大家都知道,防火墙的工作核心其实就是对IP包头与预定政策的匹配控制。防火墙在工作的时侯,首先从内存读出政策链的第一条放进寄存器,然后经系统总线(pci0),再经pci-pci桥,再经pci1到pci网卡读取IP包的头信息,把它与寄存器中的政策进行匹配,然后决定该IP包的处理。一来一去需要两次经过PIC总线。如果IP包比较大,那么这个包头信息与包的大小比较就相对小得多,这时侯系统带宽的瓶颈就是网卡的内存暂存能力,也就是我们所说的百兆网卡和千兆网卡的区别,或者称为线速的限制(wirespeed).但如果IP包很小,那么IP包头所占的比例就相当高,这时,瓶颈就是PCI 总线的交换能力了。
任何来往于该PCI的其他传输,都将由于总线争夺而受到限制。在这一数据交换中,数据通过Hubink,从ICH(I/O Controller Hub))到MCH(Memory Controller Hub)的传输有四次,经过PCI总线的传输有两次。由于HubLink的最大数据吞吐量是266MB,约2.2Gbps;但由于32位PCI总线以 33MHz运行,所以数据传输率被限制到1.06Gbps左右。而且还要连接运行各种系统数据交换。由于PCI总线的带宽限制,PCI网卡永远也不能实现真正的全双工的2Gbps带度,最高理论速度是单向1Gbps,而实际达到的不超过一半,即500M。
换句话说,对于硬件确定的系统,每秒能够处理IP包的数量是一个相对的常数。这个常数与CPU处理能力和寄存器数目,以及系统总线的交换速度形成的整体能力密切相关。对于使用PIII处理器和 X86服务器主板(或工控主板,32位PCI总线)的防火墙,这个数字大致在五十万到一百万之间。
咨询电话:0571-88868188
传真号码:0571-56059889
网址:http://www.pvontek.com