2022-04-10 10:06:01
admin
686次阅读以下文章来源于网络技术平台 ,作者弗克斯
大家好,我是小成。
网络设备、二层交换机、三层交换机、防火墙WiFi ,我们已经介绍了我们常见的设备,知道它们是做什么的。但是单个设备有很多品牌和型号。当你真的想买设备的时候,估计各种各样的设备都会眼花缭乱,在雾中看花。现在我们来介绍一下如何选择设备,选择最适合自己的网络设备。
产品类型
网络产品包括路由器、交换机、防火墙、无线 AP 等等,在选择产品类型时,要考虑网络是否需要?路由选择需要路由器吗?需要核心交换机吗?需要负责安全控制的防火墙吗?如何在网络中配置这些设备?
产品类型:
- 路由器
- 二层交换机
- 三层交换机
- 防火墙
- 无线 AP
- 负载均衡
- 带宽控制
- 代理
- ……
新建网络时,可根据组网中的产品类型选择相应的产品。在当前网络中需要更换某些网络设备时,也可以选择相同类型的设备。如果性能足够,可以用三层交换机或防火墙代替路由器。也可以用三层交换机代替二层交换机。在选择安全设备时,部分防火墙具有基于内容的安全控制功能,可考虑统一使用防火墙代替独立的防病毒设备,URL 过滤设备、IDS/IPS 设备等,达到降低成本的目的。
根据需要选择设备型号
为了确定产品类型,有必要根据所需的功能选择特定的设备型号。考虑以下几个方面。
网络接口和接口速率
- WAN 侧和 LAN 侧接口数量是否满足要求。RJ-45 的 10/100/1000BASE-T 或 SFP 的 1000BASE-SX 接口类型和接口速率是否符合要求。
- 使用 VLAN 子接口(逻辑接口)的数量是否满足虚拟路由器的要求。
- 使用 IEEE 802.1ad 收集接口时,收集带宽是否满足要求。
性能
- 吞吐量(传输速率)是否足够。
- 使用 ASIC 或 FPGA 硬件处理的范围和使用等 CPU 软件处理的范围是多少,根据这些信息处理那些流量可以得到高性能,哪些流量不能得到高性能。
- 扫描内容时,可以扫描多少容量的文件。
- 若多个功能同时运行,设备 CPU 利用率和内存占用率是否满。
软件功能
- 支持哪些协议和独立功能。
- 网络功能。
- 管理功能。
- 报告功能。
迁移便捷性
- 更换设备时,使用相同厂家的现有设备,操作相同操作系统的设备更容易迁移。
售后服务
- 可现场维护的产品仍需送回原厂。
- 支持售后服务时间。
网络延迟
路由器等网络设备将有转发报纸的操作。当报纸离开起点并传输到目的地时,总会有延迟( delay )产生。
在网络中传输声音、视频等实时流量时,需要收集各路由器之间的延迟参数,必须减少端到端( end to end )网络延迟是整个网络设计的重要目标。
ITU-T 推荐的 G.114 三种类型的延迟定义。
延迟类型。
- 端到端延迟( end to end delay ):报纸从发送源发出后,到达目的地所需的时间。中途通过的网络设备越多,值就越大。
- 处理延迟( processing delay ):通常只有几微秒钟,从报纸进入设备入口,到进出口队列。
- 分片延迟( packetization delay ):数据分为多部分传输,编码、压缩、包装等操作时间一般为几十毫秒。
- 队列延迟( queuing delay ):报纸停留在出口队列中。 QoS 控制时,优先级低的报纸总是在队列中停留很长时间,即延迟很大,通常是几毫秒。
- 串行延迟( serialization delay ):接口发送报纸时,电气、光、电磁波等信号转换时间,具体值通过 “ 报文尺寸 ÷ 带宽 ” 公式计算。接口速度越高,串行延迟越低。 使用字节报文 64kbit/s 传输带宽时,串行时间是 8 毫秒。
- 传播延迟( propagation delay ):根据介质的传输速度,信号通过电缆或无线电波等介质传输到达下一个设备。光纤一般 1km 的距离需要 6 微秒。
