当访问者访问您的网站时,他就占用至少一个连接,有时根据程序的不同,一个访问者也可能占用多个连接数。因而连接数不等于在线人数,和在线人数之间也无法换算。
“点对点连接”并没有局限于狭义的TCP连接(Connection-Oriented)或信息点—信息点通信(Point-Point Communication),而是泛指IP层或IP层以上各种传输层、会话层和应用层的信息流,所以它同样也包括了UDP会话; 另外,多址广播组的通信同样也被按照多播源(多播组地址)的形态归纳成一个连接进行处理。
基于状态检测的防火墙
并发连接表中每一个表项至少包含以下内容:
源IP地址、源端口号、目的IP地址、目的端口号、协议类型、连接状态、流量统计和时间戳信息、NAT转换信息、连接许可信息、身份认证信息和VPN通道相关信息(如果支持VPN的话)。由于表项中容纳了大量的连接信息,因此每个表项可能占用200~400字节的内存空间,这对防火墙系统的整个内存资源来说是一个不容忽视的消耗。相同的数据结构和检索情况下,大的并发连接表会增大防火墙系统对表项的搜索时间,增大防火墙对报文处理的转发延迟;并发连接数的增大应当充分考虑CPU的处理能力, CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上,并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作,这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CPU的实际处理能力而贸然增大系统的并发连接表,势必影响防火墙对连接请求的处理延迟,造成某些连接超时,让更多的连接报文被重发,进而导致更多的连接超时,最后形成雪崩效应,致使整个防火墙系统崩溃。
以3小时为间隔,对http://www.sohu.com分时段进行多次访问,得到以下几个统计数:
事实上,在各常见网络协议中,产生并发连接数最多的业务是Web浏览(HTTP协议),而产生并发连接相对较少的协议则当属FTP和E-mail应用。