网络业历史上最热闹的30大争论(2)

边界安全 vs. 内部安全

　　互联网防火墙正在遭遇尖锐的问题。

　　上世纪80年代末，当企业急切地想要将自己挂在互联网上时，带有一种常识般的惶恐和敬畏，因为它们知道，一场与公众之间史无前例的互动正在发轫。在这片充满危险的海滩上，作为企业要塞守护者的堡垒式防火墙出现了，这还得感谢像Marcus Ranum和Bill Cheswick等技术创新者的努力。早期的商用防火墙，包括DEC的SEAL在内，对企业来说意味着它们可以把自己包裹的很严实了。

　　边界防火墙逐渐成了一种固定配置，而在这条边界上，安全专家们则忙于制定复杂的安全规则，决定哪些流量可出可进。然而20年后，互联网防火墙和类似的边界防御手段却遭遇到了一个尖锐的问题，因为越来越多的安全经理们在一个很简单的点上产生了疑惑：边界已经消失。

　　

电子商务与合作伙伴的协作；企业人员使用的移动笔记本和PDA等手持设备，都需要从外部访问企业的内部系统。这种突如其来的需求正如英国的化工巨头ICI的首席信息安全官Paul Simmonds所言，导致了“破坏性的变化”。

　　“企业的安全边界正在消失。”Simmonds说。Simmonds是Jericho论坛的积极支持者，而该论坛是由企业的信息安全经理人在2004年初创建的，旨在推动解决企业安全的有创意的方法，以便适应企业今天所处的多变的业务环境。“我们在Jericho论坛所做的事情不是个别的解决方案，而是一个单一的体系架构。我们称之为面向协作的体系架构。”

　　Jericho论坛目前有45家企业会员，大多数都是欧洲的大企业，但最近已有更多的美国企业加入进来。

　　Jericho论坛关注的话题之一就是“去边界化”，但该组织并没有刻意地鼓吹要抛弃边界防火墙，只是批评防火墙已成为电子商务的障碍。而这种批评常常会招来强烈的反对，认为该组织的观点方向是错误的、误入歧途的或者说是幼稚的。

　　防火墙传奇的缔造者、AT&T研究院的技术大腕Cheswick也承认，他正在考虑这样一个世界，在其中，企业的安全并不依赖于边界防御。但是去年夏天在纽约召开的Jericho论坛会议上，他在主题演讲中却说，“既然我们无法阻挡DDoS攻击，所以我们可能仍需要一个带围墙的园子。”

　　无论如何，Jericho论坛的成员都在努力说服企业和厂商要超越构筑边界的设备之外去想问题。Simmonds说：“对于大多数企业来说，去边界化不过是一个正在发生的事实而已，而无论你是否喜欢。”

　　IPv4 vs. IPv6

　　向IPv6的迁移其实已经在逐步进行，这种迁移会由于IPv4地址的耗尽而加快步伐。

　　在20世纪90年代初期，关于如何最佳地升级互联网主要通信协议的争论在IETF中一度很盛行。从那时起，专家们就意识到，最初版本的互联网协议，即IPv4的地址空间最终将会枯竭。

　　1994年，IETF在加拿大多伦多开了一次会，提出了下一代IP究竟应向何处发展的问题。最后，IETF决定用128位地址空间的IPv6取代32位地址空间的IPv4。该标准组织还试图制造出一些向IPv6升级的理由，其中包括内置的IPSec安全性和设备自动配置的易管理性。

　　差不多在IPv6最终定稿十年之后，网络业才开始接受这个新的协议。这是因为，如果一次性升级到IPv6，无论对运营商还是企业来说，成本都过于高昂，且费事，而所得到的回报又很少。因此，网络业选择了逐步向IPv6迁移，这也就是说，两种协议还需要有多年的共存期。

　　现在看来很明显的是，IPv6终将胜出。今年5月，互联网组织——互联网域名美国注册中心(ARIN)建议，应考虑启动向IPv6的迁移。

　　一些业内专家甚至预测，距离IPv4地址空间被用尽的那一天已经不远，只剩下大约1200天。在美国，带头向IPv6迁移的是美国联邦政府，它已明令所有政府部门务必于2008年在各自的骨干网中支持IPv6协议。

