網絡產品有路由器、交換機、防火墻、無線AP等，選擇產品類型時，要考慮網絡中是否需要？是否需要一臺進行路由選擇的路由器？是否需要核心交換機？是否需要負責安全控制的防火墻？這些設備在網絡中如何配置？產品類型：路由器二層交換機三層交換機防火墻無線AP負載均衡帶寬控制代理言土二FC 螢&：「 J 在新建網絡時，可以根據組網中的產品類型去選擇對應的產品。當現網中需要替換某些網絡設備時，也可以選擇相同類型的設備。如果性能足夠，可以使用三層交換機或防火墻替代路由器。三層交換機替換二層交換機也是可以的。選擇安全設備時，某些防火墻有基于內容的安全控制功能，可以考慮統一使用防火墻來替代獨立的防病毒設備、URL過濾設備、IDS/IPS設備等，達到降低成本的目的。確定了產品類型，就要根據需要的功能，選出具體的設備型號。一般會考慮下面這些方面。網絡接口與接口速率WAN側和LAN側接口數量是否滿足需求。RJ-45的10/100/1000BASE-T或SFP的1000BASE-SX這種，接口類型和接口速率是否滿足要求。使用VLAN或虛擬路由器時，子接口（邏輯接口）的數量是否滿足需求。使用IEEE802.1ad等匯聚接口時，匯聚后的帶寬是否滿足需求。性能吞吐率（傳輸速率）是否足夠。使用ASIC或FPGA等硬件處理的范圍和使用CPU軟件處理的范圍是多少，根據這些信息處理那些流量能夠得到高性能，處理哪些流量得不到高性能。在進行內容掃描時，能掃描多大容量的文件。如果同時運行多個功能，設備CPU使用率和內存占用率是否跑滿。軟件功能支持哪些協議，有哪些獨立功能。網絡功能。管理功能。報告功能。遷移便捷性替換設備時，使用現有、相同廠商的設備，并且運行相同操作系統的設備更容易遷移。售后服務產品能夠現場維護還是需要寄回原廠。支持售后服務的時間。路由器這類網絡設備，都會有轉發報文的操作，報文離開始發地，向目的地傳輸的過程中，總會有延遲（delay）產生。在網絡中傳輸聲音和視頻等實時流量時，需要收集各個路由器之間延遲的參數，必須減少端到端（endt）end）的網絡延遲作為整個網絡設計的重要目標。ITU-T推薦的G.114把延遲定義三個類型。延遲說明'5。圭屯巧150-4430?!'對傳嗚W間和樓直證要求能高的應用程孚IE竣吏罰延遲的種類。端到端延遲（endt）enddelay）:報文從發送源發出后，到達目的地所需的時間。報文在中途經過的網絡設備數量越多，這個值就越大。?處理延遲（processingdelay）:從報文進入設備入接口，到進入出接口的隊列的時間，一般只有幾微秒。

輸，在進行編碼、壓縮、封裝等操作的時間，一般在幾十毫秒。隊列延遲(queuingdelay):報文在出接口隊列停留的時間。在QoS控制時，優先級低的報文在隊列總停留的時間長，也就是延遲大，一般在幾毫秒。電磁波等信號轉換的時間，具體數值通過“報進行電氣、光、文尺寸也就是延遲大，一般在幾毫秒。電磁波等信號轉換的時間，具體數值通過“報進行電氣、光、文尺寸子帶寬”公式計算。速率越高的接口，串行延遲越低。64字節的報文使用64kbit/s帶寬進行傳輸時，串行過程時間是8毫秒。波等介質傳輸,到達下一個設備的時間，依賴介質的傳輸速度。光纖一般是8毫秒。波等介質傳輸,到達下一個設備的時間，依賴介質的傳輸速度。光纖一般1km的距離需要6微秒。網絡延遲(networkdelay):經過WAN和互聯網進行通信時，報文經過這些網絡需要的時間。IP電話的網絡一般平均延遲需要在70毫秒以下。