主持人：各位网友下午好，欢迎来到IT168网络技术大讲堂，我们今天的话题是网络虚拟化。为了这个话题我们请了瞻博网络的大中华区市场总监陈凯先生，为大家来解释这个话题。我们先就请陈凯先生自我介绍一下。

    陈凯：大家好，我叫陈凯，现在在瞻博网络负责大中国区的市场营销工作，很高兴在这里和大家做关于网络虚拟化方面的交流。

    主持人：大家都知道，虚拟化在这一两年是非常火的，前期是服务器的虚拟化，后来是存储器虚拟化，再后来是桌面应用虚拟化。而针对网络方面的虚拟化提得比较少，所以我们今天就想把网络虚拟化具体解释清楚，到底什么才是网络虚拟化，网络虚拟化的表现形式到底是什么样的。所以我们就请了陈凯先生跟大家一起交流一下。

    现在我们第一个问题想问一下陈凯先生，你觉得虚拟化跟网络设备之间到底是一种什么样的关系？

    陈凯：我觉得当我们谈到网络虚拟化之前，有一个最基本的问题，就是到底什么是虚拟化。虚拟化这个话题现在在整个行业里非常热门，也非常流行，从做服务器的厂商，到做存储的，还有做应用的，以及现在到各种做网络的厂商都在不断地谈虚拟化的问题。

    但事实上大家可能对虚拟化本身概念的理解可能有时候会存在不同的看法。以我自己个人的看法，我觉得其实虚拟化有两个层面的含义。

    第一个层面的含义在于，有的时候我们面对的状况是一个物理的系统，它自己利用的效率是不充分的，在这种情况下，我们希望能够发挥一个物理系统的利用效率，所以我们可能会把一个物理系统，把它虚拟成多个子系统，来为不同的用户或者不同的应用所使用。这一类的技术也就是我们通常理解的虚拟化技术，它所要解决的是一个物理系统的利用效率不够的问题。

    但事实上还有另外一种虚拟化的概念，它所要解决的是一个物理系统，它的能力不足的问题。比如一个服务器或者一个网络设备，单一的一个物理系统它的能力可能不足以满足一个大规模应用，或者一个大用户所需要的能力，我们可能会把多个分别的物理系统把它组合成一个虚拟的大的系统。这一类虚拟化的技术，它所要解决的问题是解决一个物理系统能力不足的问题。

    所以事实上在虚拟化的领域，我们实际上存在两种方向，两种技术发展的可能。一种是把一个物理系统分割成多个子系统，把它变成多个虚拟的子系统；还有一种就是把多个物理的子系统，把它组合成一个虚拟的，一个更庞大的，能力更强的虚拟系统。所以当我们谈到虚拟化的时候，是有这两种方向的发展。

    具体到网络的虚拟化，事实上也就是这两种方向的具体的应用。在网络系统里，同样存在着一个大的物理系统，可能如果单一为一个应用或者一个用户所使用的时候，它的利用率会比较低，所以我们就会考虑通过一些虚拟化的技术，把这一个物理系统，把它变成多个逻辑上面的子系统，来给不同的应用、不同的用户所使用，这是一类网络虚拟化的技术或产品。

    另外一类，就是把一些相对小型的物理系统组合成一个大的虚拟系统，把它变成一个更大的网络设备，来给对应用流量和网络带宽要求更高的用户和应用来使用。所以在网络虚拟化方面也是有这两个方面不同的技术和产品。

    主持人：现在网络方面主要就是路由器和交换机这一块，我们今天是不是就一步一步来。我们先说一下关于交换机的虚拟化，然后下一步再说基于路由器的虚拟化。

    陈凯：关于交换机的虚拟化方面，现在有一个很重要的趋势。由于交换机所处在的网络当中，特别是在一个局域网或者一个数据中心的网络当中，它处于一个交换的核心位置，所以对交换机的处理能力、流量要求，还有它的带宽能力，应用方面都有很高的要求。所以现在我们看到的状况是，在很多的大型数据中心里面，单一的交换机已经往往很难满足应用对带宽、处理能力和端口容量的需求，所以在交换机方面虚拟化的一个新的技术的发展就是把多台物理的交换机，把它组合成一个虚拟的大交换机。

