邊界安全 vs. 內部安全
互聯網防火牆正在遭遇尖銳的問題。
上世紀80年代末,當企業急切地想要將自己掛在互聯網上時,帶有一種常識般的惶恐和敬畏,因爲它們知道,一場與公衆之間史無前例的互動正在發軔。在這片充滿危險的海灘上,作爲企業要塞守護者的堡壘式防火牆出現了,這還得感謝像Marcus Ranum和Bill Cheswick等技術創新者的努力。早期的商用防火牆,包括DEC的SEAL在內,對企業來說意味着它們可以把自己包裹的很嚴實了。
邊界防火牆逐漸成了一種固定配置,而在這條邊界上,安全專家們則忙於制定複雜的安全規則,決定哪些流量可出可進。然而20年後,互聯網防火牆和類似的邊界防禦手段卻遭遇到了一個尖銳的問題,因爲越來越多的安全經理們在一個很簡單的點上產生了疑惑:邊界已經消失。
電子商務與合作伙伴的協作;企業人員使用的移動筆記本和PDA等手持設備,都需要從外部訪問企業的內部系統。這種突如其來的需求正如英國的化工巨頭ICI的首席信息安全官Paul Simmonds所言,導致了“破壞性的變化”。
“企業的安全邊界正在消失。”Simmonds說。Simmonds是Jericho論壇的積極支持者,而該論壇是由企業的信息安全經理人在2004年初創建的,旨在推動解決企業安全的有創意的方法,以便適應企業今天所處的多變的業務環境。“我們在Jericho論壇所做的事情不是個別的解決方案,而是一個單一的體系架構。我們稱之爲面向協作的體系架構。”
Jericho論壇目前有45家企業會員,大多數都是歐洲的大企業,但最近已有更多的美國企業加入進來。
Jericho論壇關注的話題之一就是“去邊界化”,但該組織並沒有刻意地鼓吹要拋棄邊界防火牆,只是批評防火牆已成爲電子商務的障礙。而這種批評常常會招來強烈的反對,認爲該組織的觀點方向是錯誤的、誤入歧途的或者說是幼稚的。
防火牆傳奇的締造者、AT&T研究院的技術大腕Cheswick也承認,他正在考慮這樣一個世界,在其中,企業的安全並不依賴於邊界防禦。但是去年夏天在紐約召開的Jericho論壇會議上,他在主題演講中卻說,“既然我們無法阻擋DDoS攻擊,所以我們可能仍需要一個帶圍牆的園子。”
無論如何,Jericho論壇的成員都在努力說服企業和廠商要超越構築邊界的設備之外去想問題。Simmonds說:“對於大多數企業來說,去邊界化不過是一個正在發生的事實而已,而無論你是否喜歡。”
IPv4 vs. IPv6
向IPv6的遷移其實已經在逐步進行,這種遷移會由於IPv4地址的耗盡而加快步伐。
在20世紀90年代初期,關於如何最佳地升級互聯網主要通信協議的爭論在IETF中一度很盛行。從那時起,專家們就意識到,最初版本的互聯網協議,即IPv4的地址空間最終將會枯竭。
1994年,IETF在加拿大多倫多開了一次會,提出了下一代IP究竟應向何處發展的問題。最後,IETF決定用128位地址空間的IPv6取代32位地址空間的IPv4。該標準組織還試圖製造出一些向IPv6升級的理由,其中包括內置的IPSec安全性和設備自動配置的易管理性。
差不多在IPv6最終定稿十年之後,網絡業纔開始接受這個新的協議。這是因爲,如果一次性升級到IPv6,無論對運營商還是企業來說,成本都過於高昂,且費事,而所得到的回報又很少。因此,網絡業選擇了逐步向IPv6遷移,這也就是說,兩種協議還需要有多年的共存期。
現在看來很明顯的是,IPv6終將勝出。今年5月,互聯網組織——互聯網域名美國註冊中心(ARIN)建議,應考慮啓動向IPv6的遷移。
一些業內專家甚至預測,距離IPv4地址空間被用盡的那一天已經不遠,只剩下大約1200天。在美國,帶頭向IPv6遷移的是美國聯邦政府,它已明令所有政府部門務必於2008年在各自的骨幹網中支持IPv6協議。
以太網 vs. 令牌環
IBM最終輸掉了這場爭論。
這是在網絡業上演的IBM vs. DEC的一場經典的對手戲。
