美国Blue Coat System公司高级架构师李庆
网易科技讯 4月15日消息,2009全球IPv6暨移动互联网峰会今天在北京召开,网易科技做为战略合作媒体在现场做了直播报道。
以下为美国Blue Coat System公司高级架构师李庆演讲:
主持人:谢谢陈总,移动互联网有非常广泛的应用,其实我们也上了第三代移动通讯的,有的人说3G没有需求,实际上在IPv6还有移动互联网的发展过程当中,有大量的需求。
我举个简单的例子,中国已经进入了老年社会,很多在座的年轻人上面可能有四位老人,老年人退休在家里,如果我们在家里装一个视频,将来3G的手机是有这样的产品服务的,你在上班的时候,休息的时候想了解家里的情况怎么样,你可以通过IP地址可以看看家里的状况,有视频。还有孩子放在幼儿园,不放心孩子哭怎么办?都可以用手机申请幼儿园的IP地址。所以,IPv6和移动互联网应该说有巨大的发展前景,特别是中国启动了第三代移动通信之后,我们相信未来IPv6移动互联网的发展,一定会给消费者带来更多的便捷的服务。
下面有请李庆做演讲,大家欢迎。
李庆:各位好,我是李庆,我是美国Blue Coat System公司高级架构师。
在过去几年中,我一直是在设计IPv6安全代理设备的,我们今天要过渡到IPv6的代理设备,这是一个非常重要的一项工作。
今天我们要讲的内容也是与此相关,首先会介绍一下我们这家公司是做什么的,我们还要给大家讲一下在今天的厂商他们面临着什么样的挑战,为什么今天他们在市场上面临着哪些方面的挑战,另外在采纳IPv6的时候,为什么大家要选择过渡到IPv6。还有,我会讲一下IPv6为什么能够影响所有的我们想要建立起来的安全的解决方案,因为IPv6实际上是突破了整个安全性前沿。我还要介绍一下我们产品的细节,我们能提供什么样的产品,我们的服务提供商怎么样利用IPv6有效的代理设备,能够建立起新的一些收入的来源。
Blue Coat System是一家什么样的公司呢?Blue Coat System是一家上市的公司,我们最近收购了一家公司,我们每年的收入在4.5亿美金,我们在全球都有员工。我们可以说是全球最强的公司,很多大的公司都是我们的客户。我们支持81%的财富全球500强的公司,而我们支持的100强的公司,其中有96位有很多政府的部门和企业级的客户都是我们的顾客。
这是Blue Coat 作为一家公司在过去13年当中的时间演进图,我们成立于1996年,在那个时候我们主要的市场是网络的加速。随着互联网的发展,我们开始研究我们的客户是如何使用互联网来进行业务交易的,我们发现互联网领域有非常多的机会,因此我们转向了安全领域。在这个时期我们把名字改成了Blue Coat的名字。在2006年我们又进行了优化,把我们广域的网络进行了优化和加速。在2008年我们收购了P公司,使我们的能力和产品线更加的完善。
现在厂商面临的进入障碍是什么?我们知道IPv6是长期的投资,一般来讲工程的管理面临很多的挑战,他要在新的功能和研发方面取得一个平衡,在技术的选择方面取得一个平衡,作为一个上市公司,我们发现它可以给我们带来更多的收入流,帮助我们维护投资者的利益。我们看到,不管是在政治方面还是技术方面,都有很多的挑战。我们应该能够预测市场,但是如果你对客户的需求不能进行很好的估计的话,对市场是不能有一个很好的预测的。
随着一项新技术的发展,进行培训和教育是非常必要的,当然我讲培训和教育的时候,不光是指外部的教育,还指内部的培育和教育。关于今天的企业,为什么他们没有采用IPv6,也是由若干的障碍,有若干原因的。第一个就是厂商的不固定性导致IPv6的解决方案比较稀少。在很多方面来讲,信息安全是企业非常关心的问题,而IPv6逐渐扩展它的覆盖,信息安全就相应的成为一个问题,而IPv6还没有非常好的策略来解决这些担心。我们谈到信息安全的时候,其中就包括知识产权的丢失和泄露,我们希望对应用有更好的控制。
