求助：P4 2.4/512MB能够最大支持的最大session?

hally

如题，P4 2.4/512MB+intel82559*2
routeros 2.9.27z做nat最大可以支持多少session.就是最大并发连接。
我看有硬件防火墙，比如紫光，号称20万session.
有知道的高手请吱一声，谢谢！

hally

一般的说，做nat的时候，acl为64K，所以理论上可以支持65536个并发连接。
在超过64K的时候又是怎样实现的呢？
NAT地址池？
高手发表一下意见呢

hally

在routerOS中可以设置NAT并发连接否？
好像没有找到呢？

jesse

512MB 内存 100万个并发连接。

txwwy

ROS 不行,预计10W 都很难了

lnfs000

这问题个人感觉应该是看综合结构吧？
什么事儿，也得有个相同的条件来对比啊。就是所谓的指标。

seignior

jesse指的是(系统)连接数(我开始的时候也差点回答同样的答案了，这个理论上基本上只受制于内存)，但楼主问的是NAT的连接数，这个就不是同一个东西了。

无论是masquerade还是nat(ICS可不可以也单独分列呢？)，只要是边缘路由，大致都是当内网提交对外访问的请求，nat就记录下这个连接(在nat表)，然后修改部分报文，宣称这个请求是自己提交的，才发送出去(也记录在nat表)，当这个请求的应答回来的时候，在对照nat表这个连接之前究竟是内网的who提交的，然后把这个应答返回该内网ip，且在nat表取消该连接记录。
所以一个连接，在没有time out或者应答没回来之前，他就是存活的。然后我们又知道tcp需要端口才能工作，那么理论上，在nat下，tcp的连接数就不可能多于端口的总数..........这个，不知道端口最大有多少的话，请自己google

seignior

原帖由 txwwy 于 2007-6-23 23:52 发表

                               
登录/注册后可看大图

ROS 不行,预计10W 都很难了

865+P4+512的情况下，感觉有个几万就已经很痛苦了........可能再高端一点的机器可以撑多点，但觉得没意义。

txwwy

最近正在努力提高Netfilter conntrack  的性能，本来在conntrack 前加个模块检测以防外网攻击，可是发现很大有影响，于是放弃了转到想办法提高Netfilter conntrack 的性能上了，希望能够做到15 W PPS 就可以了

seignior

我的几万连接不是恶意连接，是合法连接........做成桥给idc管理带宽用的(因为那鸟idc不懂用cisco相对复杂的功能)，结果某次关掉所有策略限制，偶尔发现几万连接，就已经不是一般的难控制了。

doskey

我的机器配置 双核P43.0 内存1g  intel 双千m  intel945主板

xin005

像m0n0wall防火墙就有30W并发线程数的版本.

txwwy

M0N0 做NAT 肯定做不到30W ,他的30 W 版本只是把连接数改到30 W ,但肯定做不到30W

82080747

jesse指的是(系统)连接数(我开始的时候也差点回答同样的答案了，这个理论上基本上只受制于内存)，但楼主问的是NAT的连接数，这个就不是同一个东西了。

无论是masquerade还是nat(ICS可不可以也单独分列呢？)，只要是边缘路由，大致都是当内网提交对外访问的请求，nat就记录下这个连接(在nat表)，然后修改部分报文，宣称这个请求是自己提交的，才发送出去(也记录在nat表)，当这个请求的应答回来的时候，在对照nat表这个连接之前究竟是内网的who提交的，然后把这个应答返回该内网ip，且在nat表取消该连接记录。
所以一个连接，在没有time out或者应答没回来之前，他就是存活的。然后我们又知道tcp需要端口才能工作，那么理论上，在nat下，tcp的连接数就不可能多于端口的总数..........这个，不知道端口最大有多少的话，请自己google


要是这样的话，那那那。。。。。。。。

xzping

学习一下。。。