各位朋友大家下午好!很高兴有机会再一次向大家来介绍神州数码在这方面的进展。
回顾这么多年来,刚才在下面也在跟网络世界的朋友沟通,我从2002年第一届网络世界大会开始,就在这里宣讲以太网,宣讲整个网络的变化,宣讲网络的趋势。回顾五年来,今年是第五年。看一下网络大会的主题变化,我们觉得非常有意思。其实从主题的变化,我们也能够感受到整个网络技术或者说网络内涵的一些变化趋势。今天的主题是“同一个梦想,同一个网络”。回顾过去几年,所关注的兴奋点在什么地方,大家参加过这种会议可能会记得,过去曾经对万兆非常感兴趣,从千兆到万兆,100G的标准未来不久将会发布,就是从千兆到万兆再到100个G,这是曾经很兴奋的关注点,在业界也有很多的话题,关于性能和质量的关系。由于服务质量,由于性能的瓶颈,我们需要各种各样的性能的保证,如果带宽非常宽的话,是不是服务质量的保证就不需要了,或者说服务质量自然得到了保证了。这是过去由性能到服务质量所关注的一些焦点话题。
后来由于以太网的普及,我们开始关注以太网在企业内部的大规模使用,在运营商范围内的大规模使用,以太网大会很荣幸的请到了以太网论坛陈子楠先生跟大家介绍以太网在运营商方面的部署,我们所面临的问题,他的技术进展,应该说这个论坛所涉及的相关技术还在不断的延伸。
今年的这个主题换成了“同一个梦想,同一个网络”这个和我们网络自然发展的趋势有关系。从我的报告题目也是更加关注效能和安全、融合方面。过去我们是谈性能,现在是谈效能。
今天分两个方面,一个是回顾网络的数字神经建设,下一个是在看现在所面临的问题是不是能够得到解决。问题是跟今天所谈的一些主题是相关的,融合。
融合不仅仅是一个语音、电视、数据在网上可能会涉及到多个方面。先看一下IPV4网的一些状况。由于网络的大规模普及,在企业内部得到了充分的使用,科研机构也得到了充分的使用。举两个典型的案例,一个是在企业内部,现在网络在发挥什么样的作用。第二个是在网络大规模特别是以太网大规模使用的学校,它在起什么样的作用。
不管是对于企业还是对于学校,还是对政府来讲,网络已经变成用户单位的一个数字神经系统。过去网络就是收发邮件,可以浏览新闻,可以存储数据,这是网络的基本作用。可是现在对于用户来讲,已经成为数字神经系统,意味着如果这个系统工作不正常,那么整个基体就会跨掉,对于企业来讲,它的各种决策、各种管理性都已经在上面,包括企业资源、人力资源、协同办公、电子商务,IRP、ARP,全部都集中在上面,像刚才国民寿险。这些属于是神州数码网络公司自己内部运用网络所得到一些数据,我们利用网络,利用网络的应用以后,整个企业内部应用的变化,以前是财务结帐由于网络的开展和应用,单据处理变成了3分钟。经常有一个笑话,网络或者是IT时代的技术上的变化,如果是拿汽车的性价比比的话,现在买一辆自行车的价格可以买一辆宝马,从效率上提升来讲,确实是有这样的提升,从30天到3天的提升,短短的几天有10倍的提升。对于学校来讲,这也是非常重要,整个现在已经学校在提升数字化校园网,从科研到教学,到管理系统,到服务系统,全部是基于网络在做。比如说学生洗澡用水,全部是通过一卡通,通过网络计费控制水量,控制洗澡时间,有些学校网络系统管理这个以后,澡堂的用水量大幅度降低,这也是网络带来的很好的效应体现。
从上面对企业来讲,对学校来讲,实际上还包括政府也有很大的影响,整个网络应用的发展,这是一个和今天的主题相吻合的就是融合,融合是以IP为基础,融合到一起,在统一的一个平台上,能够提供语音、视频、存储、路由交换等多种业务,并且需要提供安全、管理、端到端,端到端是现在非常关注的一点,我们在传统网络上,如果是在一个小的网络范围内去讲安全性,讲服务质量,讲可用性,那么可以讲,在现有的网络体系架构上比较容易得到保障,就是在一个企业的内部,或者是在小范围的网络内部比较容易保证这些东西。但是当网络不仅仅成为企业的数字企业,甚至成为国家的数字企业,如何做到端到端,跨省份、跨国家实现端到端的系统,这个系统现在还没有完全得到解决。包括在NGN也好,成立以太网论坛也好,包括在IPV6论坛里面都在谈网络技术如何适应未来潜在的、迫切的网络需求,下一代如何考虑这些东西。
