圖解過網絡設備、二層交換機、三層交換機、防火墻、WiFi ，已經把我們常見的設備介紹了一遍，知道這些設備是干什么的。但是單單一款設備，都有很多種品牌、很多個型號。真要買設備時，估計各種各樣的設備，會看得眼花繚亂、霧里看花。下面我們介紹下如何進行設備選型，選到最適合自己的網絡設備。

產品類型

網絡產品有路由器、交換機、防火墻、無線 AP 等，選擇產品類型時，要考慮網絡中是否需要？是否需要一臺進行路由選擇的路由器？是否需要核心交換機？是否需要負責安全控制的防火墻？這些設備在網絡中如何配置？

產品類型：

路由器

二層交換機

三層交換機

防火墻

無線 AP

負載均衡

帶寬控制

代理

......

在新建網絡時，可以根據組網中的產品類型去選擇對應的產品。當現網中需要替換某些網絡設備時，也可以選擇相同類型的設備。如果性能足夠，可以使用三層交換機或防火墻替代路由器。三層交換機替換二層交換機也是可以的。選擇安全設備時，某些防火墻有基于內容的安全控制功能，可以考慮統一使用防火墻來替代獨立的防病毒設備、URL 過濾設備、IDS/IPS 設備等，達到降低成本的目的。

根據需求選擇設備型號

確定了產品類型，就要根據需要的功能，選出具體的設備型號。一般會考慮下面這些方面。

網絡接口與接口速率

WAN 側和 LAN 側接口數量是否滿足需求。RJ-45 的 10/100/1000BASE-T 或 SFP 的 1000BASE-SX 這種，接口類型和接口速率是否滿足要求。

使用 VLAN 或虛擬路由器時，子接口（邏輯接口）的數量是否滿足需求。

使用 IEEE 802.1ad 等匯聚接口時，匯聚后的帶寬是否滿足需求。

性能

吞吐率（傳輸速率）是否足夠。

使用 ASIC 或 FPGA 等硬件處理的范圍和使用 CPU 軟件處理的范圍是多少，根據這些信息處理那些流量能夠得到高性能，處理哪些流量得不到高性能。

在進行內容掃描時，能掃描多大容量的文件。

如果同時運行多個功能，設備 CPU 使用率和內存占用率是否跑滿。

軟件功能

支持哪些協議，有哪些獨立功能。

網絡功能。

管理功能。

報告功能。

遷移便捷性

替換設備時，使用現有、相同廠商的設備，并且運行相同操作系統的設備更容易遷移。

售后服務

產品能夠現場維護還是需要寄回原廠。

支持售后服務的時間。

網絡延遲

路由器這類網絡設備，都會有轉發報文的操作，報文離開始發地，向目的地傳輸的過程中，總會有延遲（ delay ）產生。

在網絡中傳輸聲音和視頻等實時流量時，需要收集各個路由器之間延遲的參數，必須減少端到端（ end to end ）的網絡延遲作為整個網絡設計的重要目標。

ITU-T 推薦的 G.114 把延遲定義三個類型。

延遲的種類。

端到端延遲（ end to end delay ）：報文從發送源發出后，到達目的地所需的時間。報文在中途經過的網絡設備數量越多，這個值就越大。

處理延遲（ processing delay ）：從報文進入設備入接口，到進入出接口的隊列的時間，一般只有幾微秒。

分片延遲（ packetization delay ）：數據分成多個部分傳輸，在進行編碼、壓縮、封裝等操作的時間，一般在幾十毫秒。

隊列延遲（ queuing delay ）：報文在出接口隊列停留的時間。在 QoS 控制時，優先級低的報文在隊列總停留的時間長，也就是延遲大，一般在幾毫秒。

串行延遲（ serialization delay ）：報文在接口發送時，進行電氣、光、電磁波等信號轉換的時間，具體數值通過 “ 報文尺寸 ÷ 帶寬 ” 公式計算。速率越高的接口，串行延遲越低。64 字節的報文使用 64kbit/s 帶寬進行傳輸時，串行過程時間是 8 毫秒。

傳播延遲（ propagation delay ）：信號通過線纜或無線電波等介質傳輸，到達下一個設備的時間，依賴介質的傳輸速度。光纖一般 1km 的距離需要 6 微秒。

網絡延遲（ network delay ）：經過 WAN 和互聯網進行通信時，報文經過這些網絡需要的時間。IP 電話的網絡一般平均延遲需要在 70 毫秒以下。

時延

網絡設備從收到數據后，到再次發送數據的延遲時間叫做時延（ latency ）。時延越小，說明設備處理報文的能力越強。時延相當于 “ 處理延遲 + 隊列延遲 + 串行延遲 ” 的時間。