    从瞻博网络的技术实现来讲，我们把这称之为"虚拟机箱"，用英文讲就是Virtual Chassis的技术。我们这个Virtual Chassis的技术，可以把多个小型的机架式的固定端口的交换机，把它组合成一个大的，类似于机框式的交换机的技术。通过这个技术，第一客户可以保护他在固定端口交换机方面的投资，他在建设他的网络和数据中心的初期，他可以购买一些固定端口的交换机来构建他的一些物理网络。随着它的应用的发展、网络的比较，他可能需要有更强处理能力的交换机，可能需要性能更高、也更可靠的交换机的时候，他可以把这些小型的固定端口的交换机通过虚拟机箱的技术，把它组合成一个更大的虚拟逻辑上的交换机。这是交换机方面的虚拟化技术的最新的发展。

    主持人：针对你这块，我有一个疑问，目前在交换机这个领域里，有一个比较传统的技术，就是堆栈技术。就是通过把多个交换机通过节点的方式，把它连在一起，串在一起，你觉得这个跟你刚才说的虚拟化技术，是类似的还是一样的。

    陈凯：堆栈技术和虚拟机箱的技术还是有很大区别的。堆栈技术只是从物理端口的层面使得多台交换机可以串联起来，通过统一的上连端口来使用。但是我们今天所讲的虚拟机箱的技术，它和堆栈技术的最大区别，我个人认为有两点。

    第一点，堆栈技术事实上还是在管理多台分别的小交换机，你要分别去配置它们。但是Virtual Chassis，也就是虚拟机箱的技术，它可以把多台物理交换机，把它合并成一台虚拟的交换机，事实上你在进行管理、操作和维护的时候，你所看到的就是一台交换机。比如一个虚拟机箱的集群里面可能有10台物理交换机，你不需要去一台一台进行配置，你可以把它作为一台交换机来进行统一的管理配置。

    第二个特点是，堆栈的技术没有办法提供在不同的物理机箱之间的备份。比如交换模块、电源的备份能力。但是虚拟机箱的技术，由于它把所有的处在虚拟机箱集群的交换机都当成一台物理交换机，所以它们交换的模块、背板是彼此备份的，所以即使在虚拟机箱的集群当中有一台交换机的模块出现故障，那么在这台交换机上的这些物理端口仍然是可以使用的，因为在集群当中有其他的交换机的背板和交换模块可以给这台交换机来提供备份。所以它在整个系统的可靠性上面，要比传统的堆栈式的技术要有更高的可靠性。

    主持人：你刚才说的我重复一下，看我理解得对不对。对于传统的堆栈技术来说，第一方面，它仅仅只是多台交换机，硬件连在一起，它实现的是端口比如以前是24口，可能变成48口，或者变成128口，是端口的扩充，但是它还是一个一个交换机。然后在管理上，比如有6台交换机连在一起，它还是6台交换机，得分别去管理那些配置。第二方面的问题是，这6台交换机之间，它们相互之间是独立的，然后某一台坏了它就坏了，在那台交换机上面接的电脑就上不了网了。

    陈凯：是。

    主持人：如果是通过Virtual Chassis的方式来做，意味着在多台交换机之间变成虚拟的一台，我只要有一台的管理。第二个方面，这6台交换机之间，它们叫交换机背板了，采用了（11：06）的技术，把它并在一起，然后实行了相互的热备份。是这样的吗？

    陈凯：可以这样理解。另外还有一个特点，就是虚拟机箱技术和传统的堆栈技术的区别是，一般来讲，堆栈交换机只能处在一个物理网络里，比如我们在一个机房里，我们可以把几个小的交换机通过堆栈技术连接起来，来扩展它的接入能力。但是我们的虚拟机箱的技术，事实上是可以跨越广域网络的。比如一个客户可能有两个数据中心，在数据中心A和数据中心B都有一些物理交换机，如果通过传统的堆栈技术是没有办法把这两个在不同地点的数据中心里面的交换机通过堆栈技术连接起来，但是通过虚拟机箱技术是可以做到的。所以它已经完全超越了简单的局域网当中堆栈技术所能提供的能力。

