數據包過濾功能對路由器性能有什麼影響

　　對於一般用戶來講，對一些路由器設置還不是很了解，特別是有關數據包過濾功能對於路由器性能的影響，這些問題都是需要我們特別注意的。

　　隨著路由行業的發展，其應用也非常廣泛，於是我研究了一下路由器設置中使用過濾功能對路由器性能的影響，在這裡拿出來和大家分享一下，希望對大家有用。過濾功能究竟能夠在多大程度上影響路由器設置性能?這是很多人開始感興趣的話題。

　　對於測試人員來說，都希望在基本的性能測試之後，能夠進行類似的測試，從而提供更貼近實際使用情況的測試報告。《網絡世界》評測實驗室在以往的測試中，已經進行了多次的嘗試，此次翻譯的文章，是美國《NetworkWorld》進行的一次低端路由器公開比較測試的測試方法，他們著重衡量了數據包過濾功能對路由器性能的影響。今天市場上的路由器，普遍支持數據包的過濾功能，數據包的過濾功能一般會用來做如下工作:

　　當然，用戶不應用路由器代替防火牆。但是測試者認為這項數據包過濾功能對於路由器設置來說是非常重要的，所以在測試中重點放在了測試數據包過濾功能對路由器設置性能的影響上。此次測試每個廠商用一對同型號的被兩個T-1接口利用轉接線線纜連接在一起的路由器設置構成。產品配置(配備兩條T-1線路和兩個以太網接口的路由器)可以認為是企業路由器設置中最常見的情況。在確定過濾功能對這類設備的性能影響時，測試者先從不開啟數據過濾功能(基線測試)入手，然後增加數量越來越多的數據包過濾條件再進行測試。

　　在所有的測試案例中，測試者都將SmartBits連接在每台路由器的兩個以太網接口上，並使用WAN交叉線纜連接T-1接口。在基線測試中，他們將SmartBits配置依照RFC2889描述的雙向部分網狀結構發送數據流。測量了60秒的吞吐量以及平均與最大時延。他們采用UDP/IP數據包的64、256和1518字節長度的以太網幀重復進行了此項測試。

　　在過濾功能測試中，他們提供了同基線測試中同樣的數據流，但用不同數量的數據包過濾規則配置了被測試路由器。分別采用8、16、64和256個數據包過濾規則重復了此項測試。他們選擇了不同數量的過濾器是為了觀察路由器設置是否能夠根據逐漸增多的規則進行檢查。在測試中，他們選擇了常用的過濾條件，包括源與目的IP地址、協議以及TCP和UDP端口號。測試者要求廠商將最後的數據包過濾規則設置為允許測試數據流通過的規則，強迫路由器設置循環遍歷整個數據包過濾表。廠商還開啟了日志功能，因此測試者可以了解到有多少數據包“擊中”每條規則。

　　從測試的結果看，一些依賴ASIC的接入路由器設置的吞吐量測試結果差距不大，但是使用傳統的CPU和軟件構架的設備會有比較大的影響。相比較吞吐量的測試結果，測試者更看重的是延遲測試的結果，測試的結果不單單證明了采用通用CPU和軟件的產品在開啟了數據包過濾功能之後，性能下降，同樣一些采用ASIC的接入路由器設置在開啟功能之後性能也受到了影響。

　　測試者認為延遲，是比吞吐量更重要的指標。低的和持續的延遲不僅對語音和視頻應用而且對於在意響應時間的應用也至關重要，比如TCP的數據流。由於TCP要求及時的數據確認，因此延遲會導致重新傳輸或會話丟失。另外，此次測試記錄了數據包的平均延遲和最大延遲兩個數值，因為對於設備而言雖然多數數據包的延遲在平均延遲附近，但是極少數的幾個延遲非常大的數據包，同樣也會對一些敏感應用造成很大的影響。另外，此次測試中一個很有意思的事情是，某廠商的產品緩沖區非常大，當測試吞吐量時，吞吐量超過了線速度:竟然在測試停止後，路由器設置仍繼續轉發了17秒的數據包。這就造成了荒謬的高延遲測量值。