美国Blue Coat System公司李庆演讲

网易科技讯 4月15日消息，2009全球IPv6暨移动互联网峰会今天在北京召开，网易科技做为战略合作媒体在现场做了直播报道。

以下为美国Blue Coat System公司高级架构师李庆演讲：

主持人：谢谢陈总，移动互联网有非常广泛的应用，其实我们也上了第三代移动通讯的，有的人说3G没有需求，实际上在IPv6还有移动互联网的发展过程当中，有大量的需求。

我举个简单的例子，中国已经进入了老年社会，很多在座的年轻人上面可能有四位老人，老年人退休在家里，如果我们在家里装一个视频，将来3G的手机是有这样的产品服务的，你在上班的时候，休息的时候想了解家里的情况怎么样，你可以通过IP地址可以看看家里的状况，有视频。还有孩子放在幼儿园，不放心孩子哭怎么办？都可以用手机申请幼儿园的IP地址。所以，IPv6和移动互联网应该说有巨大的发展前景，特别是中国启动了第三代移动通信之后，我们相信未来IPv6移动互联网的发展，一定会给消费者带来更多的便捷的服务。

下面有请李庆做演讲，大家欢迎。

李庆：各位好，我是李庆，我是美国Blue Coat System公司高级架构师。

在过去几年中，我一直是在设计IPv6安全代理设备的，我们今天要过渡到IPv6的代理设备，这是一个非常重要的一项工作。

今天我们要讲的内容也是与此相关，首先会介绍一下我们这家公司是做什么的，我们还要给大家讲一下在今天的厂商他们面临着什么样的挑战，为什么今天他们在市场上面临着哪些方面的挑战，另外在采纳IPv6的时候，为什么大家要选择过渡到IPv6。还有，我会讲一下IPv6为什么能够影响所有的我们想要建立起来的安全的解决方案，因为IPv6实际上是突破了整个安全性前沿。我还要介绍一下我们产品的细节，我们能提供什么样的产品，我们的服务提供商怎么样利用IPv6有效的代理设备，能够建立起新的一些收入的来源。

Blue Coat System是一家什么样的公司呢？Blue Coat System是一家上市的公司，我们最近收购了一家公司，我们每年的收入在4.5亿美金，我们在全球都有员工。我们可以说是全球最强的公司，很多大的公司都是我们的客户。我们支持81%的财富全球500强的公司，而我们支持的100强的公司，其中有96位有很多政府的部门和企业级的客户都是我们的顾客。

这是Blue Coat 作为一家公司在过去13年当中的时间演进图，我们成立于1996年，在那个时候我们主要的市场是网络的加速。随着互联网的发展，我们开始研究我们的客户是如何使用互联网来进行业务交易的，我们发现互联网领域有非常多的机会，因此我们转向了安全领域。在这个时期我们把名字改成了Blue Coat的名字。在2006年我们又进行了优化，把我们广域的网络进行了优化和加速。在2008年我们收购了P公司，使我们的能力和产品线更加的完善。

现在厂商面临的进入障碍是什么？我们知道IPv6是长期的投资，一般来讲工程的管理面临很多的挑战，他要在新的功能和研发方面取得一个平衡，在技术的选择方面取得一个平衡，作为一个上市公司，我们发现它可以给我们带来更多的收入流，帮助我们维护投资者的利益。我们看到，不管是在政治方面还是技术方面，都有很多的挑战。我们应该能够预测市场，但是如果你对客户的需求不能进行很好的估计的话，对市场是不能有一个很好的预测的。

随着一项新技术的发展，进行培训和教育是非常必要的，当然我讲培训和教育的时候，不光是指外部的教育，还指内部的培育和教育。关于今天的企业，为什么他们没有采用IPv6，也是由若干的障碍，有若干原因的。第一个就是厂商的不固定性导致IPv6的解决方案比较稀少。在很多方面来讲，信息安全是企业非常关心的问题，而IPv6逐渐扩展它的覆盖，信息安全就相应的成为一个问题，而IPv6还没有非常好的策略来解决这些担心。我们谈到信息安全的时候，其中就包括知识产权的丢失和泄露，我们希望对应用有更好的控制。