    主持人：就是说现在通过堆栈的方式来做的话，它两台交换机之间，可能因为限制，现在的限制好像只有几十米远，而且只能由专用那根线连在一起。

    陈凯：对，因为堆栈技术是用专用的线缆把不同的交换机联系起来。但是虚拟机箱的技术是可以通过传统的以太网络把不同的交换机连成一个虚拟机箱。传统的以太网络现在有基于光纤的，比如千兆的网络，千兆的光纤网络所跨越的地域范围就很大了，特别是一些单模的光纤技术可以跨几十公里，所以在几十公里范围之内的两个数据中心之间，当你有交换机需要通过虚拟机箱技术互联的时候，你都可以做得到。但是你用堆栈的技术，用专业的线缆，是没有办法做到的。

    主持人：照你这么一解释，网络里面的虚拟化还真是虚拟化，就跟服务器虚拟化完全是一个概念的。

    你刚才说把多个单点的交换机，把它虚拟化成一台来做，另外你刚才提到把一台变成多台，这种是什么样的。

    陈凯：其实刚才谈到的虚拟化里面，还有一个很重要的观点，就是把一套系统，把它分成多个逻辑系统，来给不同的用户使用。在这个方面，我们其实可以从两个角度来看。

    第一是从设备本身的角度，从设备本身的角度，如果一台大的路由器，它的处理能力是非常高的，可能给不同的用户或者不同的应用在使用的时候，它的利用效率就会很低。所以人们就会产生一种想法，我可不可以把这一台大的路由器，也分割成多个小型的逻辑的小路由器，来给不同的用户和应用使用。那么这样的技术就叫Virtual Router（虚拟路由器技术），现在在很多高端的陆游系统上面，都支持虚拟路由的技术。像瞻博网络所提供的所有的路由器的产品都可以支持Virtual Router。

    所以客户在投资购买了一个能力很强的路由器的时候，你不需要担心我这个投资可能没有办法得到充分的利用，事实上你可以把它变成不同的虚拟路由器，给不同的用户、不同的应用使用，这对整个系统的利用率的提高，以及对一些特别重要的应用和客户的安全保护，和服务质量的保护上面，都会有很好的投资回报。这是一个层面，关于设备层面，它是把一个物理设备变成了多个逻辑设备。

    其实在网络上面，也有这样的应用。说到这一点，我想略微谈一点题外话，如果谈虚拟化的话，我想可能最早引用虚拟化的应该是网络，因为我们每个人都熟悉的一个技术概念，就叫做VLAN的概念，其实VLAN的概念从严格意义上讲，它就是一个虚拟化的技术，因为它是把一个物理的网络通过虚拟的逻辑的划分，变成了多个虚拟的网络，所以我们把这些虚拟的网络叫做VLAN。那么在网络上来讲，VLAN是最早应用虚拟化的一项技术。因为VLAN主要是一个在局域网里面使用的虚拟化技术。

    但是当我们涉及到广域网，一个企业的大型的广域网和跨广域网之间的应用分割的时候，在最近几年有一项很好的技术就是MPLS（多协议标签交换技术），通过多协议标签交换技术，你就可以不断把局域网，而且可以在广域网上面去把你的网络资源分割成多个不同的虚拟的小型的专用网络，给不同的用户或者应用使用。而且在最近这几年，VLAN和MPLS的技术有所结合，所以现在可以实现的是，有一种新的技术发展，构建在VLAN和MPLS上面的，叫VPLS。它就可以做到在一个物理网络里面的一个一个VLAN的用户，通过这个VLAN访问局域网的交换机，然后再通过交换机到路由器，再通过路由器上面的MPLS的技术，到另外一个局域网上面的路由器，然后再到这个局域网里面的交换机，再通过这个交换机上面的VLAN和相应的VLAN里的用户来构建一个完全隔离的、安全的、有保证的这样一个专用互联网络。所以VLAN加强加上MPLS技术，其实就是在网络虚拟化当中，把一个物理的资源，或者一个物理的系统，分割成多个逻辑的、虚拟的子系统的一个非常具体的应用。

