网络设备选型基本原则与测试方法

崔达《网络设备选型基本原则与测试方法》第1页共17页网络设备选型基本原则与测试方法学生姓名：崔达指导老师：龙际珍摘要本课程设计主要解决的问题是：网络工程设计中，如何选择合适的网络设备型号以及如何对所选择的网络设备进行相关测试。网络硬件设备包括：交换机、路由器、防火墙、服务器、UPS电源、各种连接线路等。每一类设备都有与之相对应得选型原则与测试方法。关键词网络工程设计；网络设备选型；网络设备测试崔达《网络设备选型基本原则与测试方法》第2页共17页1引言在网络工程设计中，特别是大中型网络工程设计[1]的应用，合理的选择网络设备是必然的，对相关设备进行测试[2]也是不可缺少的。网络工程设计的主要任务是：按计划进行的网络综合性工作，包括网络的需求分析、网络设备的选择、网络拓扑结构的设计、施工技术要求等。网络工程设计中重要环节之一就是网络设备选型与测试，这一环节完成的优劣将直接影响之后所完成系统的功能和性能。所以本课程设计的课题具有较强的实际应用的意义。2课程设计目的本课程设计的目的就是对网络工程设计中网络设备选型与测试这一环节进行相关的探讨。熟悉并掌握网络设备选型与测试[3]的相关知识，为将来的工作实践打下基础。崔达《网络设备选型基本原则与测试方法》第3页共17页3网络设备选型基本原则网络设备选型基本原则包括：交换机选型[4]原则、路由器选型[5]原则、防火墙选型原则、服务器选型原则、UPS选型原则等。3.1交换机选型(1)交换机的相关指标交换机类型：机架式交换机与固定配置式端口：端口类型传输速率：如10Kbit/s等传输模式：全/半双工自适应模式是否支持网管：包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。背板吞吐量：接口处理器和数据总线之间所能吞吐的最大数据量安全性及VLAN支持：MAC地址过滤、MAC地址与固定端口绑定，是否具有端口速率限制等。支持VLAN配置方式、数量。冗余支持：管理卡、交换结构、接口模块、电源、冷却系统、机箱风扇等等。(2)交换机选型的基本原则适用性与先进性相结合的原则：不同品牌的交换机产品价格差异较大，功能也不一样，因此选择时不能只看品牌或追求高价，也不能只看价钱低的，应该根据应用的实际情况，选择性能价格比高，既能满足目前需要，又能适应未来几年网络发展的交换机。选择市场主流产品的原则：选择交换机时，应选择在国内市场上有相当的份额，具有高性能、高可靠性、高安全性、高可扩展性、高可维护性的产品，如中兴、3Com、华为的产品市场份额较大。安全可靠的原则：交换机的安全决定了网络系统的安全，选择交换机时这一崔达《网络设备选型基本原则与测试方法》第4页共17页点是非常重要的，交换机的安全主要表现在VLAN的划分、交换机的过滤技术。产品与服务相结合的原则：选择交换机时，既要看产品的品牌又要看生产厂商和销售商品是否有强大的技术支持、良好的售后服务。(3)选择三层交换机时的基本原则选择三层交换机时，首先要分析各种产品的性能指标，然而面对诸如交换容量（Gbps）、背板带宽（Gbps）、处理能力（Mpps）、吞吐量（Mpps）等众多技术指标，用户必须紧紧抓住“满配置时的吞吐量”这个指标，因为其他技术指标用户一般没有能力进行测量，惟有吞吐量是用户可以使用SmartBits和IXIA等测试仪表直接测量和验证的指标。分布式优于集中式：不同品牌的交换机所采用的交换机技术也不同，主要可分为集中式和分布式两类。传统总线式交换结构模块是集中式，现代交换矩阵模块是分布式。关注延时与延时抖动指标：企业网、校园网几乎都是高速局域网，其目的之一就是为了音频和视频等大容量多媒体数据的传输，而这些大容量多媒体数据包最忌因延时较长和数据包丢失使信息传输产生抖动。有些传统集中式交换机的延时高达2s，而某些现代分布式交换机的延时只有10ms左右，两者相差上百倍。导致延时过高的原因通常包括阻塞设计的交换结构和过量使用缓冲等，所以，关注延时实际上需要关注产品的模块结构。