大家下午好，今天非常高兴能有这个机会来跟各位进行这样一个分享，分享一下我们华三通信对SDN新网络技术的理解和产品、解决方案，同时包括我们的案例。 首先，我想聊的一点，这个SDN大会我也参加了好多届，最近有一个趋势，我们在之前可能更多的运营商的人，包括我们厂商的人上来更多的还是在跟大家说SDN应该是一个方向，大家应该往这个方向走。但是我看到从去年开始，从大家的一些演讲来看，大家对这个方向基本已经没有什么疑问了，大家现在更多考虑的都是我应该做什么，应该怎么做，所以我觉得这是最大的变化。

我印象在两年之前，我去一个传统企业的用户，跟他讲SDN，然后他听了之后会说，你如果把网络做的这么自动化，这么智能，那我负责网络部门运维的人是不是就没有价值了呢？所以他当时对这个理念并不认可。在今年早些的时候，他又来找我，说他现在运维的人已经跟不上了，尤其上了云计算、大数据的业务，他认为SDN是一个必要的东西，你过来帮我们讲一讲，是不是有合适的方案，我们进行这样一个应用。我们看到比较好的一点，可能我们今天不会特别去讲，我们是不是要去上SDN，为什么上SDN。因为大家看了很多现代IT的技术，它提高传统网络的效率，它承载了我们更多的商业逻辑的这样一个创新，目前华三通信对网络新技术的理解是这样的，他讲的SDN，包括其他的像PCEP，很多南向的接口可以实现控制与转发的分离，能够实现网络系统如何与业务系统这样一个软件层面接口的对接。我们顺时针来看，NFV有一个工作组，它希望将网络设备和形态进行网络化。我们知道硬件形态设备，我们买了多少放在这里，它的计算能力是固定的。我们需要的时候它没有办法进行更多的扩展，它的量是固定的，但是我们不用的时候，他也放在那儿，占用我们的空间。所以NFV将专有的硬件设备进行软件化，来提高我们IT资源的利用率，并提供弹性。第三个是网络虚拟化的这样一个技术，现在也有几种协议已经是成稿，当然还有STT可能看的少一些。它希望在一个非常复杂的物理网络当中，通过这种隧道来创建这样一个虚拟化的通道，来大大的减化我们用户的业务，它所看到的是这样一个网络。

下面来谈一下华三通信新网络的战略思考。我们认为在经典的网络里面包含了路由交换、安全、无线等硬件的设备。现在我们看到在网络之上，我们有云计算，这样一些应用，以及大数据等很多的服务。随着上层业务系统的迅猛发展，我们的网络发展速度并没有跟上，这个时候我们传统的经典的网络增加了外延，希望让我的网络系统和上层的业务、应用系统更加贴近。这边我们的产品布局主要有华三通信自研的控制器，还有网源的设备。同时我们在传统的这种经典网络的这些设备里面，我们也是逐渐地融入SDN，这两个界面现在没有这么分明，其实在我们的硬件设备里面也开始支持，像OSDB、南向接口。下面是我们整体的新网络的架构，这个架构我们从下到上是我们的基础架构层，是抽象的网络，上层的SDN的控制器，再上层有SDN的APP，最上面是云的管理系统。对于网络这一层，我们在左边有这样一个物理的网络，同时在右边是我们的虚拟网络，它里边包括我们各种各样的NFV的设备。在上层我们会针对不同的场景和用户开发出一系列的APP和应用，这整个架构的每个层次都是非常开放的，我们用户可以非常灵活的，根据自身的条件来选择不同的组合。