    主持人：VLAN是很早就提出的，估计很多读者、很多听众如果不熟悉VLAN的话，估计也不算称职了，这块跟网络虚拟化应该是最早的。

    你刚才所提的比如A、B两个点，从A点局域网通过VLAN的方式，然后到交换机，然后再到路由器的MPLS，跨广域网，然后在对方地点的路由器、交换机，再到局域网。在这么整个一条循环的链子当中，路由器采用的MPLS技术，和交换机上采用的技术，是不是都叫MPLS。

    陈凯：我想不能简单地说它们都叫MPLS。MPLS可能更多地是在路由网络里面去构建一个专用的网络的一项技术。在局域网里面，用到的最多的还是VLAN的技术。但是VLAN的技术和MPLS的技术现在有一个很好的结合，就是我们刚才谈到的VPLS的技术，VPLS的技术就可以把一个在VLAN里面的用户，把他相应地映射到一个VLAN的隧道里面去，这样就可以实现真正从局域网里面的一个终端端点，到另外一个局域网里面的终端端点的安全隔离的互联。这个所应用到的就是把VLAN和MPLS技术结合起来的VPLS的技术。

    主持人：现在VPLS这个技术，跟我们现在所说的比如IPsec的技术，是不是有点什么关系。

    陈凯：它们应该说是不同的技术方向和实现的方法。IPsec更多地借助的是数据加密的方法，来构建两个端点之间的安全连接。而刚才我们谈到的VPLS或者是MPLS来讲，它是通过标签交换的方法，在一个共享的物理网络上构建一个虚拟的通道，它里面没有涉及到加密的东西，但是它是通过标签交换的方法来达到在你的物理网络上划分出一些逻辑的资源，来给特定的用户或应用使用。

    主持人：我们刚才描绘的过程中，都是通过理论的方式来描绘这么一个应用的过程，特别是你刚才所提到的有关路由器的应用。大家都知道路由器就一个出口，如何把物理的这么一根线虚拟成多个用户，让多个用户都能同时用这个东西，这个东西理解起来是比较抽象的，你能不能举一个实际的例子，来解释一下。

    陈凯：我先来谈一下关于MPLS技术在数据中心里面的具体应用。我们都知道，现在很多企业，特别是一些大型的行业客户，他们都在进行数据大集中的工作，特别像一些银行、保险公司，还有像一些电力公司，它们所做的事情是把信息资源都收到总部或者省级的机关来进行统一的管理，构建自己的数据中心。但是考虑到信息可靠性的问题，考虑到业务持续性的问题，通常来讲，客户都会建立一个主中心，同时建立一个备份的数据中心。而按照可靠的信息安全的设计方法来讲，这两个数据中心应该是有一定的物理距离的，有的时候可能是在一个城市，但是离得很远，甚至有的可能是在不同的城市。

    这里面就涉及到一个具体的应用问题，就是关于在两个数据中心的数据备份和同步的问题。比如主中心是业务执行的一个节点，一个系统在主中心里运行，那么它所产生的业务数据周期性地要同步地备份到数据中心的相应的存储和服务器系统里，否则一旦主中心出了问题，备份中心虽然可以起来工作，但是没有相应的业务数据，那么实际上它就相当于没有办法发挥备份的作用。所以两个中心之间要经常性地进行数据备份和同步。

    这个数据备份和同步，在传统的方法来讲，往往是通过独立的、专门的一个光网络的系统来完成的，也就是在主中心的存储系统这边有一个出口，是通过光纤，然后直接连到备份中心的存储系统上。这种方法，第一投资成本比较高，需要有光纤的传输资源，还有需要一些光系统，第二管理的成本也比较高，除了维护IP网络以外，还有维护备份的网络。

    MPLS在像这样的应用环境当中，一个很好的应用就是解决怎么样利用现有的IP网络，在既保证安全性也保证带宽和服务质量的情况下，来完成两个数据中心的数据备份。所以通过应用MPLS的技术，你可以把这两个数据中心里面核心数据的存储系统和服务器系统，把它们变成一个VLAN里面的设备，通过MPLS技术来跨越广域网，把这两个VLAN连接起来，可以在这样专用的VLAN和MPLS的隧道里面，来进行相应的数据备份。应用这样的技术之后，你就不需要再去维护单独的用来做备份的光网络，所有无论是业务数据还是备份数据，都通过你的IP网络就可以实现，而且对备份数据这一块，你也不需要但是它的安全性，因为通过VLAN和VLAN技术，以及VPLS技术来保证它的安全、独立和隔离的网络。同时在服务质量上，你也可以得到相应的保证，因为MPLS技术里面有一些关于流量工程的技术，可以保证在数据备份时带宽上的要求，和一些带宽的最低保证。