另外是合规性方面,审计、审核是必要的,另外还有间谍、软件也是我们面临的主要挑战之一。这些所有的问题在IPv4的时代就已经存在了,并不是IPv6所特有的,只是说当你部署IPv6的时候,并不是IPv6带来了这些问题。企业的网络随着IPv6的引入在发生着变革,很多关键的业务应用,都得到了更好的支持。当我们在说新的一个公司建立的时候,传统的客户的企业基础,都是以一种传统的方式来使用互联网的。在用户安全方面,就不能得到很好的保障,而通过部署IPv6,用户的安全可以得到更好的保障。只不过在间谍软件此类问题上,IPv6不能自动地解决。这些应用的可用性会获得增加在IPv6的时代会解决NET所带来的一些问题。而且当我们谈到IPv6的时候,我们会涉及更加复杂的政策的设计和实施,比如说对于这些使用互联网或者是内联网的企业用户,对于用户的控制等等,都需要更加复杂的政策。
其中一个最大的优点是IPv6可以推动企业的对话能力,这也是互联网出现的时候,他的一个主旨和指导思想我们可以创造安全的隧道,提供一个高可用性和高可靠性,这个安全的隧道可以承载一些不符合企业政策的内容。另外,那些挑战NET的应用,也需要制定新的政策来控制。这就是说在业务环境方面,在端到端的可靠性和安全性的保证方面,IPv6还有很多的东西值得探讨。另外是既插既用,如何来更好地控制地址的分配。如何来保证隐私性,在执行的方面,都是非常难的。可能,IPv6对于终端用户,对消费者来说是很好的。但是对企业用户来说,可能并不是一件好事。
现在,有一些人说IPv6可以简化基础设施的架构,可以降低整体的成本,这个前提是需要很好的网络设计的。如果看看左边的这张图,我们有三个地点。有一个核心的总部,有两个分支的机构。这三个地点的人要用IPv6的骨干网来进行通话,但是有的时候不被允许这样做,因为适用于业务的内容必须先来到中央的总部。即便是你可以在网络上实现IPv6,你并不一定能简化网络,因为企业的政策是这样规定的。虽然技术在那里,这些内容是必须先通过总部,再分发到两个分支的机构。因此,结构是否简化并不是技术本身的问题,并不是结构本身的问题。最后可能发生的事情是IPv6会有多个入口和多个出口。在我们实施IPv6的时候,IPv6可能把我们现有的一些问题放大了,使现有的问题更加放大化了。
这是一个应用表现的问题,因此在部署IPv6的时候,要意识到这些潜在的问题,基于我们所说的这些事情。我们必须把我们的期待态度调整了。
我们可以看到,现在还缺少专门针对IPv6的一些应用的要求,我们要避免这种特别广的诉求,我们要问一下哪些具体的功能是可以一步一步来逐渐部署的,而且我们列举了清单并不代表产品的成熟度。厂商总是会给我们提供一个很长的单子,他们能生产什么,不能看到一个单子就轻信他们,应该问这种产品是什么?主要特征是什么?主要意思是什么?另外在性能方面也要有正确的期待,在复杂性方面要花费时间才是成熟的。在功能方面的纠正优先度要高于性能,也就是说它的重要程度要高于性能。
另外一个,我们不应该忘记的是,并不是每一个核心的部件都可以变到IPv6的环境下,都可以迁移到IPv6的情况下,比如说IPCCP是很重要的网源,但是WCCP只能在IPv4的环境下运作。如果想把WCCP放在IPv6的环境下,就必须要重新设计协议,这是非常有挑战性的。