下面我来介绍一下，我们的几个核心组件，第一个就是SDN控制器，而且我们的控制器是一个控制器的集群。因为我们知道随着SDN理念，这种集中控制我们确实收获了很多好处。但实际的网络运维当中，网络不出故障这也是非常重要的一点，如果我们引入了一个SDN控制器，实际上却是在网络中引入了新的故障点。如果一个网络只有一台控制器，如果它当掉的话，整个网络是不受控的状态。我们华三通信可以做控制器的集群，我们目前最大的可以支持32台的集群，来保证我的高可靠性，同时也可以进行负载分担，提高我控制器处理的性能。另一方面，如果我们的网络距离的非常远。我们知道远距离的同步是非常不可靠的，这个时候我们华三通信也创新提出了控制器联盟的这种思路。我觉得这个跟我们社会的群体也非常类似，多个群体可能很难有一个集中的组织，比如说联合国。这个控制器集群，联邦它其实各个远程的节点是自愿的加入联邦，可以共享信息。如果某个联邦之一出了某种问题，这个时候可以选择断开，但是它不会导致我这个联邦出现问题，不会导致整个的联邦也进入混乱的状态。这是我们这样一个SDN控制器。

下面是我们华三通信全系列的设备，我们所有网络设备的特性，软件运行的稳定性全靠这个操作系统进行保障。之前我们这个操作系统是安装在自己制作的小盒子里面。现在我们做了一些变化，我们将这个软件进行抽象，把它灌装在标准化的服务器里面，这个时候它完全可以通过软件的方式，可以变身为任何用户所需要的模式，比如说可以变成路由器，也可以变成防火墙，也可以变成无线的控制器。同时我们对于第三方的网源，我们可以集成在整个的NFV的体系架构当中。 第三个产品就是介绍一下我们的Vswitch，大家知道这种计算的虚拟化，可以提高我计算资源的利用率。这个时候我们其实会引入一些新的问题，就是我的计算里面它也是需要有网络的，我的服务器变成一台虚机，这个时候我的网络如何处理，我的一台服务器里面可能有多台虚机，它们之间也需要进行网络的沟通和隔离。目前我们华三通信所做的Vswitch，它引入了最新的一些协议的支持，也包括这样一个状态防火墙。后面我会讲到安全方面的考虑，我们所有的安全处理也是分布式的，因为这个虚机会到处跑，我们很难找到一个固定的安全的边界。另外，我们对流量的可视化也有一些实现。同时还有一点比较重要，就是我们华三通信目前应该说业界最多的支持虚拟化平台的这样一个商业化的产品。结合以上的这些产品，我们在每一个产品上都进行了接口的开放。包括跟上层的云管理平台进行对接，南向包括一系列的接口。这个包括我们在控制器上进行一些应用开发，我们也会给有能力或者希望做一些开发的用户使用，这个系统也是非常开放的。

刚才我也听到电信的赵院提，我们现在到底是先有标准还是先去做？我们从上一页来看，其实我们现在已经遵循很多标准化的接口，但是它相对来说还是比较零散的，功能太复杂了，我们的用户被压抑太久了。我们以前想做什么事情，厂商只能说不行。现在我们一下子开放了这么多接口，用户开始也是拒绝的，现在我们上面看开发了很多API，所以我现在看到有两类客户，一类客户愿意说我去尝试，我用这些API自己搭建，另一类客户说我的网络只是我业务的承载层，我更多的开发和运维实力还是在业务层面，希望网络为我们提供一些标准化。华三通信也是将这些技术进行融合，同时我们面向用户的需求，面向一些典型的应用场景，我们提供一些成熟的商用的解决方案，包括场景化。我们总结为大互联、云计算和大安全。下面我给各位汇报一下，我们针对每一个场景的方案和相关的理念。第一个是大互联，因为我们知道网络的存在更多的目的就是为了让人与人之间进行沟通，人与服务器进行沟通。我们从这个图，从下面我们可以看到几个元素，最左边的终端，最右边的云端，如果云端和终端需要进行访问，我们中间一定需要有这样一个网络，或者说我的终端之间访问也需要这样一个网络。目前我们华三通信基于传统的网络做了长久的积累，在我们的控制器之上通过开放的API引入了很多端与端或者端与云相连的业务，比如说终端接入，如何对海量的终端，它在任何位置都有可能接入，我如何对它进行管理。包括云如何进行复杂的调度，我的网络策略是不是能够继续保持。我们在这些领域都有相应的SDN的APP，给用户在网络之间直接使用。

