网络设备选型基本原则与测试方法
目录
1. 引 言 1
2. 设计目的 1
3. 网络设备选型基本原则 1
3.1 交换机选型 1
3.2 路由器选型 3
3.3 防火墙选型 5
3.4 服务器选型 7
3.5 UPS电源选型 8
4. 网络设备的测试方法 8
4.1 网络设备测试概要 8
4.2 网络设备测试详细实现 10
摘要
本课程设计主要解决的问题是:网络工程设计中,如何选择合适的网络设备型号以及如何对所选择的网络设备进行相关测试。网络硬件设备包括:交换机、路由器、防火墙、服务器、UPS电源、各种连接线路等。每一类设备都有与之相对应得选型原则与测试方法。
关键词:网络工程设计;网络设备选型;网络设备测试
1. 引 言
在网络工程设计中,特别是大中型网络工程设计[1]的应用,合理的选择网络设备是必然的,对相关设备进行测试[2]也是不可缺少的。网络工程设计的主要任务是:按计划进行的网络综合性工作,包括网络的需求分析、网络设备的选择、网络拓扑结构的设计、施工技术要求等。
网络工程设计中重要环节之一就是网络设备选型与测试,这一环节完成的优劣将直接影响之后所完成系统的功能和性能。所以本课程设计的课题具有较强的实际应用的意义。
2. 设计目的
本设计的目的就是对网络工程设计中网络设备选型与测试这一环节进行相关的探讨。
熟悉并掌握网络设备选型与测试[3]的相关知识,为将来的工作实践打下基础。
3. 网络设备选型基本原则
网络设备选型基本原则包括:交换机选型[4]原则、路由器选型[5]原则、防火墙选型原则、服务器选型原则、UPS选型原则等。
3.1 交换机选型
(1) 交换机的相关指标
交换机类型: 机架式交换机与固定配置式
端口: 端口类型
传输速率:如10Kbit/s等
传输模式:全/半双工自适应模式
是否支持网管:包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。
背板吞吐量:接口处理器和数据总线之间所能吞吐的最大数据量
安全性及VLAN支持:MAC地址过滤、MAC地址与固定端口绑定,是否具有端口速率限制等。支持VLAN配置方式、数量。
冗余支持:管理卡、交换结构、接口模块、电源、冷却系统、机箱风扇等等。
(2) 交换机选型的基本原则
适用性与先进性相结合的原则:不同品牌的交换机产品价格差异较大,功能也不一样,因此选择时不能只看品牌或追求高价,也不能只看价钱低的,应该根据应用的实际情况,选择性能价格比高,既能满足目前需要,又能适应未来几年网络发展的交换机。
选择市场主流产品的原则:选择交换机时,应选择在国内市场上有相当的份额,具有高性能、高可靠性、高安全性、高可扩展性、高可维护性的产品,如中兴、3Com、华为的产品市场份额较大。
安全可靠的原则:交换机的安全决定了网络系统的安全,选择交换机时这一点是非常重要的,交换机的安全主要表现在VLAN的划分、交换机的过滤技术。
产品与服务相结合的原则:选择交换机时,既要看产品的品牌又要看生产厂商和销售商品是否有强大的技术支持、良好的售后服务。
(3) 选择三层交换机时的基本原则
选择三层交换机时,首先要分析各种产品的性能指标,然而面对诸如交换容量(Gbps)、背板带宽(Gbps)、处理能力(Mpps)、吞吐量(Mpps)等众多技术指标,用户必须紧紧抓住“满配置时的吞吐量”这个指标,因为其他技术指标用户一般没有能力进行测量,惟有吞吐量是用户可以使用Smart Bits和IXIA等测试仪表直接测量和验证的指标。
分布式优于集中式:不同品牌的交换机所采用的交换机技术也不同,主要可分为集中式和分布式两类。传统总线式交换结构模块是集中式,现代交换矩阵模块是分布式。
关注延时与延时抖动指标 :企业网、校园网几乎都是高速局域网,其目的之一就是为了音频和视频等大容量多媒体数据的传输,而这些大容量多媒体数据包最忌因延时较长和数据包丢失使信息传输产生抖动。有些传统集中式交换机的延时高达2s,而某些现代分布式交换机的延时只有10ms左右,两者相差上百倍。导致延时过高的原因通常包括阻塞设计的交换结构和过量使用缓冲等,所以,关注延时实际上需要关注产品的模块结构。
性能稳定:三层交换机多用于骨干和汇聚层,如果性能不稳定,则会波及网络系统的大部分主机,甚至整个网络系统。所以,只有性能稳定的第三层交换机才是网络系统连续、可靠、安全和正常运行的保证。当然,性能稳定看似抽象,似乎需要历史检测才能有说服力。其实不然,由于设备性能实际上是通过多项基本技术指标和市场声誉来实现的。所以,用户可以通过吞吐量、延迟、丢帧率、地址表深度、线端阻塞和多对一功能等多项指标以及市场应用调查来确定。