　　以太网 vs. 令牌环

　　IBM最终输掉了这场争论。

　　这是在网络业上演的IBM vs. DEC的一场经典的对手戏。

　　这两位计算机巨人各自支持一种彼此竞争的局域网架构：IBM支持令牌环，而DEC则支持以太网。

　　由IBM科学家Olof Soderblom于20世纪60年代率先研发的令牌环，最初为IBM带来了成功，它也是IBM支持最得力的技术。然而在IBM之外，令牌环却从未获得过其他主流厂商的支持，它们均倒向了以太网一边，无论研究机构还是设备厂商都更偏爱以太网技术。

　　而在10Base-T以太网出现之后，这种成本低廉、传输速度为10Mbps的以太网很快就把令牌环逼进了螺旋下降的通道。尽管Soderblom开始要求为数不多的令牌环厂商和芯片制造商表现忠诚也于事无补，反而推高了令牌环设备的价格。

　　这之后，思科以缺少市场需求为由，在1998年退出了100Mbps高速令牌环(HSTR)的研发项目，这被认为是令牌环全面撤退的信号。

　　Tolly集团总裁、HSTR联盟背后的推动者、《Network World》专栏作家Kevin Tolly当时评论道：“思科其实是想废掉多厂商支持的工业标准HSTR，而打算推进思科自己的专利技术。”

　　如今，令牌环产品在市场上几乎已经绝迹，过去采用令牌环的企业也都已经迁移到了以太网上。今天的以太网甚至进入了广域网，运营商已可以在局域、城域和全国范围的网络上提供以太网服务。

　　路由 vs. 交换

　　思科在统治了路由市场后，如今又横扫了交换市场。

　　正是这一争论让思科远离了分组交换，从而永久地改变了企业网市场。

　　肇端于20世纪90年代中期的这场路由对交换之战，让路由之王思科与其他所有的企业网厂商处在了对立的地位，这些厂商如Bay、3Com和Cabletron等全都在推动一种扁平的、二层的交换基础设施架构。

　　从根本上说，这场争论的焦点在于，企业为了更好地分隔网络段，管理流量和群组，究竟应该构建层级分明的路由网络，还是用扁平化的二层基础设施加上VLAN构建广播域来做同样的事(只是成本稍低)。

　　这场尚未最后分出胜负的争论也预告了路由集线器(Rub)和三层交换机技术的出现。它还产生了一些创新的产品，如Ipsilon的IP交换机和思科的Tag运营商交换机，后者其实就是如今被称作MPLS的最早的产品体现之一。

　　不过，市场还是在向思科一方倾倒。因为思科有能力把事实标准的路由与LAN交换机相结合，巧妙的市场营销手段再加上一点儿价格诱惑，思科便轻松地占领了三层交换机市场，又一次增强了它在路由器市场的统治地位。

　　Bay、3Com和Cabeltron发动了一场英勇的战斗，但是在随后的年月里，这些公司要么消失了，要么已经被企业网市场的其他大厂商边缘化了。

　　帧中继 vs. ATM

　　这场发生在广域网上的争论其实可以细化为分组对信元之争。

　　帧中继与ATM，哪种技术更适合于广域网，两者之间的争斗其实可以归结为分组和信元(cell)谁优谁劣的问题。帧中继源于速度较慢、有纠错功能的X.25是为了在高质量连接介质如光纤上传输可变长的帧而设计的，它在20世纪90年代初期进入其全盛期。

　　ATM是在20世纪80年代设计的，可以用五种不同等级的QoS来传输数据，所以用户可以用不同的时延来发送数据包。ATM采用的标准长度的数据包也称为信元。如果承载的数据长于48个字节，就会被切割开来，分装到其他信元中去。而帧中继却不必如此，它可以容纳长度可随意伸缩的帧。

　　ATM吸引人的地方在于它能够模仿直连线路，保障带宽，这正是帧中继的不足之处。后者虽然能够在客户的流量增加时可提供足够的带宽，但它却不能保障这些额外的带宽一定可用。

　　ATM的一个缺陷就是信元的无谓开销——每48字节负载的信元需要一个5字节的信头，换句话说，占用了构成一个信元所有字节的10%。

　　ATM刚起步时表现不是很好，因为它只是在T-3连接上的一种服务，而后者45Mbps的带宽远远超过了大多数企业所需要的和能够负担得起的带宽需求。而另一方面，帧中继则要比通常的接入选择(专用线路)便宜一些，而且其56Kbps的速率在当时也已够用。

