Gói dữ liệu trên giây (PPS) là thước đo để đánh giá hiệu suất cổ điển router.
Xét rằng, hầu hết thời gian, tường lửa được lắp vào các cấu trúc liên kết mạng như
3 yếu tố Layer, tham số này có thể không được xem thường. Ngoài ra, từ quan điểm
của một tường lửa, một kết nối có thể chứa nhiều gói nhỏ. Hai ví dụ
minh họa cho mối quan hệ giữa các gói tin và các kết nối được đăng ký ở đây:
■ Các TCP quá trình bắt tay ba chiều: Khi sử dụng TCP, trước khi áp dụng
dòng chảy bắt đầu, cần có ít nhất ba gói tin liên quan đến
Chương 2: Cisco Firewall Gia Đình Tổng quan 31
■ chuyển tập tin lớn: Việc chuyển các tập tin lớn bằng cách sử dụng các giao thức như FTP hoặc
TFTP. có thể liên quan đến một số lượng lớn các gói tin trong các kết nối dữ liệu cùng
Nhiều khách hàng phàn nàn về tường lửa của họ phải đối mặt với các vấn đề với các gói tin nhỏ. Một
vài trong số họ thậm chí đã có ấn tượng rằng sản phẩm của họ đã có một số loại giới hạn
khi đối phó với lớp học này của gói tin. Về bản chất, những gì đang diễn ra trong hầu hết các tình huống có thể được mô tả như sau:
■ Các con số bảng dữ liệu đã được tính toán bằng cách sử dụng Jumbo Frames (~ 9000 byte) và thể hiện Gbps.
■ giao thông trong một môi trường thực tế đã một IMIX- như hồ sơ cá nhân (trung bình 450 byte
mỗi gói). Xét rằng khách hàng liên quan đến hiệu suất với Gbps, sự thất vọng là có ý nghĩa: một hiệu suất thấp hơn so với con số thị 20 lần. (Chỉ cần suy nghĩ về phát hiện ra rằng một tuyên bố 30 Gbps thông lượng không nhiều
hơn 1,5 Gbps ....)
Các tính toán đơn giản sau đó có thể cung cấp một hướng dẫn hợp lý cho việc kết nối các
giá trị PPS và Gbps:
■ 450 byte / gói = 3600 bit / gói = 3,6 x 103 bit / gói (a)
■ 1 Gbps = 109 bit / giây (b)
■ 109 bit / giây = (gói Y / giây) x (3,6 x 103 bit / gói) (c)
■ (a), (b), và (c) Năng suất Y ~ 278.000 gói tin / giây, có nghĩa là bạn gần như sẽ
cần 278K PPS cho từng lưu lượng Gbps IMIX.
Nếu kịch bản triển khai của mình liên quan đến các gói nhỏ hơn, các tính toán của bạn nên được thậm chí
bảo thủ hơn.
Các kết nối đồng thời tham số liên quan trực tiếp với số lượng bộ nhớ dành cho các bảng trạng thái. Biến này cũng phần nào được kết nối với nhau bằng các
giá trị CPS. Ví dụ, các ASA5585-SSP10 hỗ trợ 1 triệu kết nối đồng thời và một
tỷ lệ CPS 50 K (xem hình 2-2). 1000K kết nối / 50 K CPS = 20 giây, có nghĩa
rằng mô hình ASA này có thể chấp nhận các kết nối mới với mức thiết lập tối đa 50 K CPS
cho một khoảng thời gian 20 giây (mà không từ chối kết nối).
Chú ý Trong hình 2-2, bất cứ khi nào một tế bào chứa các giá trị trong các hình X / Y cho 5505 và
các nền tảng 5510, X là giá trị tham số cho phép cơ sở, trong khi Y tương ứng
với Security Plus (SecPlus) cấp giấy phép.
Lưu ý Mỗi khi lên kế hoạch cho các tham số CPS, điều quan trọng là để giữ nhớ rằng các
giá trị được lựa chọn nên xử lý mức thiết lập cao hơn so với những người quan sát trong quá trình hoạt động của tường lửa thông thường. Ví dụ, cần có một số phòng để đối phó với những tình huống tấn công DoS. (Tường lửa Well-kích thước tương có thể đóng góp đáng kể vào việc giảm thiểu DoS.)
Hình 2-3 trình bày một lưu lượng gói tin có thể cho các thiết bị ASA trong một tình huống mà
ở đó không phải là tính năng VPN cũng không dựa trên người dùng triển khai. Mục đích của con số này là để
minh họa cho các nhiệm vụ cổ điển mà là một phần của hoạt động ASA firewall. Thông tin chi tiết về mỗi
bước là chủ đề của chương sau.
Tổng quan về ASA Phần cứng Models
Hình 2-4 đăng ký phía trước và phía sau quan điểm cho ASA5505, mô hình nhỏ nhất trong
gia đình ASA. Một số đặc điểm đáng chú ý của nó theo:
đang được dịch, vui lòng đợi..