- 网络延迟( network delay ):经过 WAN 在与互联网通信时,报纸通过这些网络所需的时间。IP 电话网络的平均延迟需要 70 毫秒以下。
时延
网络设备从收到数据到再次发送数据的延迟时间称为时延( latency )。延迟越小,设备处理报纸的能力就越强。延迟相当于 “ 处理延迟 + 队列延迟 + 串行延迟 ” 的时间。
在吞吐量测试的结构中,从测试仪发送的报通过路由器,然后返回测试时间,称为延迟。网络设备的延迟通常是几微秒。
抖动
发送报纸时,有一定的时间间隔。在实际传输中,这种时间间隔变长或变短的现象称为抖动( jitter )。例如:发送源每隔一次 5 毫秒发送报纸,但接收方收到的实际时间间隔是 4 、3 、6 、5 、7 毫秒是不断变化的结果。VoIP 和流媒体应用程序可以通过缓存缓解部分抖动,但过度抖动会突然中断声音和图片。推荐实时双向流媒体视频会议 150 在毫秒内,抖动在 35 毫秒内的网络环境。与单向视频流媒体相比,由于应用程序接收缓存,可以处理部分延迟和抖动,因此允许双向 10 网络延迟时间的倍以上。
丢包
网上传输的报纸未到达目的地的现象称为丢包。丢包以报纸丢弃率的百分比表示。 IP 电话网络的报纸丢失率应在 0.1% 以下。
往返时间
到达目的地后,告到达目的地后,目的地生成响应报告,返回发送源,直到发送源收到响应报告的过程称为往返时间( RTT ,Round Trip Time )。往返时间是通过的 ping 命令发送 ICMP Echo Request 再次收到消息 ICMP Echo Reply 检查消息,单位为毫秒。
如果互联网延迟太长,需要通过 QoS 设备或路由器 QoS 优先控制报文转发,确保实时应用程序优先转发,尽量减少队列延迟。
性能测试
可通过测试仪器统计测试网络设备的性能。产品目录中会有 bit/s和 pps等待参数,一些制造商也会解释在什么样的测试环境中获得这个值。
测试对象叫做 DUT( Device Under Test )。测试仪器在发送端口( Tx )发送到路由器的报纸数量逐渐增加,然后在接收端口( Rx )测试 DUT 返回的报纸数量。 DUT 性能极限,DUT 包装丢失,测试仪器接收的报文数量减少。
DUT 不丢包的连续传输能力指标称为 NDR( non-drop rate ),一般称为产品目录最大吞吐率。
RFC2544 定义了网络设备吞吐率的测试方法,并推荐了测试中使用的数据帧大小。例如,建议在以太网环境中使用 64 、128 、256 、512 、1024 、1280 、1518 测试字节大小的数据帧。
测试路由器时,测试仪器经常模拟互联网的实际通信流量 IMIX( Internet Mix )测试各种数据帧组合。
测试仪器可以通过生成楼到七楼的各种报纸,模拟数百万客户端连接的网络环境。通过测试仪器,可以明确网络设备的最大吞吐率、最大在线会话数量等性能指标数据。
最大吞吐率
最大吞吐率,单位 Mbit/s,是指连续处理长度为 1518 字节数据帧的吞吐率。1518 去掉字节 18 帧头的字节,剩下的 1500 字节的 IP 报文。再去掉 20 字节的 IP 头部,剩下 1480 字节是 IP 这是数据有效载荷的最终处理方法 1480 字节。
路由器处理不是以字节为单位,而是以报纸(数据帧)为单位进行转发。因此,路由器 1 秒内能处理多少个报文指标? pps 加上最大值 1518 字节数得到的值是路由器的最大吞吐率。
根据产品性能 IP 不同的数据内容发生变化,比较 TCP ,使用 UDP 测试头部简单的报纸时,可以获得更好的吞吐率值。
交换机性能
通过二层交换机和三层交换机的数据帧转发 ASIC 因此,产品目录中的交换容量和交换能力可以人为地成为该设备的实际性能指标。
交换容量