对于网络来讲,面对的用户实际上是分成两类,网络用户谁使用是我们的用户,但是建设网络必须考虑两类用户,第一个是具体的使用者,第二个是网管人员,这也是必须要考虑到的一个因素。对于使用者来讲,他的稳定性、安全性,容易适用性、随时随地获得网络的特性,这对使用者来讲必须要有一个网络具备的特征。另外比较容易受到忽视,但是又非常重要的一方面,网络必须有管理者去维护,对于网络的管理和维护者来讲的话,他的易管理性、易拓展性能不能延伸到未来服务,能不能给用户和使用者提供运营级的服务,这都是网络管理运行维护非常关注的特性。
这是网络所必须关注的两个方面。但是现在实际上应该来讲,还达不到这样一个程度。网络虽然获得这么大的普遍的发展,虽然已经成为企业或者是学校、政府的数字神经系统,但是仍然面临着非常多的问题,这也就是为什么近年来NGN、NGI这些技术包括成立以太网论坛、IPV6技术非常热门的原因,因为存在问题,所以我们需要发展。举几个例子,第一个是网络安全问题非常严重,这可能是大会、小会,包括厂商、技术专家讲演都提到网络安全,非常重要。在传统的运营商里面相对这个问题要好一些,因为他是链入技术,每一条是单独接入,但是按照现在的IP网里面,现在是信源,就包交换的方式,每一个包在数据上,在通道上去跑,那么整个信道并不为你所共享,由此带来一系列的安全问题。比如说像不经过授权的一些访问,访问之后没有留下任何蛛丝马迹,不可记入,不可跟踪,不可控制,网络信息的泄露,数据共享导致泄密。第二刚才提到端到端,现在在大的范围内来讲,还很难得到保证。另外还有新的一些应用,这是最近新推出的P2P的应用,原先知道如何去控制,以前叫做如何去封堵,封堵是不现实的,现在是如何去管理,如何变害为有益的东西,P2P有很多的特点,占据大量的资源,这种新的技术的出现带来了新的应用模式的开展,甚至带来一些草根文化的颠覆。最后一点,是大量手机或者是移动设备上网以后所带来的安全问题更加突出。
在IPV4下面,就是在现在的网络下面怎么来解决这些问题,解决得不是特别好。从安全性上来讲,分成了三个纬度来看,第一个是网络层次解决,第二个网络活动层面,第三个是安全威胁类别。分得非常细,今天时间有限不再详细介绍,以前在其它会上也介绍过。从这三个纬度来看是分析网络安全存在的各种风险各种危险,分析完了以后,目的希望这个网络达到可以信任,可以控制,并且可以取证,如果是出现问题,出现所谓的犯罪,要有犯罪记录,可以取证,要达到这三个目的。这样的话,网络才可以说是可用的网络。对于神州数码网络公司来讲,也是在这个领域里面摸爬滚打非常多年,前几年针对提出了静态防御的方案,把各个纬度、方案都考虑进去,在网络服务、管理、数据上,在服务器在不同层次上综合考虑网络安全这样一个问题。这个概念现在已经是比较流行、普及了,包括业界所有的厂商,所有的专家、学者都认为网络安全问题不仅仅是一个边界控制的问题,而是一个综合性的问题。国内有院士很形象的在形容说,以前的网络安全是筑高墙,放火墙不断的打补丁,这些东西已经不再能够保证安全实施,必须要从全方位的网络各个层面上、网络活动所涉及的各个层面上考虑网络安全的因素。就像现实生活中安全的保障,不仅仅是一个警察的责任,可能各个层面上都需要有这些方面的东西。
通过这几年的实践经验,在2005年提出了动态防御的概念,3DSMP,不仅仅是分裂的、孤立的、静止的来看,而是把这三者有机的结合在一起,一个事件的发生可能会触发一个纬度上面的安全变化,同时会触发另外一个纬度,孤立的看一个纬度上不知道这个来自什么危险,有机的结合在一起,就可以看到危险来自哪个用户,甚至知道是哪个病毒,一经发展立刻封堵,这是动态调整的策略。