時延網絡設備從收到數據后，到再次發送數據的延遲時間叫做時延(latency)。時延越小，說明設備處理報文的能力越強。時延相當于“處理延遲+隊列延遲+串行延遲”的時間。礙向吞吐刪賦描入 措i出吞吐率測試的結構中，從測試儀發送的報文經過路由器后，再返回測試的時間，測試儀器叫做時延。網絡設備的時延一般在幾微秒。抖動報文發送時，是有一定時間間隔的。這個時間間隔在實際傳輸中，變長或變短的現象叫做抖動(jitter)。比如：發送源每隔5毫秒發送報文，接收方收到的實際時間間隔卻是4、3、6、5、7毫秒這種不停變化的結果。VoIP和流媒體應用程序能夠通過緩存來緩解部分抖動，但抖動過大就會導致聲音、畫面突然中斷。在進行實時雙向流媒體視頻會議時，推薦延遲在150毫秒以內，抖動在35毫秒以內的網絡環境。對比單向視屏流媒體，由于應用程序接收緩存，能夠處理部分延遲和抖動，因此允許雙向10倍以上的網絡延遲時間。丟包網絡上傳輸的報文沒有到達目的地的現象叫做丟包。丟包通過報文丟棄率的百分比來表示。通常IP電話網絡的報文丟失率要在0.1%以下。往返時間發送源發送的報文，到達目的地后，目的地生成響應報文，返回發送源，直到發送源接收到響應報文的這個過程的時間叫做往返時間(RTT，RoundTripTime)。往返時間是通過ping命令發送ICMPEchoRequest消息，再收至【」ICMPEchoReply消息來檢查，單位是毫秒。通信距離往返時問--■2室匕&-20皇抄二言乏L艸|葩廣姦阿50-100書；:4障到美國的亙厭網通言200-300星秒如果互聯網發生延遲過長的問題，需要通過QoS設備或者路由器的QoS功能對報文轉發進行優先級控制，保障實時性高的應用程序優先轉發，盡可能減少隊列延遲。性能測試網絡設備的性能可以通過測試儀器進行統計測試。產品目錄里，會有bit/s和pps等參數，有些廠商還會說明是在怎樣的測試環境下得到的這個數值。

單南吞吐超f試- 宣二測試對象叫做DUT(DeviceUnderTest)。測試儀器在發送端口(Tx)逐步增加發送到路由器的報文數量，然后在接收端口(Rx)測試DUT返回的報文數量。當到達DUT的性能極限時，DUT上就會發生丟包的現象，測試儀器接收的報文數就會減少。DUT不發生丟包而持續的傳輸能力指標叫做NDR(non-droprate)，產品目錄中一般叫做最大吞吐率室匚曰運果RFC2室匚曰運果RFC2544中定義了網絡設備吞吐率的測試方法，推薦了測試時使用的數據幀大小。比如在以太網環境中，推薦使用64、128、256、512、1024、1280、1518字節大小的數據幀進行測試。測試路由器時，測試儀器經常模擬互聯網實際通信流量、叫做IMIX(InternetMix)的各種數據幀組合來進行測試。IMIX刖1IMIXIMIX刖1IMIX刖23^-33%的570打毎幀右至￡64字三疔津朽g￡57D字三亦左戸1理三剪4亨〒翠辰療20%K15-0測試儀器通過生成二層至七層的各種報文，能夠模擬百萬臺客戶端連接的網絡環境。通過測試儀器的測試，能夠明確網絡設備的最大吞吐率、最大在線會話數等各項性能指標數據。最大吞吐率最大吞吐率，單位Mbit/s，是指連續處理長度為1518字節的數據幀的吞吐率。1518字節中，去掉18字節的幀頭部，剩下1500字節的IP報文。再去掉20字節的IP頭部，剩下1480字節是IP數據有效載荷，最終處理的就是這1480字節。路由器處理不是以字節為單位，而是以報文(數據幀)為單位進行轉發。