广播风暴

广播风暴（ broadcast storm ）是多个交换机连接成回环，数据帧不停的来回转发的现象。这种现象会造成网络带宽、交换机资源的过度消耗，最终导致整个网络的瘫痪。使用生成树功能，可以避免这个问题。生成树通过 NDP 端口的关闭来解决网络的回环问题。另外，遇到 DoS 攻击、操作系统出现 bug 或 NIC 出现故障导致生成树无法正常工作时，同样也会产生广播风暴。

这时，可以使用交换机的广播风暴控制（ storm-control ）功能来避免这个现象。广播风暴控制功能的原理是在端口监控数据帧，如果数据帧的数量超过了预定的上限值，就会把超过上限值的部分丢弃。数据帧上限值使用 pps 为单位，能够分别对单播、多播、广播进行定义和配置。

如果没有回环状态，广播帧只会转发到广播域内的所有终端。相反，如果网络存在回环，广播帧会永远在回环内循环转发，导致数据帧数量越来越多，最终整个网络的带宽被广播帧消耗殆尽。

路由器性能

路由器性能是用单位时间内的转发能力来表示，也可以使用吞吐率（ throughput ）表示。单位 bit/s（比特每秒）来表示吞吐率，也会使用 pps（报文每秒）来表示吞吐率。

pps 性能相同的路由器，转发的报文越大，路由器的 bit/s 值就越高。比如，处理能力是 100 pps 的路由器，处理 64 字节（ 512 bit）报文时，速率是 51.2 kbit/s ，但在处理 1500 字节（ 12000 bit）的报文时，速率达到 1.2 Mbit/s 。

防火墙性能

同时在线会话数

防火墙使用会话表管理会话，以会话为单位进行流量的控制。会话表记录的表项数目，表明了防火墙能处理的同时在线会话数量。

小型的桌面防火墙一般能够支持几万个会话，电信运营商使用的防火墙能够同时管理数百万个会话。

会话生存时间

通过安全策略的 UDP 报文或 TCP 报文到达防火墙时，防火墙会生成对应的会话信息。如果在一定时间内，这个会话没有流量的话，就把会话删除，这个时间段叫做会话生存时间。

会话信息被删除后，这个会话相关的报文到达防火墙时，防火墙需要重新生成会话信息。如果是 UDP 报文，只需要再次生成会话信息即可，但如果是 TCP 报文，除了 SYN 报文外，其余报文都会丢弃。如果 SYN 之外的报文遭到防火墙拒绝，就需要客户端的应用程序重新发起流程，跟服务器进行 3 次握手，重新建立 TCP 连接。

会话生存时间，可以根据不同的协议设置不同的值。一般 TCP 的会话生存时间是 1 小时，UDP 和其它 IP 协议的会话生存时间是 30 秒。