另外多数据中心，云与云之间。我们的内部控制器已经和所有的网络设备进行管理，现在我们如果遇到跨广域网的，我们认为这个广域网可能是不太可靠的，我们通过建立联盟，建立控制器联盟的方式，如果大家网络状态都OK，信息是可以进行共享的。另外一个场景就是这种桌面虚拟化和移动办公，这个大家比较熟悉的字眼就是BIOD，带着自己的设备去工作。我们知道现在的企业或者园区里面，大量的无线和有线的设备都是混在一起的，如果员工拿自己的设备进行办公可以提高他工作的效率。这个时候我们在网络上的要求也会非常高，比如说能不能接入，我这个个人的设备接入园区里了，园区能不能识别我，我是不是可信的用户，一旦我接入进来以后，我可以在任何位置接入。我权限如何控制，我现在有了SDN控制器，可以对网络的变化可以做到全局的掌控，任何一个终端任何一个位置接入网络，我可以从上层的应用系统对接，去了解这个新接入的用户是不是有这个权限，如果有权限接入的话，他的权限有多大，我可以用SDN全局控制的优势，可以全局把这个策略进行实时的下发。

下面来汇报一下新网络在云计算方面的工作。因为我们现在看到云计算，现在也是非常火，包括公有云、私有云很多人都在建。云计算我们知道，它对网络的需求还是有一定要求的，比如说公有云很多租户在上面，但是租户肯定不希望我放在云里面的资料被隔壁的老王看到，所以安全隔离需要做好。另外IP地址隔离，我很多租户上去，我们就是想把原来的IP系统搬到云里面，这样运维的习惯和改变是最小的。如果有两个企业用的私网地址是相同的，这个时候是冲突的，我们通过SDN来解决他们不同的地址空间重叠的问题。包括网络虚拟化，包括业务如何灵活的自定义，我的云里面可能除了虚机还要有LB和防火墙，我的业务和位置是不是吻合，我租的虚机是不是都在北京的机房，我可以到其他的地方租一个。资源是随需而动的，用户想要什么东西不需要系统管理员手工的审批和申请，所有的业务都是自动化的，我申请了一些，后台应该是可以帮我自动化来进行申请。目前来看，业界对于解决云计算，比较流行的技术就是Ovrelay，我所有的这样的隧道都是在硬件的网关设备上来做，在中间的这种，我可以将网关延伸到虚拟化的服务器里面。当你知道，可能不是所有的设备都有虚拟化，可能存在一些虚拟化，就出现了一个折中或者融合，同时我可以在我的虚拟化的服务器里面做这样一个隧道。目前华三通信对这三种场景都可以来支持。

下面是华三通信整个的这样一个虚拟化，网络虚拟化的解决方案。图不知道大家能不能看清，一个是我们对于我们的硬件的交换机，另外有一个SDN的控制器，这个控制器不仅仅和上层的云平台进行对接，进行云平台和底层的设备进行吻合的工作，同时和虚拟设备还可以进行统一的管理。另外一个方案是我们的云POP，这个方案也是很有意思的。POP就是业务提供点，我们如果在家里上宽带，这个数据上行到运营商的POP点，它需要进行认证和计费的处理。传统的机房只有一些设备进行认证和工作。这个设备传统都是硬件的设备，是不能够进行弹性扩容的，一般我根据小区的容量购买容量，但是如果小区一旦盖了新楼可能就要去购买。以北京来说，以天通苑或者回龙观人口很密集，白天人们都出来上班了，晚上的时候大家都回家，都上网了，这个时候容量可能会比较拥塞，处理能力会大大的降低的。我们华三通信希望在POP点里面，我们把硬件变成软件的。另一点，我们希望改变运营商的运营的这么一个方式或者是说思维。因为运营商一直提被管道化，我理解它在POP点其实更多的提供用户认证，具体里面跑的什么互联网的增值的业务，他不知道，他就是记你的时长，很多增值的东西他没有做。所以这块我们希望他能够做数据中心化，将接入的位置做一个数据中心化，将里面放入大量的服务器。一方面这个服务器在我们使用的时候，我们可以放虚拟化的网络设备来进行处理。另一方面，对于空余的计算资源可以放一些增值的服务，比如放一些云网盘，或者IPS的用户对安全性的要求，我们可以非常灵活的放一些增值的服务，为运营商来进行创收。