因此，路由器1秒內能處理多少個報文的指標pps的最大值，加上1518字節數得到的數值，就是路由器的最大吞吐率。產品性能會根據IP數據內容的不同而發生變化，對比TCP，使用UDP這種頭部簡單的報文進行測試時，能夠得到更好的吞吐率數值。二層交換機和三層交換機的數據幀轉發是通過ASIC完成，因此產品目錄里的交換容量和交換能力，可以人為是這個設備的實際性能指標。交換容量交換容量，又叫做背板容量，是交換機內部數據傳輸的帶寬容量。當流量高于交換機容量時，交換機就會由于緩存不足或內部帶寬不夠而無法處理，導致數據幀丟失、丟包率上升等現象。交換能力除了bit/s表示交換機的容量外，pps（包每秒）也能用來表示交換機的交換能力，即單位時間內能夠處理的數據幀數目。交換機通過查看數據幀頭部，先確認目的MAC地址，并校驗數據幀尾部是否異常，最后查看訪問控制列表是否有匹配項，如果有匹配項，就對數據幀進行過濾或轉發處理。隨著數據幀數目增加，交換機處理的數量也隨之增大，路由器也是這樣。所以，處理流量的bit/s相同，數據幀越小，處理的工作量越大，系統負載也隨之變大。以太網數據幀最小是64字節，加上前導碼和SFD（幀頭定界符）的8字節，數據幀之間的IFG（數據幀間隔）12字節，一共84字節，也就是說，交換機在轉發一個數據幀時，需要處理672bit的數據。理論的最大線路速度，也叫做線速。對于1000Mbit/s的以太網而言，線速是1000000000bit/s- 672bit二1488000pps，也就是1.488Mbit/s。萬兆以太網的線速是14880000pps( 14.88Mbit/s)。交換機是由多個接口組成。如果一臺交換機有24個10/100/1000BASE-T的接口，那么就有24x1.488Mbit/S二35.712Mpps的交換能力。如果交換容量小于這個值，就會發生阻塞，導致所有的接口無法達到理論的最大線速。實際上，在交換機上傳輸的大多是TCP或UDP的應用程序數據。在UDP中，對實時性要求高的報文，一般長度在100~300字節之間才能進行通信。而在TCP中，有窗口尺寸等帶寬控制，實際的速率往往達不到理論線速水平。MAC表容量二層交換機使用MAC表管理MAC地址，三層交換機還會使用三層表來管理IP地址。如果表項超出了容納的數量，那么設備就無法正常轉發處理，造成丟包的結果。在對設備性能進行測試時，要對報文的地址數量進行限制，限制在MAC表支持的范圍內。廣播風暴廣播風暴(broadcaststorm)是多個交換機連接成回環，數據幀不停的來回轉發的現象。這種現象會造成網絡帶寬、交換機資源的過度消耗，最終導致整個網絡的癱瘓。使用生成樹功能，可以避免這個問題。生成樹通過NDP端口的關閉來解決網絡的回環問題。另外，遇到DoS攻擊、操作系統出現bug或NIC出現故障導致生成樹無法正常工作時，同樣也會產生廣播風暴。這時，可以使用交換機的廣播風暴控制(storm-control)功能來避免這個現象。廣播風暴控制功能的原理是在端口監控數據幀，如果數據幀的數量超過了預定的上限值，就會把超過上限值的部分丟棄。數據幀上限值使用pps為單位，能夠分別對單播、多播、廣播進行定義和配置。如果沒有回環狀態，廣播幀只會轉發到廣播域內的所有終端。相反，如果網絡存在回環，廣播幀會永遠在回環內循環轉發，導致數據幀數量越來越多，最終整個網絡的帶寬被廣播幀消耗殆盡。路由器性能路由器性能是用單位時間內的轉發能力來表示，也可以使用吞吐率(throughput)表示。單位bit/s(比特每秒)來表示吞吐率，也會使用pps(報文每秒)來表示吞吐率。