這兩位計算機巨人各自支持一種彼此競爭的局域網架構:IBM支持令牌環,而DEC則支持以太網。
由IBM科學家Olof Soderblom於20世紀60年代率先研發的令牌環,最初爲IBM帶來了成功,它也是IBM支持最得力的技術。然而在IBM之外,令牌環卻從未獲得過其他主流廠商的支持,它們均倒向了以太網一邊,無論研究機構還是設備廠商都更偏愛以太網技術。
而在10Base-T以太網出現之後,這種成本低廉、傳輸速度爲10Mbps的以太網很快就把令牌環逼進了螺旋下降的通道。儘管Soderblom開始要求爲數不多的令牌環廠商和芯片製造商表現忠誠也於事無補,反而推高了令牌環設備的價格。
這之後,思科以缺少市場需求爲由,在1998年退出了100Mbps高速令牌環(HSTR)的研發項目,這被認爲是令牌環全面撤退的信號。
Tolly集團總裁、HSTR聯盟背後的推動者、《Network World》專欄作家Kevin Tolly當時評論道:“思科其實是想廢掉多廠商支持的工業標準HSTR,而打算推進思科自己的專利技術。”
如今,令牌環產品在市場上幾乎已經絕跡,過去採用令牌環的企業也都已經遷移到了以太網上。今天的以太網甚至進入了廣域網,運營商已可以在局域、城域和全國範圍的網絡上提供以太網服務。
路由 vs. 交換
思科在統治了路由市場後,如今又橫掃了交換市場。
正是這一爭論讓思科遠離了分組交換,從而永久地改變了企業網市場。
肇端於20世紀90年代中期的這場路由對交換之戰,讓路由之王思科與其他所有的企業網廠商處在了對立的地位,這些廠商如Bay、3Com和Cabletron等全都在推動一種扁平的、二層的交換基礎設施架構。
從根本上說,這場爭論的焦點在於,企業爲了更好地分隔網絡段,管理流量和羣組,究竟應該構建層級分明的路由網絡,還是用扁平化的二層基礎設施加上VLAN構建廣播域來做同樣的事(只是成本稍低)。
這場尚未最後分出勝負的爭論也預告了路由集線器(Rub)和三層交換機技術的出現。它還產生了一些創新的產品,如Ipsilon的IP交換機和思科的Tag運營商交換機,後者其實就是如今被稱作MPLS的最早的產品體現之一。
不過,市場還是在向思科一方傾倒。因爲思科有能力把事實標準的路由與LAN交換機相結合,巧妙的市場營銷手段再加上一點兒價格誘惑,思科便輕鬆地佔領了三層交換機市場,又一次增強了它在路由器市場的統治地位。
Bay、3Com和Cabeltron發動了一場英勇的戰鬥,但是在隨後的年月裏,這些公司要麼消失了,要麼已經被企業網市場的其他大廠商邊緣化了。
幀中繼 vs. ATM
這場發生在廣域網上的爭論其實可以細化爲分組對信元之爭。
幀中繼與ATM,哪種技術更適合於廣域網,兩者之間的爭鬥其實可以歸結爲分組和信元(cell)誰優誰劣的問題。幀中繼源於速度較慢、有糾錯功能的X.25是爲了在高質量連接介質如光纖上傳輸可變長的幀而設計的,它在20世紀90年代初期進入其全盛期。
ATM是在20世紀80年代設計的,可以用五種不同等級的QoS來傳輸數據,所以用戶可以用不同的時延來發送數據包。ATM採用的標準長度的數據包也稱爲信元。如果承載的數據長於48個字節,就會被切割開來,分裝到其他信元中去。而幀中繼卻不必如此,它可以容納長度可隨意伸縮的幀。
ATM吸引人的地方在於它能夠模仿直連線路,保障帶寬,這正是幀中繼的不足之處。後者雖然能夠在客戶的流量增加時可提供足夠的帶寬,但它卻不能保障這些額外的帶寬一定可用。
ATM的一個缺陷就是信元的無謂開銷——每48字節負載的信元需要一個5字節的信頭,換句話說,佔用了構成一個信元所有字節的10%。
ATM剛起步時表現不是很好,因爲它只是在T-3連接上的一種服務,而後者45Mbps的帶寬遠遠超過了大多數企業所需要的和能夠負擔得起的帶寬需求。而另一方面,幀中繼則要比通常的接入選擇(專用線路)便宜一些,而且其56Kbps的速率在當時也已夠用。