网络安全问题也引发了很多业界著名公司的深层次的关注,最著名的就是思科和微软这两家,微软从传统意义上来讲,不在安全考虑范围之内,微软受到安全威胁攻击最大的,也是安全问题触发地,很多病毒或者很多攻击、漏洞都来自于微软的操作系统,看到这些问题实际上已经不能够,如果微软使用保持这种状态的话,操作系统不会有太多人使用,这个问题引发了微软高度的重视,这张图是微软从三个层面上要提高终端的安全问题,我们知道很多问题都来自于安全终端。第一个是操作系统内部管理层,包括缓冲器一出,工作率非常细致,银行有代码。第二个就是威胁,对于安全威胁的防范,在内部和基层的放火墙或者是检测。第三个层面,跟整个网络有关系,就是所谓叫身份接入控制,我们现在觉得网络已经不可信任了,以前都是假设网络可以信任的,这个PC上的用户都是可以信任的,现在的假设任何一个设备接入到网络里面来,首先认为这个设备是不可以被信任的,是一个敌人。所以我们首先要做到接进来之后,要对它的安全性、是不是能够访问服务的权限进行控制,也就是用户身份认证。这个包括非常多的信息,包括权限,包括本身的用户终端是否带一些病毒、安全性,身份包括多个方面。
这是神州数码网络公司针对这样存在的一些问题,IPV4网络下存在的问题,就是3D—SMP.安全不仅仅是一个因素,包括刚刚微软提到的操作系统本身的安全性,包括用户身份接入认证控制的安全性,包括传统的防火墙,更加包括在网络设备本身,包括比如像交换机、路由器这些方面的综合的互相联动,互相配合,从不同的角度来看网络安全的问题,能够防范,能够识别。经过这样一些连动,我们关注到网络安全的两个方面,一个是内网,就是内部网的安全,另外一个就是传统的外部网络的安全。传统的过去的网络安全更加是关注外部网络的安全,现在来讲,更加关注内部网络系统的安全,有分析数据表明80%的攻击是从内部系统开始,对内部造成巨大的损害。
IPV4存在的问题原因在什么地方?这些特点也是正是它成功的原因。IP网络是非常自由的网络,很有名的一句话,没有人不知道坐在计算机前面的是一个人还是一只狗,不需要身份认证,这个特点使得适合于少数人非关键、非实时的人应用,现在不是这样一个使用范围了,全球都在用,都在上面跑,跑得比较难受。所以在大规模的网络组织结构下面,在全球都在用的情况下,整个网络IPV4已经是覆盖全球的数字系统,每一个个人成为网络的末梢界点,ITPP网络是否还可以适用,这是电信界和IP网络界争论非常多的一个方面。
看到下一代网络需要怎么做,从这个方面来看,现在统一的观点需要一个融合,需要一个机制上的融合,需要在电信界和IP网络界的融合,需要有更多的秩序,需要比电信网有更多的自由,需要比传统IP网更多的秩序。需要在网络里面,内在有内在的安全性在里面。网络不仅仅跑数据,还有各种应用,包括视频和语音的应用。这是一些设想,其实这些设想在提出来之后,过了几年,到今年年初的时候又有更多的设想,所谓美国提出了更下一代的网络设想,认为这个还不够,还不够保证整个现在网络的结构,那个设想现在还没有一些基础,只是设想。在下一代网络里面,IPV6已经成为整个IP技术下一代网络的基础,在网络结构方面融合传统的IP网络和传统的电信网络的各自特点,使得未来网络结构可能会是一个分布实施加中央管理控制的结构。
下一代IPV6网络在这些方面的支持情况。这是下一代网络发展的简单状况介绍,中国国家政府对这方面非常重视,包括教育机构的参与,很重要的一点,在明年3G从2005年开始争论发牌照,有一个截止点就是奥运会,奥运会3G服务要开通,这一个截止点是不会变的,估计2007年是3G牌照要发。从目前的现状来看,由于奥运会要开展,中国政府对于IPV6下一代网络的重视,中国已经成为应用和网络的先锋。对于未来的网络,神州数码网络公司有自己的看法,认为未来的网络是四个方面的世界,第一是充满感知,现在看到所谓的电子标签也好,ZigBee,是希望未来的网络把传感器分布在每一个地方,这也是非常可怕,侵犯隐私的现象。最典型的是美国的高速公路,根据这个信息灵活调动自己的行车路线。第二个是无线的世界。可能不需要太多去强调,因为现在3G也好,WiMAX都是使我们随时随地的使用网络。第三,融合的世界,这也是下一代网络的应用目标。第四点,步态容易引起重视的一点,就是虚拟和真实相结合的世界,IPV4不知道对方是一个人还是一个狗,下一代网络在某些场合比较要知道他的真实身份,有些场合游戏是不需要他是不是真实身份,但是还是要知道他是不是未成年人。IPV6网络大量的地址,真实的身份,能够永远在线,能够对等通信,使得网络应用可以直接部署,无需各种穿越,保证安全,这样一些机制使得下一代网络的技术得以实现。