　　大致上可以说，帧中继赢得了广域网上的这场争论。但ATM并未死去，它还在运营商的核心网中存在着，只是在逐渐地被边缘化。但是最终，无论帧中继还是ATM都在受到MPLS的排挤，会渐渐地走向没落。

帧中继 vs. VPN

　　可靠而又足够安全的互联网连接有可能取代颇受欢迎的帧中继。

　　VPN在20世纪90年代出现了爆发式的增长，是打算安全且成本低廉地用互联网作为企业WAN骨干网的一种方法。

　　其缺陷在于，互联网既不可靠也不安全，不过对于数据应用来说，互联网已证明是足够可靠的，而用IPSec封锁站点间的连接，互联网也是足够安全的。

　　帧中继则不存在这些问题。作为一种二层交换技术，大多数用户感觉它天生就是安全的，假如企业对业务安全不够放心的话，那么它们还可以增补自己的加密手段。

　　随着MPLS的兴起，一种新型的VPN开始出现。和VPN需要在每个企业站点上安装VPN网关创建与其他站点的加密隧道不同，MPLS只须安装一台路由器连到运营商接入线路上即可。而运营商可将其数据流转发给用相同方式连接到网络上的其他任何企业的站点。

　　在帧中继领域，所有站点都可以通过这种网状连接方式与所有其他站点相连，只须设置好虚拟线路，也就是把接入线路划分成众多的逻辑链路即可。这和MPLS在所有站点之间通过路由转发数据的结果是相同的，但是MPLS不需要虚拟线路——这是用户不可能忽略的巨大的成本节约。

　　“任意站点到任意站点的连接性对我们来说是一种非常巨大的推动，”丹佛政策研究室企业工程服务副总裁Catherine Watterson说。她的组织正处在从帧中继向MPLS迁移的过程中。“我们希望，与帧中继网络相比，我们的网络将更为简单。我们对降低成本也很感兴趣。”

　　利用IPSec与MPLS的结合，便可提供与帧中继功能相似，而成本更低廉的服务。帧中继正在不断地失去自己的阵地，逐渐被其他技术所取代。

　　思科 vs. Bay/3Com/Cabletron/Juniper

　　最终，只有Juniper才能向思科发起真正的挑战。

　　路由 vs. 交换之争的一个从属情节，就是思科与企业网竞争对手Bay、3Com和Cabletron之间的激烈较量。思科同时还将其关注焦点拓展到了运营商市场，在这里，它遭遇到新兴企业Juniper的抵抗。后者由于背后有思科在数据和电信领域的几个对手的财务支持，正逐渐成为一个可畏的对手。

　　也许，只有IBM会遭遇这种被业界其他领导厂商共同围攻的“类似待遇”。不过，所谓“共同围攻”其实也是一句恭维话，它表现出的是对思科的实力、对市场控制能力的敬畏。思科通过技术与营销手段的结合、积极的定价策略和雄心勃勃的收购战略，其触角已蔓延到了从存储到视频的几乎所有热门领域。

　　Bay是由思科的两家较小的竞争对手合并而成的——即做企业集线器与交换机的SynOptics和做企业路由器的Wellfleet。但是这两家原本在各自领域处于领先地位的公司的合并，却未能阻挡住思科的前进步伐。Bay最终被北电网络收购。

　　不过在被收购之前，Bay曾与IBM(实际上是与IBM运气极差的网络硬件部，即NHD)和3Com合作，共同成立了网络互操作联盟(NIA)。该联盟声称，要实现ATM交换机之间增强的互操作性。但观察家们却认为，这些厂商不可能真正联起手来围攻思科，更无法阻挡思科在企业网市场上日益增强的势力发展。

　　三年后，NIA悄无声息地消失了，无论对市场还是用户的购买决定来说，都没有产生过任何真正的影响。

　　1999年，IBM彻底放弃了NHD，将其路由与交换技术卖给了思科。

　　Cabletron曾向市场承诺说，它拥有思科IOS路由器软件的许可证，保证会提供质优价廉的思科设备的替代产品，并可在其集线器和交换机中销售思科的路由器板子，但是结局却不太妙。在一次展会上，Cabletron播放了一段用于促销的视频广告，其中有一台贴有Cabletron标记的碾碎机把一个身体虚弱、贴有思科标记的玩偶碾成了碎末。思科立刻撤回了IOS许可权。