大致上可以說,幀中繼贏得了廣域網上的這場爭論。但ATM並未死去,它還在運營商的核心網中存在着,只是在逐漸地被邊緣化。但是最終,無論幀中繼還是ATM都在受到MPLS的排擠,會漸漸地走向沒落。
幀中繼 vs. VPN
可靠而又足夠安全的互聯網連接有可能取代頗受歡迎的幀中繼。
VPN在20世紀90年代出現了爆發式的增長,是打算安全且成本低廉地用互聯網作爲企業WAN骨幹網的一種方法。
其缺陷在於,互聯網既不可靠也不安全,不過對於數據應用來說,互聯網已證明是足夠可靠的,而用IPSec封鎖站點間的連接,互聯網也是足夠安全的。
幀中繼則不存在這些問題。作爲一種二層交換技術,大多數用戶感覺它天生就是安全的,假如企業對業務安全不夠放心的話,那麼它們還可以增補自己的加密手段。
隨着MPLS的興起,一種新型的VPN開始出現。和VPN需要在每個企業站點上安裝VPN網關創建與其他站點的加密隧道不同,MPLS只須安裝一臺路由器連到運營商接入線路上即可。而運營商可將其數據流轉發給用相同方式連接到網絡上的其他任何企業的站點。
在幀中繼領域,所有站點都可以通過這種網狀連接方式與所有其他站點相連,只須設置好虛擬線路,也就是把接入線路劃分成衆多的邏輯鏈路即可。這和MPLS在所有站點之間通過路由轉發數據的結果是相同的,但是MPLS不需要虛擬線路——這是用戶不可能忽略的巨大的成本節約。
“任意站點到任意站點的連接性對我們來說是一種非常巨大的推動,”丹佛政策研究室企業工程服務副總裁Catherine Watterson說。她的組織正處在從幀中繼向MPLS遷移的過程中。“我們希望,與幀中繼網絡相比,我們的網絡將更爲簡單。我們對降低成本也很感興趣。”
利用IPSec與MPLS的結合,便可提供與幀中繼功能相似,而成本更低廉的服務。幀中繼正在不斷地失去自己的陣地,逐漸被其他技術所取代。
思科 vs. Bay/3Com/Cabletron/Juniper
最終,只有Juniper才能向思科發起真正的挑戰。
路由 vs. 交換之爭的一個從屬情節,就是思科與企業網競爭對手Bay、3Com和Cabletron之間的激烈較量。思科同時還將其關注焦點拓展到了運營商市場,在這裏,它遭遇到新興企業Juniper的抵抗。後者由於背後有思科在數據和電信領域的幾個對手的財務支持,正逐漸成爲一個可畏的對手。
也許,只有IBM會遭遇這種被業界其他領導廠商共同圍攻的“類似待遇”。不過,所謂“共同圍攻”其實也是一句恭維話,它表現出的是對思科的實力、對市場控制能力的敬畏。思科通過技術與營銷手段的結合、積極的定價策略和雄心勃勃的收購戰略,其觸角已蔓延到了從存儲到視頻的幾乎所有熱門領域。
Bay是由思科的兩家較小的競爭對手合併而成的——即做企業集線器與交換機的SynOptics和做企業路由器的Wellfleet。但是這兩家原本在各自領域處於領先地位的公司的合併,卻未能阻擋住思科的前進步伐。Bay最終被北電網絡收購。
不過在被收購之前,Bay曾與IBM(實際上是與IBM運氣極差的網絡硬件部,即NHD)和3Com合作,共同成立了網絡互操作聯盟(NIA)。該聯盟聲稱,要實現ATM交換機之間增強的互操作性。但觀察家們卻認爲,這些廠商不可能真正聯起手來圍攻思科,更無法阻擋思科在企業網市場上日益增強的勢力發展。
三年後,NIA悄無聲息地消失了,無論對市場還是用戶的購買決定來說,都沒有產生過任何真正的影響。
1999年,IBM徹底放棄了NHD,將其路由與交換技術賣給了思科。
Cabletron曾向市場承諾說,它擁有思科IOS路由器軟件的許可證,保證會提供質優價廉的思科設備的替代產品,並可在其集線器和交換機中銷售思科的路由器板子,但是結局卻不太妙。在一次展會上,Cabletron播放了一段用於促銷的視頻廣告,其中有一臺貼有Cabletron標記的碾碎機把一個身體虛弱、貼有思科標記的玩偶碾成了碎末。思科立刻撤回了IOS許可權。