简单介绍一下神州数码在IPV6方面产品历程,从2001年开始,到去年,从高端产品到低端产品全部一次性实现IPV6的认证,这是标志产品的认证,到现在已经到达了价格的认证。这是我们公司非常值得自豪的一方面,在去年9月份,通过IPV6第二阶段的认证,到目前为止也是第一家厂商。这是我们的标志性产品,在外面大家可以看到介绍,8个业务槽,两个管理槽的万兆交换机,在各大高校在使用。IPV6有哪些优点?简单介绍一下。1,地址空间很大,大家都知道,空间很大,就使得能够给每个设备和每个接口分配全球唯一的地址,使得网络用户身份标识能够实现真实的身份实现。使得P2P的永远在线的应用能够实现。2,用户不太关注,网络管理者比较关注,对路由效率和效能,路由器的价格下降比较快。3,扩展性强。
对于自动配置、即插即用非常好,知道现在去酒店上网,有些应用不太熟悉网络的话,需要重新设置DSCP.在IPV6网络里面避免这种状况,利用网卡可以自动生成。增强的安全性和QoS特性。
IPV6这么多特点对融合通信是如何去支持的或者说融合通信是什么概念。传统意义上理解融合就是三网融合,语音、数据、视频三网融合,一般来讲传统上是这么理解,实际上是三种数据流,也就是三重播放,是一个意思,业务上的融合。从网络上来讲,也会强调网络的融合,刚开始叫做三网合一,现在叫三网融合,因为合不了一。在核心网络是统一的,但是在接入网的层面上是多样化的,是有线的,有无线的,有以太网,有光,有电缆,接入网的方式非常多,但是在核心网可以统一在一起。第三是终端融合,典型的代表是通过IP打电话,2G和移动通讯的地方通过传统移动打电话,这也是一种融合,未来假如说升到3G的在任何地方都可以通过3G.在终端业界长久以来另外一个是3C融合,这种融合也是对设备既能够上网,又能够具有通讯的功能,还能够进行预算,这也是一种融合,一旦有通讯的功能,它对地址的要求,对通讯的可延展性的要求非常强。最后一点是管理上的融合,这么多都融合了,管理上是一套体制还是多套体制,管理上的融合有什么样的案例呢?比如说现在都在建IP电话,IP电话能播打119吗?技术上应该说是可以的,但是政策上允许吗?如果没有欠费了,能播119吗?不一定。美国专门针对这个提出了IP电话能拨打119吗,他叫911.关于业务融合,IPV6里面的有些技术特别针对这个东西做了很多的扩展,使得服务质量得到了保证,比如说在报酬上增加标签,使得端到端。在一个局域网能保证服务质量比较容易,甚至不去保证,一百兆的带宽也无所谓,但是在大范围的网络里面如何能够保证服务质量,以前是有IP,但是大部分路由器对这个支持都不是很好,而且也非常窄。在IPV6专门定义了一个很长的字节,所有的IPV6设备,如何符合标准都能够识别,并且应用这一点,看到这样一个流,自动对应,在整个端到端上整个数据流就可以使用。这就非常好的有机质保证服务质量的实现,以前知道MPS服务质量保证里面做得比IPV4做得好一些,因为他有标签技术,每一个数据流都有标签,有标签MPS就能够使服务质量非常好的保证起来。在IPV6里面借鉴了这样一个概念,每一个数据包都有标签,对服务质量,甚至对安全性的保证都非常好。P2P的双向通信也能够得到保证。在大规模的组播 怎么做,IPTV在这方面还没有很好的经验,在IPV6方面怎么做还存在一些技术障碍。