性能稳定：三层交换机多用于骨干和汇聚层，如果性能不稳定，则会波及网络系统的大部分主机，甚至整个网络系统。所以，只有性能稳定的第三层交换机才是网络系统连续、可靠、安全和正常运行的保证。当然，性能稳定看似抽象，似乎需要历史检测才能有说服力。其实不然，由于设备性能实际上是通过多项基本技术指标和市场声誉来实现的。所以，用户可以通过吞吐量、延迟、丢帧率、地址表深度、线端阻塞和多对一功能等多项指标以及市场应用调查来确定。安全可靠：作为网络核心设备的第三层交换机，是被攻击的重要对象，要求必须将第三层交换机纳入网络安全防护的范围。功能齐全：产品不但要满足现有需求，还应满足未来一段时间内的需求，从而给用户一个增值空间。崔达《网络设备选型基本原则与测试方法》第5页共17页3.2路由器选型(1)路由器的相关指标a：路由器的配置：接口种类：体现路由器的通用性。用户可用槽数：用户可以使用的插槽数。CPU：CPU是路由器的心脏。路由器中许多工作都可以由硬件实现（专用芯片）。内存：例如Flash、DRAM等，在中低端路由器中，路由表可能存储在内存中。端口密度：体现路由器制作的集成度，由于路由器体积不同，该指标应当折合成机架内每英寸端口数。b：对协议的支持包括以下协议：路由协议、IPV6、IP以外协议（IPX、AppleTalk等）、源地址路由支持与透明桥接、策略路由方式、互连网组管理协议（IGMP）、VPN支持等。c：路由器的相关性能主要体现在以下方面：全双工线速转发能力：路由器最基本且最重要的功能是数据包转发。在同样端口速率下转发小包是对路由器包转发能力最大的考验。全双工线速转发能力是指以最小包长和最小包间隔在路由器端口上双向传输同时不引起丢包。设备吞吐量：指设备整机包转发能力。路由器的工作在于根据IP包头或者MPLS标记选路，所以性能指标是转发包数量每秒。端口吞吐量：端口吞吐量是指端口包转发能力，通常使用pps（包每秒）来衡量，它是路由器在某端口上的包转发能力。背靠背帧数：背靠背帧数是指以最小帧间隔发送最多数据包不引起丢包时的数据包数量。背板能力：背板能力能够体现在路由器吞吐量上，背板能力通常大于依据吞吐量和测试包场所计算的值。但是背板能力只能在设计中体现，一般无法测试。丢包率：丢包率是指测试中所丢失数据包数量占所发送数据包的比率，通常在吞吐量范围内测试。崔达《网络设备选型基本原则与测试方法》第6页共17页时延：时延是指数据包第一个比特进入路由器到最后一比特从路由器输出的时间间隔。时延抖动：时延抖动是指时延变化。无故障工作时间：该指标按照统计方式指出设备无故障工作的时间。路由表能力：路由表能力是指路由表内所容纳路由表项数量的极限。支持QoS能力：QoS是用来解决网络延迟和阻塞等问题的一种技术。(2)：路由器选型的基本原则实用性原则：采用成熟的、经实践证明其实用性的技术。这能满足现行业务的管理，又能适应3~5年的业务发展的要求；可靠性原则：设计详细的故障处理及紧急事故处理方案，保证系统运行的稳定性和可靠性；标准性和开放性原则：网络系统的设计符合国际标准和工业标准，采用开放式系统体系结构；先进性原则：所使用的设备应支持VLAN划分技术、HSRP（热备份路由协议）技术、OSPF等协议，保证网络的传输性能和路由快速改敛性，抑制局域网内广播风暴，减少数据传输延时；安全性原则：系统具有多层次的安全保护措施，可以满足用户身份鉴别、访问控制、数据完整性、可审核性和保密性传输等要求；扩展性原则：在业务不断发展的情况下，路由系统可以不断升级和扩充，并保证系统的稳定运行；性价比：不盲目追求高性能产品，要购买适合自身需求的产品。(3)选择核心路由器的基本原则核心路由器最需要注意的就是路由器的可靠性和可用性。在核心路由器技术规范中，核心路由器的可靠性与可靠性规定应达到以下要求：系统应达到或超过99.999%的可用性。无故障连续工作时间：MTBF10万小时。故障恢复时间：系统故障恢复时间30mins。崔达《网络设备选型基本原则与测试方法》第7页共17页系统应具有自动保护切换功能。主备用切换时间应小于50ms。SDH和ATM接口应具有自动保护切换功能，切换时间应小于50ms。