这时,可以使用交换机的广播风暴控制( storm-control )功能来避免这个现象。广播风暴控制功能的原理是在端口监控数据帧,如果数据帧的数量超过了预定的上限值,就会把超过上限值的部分丢弃。数据帧上限值使用 pps 为单位,能够分别对单播、多播、广播进行定义和配置。
如果没有回环状态,广播帧只会转发到广播域内的所有终端。相反,如果网络存在回环,广播帧会永远在回环内循环转发,导致数据帧数量越来越多,最终整个网络的带宽被广播帧消耗殆尽。
路由器性能路由器性能是用单位时间内的转发能力来表示,也可以使用吞吐率( throughput )表示。单位 bit/s(比特每秒)来表示吞吐率,也会使用 pps(报文每秒)来表示吞吐率。
pps 性能相同的路由器,转发的报文越大,路由器的 bit/s 值就越高。比如,处理能力是 100 pps 的路由器,处理 64 字节( 512 bit)报文时,速率是 51.2 kbit/s ,但在处理 1500 字节( 12000 bit)的报文时,速率达到 1.2 Mbit/s 。
防火墙性能同时在线会话数防火墙使用会话表管理会话,以会话为单位进行流量的控制。会话表记录的表项数目,表明了防火墙能处理的同时在线会话数量。
小型的桌面防火墙一般能够支持几万个会话,电信运营商使用的防火墙能够同时管理数百万个会话。
会话生存时间通过安全策略的 UDP 报文或 TCP 报文到达防火墙时,防火墙会生成对应的会话信息。如果在一定时间内,这个会话没有流量的话,就把会话删除,这个时间段叫做会话生存时间。
会话信息被删除后,这个会话相关的报文到达防火墙时,防火墙需要重新生成会话信息。如果是 UDP 报文,只需要再次生成会话信息即可,但如果是 TCP 报文,除了 SYN 报文外,其余报文都会丢弃。如果 SYN 之外的报文遭到防火墙拒绝,就需要客户端的应用程序重新发起流程,跟服务器进行 3 次握手,重新建立 TCP 连接。
会话生存时间,可以根据不同的协议设置不同的值。一般 TCP 的会话生存时间是 1 小时,UDP 和其它 IP 协议的会话生存时间是 30 秒。
如果生存时间过长,或者没有生存时间,TCP 没有收到 FIN 或 RST ,连接会一致保持开放,而 UDP 会话不会结束,会话信息一直保留。
由于会话信息表中的会话表项的数量有限,如果长时间不清除,会让表项数量到达上限值。当会话表项数量达到上限值后,不能新建会话,造成无法通信的后果。
每秒会话数路由器性能一般使用 bit/s 和 pps 这两个单位描述。防火墙的话,还要增加每秒能建立的会话数( new session per second )这个参数指标。这个指标表示在 1 秒内能够完成多少次会话建立。1 个完整的会话建立过程包括:监控 TCP 连接的 3 次握手,握手正常就生成会话信息,将会话信息记录到会话表等操作。如果数值不满足网络需求,就会造成网络中新会话信息无法建立。用户使用过程中,就会觉得这个网络的响应速度非常慢。
VPN防火墙或安全设备都会支持站到站 IPsec-VPN 、远程接入 IPsec-VPN 或 SSL-VPN 功能。有些产品还支持用户通信的 SSL( HTTPS )解密功能。
执行加密或解密的操作,和使用明文通信对比,系统的负载会增加,导致性能下降。虽然使用 ASIC 芯片完成加密,不会带来性能下降问题,但几乎所有的设备都是采用 CPU 的软件处理方式。因此,当通信流量增大时,性能还是会大幅的下降。
无线 AP 性能实际环境中,CSMA/CA 和无线电波的干扰、距离的远近导致无线电波的强弱不同等原因,AP 是达不到理论支持的最大吞吐率。
CSMA/CAIEEE 802.11 的无线 AP 使用 CSMA/CA 通信。
CSMA 中 CS 用来执行载波侦听,当遇到其它终端正在发送数据帧时,这个终端停止发送并等待,直到其它终端发送完毕。MA 是指多址接入,即多个终端共享 1 个传输媒介。CA 是冲突避免,遇到其它设备正在发送数据,那么就等待设备发送完成后,再等待一段随机时间,才继续发送数据。通过这个机制可以错开多个节点同时发送数据帧,有效降低冲突发生的可能性。