安全可靠:作为网络核心设备的第三层交换机,是被攻击的重要对象,要求必须将第三层交换机纳入网络安全防护的范围。
功能齐全:产品不但要满足现有需求,还应满足未来一段时间内的需求,从而给用户一个增值空间。
3.2 路由器选型
(1) 路由器的相关指标
a:路由器的配置:
接口种类:体现路由器的通用性。
用户可用槽数:用户可以使用的插槽数。
CPU: CPU是路由器的心脏。路由器中许多工作都可以由硬件实现(专用芯片)。
内存:例如Flash、DRAM等,在中低端路由器中,路由表可能存储在内存中。
端口密度:体现路由器制作的集成度,由于路由器体积不同,该指标应当折合成机架内每英寸端口数。
b:对协议的支持包括以下协议:路由协议、IPV6、IP以外协议( IPX、AppleTalk等)、源地址路由支持与透明桥接、策略路由方式、互连网组管理协议(IGMP)、VPN支持等。
c:路由器的相关性能主要体现在以下方面:
全双工线速转发能力:路由器最基本且最重要的功能是数据包转发。在同样端口速率下转发小包是对路由器包转发能力最大的考验。全双工线速转发能力是指以最小包长和最小包间隔在路由器端口上双向传输同时不引起丢包。
设备吞吐量:指设备整机包转发能力。路由器的工作在于根据IP包头或者MPLS标记选路,所以性能指标是转发包数量每秒。
端口吞吐量:端口吞吐量是指端口包转发能力,通常使用pps(包每秒)来衡量,它是路由器在某端口上的包转发能力。
背靠背帧数:背靠背帧数是指以最小帧间隔发送最多数据包不引起丢包时的数据包数量。
背板能力:背板能力能够体现在路由器吞吐量上,背板能力通常大于依据吞吐量和测试包场所计算的值。但是背板能力只能在设计中体现,一般无法测试。
丢包率:丢包率是指测试中所丢失数据包数量占所发送数据包的比率,通常在吞吐量范围内测试。
时延:时延是指数据包第一个比特进入路由器到最后一比特从路由器输出的时间间隔。
时延抖动:时延抖动是指时延变化。
无故障工作时间:该指标按照统计方式指出设备无故障工作的时间。
路由表能力:路由表能力是指路由表内所容纳路由表项数量的极限。
支持QoS能力:QoS是用来解决网络延迟和阻塞等问题的一种技术。
(2):路由器选型的基本原则
实用性原则:采用成熟的、经实践证明其实用性的技术。这能满足现行业务的管理,又能适应3~5年的业务发展的要求;
可靠性原则:设计详细的故障处理及紧急事故处理方案,保证系统运行的稳定性和可靠性;
标准性和开放性原则:网络系统的设计符合国际标准和工业标准,采用开放式系统体系结构;
先进性原则:所使用的设备应支持VLAN划分技术、HSRP (热备份路由协议)技术、OSPF等协议,保证网络的传输性能和路由快速改敛性,抑制局域网内广播风暴,减少数据传输延时;
安全性原则:系统具有多层次的安全保护措施,可以满足用户身份鉴别、访问控制、数据完整性、可审核性和保密性传输等要求;
扩展性原则:在业务不断发展的情况下,路由系统可以不断升级和扩充,并保证系统的稳定运行;
性价比:不盲目追求高性能产品,要购买适合自身需求的产品。
(3) 选择核心路由器的基本原则
核心路由器最需要注意的就是路由器的可靠性和可用性 。在核心路由器技术规范中,核心路由器的可靠性与可靠性规定应达到以下要求:
系统应达到或超过99.999%的可用性。
无故障连续工作时间:MTBF﹥10万小时。
故障恢复时间:系统故障恢复时间 ﹤ 30 mins。
系统应具有自动保护切换功能。主备用切换时间应小于50ms。
SDH和ATM接口应具有自动保护切换功能,切换时间应小于50ms。
要求设备具有高可靠性和高稳定性。主处理器、主存储器、交换矩阵、电源、总线仲裁器和管理接口等系统主要部件应具有热备份冗余。线卡要求m+n备份并提供远端测试诊断功能。电源故障能保持连接的有效性。
系统必须不存在单故障点。
3.3 防火墙选型
(1)防火墙的主要性能指标
LAN接口:LAN接口类型,防火墙所能保护的网络类型; 支持的最大LAN接口数。
操作系统平台:防火墙所运行的操作系统平台。
协议支持:是否支持AppleTalk、DECnet、IPX及NETBEUI等协议。