吞吐率測試的結構中，從測試儀發送的報文經過路由器后，再返回測試的時間，測試儀器叫做時延。網絡設備的時延一般在幾微秒。

抖動

報文發送時，是有一定時間間隔的。這個時間間隔在實際傳輸中，變長或變短的現象叫做抖動（ jitter ）。比如：發送源每隔 5 毫秒發送報文，接收方收到的實際時間間隔卻是 4 、3 、6 、5 、7 毫秒這種不停變化的結果。VoIP 和流媒體應用程序能夠通過緩存來緩解部分抖動，但抖動過大就會導致聲音、畫面突然中斷。在進行實時雙向流媒體視頻會議時，推薦延遲在 150 毫秒以內，抖動在 35 毫秒以內的網絡環境。對比單向視屏流媒體，由于應用程序接收緩存，能夠處理部分延遲和抖動，因此允許雙向 10 倍以上的網絡延遲時間。

丟包

網絡上傳輸的報文沒有到達目的地的現象叫做丟包。丟包通過報文丟棄率的百分比來表示。通常 IP 電話網絡的報文丟失率要在 0.1% 以下。

往返時間

發送源發送的報文，到達目的地后，目的地生成響應報文，返回發送源，直到發送源接收到響應報文的這個過程的時間叫做往返時間（ RTT ，Round Trip Time ）。往返時間是通過 ping 命令發送 ICMP Echo Request 消息，再收到 ICMP Echo Reply 消息來檢查，單位是毫秒。

如果互聯網發生延遲過長的問題，需要通過 QoS 設備或者路由器的 QoS 功能對報文轉發進行優先級控制，保障實時性高的應用程序優先轉發，盡可能減少隊列延遲。

性能測試

網絡設備的性能可以通過測試儀器進行統計測試。產品目錄里，會有 bit/s 和 pps 等參數，有些廠商還會說明是在怎樣的測試環境下得到的這個數值。

測試對象叫做 DUT（ Device Under Test ）。測試儀器在發送端口（ Tx ）逐步增加發送到路由器的報文數量，然后在接收端口（ Rx ）測試 DUT 返回的報文數量。當到達 DUT 的性能極限時，DUT 上就會發生丟包的現象，測試儀器接收的報文數就會減少。

DUT 不發生丟包而持續的傳輸能力指標叫做 NDR（ non-drop rate ），產品目錄中一般叫做最大吞吐率。

RFC2544 中定義了網絡設備吞吐率的測試方法，推薦了測試時使用的數據幀大小。比如在以太網環境中，推薦使用 64 、128 、256 、512 、1024 、1280 、1518 字節大小的數據幀進行測試。

測試路由器時，測試儀器經常模擬互聯網實際通信流量、叫做 IMIX（ Internet Mix ）的各種數據幀組合來進行測試。

測試儀器通過生成二層至七層的各種報文，能夠模擬百萬臺客戶端連接的網絡環境。通過測試儀器的測試，能夠明確網絡設備的最大吞吐率、最大在線會話數等各項性能指標數據。

最大吞吐率

最大吞吐率，單位 Mbit/s ，是指連續處理長度為 1518 字節的數據幀的吞吐率。1518 字節中，去掉 18 字節的幀頭部，剩下 1500 字節的 IP 報文。再去掉 20 字節的 IP 頭部，剩下 1480 字節是 IP 數據有效載荷，最終處理的就是這 1480 字節。

路由器處理不是以字節為單位，而是以報文（數據幀）為單位進行轉發。因此，路由器 1 秒內能處理多少個報文的指標 pps 的最大值，加上 1518 字節數得到的數值，就是路由器的最大吞吐率。

產品性能會根據 IP 數據內容的不同而發生變化，對比 TCP ，使用 UDP 這種頭部簡單的報文進行測試時，能夠得到更好的吞吐率數值。

交換機性能

二層交換機和三層交換機的數據幀轉發是通過 ASIC 完成，因此產品目錄里的交換容量和交換能力，可以人為是這個設備的實際性能指標。

交換容量

交換容量，又叫做背板容量，是交換機內部數據傳輸的帶寬容量。當流量高于交換機容量時，交換機就會由于緩存不足或內部帶寬不夠而無法處理，導致數據幀丟失、丟包率上升等現象。