由于有线网络能够通过电气噪音及时检测冲突的发生,而无线网络无法迅速有效的检测冲突,只能采用 CSMA/CA 的机制来避免冲突的发生。
ACK 数据帧收到数据帧后的 AP 需要返回 ACK 数据帧,当发送方接收到 ACK 数据帧后,表示整个通信过程结束。但无线信号不好时,接收方没有收到数据帧,就不会发送 ACK 数据帧,这时发送方会重发数据帧。另一方面,当接收方顺利收到数据帧,并返回 ACK 数据帧,但是发送方却没有收到 ACK 数据帧时,接收方也会再次发送 ACK 数据帧。终端和 AP 之间的距离和无线信号的状态会影响数据重发的概率。
在实际环境中,重发数据的概率大概在 20% 左右。
现场调查通过使用频谱分析仪进行的现场勘查工作,能够确认无线网络区域的无线信号干涉情况,反射波段、外部无线电波带来的影响以及噪音带来的影响,能够部署和配置最佳 AP 。
一般现场勘查,可以按照下面的步骤来完成。
1、准备办公场所的平面图。
2、测试从相邻 AP 发出的无线电波,了解当前位置无线电波的情况。
3、通过模拟来确定 AP 的数量、无线电波强波和使用的频道,并标记到办公场所的平面图上。
4、根据模拟结果,对配置的 AP 进行临时配置并进行验证。
5、完成配置后,对 AP 是否能够覆盖所有区域进行最终确认。
选择交换机选择接入交换机交换机的下行端口用来连接终端,大部分接入交换机都是 1G 的下行端口。目前个人电脑都有 1G 的网络接口,但如果交换机是 100M 接口,那么自适应功能就会让链路速度变成 100Mbit/s ,这时下行链路就可能成为网络瓶颈。
大部分交换机都采用 2 个或 4 个万兆上行端口。两个上行端口,可以同时连接两台汇聚交换机或核心交换机组成冗余组网结构。四个上行端口构成两组通道,以两倍的吞吐率和上层交换机组成冗余网络结构。
下行端口数量,根据客户端或打印机等终端数量决定的。
选择汇聚交换机和核心交换机大规模的网络中,需要接入交换机、汇聚交换机、核心交换机这种分层组网结构。
汇聚交换机的下行链路一般使用 10G 网络接口和接入交换机的上行链路进行连接。在三层组网结构中,汇聚交换机的上行链路要和核心交换机的下行链路连接,而在二层组网中,接入交换机的上行链路要和核心交换机的下行链路连接,也有使用 40Gbit/s 和 100Gbit/s 网络接口连接的。
如果接入互联网,往往是路由器和防火墙容易成为网络瓶颈。如果局域网的通信多,交换机就可能成为最大的网络瓶颈。如果预算有限,可以选择吞吐量满足最低需求的交换机。
汇聚交换机和核心交换机的端口数量,要根据接入交换机和终端数量来设计。框式交换机能够通过增加线卡模块来满足端口增加的需求。
PoE 供电通过 PoE 供电技术对无线 AP 、IP 电话、摄像头等设备进行供电时,需要对能够供给的电源容量进行总体的设计和规划。比如:PoE 交换机能够提供 420W 的电能,可以同时支持 24 个端口使用 802.3af( 15.4W/接口 )供电,或同时支持 12 个端口使用 802.3at( 30W/接口 )供电,或同时支持 6 个端口使用 802.3bt( 60W/接口 )供电。
选择路由器路由器的接口数量是依据连接的网段数量来选择。在以太网中,使用的物理接口数量只要满足最低限度就可以了,可以通过添加二层交换机来增加接口数量,也可以使用 VLAN 的子接口来缓解接口不足的问题。
选择防火墙在互联网网关配置防火墙时,至少要准备两个端口,即连接互联网的上行端口和连接内网的下行端口,最常用也是最传统的防火墙组网方式。
现在为了保障内网的安全,会把防火墙部署在内网,同时配置 RJ-45 、SFP/SFP 等接口,提供 8 ~ 24 个网络端口。
网络设备互操作性互操作性表示网络中不同类型的网络设备互相连接后,也能正常通信的情况。由于网络设备通常实现了相同的 RFC 或 IEEE 等标准或协议,因此不同厂商设备之间,可以说具有互联性。但另一方面,厂家独自实现了一些未标准化的功能,这类功能是无法在所有设备上运行的。
当需要引入多个不同厂商生产的网络设备进行组网时,就要考虑设备的互操作性,并作为选择设备的一项重要依据。像访问控制列表或病毒扫描等能够在网络设备内部处理,无需和网络上其它设备连接的功能,就不用考虑互操作性。