pps性能相同的路由器，轉發的報文越大，路由器的bit/s值就越高。比如，處理能力是100pps的路由器，處理64字節(512bit)報文時，速率是51.2kbit/s，但在處理1500字節(12000bit)的報文時，速率達到1.2Mbit/s。防火墻性能同時在線會話數防火墻使用會話表管理會話，以會話為單位進行流量的控制。會話表記錄的表項數目，表明了防火墻能處理的同時在線會話數量。小型的桌面防火墻一般能夠支持幾萬個會話，電信運營商使用的防火墻能夠同時管理數百萬個會話。會話生存時間通過安全策略的UDP報文或TCP報文到達防火墻時，防火墻會生成對應的會話信息。如果在一定時間內，這個會話沒有流量的話，就把會話刪除，這個時間段叫做會話生存時間會話信息被刪除后，這個會話相關的報文到達防火墻時，防火墻需要重新生成會話信息。如果是UDP報文，只需要再次生成會話信息即可，但如果是TCP報文，除了SYN報文外，其余報文都會丟棄。如果SYN之外的報文遭到防火墻拒絕，就需要客戶端的應用程序重新發起流程，跟服務器進行3次握手，重新建立TCP連接。會話生存時間，可以根據不同的協議設置不同的值。一般TCP的會話生存時間是1小時，UDP和其它IP協議的會話生存時間是30秒。如果生存時間過長，或者沒有生存時間,TCP沒有收到FIN或RST，連接會一致保持開放，而UDP會話不會結束，會話信息一直保留。由于會話信息表中的會話表項的數量有限，如果長時間不清除，會讓表項數量到達上限值。當會話表項數量達到上限值后，不能新建會話，造成無法通信的后果。每秒會話數路由器性能一般使用bit/s和pps這兩個單位描述。防火墻的話，還要增加每秒能建立的會話數(newsessionpersecond)這個參數指標。這個指標表示在1秒內能夠完成多少次會話建立。1個完整的會話建立過程包括：監控TCP連接的3次握手，握手正常就生成會話信息，將會話信息記錄到會話表等操作。如果數值不滿足網絡需求，就會造成網絡中新會話信息無法建立。用戶使用過程中，就會覺得這個網絡的響應速度非常慢。VPN防火墻或安全設備都會支持站到站IPsec-VPN、遠程接入IPsec-VPN或SSL-VPN功能。有些產品還支持用戶通信的SSL（HTTPS）解密功能。執行加密或解密的操作，和使用明文通信對比，系統的負載會增加，導致性能下降。雖然使用ASIC芯片完成加密，不會帶來性能下降問題，但幾乎所有的設備都是采用CPU的軟件處理方式。因此，當通信流量增大時，性能還是會大幅的下降。實際環境中，CSMA/CA和無線電波的干擾、距離的遠近導致無線電波的強弱不同等原因，AP是達不到理論支持的最大吞吐率。CSMA/CAIEEE802.11的無線AP使用CSMA/CA通信。CSMA中CS用來執行載波偵聽，當遇到其它終端正在發送數據幀時，這個終端停止發送并等待，直到其它終端發送完畢。MA是指多址接入，即多個終端共享1個傳輸媒介。CA是沖突避免，遇到其它設備正在發送數據，那么就等待設備發送完成后，再等待一段隨機時間，才繼續發送數據。通過這個機制可以錯開多個節點同時發送數據幀，有效降低沖突發生的可能性。