交換能力

除了 bit/s 表示交換機的容量外，pps（包每秒）也能用來表示交換機的交換能力，即單位時間內能夠處理的數據幀數目。

交換機通過查看數據幀頭部，先確認目的 MAC 地址，并校驗數據幀尾部是否異常，最后查看訪問控制列表是否有匹配項，如果有匹配項，就對數據幀進行過濾或轉發處理。隨著數據幀數目增加，交換機處理的數量也隨之增大，路由器也是這樣。所以，處理流量的 bit/s 相同，數據幀越小，處理的工作量越大，系統負載也隨之變大。

以太網數據幀最小是 64 字節，加上前導碼和 SFD（幀頭定界符）的 8 字節，數據幀之間的 IFG（數據幀間隔）12 字節，一共 84 字節，也就是說，交換機在轉發一個數據幀時，需要處理 672 bit 的數據。

理論的最大線路速度，也叫做線速。對于 1000Mbit/s 的以太網而言，線速是 1000000000 bit/s ÷ 672 bit = 1488000 pps ，也就是 1.488 Mbit/s 。萬兆以太網的線速是 14880000 pps（ 14.88 Mbit/s ）。

交換機是由多個接口組成。如果一臺交換機有 24 個 10/100/1000BASE-T 的接口，那么就有 24 × 1.488Mbit/s = 35.712Mpps 的交換能力。如果交換容量小于這個值，就會發生阻塞，導致所有的接口無法達到理論的最大線速。

實際上，在交換機上傳輸的大多是 TCP 或 UDP 的應用程序數據。在 UDP 中，對實時性要求高的報文，一般長度在 100 ~ 300 字節之間才能進行通信。而在 TCP 中，有窗口尺寸等帶寬控制，實際的速率往往達不到理論線速水平。

MAC 表容量

二層交換機使用 MAC 表管理 MAC 地址，三層交換機還會使用三層表來管理 IP 地址。如果表項超出了容納的數量，那么設備就無法正常轉發處理，造成丟包的結果。在對設備性能進行測試時，要對報文的地址數量進行限制，限制在 MAC 表支持的范圍內。

廣播風暴

廣播風暴（ broadcast storm ）是多個交換機連接成回環，數據幀不停的來回轉發的現象。這種現象會造成網絡帶寬、交換機資源的過度消耗，最終導致整個網絡的癱瘓。使用生成樹功能，可以避免這個問題。生成樹通過 NDP 端口的關閉來解決網絡的回環問題。另外，遇到 DoS 攻擊、操作系統出現 bug 或 NIC 出現故障導致生成樹無法正常工作時，同樣也會產生廣播風暴。

這時，可以使用交換機的廣播風暴控制（ storm-control ）功能來避免這個現象。廣播風暴控制功能的原理是在端口監控數據幀，如果數據幀的數量超過了預定的上限值，就會把超過上限值的部分丟棄。數據幀上限值使用 pps 為單位，能夠分別對單播、多播、廣播進行定義和配置。

如果沒有回環狀態，廣播幀只會轉發到廣播域內的所有終端。相反，如果網絡存在回環，廣播幀會永遠在回環內循環轉發，導致數據幀數量越來越多，最終整個網絡的帶寬被廣播幀消耗殆盡。

路由器性能

路由器性能是用單位時間內的轉發能力來表示，也可以使用吞吐率（ throughput ）表示。單位 bit/s（比特每秒）來表示吞吐率，也會使用 pps（報文每秒）來表示吞吐率。

pps 性能相同的路由器，轉發的報文越大，路由器的 bit/s 值就越高。比如，處理能力是 100 pps 的路由器，處理 64 字節（ 512 bit）報文時，速率是 51.2 kbit/s ，但在處理 1500 字節（ 12000 bit）的報文時，速率達到 1.2 Mbit/s 。

防火墻性能

同時在線會話數

防火墻使用會話表管理會話，以會話為單位進行流量的控制。會話表記錄的表項數目，表明了防火墻能處理的同時在線會話數量。

小型的桌面防火墻一般能夠支持幾萬個會話，電信運營商使用的防火墻能夠同時管理數百萬個會話。

會話生存時間

通過安全策略的 UDP 報文或 TCP 報文到達防火墻時，防火墻會生成對應的會話信息。如果在一定時間內，這個會話沒有流量的話，就把會話刪除，這個時間段叫做會話生存時間。

會話信息被刪除后，這個會話相關的報文到達防火墻時，防火墻需要重新生成會話信息。如果是 UDP 報文，只需要再次生成會話信息即可，但如果是 TCP 報文，除了 SYN 報文外，其余報文都會丟棄。如果 SYN 之外的報文遭到防火墻拒絕，就需要客戶端的應用程序重新發起流程，跟服務器進行 3 次握手，重新建立 TCP 連接。