另外是合规性方面，审计、审核是必要的，另外还有间谍、软件也是我们面临的主要挑战之一。这些所有的问题在IPv4的时代就已经存在了，并不是IPv6所特有的，只是说当你部署IPv6的时候，并不是IPv6带来了这些问题。企业的网络随着IPv6的引入在发生着变革，很多关键的业务应用，都得到了更好的支持。当我们在说新的一个公司建立的时候，传统的客户的企业基础，都是以一种传统的方式来使用互联网的。在用户安全方面，就不能得到很好的保障，而通过部署IPv6，用户的安全可以得到更好的保障。只不过在间谍软件此类问题上，IPv6不能自动地解决。这些应用的可用性会获得增加在IPv6的时代会解决NET所带来的一些问题。而且当我们谈到IPv6的时候，我们会涉及更加复杂的政策的设计和实施，比如说对于这些使用互联网或者是内联网的企业用户，对于用户的控制等等，都需要更加复杂的政策。

其中一个最大的优点是IPv6可以推动企业的对话能力，这也是互联网出现的时候，他的一个主旨和指导思想我们可以创造安全的隧道，提供一个高可用性和高可靠性，这个安全的隧道可以承载一些不符合企业政策的内容。另外，那些挑战NET的应用，也需要制定新的政策来控制。这就是说在业务环境方面，在端到端的可靠性和安全性的保证方面，IPv6还有很多的东西值得探讨。另外是既插既用，如何来更好地控制地址的分配。如何来保证隐私性，在执行的方面，都是非常难的。可能，IPv6对于终端用户，对消费者来说是很好的。但是对企业用户来说，可能并不是一件好事。

现在，有一些人说IPv6可以简化基础设施的架构，可以降低整体的成本，这个前提是需要很好的网络设计的。如果看看左边的这张图，我们有三个地点。有一个核心的总部，有两个分支的机构。这三个地点的人要用IPv6的骨干网来进行通话，但是有的时候不被允许这样做，因为适用于业务的内容必须先来到中央的总部。即便是你可以在网络上实现IPv6，你并不一定能简化网络，因为企业的政策是这样规定的。虽然技术在那里，这些内容是必须先通过总部，再分发到两个分支的机构。因此，结构是否简化并不是技术本身的问题，并不是结构本身的问题。最后可能发生的事情是IPv6会有多个入口和多个出口。在我们实施IPv6的时候，IPv6可能把我们现有的一些问题放大了，使现有的问题更加放大化了。

这是一个应用表现的问题，因此在部署IPv6的时候，要意识到这些潜在的问题，基于我们所说的这些事情。我们必须把我们的期待态度调整了。

我们可以看到，现在还缺少专门针对IPv6的一些应用的要求，我们要避免这种特别广的诉求，我们要问一下哪些具体的功能是可以一步一步来逐渐部署的，而且我们列举了清单并不代表产品的成熟度。厂商总是会给我们提供一个很长的单子，他们能生产什么，不能看到一个单子就轻信他们，应该问这种产品是什么？主要特征是什么？主要意思是什么？另外在性能方面也要有正确的期待，在复杂性方面要花费时间才是成熟的。在功能方面的纠正优先度要高于性能，也就是说它的重要程度要高于性能。

另外一个，我们不应该忘记的是，并不是每一个核心的部件都可以变到IPv6的环境下，都可以迁移到IPv6的情况下，比如说IPCCP是很重要的网源，但是WCCP只能在IPv4的环境下运作。如果想把WCCP放在IPv6的环境下，就必须要重新设计协议，这是非常有挑战性的。