沒過幾年,Cabletron也消失了,1999年,Cabletron分裂成4家公司。其中負責交換機硬件生產的Enterasys在曝出高層的財務醜聞後,被一傢俬募基金收購。今天,Enterasys在企業網市場上只能算一個不太起眼的角色了。
而在運營商市場上,抗擊思科的Juniper的運氣要比企業網市場的Cabletron、Bay、IBM和3Com好多了。Juniper搶佔了思科約三分之一的運營商路由器市場份額,而且到目前爲止,仍然是該市場上可以看得見的思科的競爭對手。Juniper還在企業級市場擴大了它的勝利戰果,收購了VPN與防火牆領導廠商NetScreen。可以預料,它還會很快進入LAN交換機市場。分組交換 vs. 線路交換線路交換追求的是可用性,而分組交換追求的則是成本效率。
作爲WAN連接的線路交換,與分組交換成功地爭戰了多年,因爲不管怎麼着,它至少可以保障帶寬需求。
比如你購買了一條T-1線路,那麼,運營商肯定會讓你得到1.5Mbps從A點到B點的帶寬,而無論你上網的時段是高峯還是低谷。
而分組交換——先是幀中繼然後是IP卻做不到這一點。用戶只能分享帶寬,而運營商通常都會售出超過其線路承載能力的容量,假如所有用戶都想在同一時間使用他們所購買的所有帶寬的話,網絡就會難以招架,網速會慢得令人難以忍受。
不過,與T-1相比較,幀中繼的費用相對低廉,比較適合遠低於1.5Mbps的連接,通常只比56Kbps高一些。這就是說,幀中繼只處理必要的需求,從而讓企業WAN連接更注重成本效率。
幀中繼還可提供虛擬線路——也就是從邏輯上把接入線路劃分成帶寬較少的邏輯鏈路,再分配給不同站點。如果一個站點需要連接到其他六個站點,那隻須將一條物理線路從邏輯上劃分成六條虛擬線路即可。
而在線路交換領域,什麼東西都不可能虛擬。如果某個站點需要連接到其他六個站點,那就需要六條物理線路來連接。
當幀中繼和後來的IP服務逐漸成熟之後,QoS就成了保障帶寬的標準,這和線路交換的情形是相同的。這樣的演進終於讓分組交換佔了上風。
VoIP vs. TDM語音
TDM儘管盡了力,但卻阻擋不住向VoIP與融合網絡的轉移。
TDM作爲企業電話網絡的骨幹網來說還沒有死去,但它的確已處在了垂死掙扎的狀態中。
TDM電話技術的基礎是歷史悠久的電路交換技術PBX,長期以來一直在提供各種有價值的服務,誰都可以在其上做自己的擴展。比如複雜的企業電話、語音郵件、電話會議、多人呼叫和呼叫者身份識別等。
而且TDM系統的維護人員都是對電路交換機瞭如指掌的訓練有素的專業人員。
而當VoIP出現時,就許諾說可以用更少的錢在IP網絡上打電話,這引起了衆多用戶的興趣。現在,不必再由電話局派出專業人員幫你從一間辦公室到另一間辦公室佈線了,用戶只須把普通電話安放在一個新的底座上便可給指定的呼叫方撥打電話,而不再需要電信專業人員了。
由於VoIP就在數據網絡上跑,電話網和數據網可以合二爲一,因此就不必再支持兩個分離的網絡了。如果語音只不過是互聯網上的一種應用,那麼企業就不再需要、至少不再需要那麼多電信專業人員了。
節省成本當然是採納VoIP的重要理由之一,不過在企業部署VoIP時,它們也發現了一些採納這一技術的其他理由。比如當企業的客戶求助熱線不堪重負時,就會有企業網絡上任意地點的更多代理自動而迅速地被納入呼叫分配名單,儘快答覆來電。
VoIP支持一些TDM不能支持的業務,比如可以在呼叫代理的電腦屏幕上顯示用戶ID的賬號信息,可允許用戶在其他應用中點擊電話號碼撥打電話,可利用VoIP所支持的駐留信息進行呼叫轉移等。