    所以我们谈到了这么理论上面的，像MPLS，像VLAN这些技术，它们在实际应用当中，在数据中心的环境当中，这是一个非常典型的应用。

    主持人：你刚才所提到的这块，让我想起了存储领域的一个非常类似的过程，那边很多企业更熟悉一点。就是我前端的应用服务器跟后端的存储设备之间，因为很多大型企业都是用的光纤通道的交换机，来连接它们的储存设备，这个成本很昂贵，技术也很专业，有专业的人去维护。所以现在有很多成熟企业都推出了NAS这个系统，这样的话，就不需要通过光纤通道交换机，只要通过IP网络，通过以太网的网线接口，这边接上应用服务器，那边接上通过以太网接口的NAS的存储设备，把它串在一起了，是不是有一点异曲同工之妙？

    陈凯：有一点异曲同工之妙。其实您提到的这个方向，现在又有一些新的变化，现在在整个数据中心网络的架构演变当中，有一个非常重要的趋势，就是以太网和存储网络融合的趋势。我想肯定有很多的听众都了解一个术语，叫做Fiber Over Ethernet，也就是在未来的趋势上来讲，原来通过光纤所构建的存储网络，会转移到以太网络上，将来的存储和服务器都会通过一个统一的以太网交换的核心来互联起来，这可能也是另外一个在数据中心网络的演进当中的一个很重要的趋势。

    主持人：这是非常重要的。刚才我们在概念方面解释得差不多了，刚才陈凯先生提到了前面的把多台交换机通过Virtual Chassis把它连在一块，讲了这的技术。现在我们也想听你讲讲这块的应用情况是什么样的，通过案例来解释一下。

    陈凯：我们的Virtual Chassis技术，它的最重要的一个应用也是在数据中心里面。因为我们现在看到现在数据中心的架构是一个典型的三层架构，它有核心交换机、汇聚交换机，还有第三层是接入交换机，服务器都是通过接入交换机来连接的。一个构建比较完整的数据中心，它的接入层的交换机往往都至少是双连线到汇聚层不同的交换机上面，因为这样的话，一个连接断掉的时候，另外一个连接还可以工作，还可以保证这一个接入交换机里面的服务器还可以与外面沟通。但是这样的架构，随着整个数据中心越来越庞大，发展的速度越来越快，它造成了整个数据中心的网络也变得越来越复杂。你可以想象，如果我有100个接入交换机，每一个接入交换机都要至少两根物理连线，连到汇聚层交换机的话，那我就需要200根线连接到汇聚交换机上，而汇聚交换机也至少需要200个端口才能够满足接入交换机的接入需求。但事实上大型数据中心要比这个量还要大，你可以想像，这里面带来两个问题，第一个是对汇聚交换机端口的需求增长速度很快，第二个问题是带来了在汇聚交换机和接入交换机之间的布线变得很复杂，而且有的时候也容易造成一些问题。几百根线要通过配线架走线到汇聚交换机的机架上，我想这不是一件很简单的事情。

    主持人：工作量很大。

    陈凯：没错。瞻博网络Virtual Chassis的技术就可以很好地解决我们现在面对的这个难题。

    第一，我们刚才谈到Virtual Chassis的技术可以把多台固定端口的接入层的交换机，可以把它整合成一个虚拟的、一个逻辑上面的大的交换机，通过这种整合之后，比如你有10台接入交换机，我把它整合成一个虚拟机箱的交换机之后，我上面就只需要两根线就可以了。一定有的听众会产生一个疑问，说我这10个交换机，有这么多物理端口连上来，你只有两根线，那你的带宽是不是就不够用了。我们瞻博网络所提供的接入层的交换机上面，现在都是可以提供上连的实际的端口的，所以你可以想像，即使是你把10台交换机整合在一块，你通过两根实际的线路上连，在带宽上面就不会存在问题。