对于网络的融合来讲,我们看到NGN也好,3G也好,它的数据、全部业务都基于包交换上,基于IPV6的格式。看到IPV6成为整个融合的基础。要做到业务融合、网络融合、终端融合,要保证它的服务质量,实际上提到的IPV4的各种网络的终极目标,可以控制,可以取证,对于用户来讲,可以管理,可以运营,这个特点还是要保证的。我们看到对于IPV6网络融合的基础也就是安全方面做了一些改善,第一个是内制IPsec,这相对来讲是标准性的支持,以前是IPV4很多设备,终端设备也好,网络设备并没有设置,在IPV6,要实现标准,必须要设置IPsec,这样安全性得到保证。网络控制层面,比如说路由协议,列入层协议也做了很多安全性的改进。对于层次化的地址结构,1280的包地址结构,使得普遍存在的又难以控制的地址裂变,无法通过它做地址欺骗。
IPV6是不是就更加安全,或者说就没有安全的问题了呢?还不是。所以说在NGN之后,现在美国一些科学家又在提出所谓的机密计划,NGN也不够保密,可以达到可以控制,可以管理的目标,还会有些问题,为什么呢?比如说根本的数据传输没有改变,上层协议基本没有改变,IPSec虽然是强制实现了,但是并没有强制实施。IPV4也有IPSec,面临的问题也相同,另外很多网络攻击是针对网络的应用层,而不是网络层,应用的问题没有解决。另外就是双栈的状态,过渡期间还有过渡的特有问题。
对移动的支持,IPV6对移动的支持非常好,但是传统的IPV4网络是没有碰到过对移动的问题,对移动支持和管理以后还会有哪些新的问题,应该说针对IPV6的移动认证方面做了很多的技术上的改进,包括很多草案。但是大规模的移动IP网络从来没有真正实施过,未来预计可能会有新的问题发生,这是现在非常热门的一个理论。两个热门的理论,一个是移动,一个是组播。
如何过渡?如何建设IPV6的网络,下面是神州数码网络公司自己的建议。实现IPV6也有不同方式,包括CPU专发,网络处理器的转发,AVL的转发。下面是在海南师范大学做的IPV6的方案,并没有对全部网络进行改造,增加了一台设备。第二个就是全网设备本身从核心到接入,再到边缘路由设备全部都是IPV6就是双栈,比较简单,这是在东北电力大学做的案例。
刚才说整个下一代网络最热门的两个点,一个是对移动的支持,应该说对移动的安全性,对移动的认证不是很完善,另外就是对组播 都不是很完善,第三个是对P2P的应用安全管理,更好的去应用它,而不是去控制它。
谢谢大家!
问:
大中型企业实现V6的互联互通有哪些问题?
答:
V6是一个趋势,对于企业来讲,还没有看到一个实际效用,但是在采购或者说准备建设网络的时候,必须要考虑这样一个趋势,为了保证你的网络在五年之内不会过期,不会因为V6共存的问题或者先进的特性不能使用的问题,从现在开始必须要采用V4和V6双栈的设备,可能过了三年很多互通的,你是V4,别人的应用可能是V4V6,你们的互通就没有办法了。
问:
VOIP给保险公司带来的核心价值是什么?业务上的依赖性多大?有无替代方案?
答:
采用这套东西最中心的一个出发点,第一是提高沟通的效率,第二是降低沟通的成本。现在来说,就拿公司的例子来说,公司这套系统用得非常好,所有的人都离不开这套东西了。实实在在的给工作、业务、培训带来了一系列的好处。谢谢。
(根据速记整理,未经本人审阅)
演讲人介绍:
向阳朝,神州数码网络有限公司副总经理兼CTO,1996年在中科院自动所获得博士学位,曾任中科院计算所信息网络研究室副主任、计算所学术委员会委员及国家中小企业创新基金网络通信领域评审专家,负责路由交换机、防火墙和网管软件的研发。是国内知名的网络技术专家。
2002年至今,任神州数码网络公司副总经理、技术总监兼研发中心总经理,领导团队成功开发了27、36系列路由器、嵌入式路由交换操作系统平台DCNOS、跨平台的网络管理系统、包括万兆核心路由交换机在内的全线交换机产品、基于网络处理器的千兆线速防火墙、大范围局域网下的安全认证管理系统。
2005年领导研发团队进行全线路由交换产品向IPv6协议过渡的研发,并于2005年6月成功通过IPv6第一阶段认证,9月通过IPv6第二阶段认证。
【责编:Star】
2006-9-8