加密支持:防火墙支持的加密算法,例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。
认证支持:防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问,防火墙管理员必须决定客户以何种方式通过认证。
访问控制:访问控制一般通过包过滤、代理及NAT三种技术来实现。
防御功能:支持病毒扫描的能力;提供内容过滤的能力;能防御的DoS攻击能力;阻止脚本侵入手段的能力;主动防御的能力。
安全特性:支持转发和跟踪ICMP协议的能力;提供入侵实时警告机制;
提供实时入侵防范;识别、记录、防止IP地址欺骗。
管理功能:防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理。管理员的行为主要包括:通过防火墙的身份鉴别,编写防火墙的安全规则,配置防火墙的安全参数,查看防火墙的日志等。
记录和报表功能:防火墙处理完整日志的方法;自动日志扫描;实时统计。
(2)防火墙选型的基本原则
总拥有成本和价格:防火墙产品作为网络系统的安全屏障,其总拥有的成本不应该超过受保护网络系统可能遭受最大损失的成本。防火墙的最终功能将是管理的结果,而非工程上的决策。
明确系统需求:即用户需要什么样的网络监视、冗余度以及控制水平。确定总体目标,确定了可接受的风险水平后,可以列出一个必须监测怎样的传输、必须允许怎样的传输流通行,以及应当拒绝什么传输的清单。
应满足企业特殊要求:企业安全政策中的某些特殊需求并不是每种防火墙都能提供的,这常会成为选择防火墙时需考虑的因素之一,企业常见的需求如下:
a.加密控制标准;
b.访问控制;
c.特殊防御功能。
防火墙本身是安全的:作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可趁之机。
不同用户选择不同:对于电信级用户、企业级用户、个人单机级用户区别对待。
管理与培训:在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会占据较大的比例。
可扩充性:随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,因此便需要增加具有更高安全性的防火墙产品。
防火墙的安全性:防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断,即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了国家权威认证机构认证测试的产品。
3.4 服务器选型
(1)服务器的基本性能指标
CPU: CPU速度和内存容量;
联机事物处理能力: TPC-C是“事务处理性能委员会”(TPC)负责制订的基准测试指标,考察联机事务处理每分钟吞吐量。而TPC-C测试结果又包括两个指标,一个是流量指标tpmC,这个值越大越好;另一个是性价比指标Price/tpmC,指的是测试系统价格与流量指标的比值,这个值则越小越好;
SPEC web99:SPEC web99为Web用户提供了用于评测系统用作Web服务器能力的最客观、最具代表性的基准;
SPEC jbb200:评估服务器系统运行Java应用程序能力;
SAP SD:基本的规模建议;
可用性和可管理性:服务器的故障处理技术越成熟,为用户提供的可用性就越高,而这个故障处理技术必须要有良好的管理手段和界面来及时表现:一方面可以通过出现故障时自动执行系统或部件切换以避免或减少意外停机,另一方面要让管理员及时察觉及帮助诊断,才能从根本上解决问题。
(2)服务器选型的基本原则
稳定可靠原则:为了保证网络的正常运转,用户选择的服务器首先要确保稳定。特别是运行用户重要业务的服务器或存放核心信息的数据库服务器。
合适够用原则:对于用户来说,最重要的是从当前实际情况以及将来的扩展出发,有针对性地选择满足当前的应用需要并适当超前,投入又不太高的解决方案。避免服务器采购走向追求性能,求高求好的误区。
扩展性原则:为了减少升级服务器带来的额外开销和对业务的影响,服务器应当具有较高的可扩展性,可以及时调整配置来适应用户自身的发展。
易于管理原则:所谓易于操作和管理主要是指用相应的技术来简化管理以降低维护费用成本,一般通过硬件与软件两方面来达到这个目标。