　　没过几年，Cabletron也消失了，1999年，Cabletron分裂成4家公司。其中负责交换机硬件生产的Enterasys在曝出高层的财务丑闻后，被一家私募基金收购。今天，Enterasys在企业网市场上只能算一个不太起眼的角色了。

　　而在运营商市场上，抗击思科的Juniper的运气要比企业网市场的Cabletron、Bay、IBM和3Com好多了。Juniper抢占了思科约三分之一的运营商路由器市场份额，而且到目前为止，仍然是该市场上可以看得见的思科的竞争对手。Juniper还在企业级市场扩大了它的胜利战果，收购了VPN与防火墙领导厂商NetScreen。可以预料，它还会很快进入LAN交换机市场。分组交换 vs. 线路交换线路交换追求的是可用性，而分组交换追求的则是成本效率。

　　作为WAN连接的线路交换，与分组交换成功地争战了多年，因为不管怎么着，它至少可以保障带宽需求。

　　比如你购买了一条T-1线路，那么，运营商肯定会让你得到1.5Mbps从A点到B点的带宽，而无论你上网的时段是高峰还是低谷。

　　而分组交换——先是帧中继然后是IP却做不到这一点。用户只能分享带宽，而运营商通常都会售出超过其线路承载能力的容量，假如所有用户都想在同一时间使用他们所购买的所有带宽的话，网络就会难以招架，网速会慢得令人难以忍受。

　　不过，与T-1相比较，帧中继的费用相对低廉，比较适合远低于1.5Mbps的连接，通常只比56Kbps高一些。这就是说，帧中继只处理必要的需求，从而让企业WAN连接更注重成本效率。

　　帧中继还可提供虚拟线路——也就是从逻辑上把接入线路划分成带宽较少的逻辑链路，再分配给不同站点。如果一个站点需要连接到其他六个站点，那只须将一条物理线路从逻辑上划分成六条虚拟线路即可。

　　而在线路交换领域，什么东西都不可能虚拟。如果某个站点需要连接到其他六个站点，那就需要六条物理线路来连接。

　　当帧中继和后来的IP服务逐渐成熟之后，QoS就成了保障带宽的标准，这和线路交换的情形是相同的。这样的演进终于让分组交换占了上风。

　　VoIP vs. TDM语音

　　TDM尽管尽了力，但却阻挡不住向VoIP与融合网络的转移。

　　TDM作为企业电话网络的骨干网来说还没有死去，但它的确已处在了垂死挣扎的状态中。

　　TDM电话技术的基础是历史悠久的电路交换技术PBX，长期以来一直在提供各种有价值的服务，谁都可以在其上做自己的扩展。比如复杂的企业电话、语音邮件、电话会议、多人呼叫和呼叫者身份识别等。

　　而且TDM系统的维护人员都是对电路交换机了如指掌的训练有素的专业人员。

　　而当VoIP出现时，就许诺说可以用更少的钱在IP网络上打电话，这引起了众多用户的兴趣。现在，不必再由电话局派出专业人员帮你从一间办公室到另一间办公室布线了，用户只须把普通电话安放在一个新的底座上便可给指定的呼叫方拨打电话，而不再需要电信专业人员了。

　　由于VoIP就在数据网络上跑，电话网和数据网可以合二为一，因此就不必再支持两个分离的网络了。如果语音只不过是互联网上的一种应用，那么企业就不再需要、至少不再需要那么多电信专业人员了。

　　节省成本当然是采纳VoIP的重要理由之一，不过在企业部署VoIP时，它们也发现了一些采纳这一技术的其他理由。比如当企业的客户求助热线不堪重负时，就会有企业网络上任意地点的更多代理自动而迅速地被纳入呼叫分配名单，尽快答复来电。

　　VoIP支持一些TDM不能支持的业务，比如可以在呼叫代理的电脑屏幕上显示用户ID的账号信息，可允许用户在其他应用中点击电话号码拨打电话，可利用VoIP所支持的驻留信息进行呼叫转移等。