已經全面轉向VoIP系統的一些大企業,比如美國銀行都稱讚過VoIP帶來的好處。美國銀行監管VoIP項目實施的Craig Hinkley說:“人們在問我,什麼是殺手級應用?我這樣回答,簡單部署一個VoIP系統,我們得到的不過是VoIP的皮毛而已。但是當我們可以從傳統的關鍵系統或PBX得到VoIP服務時,那纔是全新的開始。如果能夠在某個網站上設置快速撥號功能,那麼,當我不在辦公室時,也可以通過網站把打進來的電話轉接到我的手機上。這對於大多數人來說纔是一種量子飛躍。”
以太網 vs. MPLS
從前只用於局域網的以太網,如今要在廣域網上一展身手。
這一對爭論的雙方最開始的時候是完全不相干的兩種技術:以太網是局域網(LAN)的標準,而MPLS VPN則是廣域網技術——幀中繼和ATM的替代者。
然而現在,它們之間居然開始了碰撞。運營商們正在MPLS上構建二層以太網VPN,這種可在地區、國家甚至全球範圍構建的MPLS衍生物稱爲虛擬專用LAN服務(VPLS)。儘管有些運營商說,VPLS以太網相對於國家和全球範圍的MPLS服務,只是一種補充接入或城域網技術,但也有些運營商承認,已經有用戶開始重新考慮他們的三層VPN部署決策是否必要了。
VPLS的目標客戶是那些更希望自己來掌握對路由的控制、安全以及人員配置的企業,而不是那些希望與運營商合作共享網絡的企業。
這些原因通常就是企業究竟選擇二層還是三層VPN的首要考慮。不過有些用戶還列舉了三層MPLS VPN的一個優勢,就是規模組播的能力,尤其當需要向SOA架構遷移時,這種能力會更加突出。
MPLS VPN比起VPLS來早成熟了幾年,但是當VPLS持續不斷地成熟,而且功能越來越完備時,用戶究竟該選擇哪一種技術,這樣的決斷將會越來越難做出。
Yankee集團的分析師Josh Holbrook說:“我不認爲這會是場零和遊戲。我也不認爲哪種技術會勝過另外一種。”
SNA vs. TCP/IP
在這場征戰中,IBM和思科各自擺開了陣式。
TCP/IP陣營與SNA陣營之間饒有趣味的征戰曠日持久,時而沉寂,時而激烈,可以說是網絡業歷史上相當熱鬧的事件。1974年,IBM引入了SNA的概念和最初的組件,到了20世紀90年代中期,在與IP的頭號支持者——思科的一場征戰中,它已穩操勝券。
思科與業界達成了某種共識,開始提倡TCP/IP,後來便形成了高級P2P網際網(APPI)組織,以對抗IBM SNA的APPN(高級P2P聯網)。儘管APPI在1993年便銷聲匿跡了,但是它還是種下了最終讓SNA失敗的種子。
對IBM來說,在它試圖讓以前的SNA用戶升級到APPN時,幾乎每件事都做錯了——IBM把APPN設備做得又貴又複雜,甚至要求可能幫助構建APPN潛在的第三方繳納許可費用。1994年,一位IBM高管曾經誇下海口,要“滅掉”跟他們對抗的廠商(主要指思科),“扶植我們自己的網絡隊伍”。
除此之外,IBM還從法律上威脅一些使用了它的技術的企業。儘管IBM已經開始逐漸失去它的客戶,但它還是擁有超過5萬多的SNA安裝基礎,可以說氣勢洶洶,餘威尚在。但是當思科在上世紀90年代中開始授權IBM使用主機通道技術,當數據鏈路交換(DLSw)和tn3270(可允許SNA在IP網絡上跑)問世時,勝負已有定論。Gartner當時還曾經作過一次市場調查,結果發現,以SNA作爲其首選協議的用戶,其投入的總成本要比接受過培訓的IP用戶的軟硬件購買成本和管理成本之和高出20%。
你不必通過什麼魔球也能看到結果。IBM最終在1999年將其網絡業務賣給了思科。
開放系統互聯(OSI)技術的支持者們在當時也鬧出了不小的動靜。OSI的產品與服務建立在一組國際標準協議的基礎上,目的是要保證所有廠商之間及其產品之間能夠互操作。IBM和DEC是OSI的兩大主要支持者,儘管OSI從直觀上看是與SNA和DECnet格格不入的。在上世紀的80年代和90年代,美國政府一直在敦促使用OSI產品,但它還是不得不在1994年改變了調門,也開始採用TCP/IP。可以這麼說,TCP/IP在不可阻擋地前進,而OSI產品被廣泛採納的期望卻從未實現過。(未完待續)