    更重要的是，由于这原来10台交换机如果不用Virtual Chassis的技术，你要每一台交换机都要有双连线上去，10台乘以2，至少要有20根线，在上端的交换机就至少需要20个端口，同时需要在配线架上面把这20根线上连的线路都走好。但是通过Virtual Chassis技术之后，我们只需要有两根实际的线路上连，就可以实现刚才所做的工作，你在接入交换机和汇聚层交换机之间，就不会再有那么繁琐的走线和布线的工作，你只要有两根线。而且对于汇聚交换机来讲，也不需要配一大堆的端口，像刚才这种环境，至少有两个实际的端口，就可以满足这10台接入交换机的接入需求。所以通过Virtual Chassis的技术，你可以大大节省在汇聚层交换机和接入层交换机之间布线的成本和管理的成本，还可以大大节省汇聚层交换机上面对端口密度的要求。当然通过实际的上连也可以保证带宽上面的要求。

    所以Virtual Chassis技术在数据中心里一个最重要的应用就是在这一个点上，它可以帮助我们的客户大大地降低数据中心的复杂性，使得数据中心的网络结构变得更简单，在管理维护上，也会帮助客户节省更多的成本。

    主持人：你刚才所提到的主要是接入层交换机和汇聚层交换机这个层次的一些工作。在汇聚层交换机和核心交换机之间有没有用这方面的技术呢？

    陈凯：您问到了一个非常有意思的要点。

    首先，我们先看目前瞻博网络所提供的在接入层交换机所实现的Virtual Chassis技术，把它应用到数据中心以后，我们就发现，事实上我们慢慢地可能就不再需要汇聚层交换机这一个层次了。因为传统的数据中心的三层网络当中，汇聚层交换机有一个很重要的作用，就是它解决端口密度的问题，刚才我们谈到接入交换机都要双连线，但如果你有很多接入交换机的时候，双连线上去对汇聚层交换机的端口密度要求很大。但如果我们没有汇聚层交换机，这些双连线全部都接入到核心交换机，核心交换机往往可能就是两台、三台，那对它的端口的密度要求就更大了。在当时的产业里，没有任何一个厂家的产品可以实现。

    但是今年应用到虚拟机箱的技术以后，首先上连端口的密度大大降低，原来可能需要二三十个，现在可能只需要两三个，所以汇聚层交换机原本要解决端口密度不够的这一项需求就消失了。

    另外一点，瞻博网络所提供的核心交换机，它又具有整个行业里最强、最高的端口密度，从千兆的端口密度到10G以太网的端口密度，都是最高的。所以从我们看到的如果应用Virtual Chassis的技术在数据中心里面，来构建数据中心网络的时候，我们给客户提供的解决方案，就变成我们把汇聚层去掉了，我们都是在接入层通过Virtual Chassis的技术，把不同接入层的交换机，合并成一个虚拟机箱，然后通过两根实际线路，直接上连到核心交换机上面。核心交换机通过采用瞻博网络实际端口的高密度、高性能的以太网交换机，我们就可以把很多的Virtual Chassis虚拟机箱都汇聚起来，直接到核心交换机上。

    所以这样的网络架构，进一步帮助我们客户，使得整个数据中心的网络变得更简单，同时也帮助他降低了在设备上面的投资，因为你原来需要买很多的汇聚交换机，你现在不需要这一层次了，同时在管理维护上也变得更容易、更简单，因为你所要管理的设备更少了。

    主持人：的确是这样。顾名思义，汇聚交换机，为什么叫汇聚交换机呢，不就是说把24跟线汇聚成1根，然后再上传到上面走，它就起到一个承上启下的作用。

    陈凯：是。

    主持人：现在既然通过Virtual Chassis就已经做到汇聚的作用，那这个汇聚交换机还真的没有比亚了。

    陈凯：所以我们认为在未来的数据中心的发展方向上，慢慢地它的网络结构会越来越简单，它可能会变成两层，甚至从瞻博网络的愿景来讲，也许将来会更简单。另外它在管理维护上面的成本也会越来越降低，因为你的设备更少，你的结构更简单。