會話生存時間，可以根據不同的協議設置不同的值。一般 TCP 的會話生存時間是 1 小時，UDP 和其它 IP 協議的會話生存時間是 30 秒。

如果生存時間過長，或者沒有生存時間，TCP 沒有收到 FIN 或 RST ，連接會一致保持開放，而 UDP 會話不會結束，會話信息一直保留。

由于會話信息表中的會話表項的數量有限，如果長時間不清除，會讓表項數量到達上限值。當會話表項數量達到上限值后，不能新建會話，造成無法通信的后果。

每秒會話數

路由器性能一般使用 bit/s 和 pps 這兩個單位描述。防火墻的話，還要增加每秒能建立的會話數（ new session per second ）這個參數指標。這個指標表示在 1 秒內能夠完成多少次會話建立。1 個完整的會話建立過程包括：監控 TCP 連接的 3 次握手，握手正常就生成會話信息，將會話信息記錄到會話表等操作。如果數值不滿足網絡需求，就會造成網絡中新會話信息無法建立。用戶使用過程中，就會覺得這個網絡的響應速度非常慢。

VPN

防火墻或安全設備都會支持站到站 IPsec-VPN 、遠程接入 IPsec-VPN 或 SSL-VPN 功能。有些產品還支持用戶通信的 SSL（ HTTPS ）解密功能。

執行加密或解密的操作，和使用明文通信對比，系統的負載會增加，導致性能下降。雖然使用 ASIC 芯片完成加密，不會帶來性能下降問題，但幾乎所有的設備都是采用 CPU 的軟件處理方式。因此，當通信流量增大時，性能還是會大幅的下降。

無線 AP 性能

實際環境中，CSMA/CA 和無線電波的干擾、距離的遠近導致無線電波的強弱不同等原因，AP 是達不到理論支持的最大吞吐率。

CSMA/CA

IEEE 802.11 的無線 AP 使用 CSMA/CA 通信。

CSMA 中 CS 用來執行載波偵聽，當遇到其它終端正在發送數據幀時，這個終端停止發送并等待，直到其它終端發送完畢。MA 是指多址接入，即多個終端共享 1 個傳輸媒介。CA 是沖突避免，遇到其它設備正在發送數據，那么就等待設備發送完成后，再等待一段隨機時間，才繼續發送數據。通過這個機制可以錯開多個節點同時發送數據幀，有效降低沖突發生的可能性。

由于有線網絡能夠通過電氣噪音及時檢測沖突的發生，而無線網絡無法迅速有效的檢測沖突，只能采用 CSMA/CA 的機制來避免沖突的發生。

ACK 數據幀

收到數據幀后的 AP 需要返回 ACK 數據幀，當發送方接收到 ACK 數據幀后，表示整個通信過程結束。但無線信號不好時，接收方沒有收到數據幀，就不會發送 ACK 數據幀，這時發送方會重發數據幀。另一方面，當接收方順利收到數據幀，并返回 ACK 數據幀，但是發送方卻沒有收到 ACK 數據幀時，接收方也會再次發送 ACK 數據幀。終端和 AP 之間的距離和無線信號的狀態會影響數據重發的概率。

在實際環境中，重發數據的概率大概在 20% 左右。

現場調查

通過使用頻譜分析儀進行的現場勘查工作，能夠確認無線網絡區域的無線信號干涉情況，反射波段、外部無線電波帶來的影響以及噪音帶來的影響，能夠部署和配置最佳 AP 。

一般現場勘查，可以按照下面的步驟來完成。

1、準備辦公場所的平面圖。

2、測試從相鄰 AP 發出的無線電波，了解當前位置無線電波的情況。

3、通過模擬來確定 AP 的數量、無線電波強波和使用的頻道，并標記到辦公場所的平面圖上。

4、根據模擬結果，對配置的 AP 進行臨時配置并進行驗證。

5、完成配置后，對 AP 是否能夠覆蓋所有區域進行最終確認。

選擇交換機

選擇接入交換機

交換機的下行端口用來連接終端，大部分接入交換機都是 1G 的下行端口。目前個人電腦都有 1G 的網絡接口，但如果交換機是 100M 接口，那么自適應功能就會讓鏈路速度變成 100Mbit/s ，這時下行鏈路就可能成為網絡瓶頸。