我们第三个场景就是大安全。其实从国家的层面来说，对信息安全的要求是达到一个非常高的高度，无论对企业还是我们很多个人也越来越注重这种安全。我们看到现在的安全也确实是越来越不好做了，因为防不胜防。因为现在很多虚拟化的引入，导致安全的边界变得非常模糊，有的时候我不知道你的攻击会从什么地方来，或者我的虚机漂来漂去，很难用固定的物理的网关进行隔离。同时我的安全处理能力到底放多大，安全流量一定不是恒定不变的。我们华三通信对于安全这边我们是最底层的有虚拟化的弹性解决，比如嵌入一式的插卡，然后在上面增加了SDN控制器，来对整体的安全资源池进行集中化的管理。在管理之上可以定做安全的APP，可以帮助用户通过集中化的方式解决安全问题。在上面我们对安全的数据，其实更多的是很多数据其实非常有价值，但我们传统的安全往往是把它处理过，就把数据丢掉了。这个时候我们其实可以将这些数据放入我们的大数据安全的中心，我们去分析某些事件可能不仅仅是一个独立的这样一个场景，它很有可能是一系列的事件，是有关联的。我们通过大数据的分析来制定更高层面的安全的策略。我们核心理念其实就是价值来提供这种安全控制，它可以非常灵活，其实我们就是通过服务链的方式，对大数据进行处理。

时间关系，我快一些。核心技术，我原来看到业务链，我们所有的安全都是基于路径的安全。我必须提前设计好，所有的路径都设计好，经过防火墙还是IPS。我们今天看到，我们每个用户是有个性化的需求，不同的用户是不一样的，这个时候用到服务链这样的功能。这个图是我们服务链的实现的原则，我们是通过统一的SDN的全局的控制器从全局的角度控制，来引导这个流量进行服务链的穿行。同时也能够控制我们虚拟化的NFV的资源池，这里也有物理的设备，进行统一的控制。同时我们的控制器也可以向上开放接口，给云管理平台或者第三方的管理平台。 这样通过这些手段，我们可以提供多层次的安全防护体系，包括SDN设备，包括插卡，还有嵌入式，状态防火墙的功能。下面简单介绍一下几个案例，第一个在互联网公司做的Overlay的网络，这个已经达到了上万台服务器的规模，有可能在全球是最大的数据中心。 另外，我们跟腾讯进行了一个VPC虚拟私有云的。我们现在可以将我们华三通信的私有云和腾讯的公有云做一个无缝的连接，用户对一些需要在本地运行的业务可以到私有云，一旦业务爆发，可以无缝的将业务推送到公有云，保证业务不受中断。 第三个是在高校，中南财经，它有两个校区，每个校区都自建有数据中心，它管理上是有麻烦的，业务很难两边灵活调度。我们通过我们的SDN加上Overlay进行一个拉通，帮助它实现两边资源统一的调度和统一的管理。

最后，我再提一下，刚才我们也提到，我们华三通信目前对于很多的新网络相关的技术都有成熟的产品和商用的产品，同时对于大互联、云计算，我们也有一些针对场景化的解决方案。如果大家想在新的领域进行一些合作和探讨，也可以找我们华三通信，或者对我们一些比较成熟的商业方案，我们可以直接在系统里面进行测试和应用。今天我要讲的就是这些。谢谢大家。