如果生存时间过长，或者没有生存时间，TCP 没有收到 FIN 或 RST ，连接会一致保持开放，而 UDP 会话不会结束，会话信息一直保留。

由于会话信息表中的会话表项的数量有限，如果长时间不清除，会让表项数量到达上限值。当会话表项数量达到上限值后，不能新建会话，造成无法通信的后果。

每秒会话数

路由器性能一般使用 bit/s 和 pps 这两个单位描述。防火墙的话，还要增加每秒能建立的会话数（ new session per second ）这个参数指标。这个指标表示在 1 秒内能够完成多少次会话建立。1 个完整的会话建立过程包括：监控 TCP 连接的 3 次握手，握手正常就生成会话信息，将会话信息记录到会话表等操作。如果数值不满足网络需求，就会造成网络中新会话信息无法建立。用户使用过程中，就会觉得这个网络的响应速度非常慢。

VPN

防火墙或安全设备都会支持站到站 IPsec-VPN 、远程接入 IPsec-VPN 或 SSL-VPN 功能。有些产品还支持用户通信的 SSL（ HTTPS ）解密功能。

执行加密或解密的操作，和使用明文通信对比，系统的负载会增加，导致性能下降。虽然使用 ASIC 芯片完成加密，不会带来性能下降问题，但几乎所有的设备都是采用 CPU 的软件处理方式。因此，当通信流量增大时，性能还是会大幅的下降。

无线 AP 性能

实际环境中，CSMA/CA 和无线电波的干扰、距离的远近导致无线电波的强弱不同等原因，AP 是达不到理论支持的最大吞吐率。

CSMA/CA

IEEE 802.11 的无线 AP 使用 CSMA/CA 通信。

CSMA 中 CS 用来执行载波侦听，当遇到其它终端正在发送数据帧时，这个终端停止发送并等待，直到其它终端发送完毕。MA 是指多址接入，即多个终端共享 1 个传输媒介。CA 是冲突避免，遇到其它设备正在发送数据，那么就等待设备发送完成后，再等待一段随机时间，才继续发送数据。通过这个机制可以错开多个节点同时发送数据帧，有效降低冲突发生的可能性。

由于有线网络能够通过电气噪音及时检测冲突的发生，而无线网络无法迅速有效的检测冲突，只能采用 CSMA/CA 的机制来避免冲突的发生。

ACK 数据帧

收到数据帧后的 AP 需要返回 ACK 数据帧，当发送方接收到 ACK 数据帧后，表示整个通信过程结束。但无线信号不好时，接收方没有收到数据帧，就不会发送 ACK 数据帧，这时发送方会重发数据帧。另一方面，当接收方顺利收到数据帧，并返回 ACK 数据帧，但是发送方却没有收到 ACK 数据帧时，接收方也会再次发送 ACK 数据帧。终端和 AP 之间的距离和无线信号的状态会影响数据重发的概率。