　　已经全面转向VoIP系统的一些大企业，比如美国银行都称赞过VoIP带来的好处。美国银行监管VoIP项目实施的Craig Hinkley说：“人们在问我，什么是杀手级应用？我这样回答，简单部署一个VoIP系统，我们得到的不过是VoIP的皮毛而已。但是当我们可以从传统的关键系统或PBX得到VoIP服务时，那才是全新的开始。如果能够在某个网站上设置快速拨号功能，那么，当我不在办公室时，也可以通过网站把打进来的电话转接到我的手机上。这对于大多数人来说才是一种量子飞跃。”

　　以太网 vs. MPLS

　　从前只用于局域网的以太网，如今要在广域网上一展身手。

　　这一对争论的双方最开始的时候是完全不相干的两种技术：以太网是局域网(LAN)的标准，而MPLS VPN则是广域网技术——帧中继和ATM的替代者。

　　然而现在，它们之间居然开始了碰撞。运营商们正在MPLS上构建二层以太网VPN，这种可在地区、国家甚至全球范围构建的MPLS衍生物称为虚拟专用LAN服务(VPLS)。尽管有些运营商说，VPLS以太网相对于国家和全球范围的MPLS服务，只是一种补充接入或城域网技术，但也有些运营商承认，已经有用户开始重新考虑他们的三层VPN部署决策是否必要了。

　　VPLS的目标客户是那些更希望自己来掌握对路由的控制、安全以及人员配置的企业，而不是那些希望与运营商合作共享网络的企业。

　　这些原因通常就是企业究竟选择二层还是三层VPN的首要考虑。不过有些用户还列举了三层MPLS VPN的一个优势，就是规模组播的能力，尤其当需要向SOA架构迁移时，这种能力会更加突出。

　　MPLS VPN比起VPLS来早成熟了几年，但是当VPLS持续不断地成熟，而且功能越来越完备时，用户究竟该选择哪一种技术，这样的决断将会越来越难做出。

　　Yankee集团的分析师Josh Holbrook说：“我不认为这会是场零和游戏。我也不认为哪种技术会胜过另外一种。”

　　SNA vs. TCP/IP

　　在这场征战中，IBM和思科各自摆开了阵式。

　　TCP/IP阵营与SNA阵营之间饶有趣味的征战旷日持久，时而沉寂，时而激烈，可以说是网络业历史上相当热闹的事件。1974年，IBM引入了SNA的概念和最初的组件，到了20世纪90年代中期，在与IP的头号支持者——思科的一场征战中，它已稳操胜券。

　　思科与业界达成了某种共识，开始提倡TCP/IP，后来便形成了高级P2P网际网(APPI)组织，以对抗IBM SNA的APPN(高级P2P联网)。尽管APPI在1993年便销声匿迹了，但是它还是种下了最终让SNA失败的种子。

　　对IBM来说，在它试图让以前的SNA用户升级到APPN时，几乎每件事都做错了——IBM把APPN设备做得又贵又复杂，甚至要求可能帮助构建APPN潜在的第三方缴纳许可费用。1994年，一位IBM高管曾经夸下海口，要“灭掉”跟他们对抗的厂商(主要指思科)，“扶植我们自己的网络队伍”。

　　除此之外，IBM还从法律上威胁一些使用了它的技术的企业。尽管IBM已经开始逐渐失去它的客户，但它还是拥有超过5万多的SNA安装基础，可以说气势汹汹，余威尚在。但是当思科在上世纪90年代中开始授权IBM使用主机通道技术，当数据链路交换(DLSw)和tn3270(可允许SNA在IP网络上跑)问世时，胜负已有定论。Gartner当时还曾经作过一次市场调查，结果发现，以SNA作为其首选协议的用户，其投入的总成本要比接受过培训的IP用户的软硬件购买成本和管理成本之和高出20%。

　　你不必通过什么魔球也能看到结果。IBM最终在1999年将其网络业务卖给了思科。

　　开放系统互联(OSI)技术的支持者们在当时也闹出了不小的动静。OSI的产品与服务建立在一组国际标准协议的基础上，目的是要保证所有厂商之间及其产品之间能够互操作。IBM和DEC是OSI的两大主要支持者，尽管OSI从直观上看是与SNA和DECnet格格不入的。在上世纪的80年代和90年代，美国政府一直在敦促使用OSI产品，但它还是不得不在1994年改变了调门，也开始采用TCP/IP。可以这么说，TCP/IP在不可阻挡地前进，而OSI产品被广泛采纳的期望却从未实现过。(未完待续）