的計(jì)算機(jī)將被視為對(duì)等體，并以點(diǎn)對(duì)點(diǎn)的方式實(shí)現(xiàn)數(shù)據(jù)的分布式下載。由于P2P軟件采用廣播方式發(fā)起連接，因此會(huì)毫無目的的發(fā)送大量試探性連接，以最大限度的獲取對(duì)等體計(jì)算機(jī)的響應(yīng)。

這些試探性連接雖然包含的數(shù)據(jù)量很少，但數(shù)量龐大，而且其中絕大部分連接無法獲得對(duì)等體計(jì)算機(jī)的響應(yīng)，成為無效連接。然而網(wǎng)絡(luò)設(shè)備在進(jìn)行“連接表維護(hù)”的過程中，會(huì)不加區(qū)分的為其分配新的表項(xiàng)，而不判定連接的有效性，造成這些無效連接在連接表中占據(jù)了相當(dāng)大的比例。連接表規(guī)模增大的同時(shí)，網(wǎng)絡(luò)設(shè)備必須花費(fèi)更多的性能開銷進(jìn)行連接表的查找和維護(hù)，造成系統(tǒng)資源嚴(yán)重浪費(fèi)。而且任何設(shè)備所能支持的總連接數(shù)都有一定的規(guī)模，這些無效連接的存在，使連接表無法接納新建有效連接的可能性增大，進(jìn)而造成設(shè)備所支持的最大用戶數(shù)降低。

◆網(wǎng)康“動(dòng)態(tài)連接清洗”專利技術(shù)的特性及優(yōu)勢(shì) 

網(wǎng)康科技獨(dú)有的“動(dòng)態(tài)連接清洗技術(shù)”很好的解決了上述問題，該技術(shù)能夠高效分檢并清理網(wǎng)絡(luò)設(shè)備中存在的大量無效連接，保障連接資源的有效回收。目前，這技術(shù)已申請(qǐng)相關(guān)專利，并在ITM系列智能流控以及ICG系列互聯(lián)網(wǎng)控制網(wǎng)關(guān)產(chǎn)品中得到了成功應(yīng)用，極大的提高了產(chǎn)品對(duì)高并發(fā)連接的處理能力。

網(wǎng)康 “動(dòng)態(tài)連接清洗技術(shù)”提供了一種全新的網(wǎng)絡(luò)連接處理機(jī)制，能夠根據(jù)連接的有效性進(jìn)行二級(jí)分類。對(duì)于“已確認(rèn)連接”，將直接進(jìn)行后續(xù)操作；對(duì)于“未確認(rèn)連接”，系統(tǒng)將周期性進(jìn)行連接有效性的檢查，其中有效連接將被歸入“已確認(rèn)連接”，而無效連接將被動(dòng)態(tài)清理出連接表。

該技術(shù)不但可以將無效連接進(jìn)行隔離，縮小各級(jí)連接表的規(guī)模和清理范圍，提高連接表的有效性，而且加快了連接表的查找速度，降低了設(shè)備的性能開銷，最終實(shí)現(xiàn)了對(duì)無效網(wǎng)絡(luò)連接進(jìn)行高效的動(dòng)態(tài)清洗。如下圖2所示： 

圖2

結(jié)語(yǔ)

綜上所述，網(wǎng)康科技通過“動(dòng)態(tài)連接清洗”專利技術(shù)的開發(fā)和應(yīng)用，為合理釋放無效網(wǎng)絡(luò)連接，保障系統(tǒng)在大流量、高連接環(huán)境下的處理性能等方面，提供了有效的解決途徑。