交换容量,又称背板容量,是交换机内部数据传输的带宽容量。当流量高于交换机容量时,由于缓存不足或内部带宽不足,交换机无法处理,导致数据帧丢失和包装率上升。
交换能力
除了 bit/s 除了表示交换机的容量外,pps(包每秒)也可以用来表示交换机交换能力,即单位时间内可处理的数据帧数。
通过查看数据帧的头部,交换机首先确认目的 MAC 检查数据帧尾部是否异常,最后检查访问控制列表是否有匹配项,如果有匹配项,过滤或转发数据帧。随着数据帧数量的增加,交换机处理的数量也在增加,路由器也是如此。因此,处理流量 bit/s 同样,数据帧越小,处理工作量越大,系统负载也越大。
以太网数据帧最小 64 前导码和字节 SFD(帧头定界符) 8 数据帧之间的字节 IFG(数据帧间隔)12 字节,一共 84 也就是说,交换机在转发数据帧时需要处理 672 bit 的数据。
理论的最大线速,又称线速。对于 1000Mbit/s 就以太网而言,线速是 1000000000 bit/s ÷ 672 bit = 1488000 pps,也就是 1.488 Mbit/s 。万兆以太网的线速是 14880000 pps( 14.88 Mbit/s )。
交换机由多个接口组成。如果交换机有 24 个 10/100/1000BASE-T 然后就有了 24 × 1.488Mbit/s = 35.712Mpps交换能力。如果交换容量小于此值,则会堵塞,导致所有接口无法达到理论最大线速。
事实上,交换机上的大部分传输都是 TCP 或 UDP 应用程序数据 UDP 对于实时性要求较高的报纸,一般长度为 100 ~ 通信只能在300字节之间进行。 TCP 在窗口尺寸等带宽控制下,实际速率往往达不到理论线速水平。
MAC 表容量
使用二层交换机 MAC 表管理 MAC 三层交换机还将使用三层表进行管理 IP 地址。如果表项超过容纳的数量,则设备无法正常转发,导致包装丢失。在测试设备性能时,应限制报告的地址数量 MAC 在表支持范围内。
广播风暴
广播风暴( broadcast storm )多个交换机连接成回环,数据帧不断来回转发。这种现象会导致网络带宽和交换机资源的过度消耗,最终导致整个网络瘫痪。这个问题可以通过使用生成树功能来避免。生成树通过 NDP 关闭端口解决网络回环问题。另外,遇到 DoS 出现攻击和操作系统 bug 或 NIC 当生成树因故障无法正常工作时,也会发生广播风暴。
此时,可以使用交换机广播风暴控制( storm-control )避免这种现象的功能。广播风暴控制功能的原理是在端口监控数据帧。如果数据帧的数量超过预定的上限,则丢弃超过上限的部分。使用数据帧的上限 pps 单位可以分别定义和配置单播、多播和广播。
如果没有回收,广播帧只会转发到广播领域的所有终端。相反,如果网络有循环,广播帧将永远在循环中循环转发,导致越来越多的数据帧,整个网络的带宽最终被广播帧耗尽。
路由器性能
路由器的性能也可以用单位时间内的转发能力来表示吞吐率( throughput )表示。单位 bit/s(比特每秒)也用来表示吞吐率 pps(每秒报文)表示吞吐率。
pps 性能相同的路由器,转发的报纸越大,路由器 bit/s 值越高。例如,处理能力是 100 pps 路由器,处理 64 字节( 512 bit)报文时,速率是 51.2 kbit/s ,但在处理 1500 字节( 12000 bit)报文时,速率达到 1.2 Mbit/s 。
防火墙性能
同时,在线会话数
防火墙采用会话表管理会话,以会话为单位控制流量。会话表记录的表数显示了防火墙可以同时处理的在线会话数量。
小桌面防火墙一般可支持数万个会话,电信运营商使用的防火墙可同时管理数百万个会话。
会话生存时间
通过安全策略 UDP 报文或 TCP 当报告到达防火墙时,防火墙会产生相应的会话信息。如果会话在一定时间内没有流量,请删除会话。这段时间叫做会话生存时间。
