目前接入网方式有很多,宽带接入网也是我们很常用的一种,于是我研究了一下如何优化宽带接入网,让其更加快速和安全,在这里拿出来和大家分享一下,希望对大家有用。
一、浅论网络吞吐量
谈起宽带接入网设备,吞吐量或者是转发率,始终是一个值得讨论的话题。宽带接入网的带宽再大,如果接入设备的吞吐量不够,网络包就会卡在接入设备,形成瓶颈。这对用户等于是带宽的浪费,例如用户有十兆带宽,但是因为接入路由器转发率只有五兆,那么用户实际能享用到的带宽也会受到限制,变成只有五兆。因此,对于熟悉网络技术的专家,都知道在选用接入设备时,支持的最大转发率,应该要大于总宽带接入网不会形成浪费。
但是专家也常有跌破眼镜的时候,选择最大转发率大于总宽带接入网的路由器,有时还是会形成卡的局面。我们来看一看由《太平洋电脑网》2006年年底进行的横向评测的结果,就可知道为什么最大转发率的参考价值有时并不大。在这项名为“NAT的艺术”的评测以SmartBits专业设备进行的评测,我们可以发现在网络包较大的情况,路由器的效能是较好的;但是在网络包较小的情况,例如64Bytes时,很多路由器转发能力出现大幅退步的情况。
也就是说,如果网络进出的网络包如果是小包,路由器根本就达不到最大转发率的工作能力,出现的很大的落差。这是因为小封包包头及包尾和内容一样多,所以都花在检查包头包尾的内容上,出现转发率不佳的现象。我们可以看到大包转发率同样是100的产品,小包转发率的能力可以差到五倍以上。
但不巧的是,近年来普及的一些应用,包括MSN、QQ、Skype、视频、线上游戏等,都是以小包的形式在工作。这对很多用户的宽带接入网带来困扰,很多以前看网页、下载工作良好的路由器,在碰到大量小包应用的情况时,就发生效能不良,网络卡的情况。
二、加速及双核都不够
小包应用的普及是一个现实,因此路由器厂商没有理由,必须加以跟进。于是出现不同的方式,来改善小包转发的效果。一些厂商以取巧的方式,在路由器进行转发处理时,并不详细检查包头包尾的内容,只是看了网络包的目的地址,就直接转发出去,并称之为“加速”的功能。这个作法,也的确可以起到加速的作用,但是由于没有检查包头包尾,却为网络带来安全性的问题。有些路由器在启用加速功能后,就不支持防火墙及带宽管理功能,就是这个理由。这样的处理方式,在现今攻击普及,网络安全渐渐受到用户重视的情况,显得不切实际,无法起到较好的作用,反而造成容易受攻击及病毒的影响,成为网络安全的漏洞。
用户需要的是同时能提供防火墙及宽带接入网管理功能的加速。光加速而无法使用安全相关的功能,是现今许多具备“加速”功能的限制。另外一些厂商,套用计算机领域中强调的双核概念,以为引用双核到路由器设备,就可以达到加速的效果。但是实际上,由于基本的问题没有针对,于是路由器很多时间都花在检查一个一个大量小包的包头及包尾内容,即使是双核的网络处理器,在进行小包的转发,也打了很大折扣。当受到攻击时,双核的处理器忙于处理大量封包,等于花费很多力量在无用的工作上,实际效能也达不到两倍。
双核虽然强大,但是面对量大繁杂的小封包,能发挥的作用也不大。若是不具分辨能力的话,双核强大的运算能力,反而花在处理无效的攻击封包或是垃圾封包上。
……