连接跟踪

来自深圳捷联讯通科技有限公司
跳转至: 导航搜索
操作路径: /ip firewall connection tracking
连接追踪为 nat 地址转换提供每条 TCP/UDP 连接的转换状态跟踪,提供了连接超时(timeout)参数,当在指定的超时时间过后,相应的条
目将会从连接状态列表中删除。下面是 tracking 的配置,在 RouterOS 6.0 后开始新增 FastPath 功能,Enabled 由原来的双选,变为 auto、no
和 yes(具体参见 Fastpath 章节):
10-17.png

属性描述

♠ count-curent ( 只读 : 整数 ) - 在连接状态列表中记录的当前连接数
♠ count-max ( 只读 : 整数 ) - 取决于总内存量的连接状态列表,自动计算出最大连接数
♠ enable (yes | no|auto; 默认: auto|yes) –允许或禁止连接追踪,nat 被使用的情况下必须开启;根据硬件平台不同,
♠ x86 不具备 Fastpath,默认是 yes,而 RouterBOARD 具备 Fastpath 功能,默认是 auto。
♠ generic-timeout ( 时间 ; 默认: 10m) - 连接列表中追踪既非 TCP 又非 UDP 包的条目的最大时间量将会在看到匹配此条目最后一个包之后存活
♠ icmp-timeout ( 时间 ; 默认: 10s) - 连接追踪条目将在看到 ICMP 请求后存活最的大时间量
♠ tcp-close-timeout ( 时间 ; 默认: 10s) – TCP 连接追踪条目在看到连接复位请求(RST)或来自连接释放初始化机连接终端请求确认通知(ACK)之
后存活的最大时间
♠ tcp-close-wait-timeout ( 时间 ; 默认: 10s) – 当来自应答器的终端请求(FIN)之后连接追踪条目存活的最大时间
♠ tcp-established-timeout ( 时间 ; 默认: 1d) – 当来自连接初始化机的确认通知后连接追踪条目存活的最大时间
♠ tcp-fin-wait-timeout (时间; 默认: 10s) – 当来自连接释放初始化机的连接终端请求(FIN)后存后连接追踪条目存活的最大时间
♠ tcp-syn-received-timeout ( 时间 ; 默认: 1m) – 当匹配连接请求(SYN)之后连接追踪条目存活的最大时间
♠ tcp-syn-sent-timeout ( 时间 ; 默认: 1m) – 当来自连接初始化机的连接请求(SYN)后连接追踪条目存活的最大时间
♠ tcp-time-wait-timeout ( 时间 ; 默认: 10s) – 当紧随连接请求(SYN)的连接终端请求(FIN)之后或在看到来自连接释放初始化机的其他终端请求
(FIN)之后连接追踪条目存活的最大时间
♠ udp-timeout ( 时间 ; 默认: 10s) – 当匹配此条目的最后一个包之后连接追踪条目存活的最大时间
♠ udp-stream-timeout ( 时间 ; 默认: 3m) - 在匹配此连接(连接追踪条目是确定的)的最后一个包的响应被看到之后连接追踪条目存活的最大时间。它
用于增加对 H323,VoIP 等连接的超时。


注: 最大超时值取决于在连接状态列表中的连接数量。如果在列表中连接数量大于:
♥ 连接的最大数量的 1/16,超时值将为 1 天
♥ 连接的最大数量的 3/16,超时值将为 1 小时
♥ 连接的最大数量的 1/2,超时值将为 10 分钟
♥ 连接的最大数量的 13/16,超时值将为 1 分钟
如果超时值超过了上面列出的值,那么将使用更小的值。如果连接追踪超时值小于数据包率,比如:在下一个包到达之前超时就过期了,那么 nat 和
statefull-firewalling 将停止工作。
注: tracking 功能被关闭,nat 功能也将会失效;如果你在不考虑启用 nat 功能情况,可以关闭掉 tracking。RouterOS 在经过一些大型的 nat 网
络应用后,通过 Xeon 服务器平台能实现大概 20~25 万左右的 nat 连接转发,我们看一台 nat 设备的性能主要看他的连接转发能力,不管你多少流量 nat
连接转发能力是关键,如果我们将 RouterOS 的 nat 转换关闭,即 Tracking 关闭,RouterOS 在高性能路由设备上能实现 2Gbps~3Gbps 的吞吐量。但随着
RouterBOARD 支持 Fastpath 功能后,会根据不同平台的 RouterBOARD 提升转发性能。可惜 x86 平台无法得到这样的提升,因为芯片无法支持。
作者:余松

上一页 下一页