当我们建立自己的产品,制造我们产品的时候,我们需要首先分析一下我们的产品。而且分析的时候要逐项功能的分析,而且进行评估,哪项功能是最佳重要的,哪些功能是需要在IPv6下继续来支撑的。我们要研究一下安全方面的问题,采用IPv6会给我们带来一些负面的影响,这样才能找到最好的解决方案。我们看到这个网络越强大,就会越复杂。这个问题应该得到很好的控制。
我们看到,IPv6的演进最好制定一个长期的演进的计划。我们看到这个迁移已经是现有的基础设施发展必不可少的一个部分,要采取一项非侵入式的方式来进行。我们运营网络已经有很多年了,我们知道网络的复杂性是一直存在的。因此,从长期的机制来讲,在这方面应该使得我们更多地注意。另外一方面,我们应该知道,如何建立一个基础设施的安全性的网络。我们可以把这些IPv4的政策,一些成熟的政策带到IPv6的运营当中来,进行设计和实施。
IPv6代理服务最重要的一点是我们把IPv4和IPv6之间的沟壑填补了。在这里我举了一个例子,就是代理的例子。我们如何把一个代理服务器视觉化使它变得透明,变透明是因为现在左边的客户端和右边的服务器,这个代理服务器它是可以检查内容、应用、安全、政策的。它可以检测这个政策是否合规,是非一致。看一下他们下面的结构,我们看到在进行一系列交互之后,可以把内容占有服务器,返回给客户端,也就是整个请求的流程,就完成了。这是一个端到端的模型,如果大家看看左右两边的连接的话,就是客户端到代理服务器的连接以及服务器到代理服务器连接的话,就是端到端的模型。
简单地总结一下IPv6代理的优点。我们看到随着IPv6代理的加速发展,我们会有更多的分支机构,我们会促进安全隧道更多的使用。NET可以提供的一个优点,我们都非常清楚了。那么在IPv6的时候,我们把NET去掉了,也就是说我们会把你网络的架构藏起来了,外界是看不到网络的架构的。另外一点我们可以实施IPv6端到端的通信的模型,另外新的媒体丰富的内容也会要求加速的部署。另外一点,我们这个政策它可以弥补IPv4和IPv6之间的差别。
这是我们今天已经成熟的一个产品,5年前开始做的。我们可以把这个多代理的集群放在网状网的环境下。我们提供安全代理的支持,我们提供给HTTP,给HTTPS和SSL、DNS等很多内容,我们提供内容的时候,我们有非常复杂的政策的引擎,这个政策的引擎已经被发展来支持IPv6,原来是用来支持IPv4的。刚才讲到内存的缓存加速,我们也可以提到广域网的优化。我们还在内部建立了一个可管理的用户的接口,它保持了IPv4和IPv6的一致性,因此不会说使用户比较害怕来进入IPv6。
这是一些细节的内容,它是如何运作的,当输出的请求这方面,我们看到我们可以把我们的健全政策简化,我们也可以把内容拿出来,然后进行专门的检查。如果这项内容比较可疑的话,这个证书的验证在会话之初就完成了。
同样,我们可以把上述的原则和做法适用于进入的请求。可以进行一些威胁的分析,也可以做一些带宽需求的分析。我们的产品既可以适用于只是用IPv4网络的用户,想接触部分IPv6内容的用户。我们可以给你提供一部分IPv6的服务,但是还把你维持在IPv4的网络上。刚才我一再强调我们的产品可以填补IPv4和IPv6之间的沟壑。
这是我们推荐给大家的,如果大家看一下,这是具体的例子,所有的东西都是由策略来控制的。运营商、用户,都是由政策来控制的,如果用户想申请部分业务的话,根据政策也是可以许可。我们在5年前开始了IPv6的项目,我们从政府、企业、服务提供商这些部门选取了一些客户来采用IPv6的技术。这使我们很好地了解了它可能带来的问题,以及它成熟的过程。
我们和ISP一块儿合作建立一个服务的模型,我们是服务于财富500强的公司,我们有很成熟的分销渠道的伙伴。所以,我们的服务是27×4的支持,这是我们一些国家的业务情况。
谢谢。