会话信息被删除后,当与会话相关的报纸到达防火墙时,防火墙需要重新生成会话信息。如果是 UDP 只需要再次生成会话信息,但如果是 TCP 报文,除了 SYN 除了报文,其他报文都会丢弃。如果 SYN 如果其他报纸被防火墙拒绝,客户端的应用程序需要重新启动,并与服务器一起进行 3 第二次握手,重建 TCP 连接。
会话的生存时间可以根据不同的协议设置不同的值。 TCP 会话的生存时间是 1 小时,UDP 和其它 IP 协议会话的生存时间是 30 秒。
若生存时间过长,或无生存时间,TCP 没有收到 FIN 或 RST ,连接将一致开放, UDP 会话不会结束,会话信息会一直保留。
由于会话信息表中会话表项数量有限,如果长时间不清除,表项数量将达到上限。当会话表项数量达到上限时,不能重建会话,导致无法沟通。
每秒会话数
一般采用路由器性能 bit/s 和 pps 这两个单位的描述。对于防火墙,应增加每秒可以建立的会话数( new session per second )参数指标。这个指标是 1 能在秒内建立多少次会话?1 一个完整的会话建立过程包括:监控 TCP 连接的 3 握手时,握手正常生成会话信息,并将会话信息记录在会话表中。如果数值不满足网络需求,网络中的新会话信息将无法建立。在使用过程中,用户会觉得网络的响应速度很慢。
VPN
支持防火墙或安全设备站到站 IPsec-VPN、远程接入 IPsec-VPN或 SSL-VPN功能。一些产品还支持用户通信 SSL( HTTPS )解密功能。
与明文通信相比,系统的负载会增加,导致性能下降。虽然使用 ASIC 芯片加密不会导致性能下降,但几乎所有设备都使用 CPU 软件处理方法。因此,当通信流量增加时,性能仍会显著下降。
无线 AP 性能
在实际环境中,CSMA/CA 由于无线电波的干扰和距离的不同,AP 最大吞吐率达不到理论支持。
CSMA/CA
IEEE 802.11 的无线 AP 使用 CSMA/CA通信。
CSMA 中 CS 用于载波侦听,当其他终端发送数据帧时,终端停止发送并等待,直到其他终端发送完成。MA 指多址接入,即多终端共享 1 传输媒介。CA 避免冲突。如果其他设备正在发送数据,等待设备发送完成,然后等待随机时间继续发送数据。同时发送数据帧可以错开多个节点,有效降低冲突的可能性。
由于有线网络可以通过电噪声及时检测冲突,而无线网络不能快速有效地检测冲突,只能使用 CSMA/CA 避免冲突的机制。
ACK 数据帧
收到数据帧后 AP 需要返回 ACK 当发送方收到数据帧时 ACK 数据帧后,表示整个通信过程结束。但当无线信号不好时,接收方不会发送数据帧 ACK 此时,发送方将重发数据帧。另一方面,当接收方成功收到数据帧并返回时 ACK 但发送方没有收到数据帧 ACK 在数据帧中,接收方也会再次发送 ACK 数据帧。终端和 AP 无线信号的距离和状态会影响数据重发的概率。
在实际环境中,重发数据的概率可能是 20% 左右。
现场调查
通过使用频谱分析仪进行的现场调查,可以确认无线网络区域的无线信号干扰、反射波段、外部无线电波和噪声的影响,并部署和配置最佳 AP 。
现场调查一般可按以下步骤完成。
准备办公空间的平面图。
2.相邻测试 AP 发出的无线电波,了解当前位置的无线电波。
3.通过模拟确定 AP 在办公空间的平面图上标记数量、无线电波强波和使用频道。
4.根据模拟结果配置配置 AP 临时配置和验证。
5.配置完成后,是的 AP 最终确认是否能覆盖所有区域。
选择交换机
选择接入交换机
交换机的下端口用于连接终端。大多数接入交换机 1G 下行端口。目前个人电脑都有 1G 但如果交换机是网络接口, 100M 接口,自适应功能将链路速度转化为 100Mbit/s ,此时,下行链路可能成为网络瓶颈。