售后服务原则:选择售后服务好的厂商的产品是明智的决定。在具体选购服务器时,用户应该考察厂商是否有一套面向客户的完善的服务体系及未来在该领域的发展计划。
3.5 UPS电源选型
(1) UPS电源选型的基本原则
UPS的容量:UPS的额定容量是指UPS的最大输出功率(电压V和电流A的乘积)。通常市场上所售的UPS电源,容量较小的以“W”(瓦特)为单位来标识。
功率因数:功率因数在0~1之间,它表示了负载电流做的有用功(W)的百分比。
实际负载情况:P=∑Pi/f;即实际所有负载的总和∑Pi,再除以功率因数f,f=0.6~0.8,即可得到实际负载容量P。
预留扩容:考虑到业务发展的可能,在不大量追加投资情况下,增加UPS输出容量,这可通过选择可以实现现场扩容的UPS产品,如现在模块化UPS产品及提前购买大容量UPS来实现。
电池供电时间:电池供电时间主要受负载大小、电池容量、环境温度、电池放电截止电压等因素影响。根据延时能力,确定所需电池的容量大小,用安时(AH)值来表示,以给定电流安培数时放电的时间小时数来计算。一般UPS配置用以下公式计算:电源功率(VA)×延时时间(小时数)÷电源启动直流=所需蓄电池安时数(AH)
UPS的输入电压范围:即UPS允许市电电压的变化范围,也就是保证UPS不转入电池逆变供电的市电电压范围。范围越大说明UPS适应性越好。输入电压范围越宽,UPS电池放电的可能性越小,电池的寿命就相对延长。
UPS电源保护解决方案:用户应根据自己网络系统的实际需求,同UPS广商或经销商讨论采用适宜自己系统的UPS电源保护解决方案。一般有集中式保护、分布式保护和综合式保护等方案。
UPS的外观、体积、重量及噪音等因素:对于大多数中小型网络用户而言, UPS是与计算机、网络设备等一起放置在办公环境中的, 所以,在选购UPS时,还应考虑到UPS的外观、体积、重量及噪声等因素。应选择外形美观、 体积小、重量轻、低噪声的UPS,尤其要注意UPS中电池组的摆放位置问题,要考虑楼板的负荷。
4. 网络设备的测试方法
4.1 网络设备测试概要
(1) 步骤流程图如下图4.1所示:
图4.1 测试流程图
(2) 测试方式
主动测试:主动测试是在选定的测试点上利用测试工具有目的地主动产生测试流量注入网络,并根据测试数据流的传送情况来分析网络的性能。
被动测试:被动测试是指在链路或设备(如路由器和交换机等)上对网络进行监测,而不需要产生流量的测试方法。
(3) 测试参数选取原则
参数必须是具体而明确的。
参数本身可以对高层应用产生影响,且用户可以感知。
参数的定义不依赖于具体的网络技术与拓扑,并用与具体网络无关的术语进行描述。
参数的测试具有可重复性,在相同条件下测试多次应得到相同的测试结果。
参数的测试结果对于采用相同技术的网络不应该表现出差异性,对采用不同技术的网络应该表现出差异性。
参数的选择应避免引入人为的性能目标。
网络性能的五项基本技术指标:可用性(availability)、响应时间(response time)、网络利用率(network utilization)、网络吞吐量(network throughput)、网络带宽容量(network bandwidth capacity)。
(4) 测试的安全性
包括网络对测试方法的安全性要求以及测试方法自身的安全性要求。
(5) 测试的不确定性与误差分析
对于测试来说最重要的就是准确可靠,因此在设计测试方法或选择测试工具之前应该尽量避免进行假设,尤其是带有不确定性的假设。
对结果进行误差分析的一个主要方式就是分析结果中的不合理值。
(6) 测试结果的统计方法
对测试结果的统计分为两个方面:统计方式和统计方法。
对结果的统计方式实际上就是对结果进行抽样。
对测试结果的统计方法就是对测试结果进行统计的不同算法以及对结果的表示方法。
对测试(采样)值的表示可以采用统计分布方法
4.2 网络设备测试详细实现
(1)设备基本信息检测
交换机:检查交换机的设备型号、出厂编号及软、硬件配置。检测交换机的系统配置,包括加密口令及VLAN的数量、VLAN描述、VLAN地址、生成树配置等。检测交换机的端口,包括端口类型、数量。在交换机内的模块(交换矩阵、电源、风扇等)具有冗余配置时,测试其备份功能。
路由器:检查路由器,包括设备型号、出厂编号及随机配套的线缆;检测路由器软、硬件配置,包括软件版本、内存大小、MAC地址、接口板等信息。检测路由器的端口,包括端口类型、数量。路由器内的模块(路由处理引擎、交换矩阵、电源、风扇等)具有冗余配置时,测试其备份功能。