由于有線網絡能夠通過電氣噪音及時檢測沖突的發生，而無線網絡無法迅速有效的檢測沖突，只能采用CSMA/CA的機制來避免沖突的發生。ACK數據幀收到數據幀后的AP需要返回ACK數據幀，當發送方接收到ACK數據幀后，表示整個通信過程結束。但無線信號不好時，接收方沒有收到數據幀，就不會發送ACK數據幀，這時發送方會重發數據幀。另一方面，當接收方順利收到數據幀，并返回ACK數據幀，但是發送方卻沒有收到ACK數據幀時，接收方也會再次發送ACK數據幀。終端和AP之間的距離和無線信號的狀態會影響數據重發的概率。在實際環境中，重發數據的概率大概在20%左右。現場調查通過使用頻譜分析儀進行的現場勘查工作，能夠確認無線網絡區域的無線信號干涉情況，反射波段、外部無線電波帶來的影響以及噪音帶來的影響，能夠部署和配置最佳AP。一般現場勘查，可以按照下面的步驟來完成。1、 準備辦公場所的平面圖。2、 測試從相鄰AP發出的無線電波，了解當前位置無線電波的情況。3、 通過模擬來確定AP的數量、無線電波強波和使用的頻道，并標記到辦公場所的平面圖上。4、 根據模擬結果，對配置的AP進行臨時配置并進行驗證。5、 完成配置后，對AP是否能夠覆蓋所有區域進行最終確認。選擇接入交換機交換機的下行端口用來連接終端，大部分接入交換機都是1G的下行端口。目前個人電腦都有1G的網絡接口，但如果交換機是100M接口，那么自適應功能就會讓鏈路速度變成100Mbit/s，這時下行鏈路就可能成為網絡瓶頸。大部分交換機都采用2個或4個萬兆上行端口。兩個上行端口，可以同時連接兩臺匯聚交換機或核心交換機組成冗余組網結構。四個上行端口構成兩組通道，以兩倍的吞吐率和上層交換機組成冗余網絡結構。下行端口數量，根據客戶端或打印機等終端數量決定的。選擇匯聚交換機和核心交換機大規模的網絡中，需要接入交換機、匯聚交換機、核心交換機這種分層組網結構。匯聚交換機的下行鏈路一般使用10G網絡接口和接入交換機的上行鏈路進行連接。在三層組網結構中，匯聚交換機的上行鏈路要和核心交換機的下行鏈路連接，而在二層組網中，接入交換機的上行鏈路要和核心交換機的下行鏈路連接，也有使用40Gbit/s和100Gbit/s網絡接口連接的。如果接入互聯網，往往是路由器和防火墻容易成為網絡瓶頸。如果局域網的通信多，交換機就可能成為最大的網絡瓶頸。如果預算有限，可以選擇吞吐量滿足最低需求的交換機。

匯聚交換機和核心交換機的端口數量，要根據接入交換機和終端數量來設計。框式交換機能夠通過增加線卡模塊來滿足端口增加的需求。PoE供電通過PoE供電技術對無線AP、IP電話、攝像頭等設備進行供電時，需要對能夠供給的電源容量進行總體的設計和規劃。比如：PoE交換機能夠提供420W的電能，可以同時支持24個端口使用802.3af（ 15.4W/接口）供電，或同時支持12個端口使用802.3at（ 30W/接口）供電，或同時支持6個端口使用802.3bt（ 60W/接口）供電。選擇路由器路由器的接口數量是依據連接的網段數量來選擇。在以太網中，使用的物理接口數量只要滿足最低限度就可以了，可以通過添加二層交換機來增加接口數量，也可以使用VLAN的子接口來緩解接口不足的問題。在互聯網網關配置防火墻時，至少要準備兩個端口，即連接互聯網的上行端口和連接內網的下行端口，最常用也是最傳統的防火墻組網方式。現在為了保障內網的安全，會把防火墻部署在內網，同時配置RJ-45、SFP/SFP+等接口，提供8~24個網絡端口。互操作性表示網絡中不同類型的網絡設備互相連接后，也能正常通信的情況。由于網絡設備通常實現了相同的RFC或IEEE等標準或協議，因此不同廠商設備之間，可以說具有互聯性。但另一方面，廠家獨自實現了一些未標準化的功能，這類功能是無法在所有設備上運行的。當需要引入多個不同廠商生產的網絡設備進行組網時，就要考慮設備的互操作性，并作為選擇設備的一項重