大多数交换机都使用 2 个或 4 一万兆向上端口。两个向上端口可以同时连接两个汇聚交换机或核心交换机,形成冗余网络结构。四个向上端口形成两组通道,以两倍的吞吐率和上交换机形成冗余网络结构。
下行端口的数量取决于客户端或打印机等终端的数量。
选择汇聚交换机和核心交换机
在大规模网络中,需要连接分层网络结构,如交换机、汇聚交换机和核心交换机。
汇聚交换机的下行链路一般采用 10G 网络接口与接入交换机的上行链路连接。在三层网络结构中,交换机的上行链路应与核心交换机的下行链路连接,而在二层网络中,接入交换机的上行链路应与核心交换机的下行链路连接,也应使用 40Gbit/s 和 100Gbit/s 连接网络接口。
如果连接到互联网,路由器和防火墙通常很容易成为网络瓶颈。如果局域网通信较多,交换机可能成为最大的网络瓶颈。如果预算有限,您可以选择满足最低吞吐量需求的交换机。
根据接入交换机和终端的数量设计汇聚交换机和核心交换机的端口数量。框架交换机可以通过增加线卡模块来满足端口增加的需求。
PoE 供电
通过 PoE 无线供电技术 AP 、IP 电话、摄像头等设备供电时,需要对所能提供的电源容量进行总体设计和规划。比如:PoE 可提供交换机 420W 能同时支持的电能 24 个端口使用 802.3af( 15.4W/接口 )供电,或同时支持 12 个端口使用 802.3at( 30W/接口 )供电,或同时支持 6 个端口使用 802.3bt( 60W/接口 )供电。
选择路由器
路由器的接口数量根据连接的网段数量进行选择。在以太网中,只要使用的物理接口数量达到最低限度,就可以通过添加二层交换机来增加接口数量或使用 VLAN 子接口可以缓解接口不足的问题。
选择防火墙
在互联网网关配置防火墙时,应准备至少两个端口,即连接互联网的上行端口和连接内网的下行端口,这是最常用、最传统的防火墙网络方法。
现在,为了保证内网的安全,防火墙将部署在内网,同时配置 RJ-45 、SFP/SFP+ 提供等接口 8 ~ 24个网络端口。
互操作网络设备
互操作性意味着网络中不同类型的网络设备相互连接后可以正常通信。因为网络设备通常是相同的 RFC 或 IEEE 等待标准或协议,因此不同制造商的设备可以说是互联的。但另一方面,制造商单独实现了一些不标准化的功能,不能在所有设备上运行。
当需要引入多个不同制造商生产的网络设备进行网络组合时,应考虑设备的可操作性,并作为选择设备的重要依据。访问控制列表或病毒扫描可在网络设备内处理,无需连接到网络上的其他设备。
高可用性
MTBF 和 MTTR
通常使用包含网络设备的电气产品和计算机系统 MTBF(平均故障间隔时间)计算故障概率。该参数为小时( hour )以下公式可用于单位计算。
MTBF = 运行时间 / 故障次数
在实际应用中,MTBF 也可以用预测法或推测法计算。数据计量法是推测法之一。通过记录多个样本数据,观察有多少设备在相对较短的时间内出现故障,计算 MTBF 值。例如,同时使用1万台相同的设备运行 100 这期间出现了一个小时。 5 可以计算台设备故障 MTBF 值:1 万台 × 100 小时 ÷ 5 次故障 = 20 万小时。
可通过故障率 MTBF 倒数计算得出。
故障率 = 1 / MTBF
MTTR(平均修复时间)是指从系统故障到修复的平均时间。
可通过以下公式计算系统的运行概率。
正常运行概率 = MTBF /( MTBF + MTTR )
简单地说,就是 MTBF 值越大,而 MTTR 系统可用性越小,值越高。
结束语
当然,设备选择的完整性,首先收集预算、需求、网络现状和未来可扩展性,然后进行有针对性的设备选择,甚至可以有几套设备选择方案,逐步细化和分解,结合设备采购流程,最终确定设备采购清单。如果有钱的黄金所有者,那一定是一分钱,买最好的。如果预算有限,请选择具有成本效益的。