防火墙:检查防火墙的基本信息,如防火墙的设备型号、操作系统等。检查防火墙的硬件配置,包括内存大小、硬件接口等。
服务器:检测服务器设备的主机配置,包括CPU类型及数量、总线配置、图形子系统配置、内存、内置存储设备(软盘驱动器、硬盘、CD驱动器、磁带机)、网络接口、外存接口等。检测服务器设备的外设配置,例如显示器、键盘、海量存储设备(外置硬盘、磁带机等)、打印机等。检测服务器设备的系统配置,包括主机名称,操作系统版本,所安装的操作系统补丁情况;检查服务器中所安装软件的目录位置、软件版本。检查服务器的网络配置,如主机名、IP地址、网络端口配置、路由配置等。在服务器内的模块(电源、风扇等)具有冗余配置时,测试其备份功能。
UPS电源:检查设备型号、电源容量、输入电压范围、功率因数等信息。检查设备的插座型号。
(2)单台设备性能测试
对单台设备性能的测试主要包括:吞吐量、时延、丢帧率和背靠背。不同的指标有相应的测试方法。
吞吐量:吞吐量是指网络不丢帧情况下的最大帧转发速率。从设备所能支持的最大的线速帧速率Xmax开始测试;当设备开始丢帧的时候,降低帧速率Y;当设备没有丢帧的时候,提高帧速率Y;通常通过二分法来测试出当X=Y下的最大的帧速率。
时延:存储转发设备的时延测试:数据帧的最后一个bit进入设备开始计时;数据帧第一个bit出现在输出端口结束;二者时间差为存储转发设备的延时;反应网络设备的性能(包转发速度),通常都是不和位转发设备进行比较。比特转发设备的延时:从第一bit位进入开始记时;到第一bit位出现在输出端口结束;二者时间差为比特转发设备的延时;反应网络设备的性能,通常都是不和存储转发设备进行比较。
丢帧率:丢帧率是指在网络稳定状态下由于网络资源缺乏造成的不能转发的数据帧和总数据帧的百分比。从最大的帧速率开始在不同的帧速率下测试,测试设备输入帧数X与输出帧数Y;丢帧率等于(X-Y)/X *100%(通常丢包率+吞吐量=1)
背靠背:是指长度固定的数据包以最小间隔的速率(即对应介质的最大速率)向设备发包,不丢包的最大数目。首先给被测试设备发送最小包间隙且规定数目的数据帧;如果没有帧丢失的话,增加数据帧的突发尺寸(数量);测试被测设备所能处理的最大的突发尺寸(数量)。
(3)网络整体性能测试
基本连通性测试:根据网络拓扑结构形成网络节点之间的连通性矩阵,并据之进行两两节点间的连通性测试;根据网络与其他互联网的互联情况,测试本网与国内其他互联网的连通性。
全网路由测试:包括全网路由协议配置检查、全网路由协议收敛测试、全网路由策略测试。
全网性能测试:时延测试:测试网络所有各节点间的IP包传输单向或双向时延。时延变化测试:测试网络所有各节点间的IP包传输时延变化。IP包丢失率:测试网络所有各节点间的IP包丢失率。中继电路利用率:测试网络各中继电路的平均带宽利用率和峰值带宽利用率。
网络安全测试:包括网络安全基本测试和安全管理功能测试。
网络安全基本测试:采用网络安全审计工具软件,对全网设备进行安全漏洞扫描。
安全管理功能测试:测试安全事件集中监控功能。测试信息资产与安全风险管理功能。测试安全策略管理功能。测试安全事件预警功能。测试安全信息库功能。测试安全管理中心其他功能。
网管测试:包括网管系统数据采集功能测试、网管系统数据处理功能测试、网管应用功能测试、网管系统性能测试、网管系统其他测试。
网管系统数据采集功能测试:主要是各种数据的采集功能,主要包括配置数据、告警数据、性能数据、流量流向数据、网络路由数据等。
网管系统数据处理功能测试:包括配置数据的存储、告警数据的处理、性能数据处理、
网管应用功能测试:主要包括网管系统资源管理、配置管理、拓扑管理、故障管理功能;测试网管系统性能监测与分析功能;测试网管系统流量采集与分析功能;测试网管系统路由管理、QoS管理、前端信息服务管理功能;测试网管系统报表统计功能;测试网管系统的其他应用功能。
网管系统性能测试:主要包括网管系统采集轮询速度一定网元规模下轮询需要的遍历时间;系统支持的最小采集间隔;拓扑自动发现时间、拓扑呈现时间;告警压缩率、告警压缩处理能力、告警处理能力及告警准确率;测试资源信息的准确性和流量数据准确率、实时性。
网管系统其他测试:主要包括统计报表内容测试和自身管理功能测试。