大部分交換機都采用 2 個或 4 個萬兆上行端口。兩個上行端口，可以同時連接兩臺匯聚交換機或核心交換機組成冗余組網結構。四個上行端口構成兩組通道，以兩倍的吞吐率和上層交換機組成冗余網絡結構。

下行端口數量，根據客戶端或打印機等終端數量決定的。

選擇匯聚交換機和核心交換機

大規模的網絡中，需要接入交換機、匯聚交換機、核心交換機這種分層組網結構。

匯聚交換機的下行鏈路一般使用 10G 網絡接口和接入交換機的上行鏈路進行連接。在三層組網結構中，匯聚交換機的上行鏈路要和核心交換機的下行鏈路連接，而在二層組網中，接入交換機的上行鏈路要和核心交換機的下行鏈路連接，也有使用 40Gbit/s 和 100Gbit/s 網絡接口連接的。

如果接入互聯網，往往是路由器和防火墻容易成為網絡瓶頸。如果局域網的通信多，交換機就可能成為最大的網絡瓶頸。如果預算有限，可以選擇吞吐量滿足最低需求的交換機。

匯聚交換機和核心交換機的端口數量，要根據接入交換機和終端數量來設計。框式交換機能夠通過增加線卡模塊來滿足端口增加的需求。

PoE 供電

通過 PoE 供電技術對無線 AP 、IP 電話、攝像頭等設備進行供電時，需要對能夠供給的電源容量進行總體的設計和規劃。比如：PoE 交換機能夠提供 420W 的電能，可以同時支持 24 個端口使用 802.3af（ 15.4W/接口 ）供電，或同時支持 12 個端口使用 802.3at（ 30W/接口 ）供電，或同時支持 6 個端口使用 802.3bt（ 60W/接口 ）供電。

選擇路由器

路由器的接口數量是依據連接的網段數量來選擇。在以太網中，使用的物理接口數量只要滿足最低限度就可以了，可以通過添加二層交換機來增加接口數量，也可以使用 VLAN 的子接口來緩解接口不足的問題。

選擇防火墻

在互聯網網關配置防火墻時，至少要準備兩個端口，即連接互聯網的上行端口和連接內網的下行端口，最常用也是最傳統的防火墻組網方式。

現在為了保障內網的安全，會把防火墻部署在內網，同時配置 RJ-45 、SFP/SFP+ 等接口，提供 8 ~ 24 個網絡端口。

網絡設備互操作性

互操作性表示網絡中不同類型的網絡設備互相連接后，也能正常通信的情況。由于網絡設備通常實現了相同的 RFC 或 IEEE 等標準或協議，因此不同廠商設備之間，可以說具有互聯性。但另一方面，廠家獨自實現了一些未標準化的功能，這類功能是無法在所有設備上運行的。

當需要引入多個不同廠商生產的網絡設備進行組網時，就要考慮設備的互操作性，并作為選擇設備的一項重要依據。像訪問控制列表或病毒掃描等能夠在網絡設備內部處理，無需和網絡上其它設備連接的功能，就不用考慮互操作性。

高可用性

MTBF 和 MTTR

包含網絡設備的電氣產品和計算機系統等，通常使用 MTBF（平均故障間隔時間）來計算出現故障的概率。這個參數以小時（ hour ）為單位，可以使用下面的公式計算。

MTBF = 運行時間 / 故障次數

在實際運用中，MTBF 還能使用預測法或推測法計算出來。推測法之一，是數據計量法。通過記錄多個樣本數據，觀察在相對較短的時間內有多少臺設備發生了故障，推算出 MTBF 值。比如：同時啟用一萬臺相同的設備，運行 100 個小時，這個期間出現 5 臺設備故障，就可以計算 MTBF 值：1 萬臺 × 100 小時 ÷ 5 次故障 = 20 萬小時。

故障率可以通過 MTBF 的倒數計算得出。

故障率 = 1 / MTBF

MTTR（平均修復時間）是指系統發生故障后，到修復完畢花費的平均時間。

系統的運行概率可以通過下面公式計算得出。

正常運行概率 = MTBF /（ MTBF + MTTR ）

簡單說，就是 MTBF 值越大，而 MTTR 值越小，系統可用性更高。

結束語

當然，完整的進行設備選型，首先要收集預算、需求、網絡現狀和未來可擴容等，再進行有針對性的設備選型，甚至可以有幾套設備選型方案，逐步細化和分解，并結合設備采購流程，最終敲定設備采購清單。如果有錢的金主，買最好的設備，畢竟一分錢一分貨。如果預算有限，就要選高性價比的，適合自己的才是最好的。

end

編輯：黃飛

?