【51CTO.com 綜合報道】我們知道，“最大并發連接數”是衡量網絡設備處理能力的重要技術指標之一，它體現了設備在大流量、高連接的網絡環境下的適應性。然而，在實際使用中，由于大量P2P無效連接的存在，造成設備的連接處理能力大打折扣，會嚴重影響用戶實際可用的網絡連接資源。面對上述問題，應當如何實現無效連接的及時清理，保障用戶在大流量、高連接下及時獲得有效的連接資源呢？本文將就此問題進行論述。 

◆“連接表維護”是網絡設備處理網絡連接的關鍵環節

在網絡中，任何用戶的計算機想要與其它計算機進行通信，必須依靠網絡設備進行數據包的轉發。其中，某些安全類網絡設備（例如防火墻、安全網關、應用控制網關等）為了實現對數據包進行追蹤和管理，首先需要具備對數據包中連接信息的記錄和處理能力。

網絡設備對數據包的處理是在協議棧中完成的。所謂“協議?！?，是根據OSI體系模型劃分的各層協議的總和，它形象的反映了數據在網絡中的傳輸過程。而在協議棧對數據包進行處理的過程中，首先要做的就是對網絡連接進行記錄和跟蹤維護，以便能夠將數據包和所屬連接關聯起來，實現對數據包的控制，這一階段稱為“連接表維護”，之后才對數據包進行路由轉發、封裝、解封裝等“后繼處理”。

顧名思義，“連接表維護”就是記錄連接的狀態信息，其中最主要記錄內容是連接的五元組信息，即源IP、目的IP、源端口、目的端口、協議類型。無論TCP還是UDP，只要數據包的五元組信息一致，就被認為屬于同一連接。如果缺少了這一連接維護的過程，網絡設備將無法獲知如何將數據包進行轉發，網絡中的計算機終端也必然無法正常通信。

◆無效連接大量侵占連接表資源，導致網絡設備連接數指標形同虛設

當前各種網絡設備進行連接信息的維護時，使用的是單級表結構。當一個數據包傳送過來后，首先會在該表中進行查詢，以判斷該連接是否已經存在。如果存在，則更新該連接的統計及狀態信息，否則將創建代表這一新連接的表項。如圖1所示： 

圖1

然而，隨著P2P應用大量出現，傳統網絡模型被極大地改變了。P2P應用中不存在服務器與客戶端的區分，每個安裝了P2P軟件的計算機將被視為對等體，并以點對點的方式實現數據的分布式下載。由于P2P軟件采用廣播方式發起連接，因此會毫無目的的發送大量試探性連接，以最大限度的獲取對等體計算機的響應。

這些試探性連接雖然包含的數據量很少，但數量龐大，而且其中絕大部分連接無法獲得對等體計算機的響應，成為無效連接。然而網絡設備在進行“連接表維護”的過程中，會不加區分的為其分配新的表項，而不判定連接的有效性，造成這些無效連接在連接表中占據了相當大的比例。連接表規模增大的同時，網絡設備必須花費更多的性能開銷進行連接表的查找和維護，造成系統資源嚴重浪費。而且任何設備所能支持的總連接數都有一定的規模，這些無效連接的存在，使連接表無法接納新建有效連接的可能性增大，進而造成設備所支持的最大用戶數降低。

◆網康“動態連接清洗”專利技術的特性及優勢 

網康科技獨有的“動態連接清洗技術”很好的解決了上述問題，該技術能夠高效分檢并清理網絡設備中存在的大量無效連接，保障連接資源的有效回收。目前，這技術已申請相關專利，并在ITM系列智能流控以及ICG系列互聯網控制網關產品中得到了成功應用，極大的提高了產品對高并發連接的處理能力。

網康 “動態連接清洗技術”提供了一種全新的網絡連接處理機制，能夠根據連接的有效性進行二級分類。對于“已確認連接”，將直接進行后續操作；對于“未確認連接”，系統將周期性進行連接有效性的檢查，其中有效連接將被歸入“已確認連接”，而無效連接將被動態清理出連接表。

該技術不但可以將無效連接進行隔離，縮小各級連接表的規模和清理范圍，提高連接表的有效性，而且加快了連接表的查找速度，降低了設備的性能開銷，最終實現了對無效網絡連接進行高效的動態清洗。如下圖2所示： 

圖2

結語

綜上所述，網康科技通過“動態連接清洗”專利技術的開發和應用，為合理釋放無效網絡連接，保障系統在大流量、高連接環境下的處理性能等方面，提供了有效的解決途徑。