要求设备具有高可靠性和高稳定性。主处理器、主存储器、交换矩阵、电源、总线仲裁器和管理接口等系统主要部件应具有热备份冗余。线卡要求m+n备份并提供远端测试诊断功能。电源故障能保持连接的有效性。系统必须不存在单故障点。3.3防火墙选型(1)防火墙的主要性能指标LAN接口：LAN接口类型，防火墙所能保护的网络类型；支持的最大LAN接口数。操作系统平台：防火墙所运行的操作系统平台。协议支持：是否支持AppleTalk、DECnet、IPX及NETBEUI等协议。加密支持：防火墙支持的加密算法，例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。认证支持：防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。访问控制：访问控制一般通过包过滤、代理及NAT三种技术来实现。防御功能：支持病毒扫描的能力；提供内容过滤的能力；能防御的DoS攻击能力；阻止脚本侵入手段的能力；主动防御的能力。安全特性：支持转发和跟踪ICMP协议的能力；提供入侵实时警告机制；提供实时入侵防范；识别、记录、防止IP地址欺骗。管理功能：防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理。管理员的行为主要包括:通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。记录和报表功能：防火墙处理完整日志的方法；自动日志扫描；实时统计。崔达《网络设备选型基本原则与测试方法》第8页共17页(2)防火墙选型的基本原则总拥有成本和价格：防火墙产品作为网络系统的安全屏障，其总拥有的成本不应该超过受保护网络系统可能遭受最大损失的成本。防火墙的最终功能将是管理的结果，而非工程上的决策。明确系统需求：即用户需要什么样的网络监视、冗余度以及控制水平。确定总体目标，确定了可接受的风险水平后，可以列出一个必须监测怎样的传输、必须允许怎样的传输流通行，以及应当拒绝什么传输的清单。应满足企业特殊要求：企业安全政策中的某些特殊需求并不是每种防火墙都能提供的，这常会成为选择防火墙时需考虑的因素之一，企业常见的需求如下：a．加密控制标准；b．访问控制；c．特殊防御功能。防火墙本身是安全的：作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可趁之机。不同用户选择不同：对于电信级用户、企业级用户、个人单机级用户区别对待。管理与培训：在计算防火墙的成本时，不能只简单地计算购置成本，还必须考虑其总拥有成本。人员的培训和日常维护费用通常会占据较大的比例。可扩充性：随着网络的扩容和网络应用的增加，网络的风险成本也会急剧上升，因此便需要增加具有更高安全性的防火墙产品。防火墙的安全性：防火墙产品最难评估的方面是防火墙的安全性能，即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样，普通用户通常无法判断，即使安装好了防火墙，如果没有实际的外部入侵，也无从得知产品性能的优劣。但在实际应用检测安全产品的性能是极为危险的，所以用户在选择防火墙产品时，应该尽量选择占市场份额较大同时又通过了国家权威认证机构认证测试的产品。崔达《网络设备选型基本原则与测试方法》第9页共17页3.4服务器选型(1)服务器的基本性能指标CPU:CPU速度和内存容量；联机事物处理能力:TPC-C是“事务处理性能委员会”（TPC）负责制订的基准测试指标，考察联机事务处理每分钟吞吐量。而TPC-C测试结果又包括两个指标，一个是流量指标tpmC，这个值越大越好；另一个是性价比指标Price/tpmC，指的是测试系统价格与流量指标的比值，这个值则越小越好；SPECweb99:SPECweb99为Web用户提供了用于评测系统用作Web服务器能力的最客观、最具代表性的基准；SPECjbb200:评估服务器系统运行Java应用程序能力；SAPSD:基本的