    主持人：照你这么说，可能对很多企业的确很有帮助。我们现在说的是有接入层、汇聚层和核心层，是三层，但实际上很多企业真的部署起来，可能就不止这三层了，中间的汇聚交换机可能是一层变成两层、三层，总的层次可能就变成四五层了。如果用这种虚拟化的技术一弄，就扁平化了，就变两层了。就跟现在企业里面的扁平化运作是一个道理了。

    陈凯：对。而且这种扁平化所带来的另外一个优势在于，由于数据在网络上面穿越的层次减少了，所以网络设备进行数据处理所带来的延迟也变小了。实际上它在一定程度上会提高整个企业应用的性能。

    主持人：刚才陈凯先生这么一介绍，虚拟化在网络领域所起到的重大的意义还真不亚于在服务器领域所起的作用。

    陈凯：对。

    主持人：这里我想问一个题外话，在服务器虚拟领域，有像那种Virtual，它通过这套系统，第三方的软件平台厂商提供了这么一套系统，来提供给服务器厂商，而不是服务器厂商自己弄了这么一套系统。那么在网络领域里，因为你刚刚提到是你们瞻博网络特有的技术，在这个领域里，有没有类似的独立于网络设备厂商的第三方提供的软件呢？

    陈凯：从目前来看，应该说在网络设备的虚拟化或者网络层面的虚拟化方面，还都是由网络设备的供应商来提供这的技术和解决方案，还没有第三方的厂家来做。我想这里最主要的原因在于，网络设备和服务器有一些不一样的地方，我们看到服务器上面很多虚拟化的解决方案和软件，它是以一个应用软件的形式出现，而服务器的厂商所提供的是开放的、标准的操作系统的平台，只要你的应用可以运转在这个平台上，你就可以利用他的虚拟化的解决方案，来实现服务器层面的虚拟化。

    但网络设备可能跟服务器有不一样的地方，网络设备首先基本上多数的网络设备都不是一个开放性的平台，在这个行业里应用很多的路由器也好、交换机也好，它们都是一个特有的网络操作系统，要在这样的操作系统上去做应用程序的开发，我想基本上不是很容易的事情，由于它不是开放的、标准的平台，所以要做这件事情也不太现实。

    另外一方面，网络系统有它自己特殊的地方，它有更多的软件和硬件之间结合的问题。比如在网络设备里有大量的ASIC技术的应用，这种软件和硬件的结合，要比服务器上面的软件和硬件的结合要更紧密，所以涉及到一些底层的虚拟化技术的时候，我想可能还是由网络设备的厂商来提供的这种技术实现的可能性和可实施性更好。

    主持人：据你刚才这么一介绍，又牵扯出另外一个重大的问题，那就是关于路由器、交换机操作系统开放化的问题，这一块包括像瞻博网络，包括H3C，现在都在大力地倡导这一块，这个话题是非常重要的，但是不是我们今天讨论的话题了。我们现在想说另外一个问题，刚才我们所介绍的是交换机包括Virtual Chassis，包括虚拟局域网的VLAN，以及另外就是路由器，就是提到的MPLS技术。现在在网络领域这块，有另外一个产品，比如VPN、防火墙的，像这些在网络领域里面，它是属于安全类的产品，这一块在虚拟化方面有没有相应的动作和进展。

    陈凯：事实上，如果看整个网络基础架构来讲的话，现在网络的基础架构基本上可以把它分成三大类产品构成。第一大类就是路由器，它可能主要是解决的是广域互联和多协议之间的相互的转换的网络互联问题；第二大类就是交换机，他们可能是在一个局域网或者一个园区性的区域性网络里来解决高密度的端口接入的需求，解决大容量交换能力的需求；其实现在安全系统已经变成了网络基础架构的一部分，以前我们可能看安全系统更多的是说，我搭完基础网络，再往上面加安全，但是在今天的安全，我想特别是一些基本的安全系统，像VPN、防火墙，已经都变成了基础设施的一部分。我们再看我们的客户在构建他的基础架构的安全部分的时候，包括他的局域网、广域网和数据中心的安全系统的时候，由于客户比较担心单一的系统的处理能力和安全性的问题，特别是一些大型的客户，对安全性要求很高的客户，他都会采用对每一套应用，或者每一个区域，都部署一套独立的安全系统，可能每一个应用都有一个单独的防火墙、单独的VPN，每一个区域也有单独的防火墙、单独的VPN。这种部署的架构，对于一些大型的企业来讲，随着企业的发展、网络的变化和成长，使得他在网络上面的安全系统的投资越来越高，而且网络的架构也变得愈发复杂，因为每一个部分都要有单独的安全系统，每一个虽然可能都是一个小的安全系统，但是你把他们都累加起来，在投资上面很高，而且管理维护上也很复杂。