当我们建立自己的产品，制造我们产品的时候，我们需要首先分析一下我们的产品。而且分析的时候要逐项功能的分析，而且进行评估，哪项功能是最佳重要的，哪些功能是需要在IPv6下继续来支撑的。我们要研究一下安全方面的问题，采用IPv6会给我们带来一些负面的影响，这样才能找到最好的解决方案。我们看到这个网络越强大，就会越复杂。这个问题应该得到很好的控制。

我们看到，IPv6的演进最好制定一个长期的演进的计划。我们看到这个迁移已经是现有的基础设施发展必不可少的一个部分，要采取一项非侵入式的方式来进行。我们运营网络已经有很多年了，我们知道网络的复杂性是一直存在的。因此，从长期的机制来讲，在这方面应该使得我们更多地注意。另外一方面，我们应该知道，如何建立一个基础设施的安全性的网络。我们可以把这些IPv4的政策，一些成熟的政策带到IPv6的运营当中来，进行设计和实施。

IPv6代理服务最重要的一点是我们把IPv4和IPv6之间的沟壑填补了。在这里我举了一个例子，就是代理的例子。我们如何把一个代理服务器视觉化使它变得透明，变透明是因为现在左边的客户端和右边的服务器，这个代理服务器它是可以检查内容、应用、安全、政策的。它可以检测这个政策是否合规，是非一致。看一下他们下面的结构，我们看到在进行一系列交互之后，可以把内容占有服务器，返回给客户端，也就是整个请求的流程，就完成了。这是一个端到端的模型，如果大家看看左右两边的连接的话，就是客户端到代理服务器的连接以及服务器到代理服务器连接的话，就是端到端的模型。

简单地总结一下IPv6代理的优点。我们看到随着IPv6代理的加速发展，我们会有更多的分支机构，我们会促进安全隧道更多的使用。NET可以提供的一个优点，我们都非常清楚了。那么在IPv6的时候，我们把NET去掉了，也就是说我们会把你网络的架构藏起来了，外界是看不到网络的架构的。另外一点我们可以实施IPv6端到端的通信的模型，另外新的媒体丰富的内容也会要求加速的部署。另外一点，我们这个政策它可以弥补IPv4和IPv6之间的差别。

这是我们今天已经成熟的一个产品，5年前开始做的。我们可以把这个多代理的集群放在网状网的环境下。我们提供安全代理的支持，我们提供给HTTP，给HTTPS和SSL、DNS等很多内容，我们提供内容的时候，我们有非常复杂的政策的引擎，这个政策的引擎已经被发展来支持IPv6，原来是用来支持IPv4的。刚才讲到内存的缓存加速，我们也可以提到广域网的优化。我们还在内部建立了一个可管理的用户的接口，它保持了IPv4和IPv6的一致性，因此不会说使用户比较害怕来进入IPv6。

这是一些细节的内容，它是如何运作的，当输出的请求这方面，我们看到我们可以把我们的健全政策简化，我们也可以把内容拿出来，然后进行专门的检查。如果这项内容比较可疑的话，这个证书的验证在会话之初就完成了。

同样，我们可以把上述的原则和做法适用于进入的请求。可以进行一些威胁的分析，也可以做一些带宽需求的分析。我们的产品既可以适用于只是用IPv4网络的用户，想接触部分IPv6内容的用户。我们可以给你提供一部分IPv6的服务，但是还把你维持在IPv4的网络上。刚才我一再强调我们的产品可以填补IPv4和IPv6之间的沟壑。

这是我们推荐给大家的，如果大家看一下，这是具体的例子，所有的东西都是由策略来控制的。运营商、用户，都是由政策来控制的，如果用户想申请部分业务的话，根据政策也是可以许可。我们在5年前开始了IPv6的项目，我们从政府、企业、服务提供商这些部门选取了一些客户来采用IPv6的技术。这使我们很好地了解了它可能带来的问题，以及它成熟的过程。

我们和ISP一块儿合作建立一个服务的模型，我们是服务于财富500强的公司，我们有很成熟的分销渠道的伙伴。所以，我们的服务是27×4的支持，这是我们一些国家的业务情况。

谢谢。