    所以现在在安全领域的一个虚拟化的重要变化就是，我们有没有可能通过一个能力非常强的、容量非常高的安全网关或者安全系统，来把它划分成多个不同的子系统，来给不同的应用或者不同的网段来使用，那么不同的应用和不同的网段就在这样一个大的物理系统上面来找到自己所需要用的那一部分安全的子系统。我们这个就叫做Virtual System，它是构建在瞻博网络最新的动态应用网关SRS产品上面的。我们的动态应用网关SRS，它是一个可以提供多种服务，包括安全，包括一些路由和交换功能的非常强大的应用网关。通过Virtual Chassis技术，也可以把一台SRS设备划分多个逻辑的小的防火墙、VPN系统，给不同的应用、不同的区域、不同的部门来使用。这样的话，从客户的网络来讲，同样他的网络结构会得到很好的简化，原来他需要在每一个网关去部署，现在他只需要通过一个大的系统，通过Virtual System的方法，就可以给不同的网关和应用划分出他的安全子系统。另外一方面，管理上也进一步降低了成本，他原来需要维护可能成百上千个小的防火墙，现在只需要维护一个大的安全系统、安全网关就可以了。

    所以在安全领域方面，虚拟化很重要的一个趋势就是怎么样用一个更大的安全设备，来为有不同要求的应用网段和部门来分别进行服务，这就是我们刚才谈到的Virtual System所能提供的这样的解决方案。

    主持人：你这个跟UTM是不是一样？

    陈凯：不一样，UTM所讲到的是把多个不同的安全功能整合到一个系统里面来。首先我想明确的是，我们的SRS也是具有多种安全功能，包括防火墙，包括VPN，包括其他的一些反病毒的安全功能。但是刚刚我们谈到的Virtual System是指把一个系统划分成多个不同的子系统，给不同的应用所使用，所以它和UTM的概念还是完全不同的概念。

    主持人：这个对设备本身要求就比较高了。

    陈凯：是。瞻博网络现在所推出的SRS最高端的一组型号是SRS5000系列的一组型号，是现在整个全球、整个行业里性能较好的防火墙系统。应该说在现在整个行业里面，没有任何一个其他的产品可以在安全的性能上和SRS优异的产品所比较。

    为什么设计这么大的容量，其实最主要的应用设计考虑，也就是通过一个大型的系统通过Virtual System技术来划分多个子系统，给不同的部门和应用所使用，把它应用到一个大型的数据中心，或者一个大型的企业网关里面去。

    主持人：这样的话，对于整个数据中心的安全体制，也能够实现更好的管理，统一的管理。

    陈凯：是。

    主持人：因为今天下午，陈凯先生有急事要坐飞机走，所以我们今天的话题就到此为止。最后，陈先生你还有什么其他想要说的，再跟我们说两句。

    陈凯：没有什么更多要说的了，刚才交流了很多具体的内容，我感觉从网络虚拟化方面还有很长的路要走。从瞻博网络来讲，我们会一直在这个方向持续地进行创新，希望能够给我们的企业客户带来更多的解决方案。也谢谢IT168帮我们创造了这样一个环境，跟各种听众能有很好的交流和沟通。

    主持人：其实关于网络虚拟化这块，我在跟很多厂商交流的时候，很多人对这块都解释得不是特别清楚，但是今天通过跟陈凯先生交流，我发现至少我个人是非常明白虚拟化在网络领域里面，到底它是什么样的形状，它起到什么样的作用，我觉得还是比较清楚和透彻了。

    陈凯：谢谢。

    主持人：我们今天的题目就到此为止，谢谢大家，再见。

    陈凯：再见。

--------------结束--------------