分享

性能优化这个话题可大可小。从大的方面来说，在系统设计之初，需要考虑硬件的选择，操作系统的选择，基础软件平台的选择；从小到方面来说，每个子系统的设计，算法选择，代码怎么写，如何使用编译器的选项，如何发挥硬件的最大性能等等。本系列关注的是在给定硬件平台，给定操作系统和基础软件平台的情况下，如何优化代码，简而言之，就是关注小的方面。

在给定硬件平台的情况下，如何发挥硬件的最大效能？前提是需要对硬件平台很熟悉。如何分离硬件相关代码和硬件无关的代码是一个很重要的技能。针对某一硬件平台优化固然是好，但是如果代码都是硬件相关的，就失去了可移植性，软件的性价比不一定高。

性能优化只是系统的一个方面，它会和系统的其他要求有冲突，比如

• 可读性：性能优化不能影响可读性，看起来不怎么漂亮的代码，没有人愿意维护
• 模块化：性能优化往往需要打破模块的边界，想想这是否值得
• 可移植：隔离硬件相关的代码，尽量使用统一的API
• 可维护：许多性能优化的技巧，会导致后来维护代码的人崩溃

需要在性能优化和上述的几个要求之间做出tradeoff，不能一意孤行。

性能优化的目标是什么？不外乎两个：

• 时间性能：减小系统执行的时间
• 空间性能：减小系统占用的空间

那么我们优化的策略，首先就是对系统进行分解，测量：

• 分解：系统包含的子系统，执行路径，函数，指令等等
• 测量：每个子系统，执行路径，函数，指令所花费的时间和空间

然后，选取执行次数最多，消耗时间最长的函数进行优化（这里需要指出的是，消耗时间最长的函数并不一定就是优化的对象，这个需要放到某个执行路径上去考察，优化最常使用的执行路径）。

对于单核和多核的优化，有什么不同？以cache miss为例，在单核上

• I-cache miss的原因是什么？一是代码路径太长，以至于超出了cache的容量，cache需要替换；二是        多个执行路径之间相互交替，cache需要替换；三是I-cache, D-cache互相踩。（对于i-cache的优化，基本上没有什么可遵循的规则。最有效的还是：一，减少无用的代码；二，减少冗余的代码；三，减少函数调用的开销；4，快速路径短小精干，相关代码相邻；5，相关代码放到一个段里面等等）
• D-cache miss的原因是什么？一是数据结构太大，超出了cache的容量（大数组，长链表都会有这个问题，比较之下，还是数组更让人放心一点）；二是多个数据结构之间相互踩（问题是一个执行路径，需要访问那么多数据吗？如果是，这个路径是不是太复杂了一点）；三是D-cache和I-cache的冲突（这个不好说，系统里面会出现这种模式的cache miss吗？）

在多核上，cache miss会有什么新的特点？

• I-cache miss：多核有独立的L1 cache，共享的L2/L3 cache。如果多条执行路径同时进行，cache的冲突几率就会增大。但是这是没办法的事情，总不能什么事都不做吧。所以，对i-cache的优化，关注快速路径就可以了，不要把精力都花费在这个上面
• D-cache miss：锁，原子操作，伪共享等都会引起多核上的D-cache miss。这是多核优化时需要关注的重点。优化的策略也很直接，就是尽量减少锁，原子操作，伪共享等。多核的所有冲突都是由共享引起的，所以要区分出哪些是必须共享的，哪些是可以per thread的。并行优化与应用有关，需要注意的是，优化是否对所有用例都有效？做不好，可能顾此失彼。

性能优化必备技能

• 熟悉系统执行路径：可以通过读代码或者使用profiling工具学习代码，要思考执行路径上不合理的地方，看看哪里可以减少，哪里可以合并。熟悉系统执行路径是性能优化的基础。
• 熟悉测量工具：顺手的工具必不可少
• 常用的代码优化技巧和策略：针对不同的语言，不同的平台，使用与之相应的技巧和策略

学习性能优化是一个不断积累的过程，在这个过程中，总结和学习自己用的顺手的工具和技巧，不断尝试，不断思考，就会有收获（感谢teltalk.org读者的评论，弯曲评论的精华在评论，思想碰撞才有火花）。

参考资料：

1: http://en.wikipedia.org/wiki/Program_optimization

2: http://www.agner.org/optimize/

3: Code Optimization – Effective Memory Usage

4: Hacker’s Delight

分享

分享

弯曲的朋友们大家好，我是网御神州科技有限公司的HR 我叫jean。
听说这里聚集了大量安全行业的高手，特借贵宝地一用来发个招聘消息。
我们公司北京总部现有大量的工作机会，大量招聘C语言/C++方向的资深软件工程师，高级软件工程师和普通软件工程师，待遇优厚，岗位保留至8月。欢迎朋友们联系我：seekforrd@126.com。
如果您不想换工作，但能为我们推荐人才，则面试通过入职后，我们为您申请现金伯乐奖答谢。
感谢大家的关注。

分享

分享

近来OpenFlow的话题比较多，INFOCOM上清华土著又给上了一课，就找了些资料学习了一下，顺带编写了这篇科普文章。感谢许多朋友在撰写过程中的帮助和启发，另外yeasy兄发在弯曲的系列文章也非常有价值。很喜欢LiveSec团队的开放心态，希望能帮他们的产品和理念做尽量广泛的传播。

原文发于《计算机世界》。顺带说下，最近要做NFGW的选题了，感兴趣的朋友来找我吧，Email和GTalk是hanxu0514 aT gmail dOt com。

4月10日至15日，第30届IEEE计算机通信国际大会 (INFOCOM 2011)在上海国际会议中心隆重举行。本次会议吸引了国内外1000多名计算机和通信领域的专家、学者和企业的科研人员到场，重点围绕云计算、网络安全、数据中心网络、移动互联网、物联网等一系列研究领域的前沿问题进行了深入的探讨。在倍受关注的现场展示环节中（Live Demo），来自清华大学信息技术研究院网络安全实验室的师生们展示了基于OpenFlow的网络安全管理系统LiveSec，引起了与会者的普遍关注。该系统的成功运行，是国内通信领域的研发团队对前沿技术跟踪、创新工作的完美诠释，在科研成果转化为可用产品的道路上占据了先机。

OpenFlow扬帆起航

OpenFlow技术最早由斯坦福大学提出，旨在基于现有TCP/IP技术条件，以创新的网络互联理念解决当前网络面对新业务产生的种种瓶颈，已被享有声望的《麻省理工科技评论》杂志评为十大未来技术。它的核心思想很简单，就是将原本完全由交换机/路由器控制的数据包转发过程，转化为由OpenFlow交换机（OpenFlow Switch）和控制服务器（Controller）分别完成的独立过程。转变背后进行的实际上是控制权的更迭：传统网络中数据包的流向是人为指定的，虽然交换机、路由器拥有控制权，却没有数据流的概念，只进行数据包级别的交换；而在OpenFlow网络中，统一的控制服务器取代路由，决定了所有数据包在网络中传输路径。OpenFlow交换机会在本地维护一个与转发表不同的流表（Flow Table），如果要转发的数据包在流表中有对应项，则直接进行快速转发；若流表中没有此项，数据包就会被发送到控制服务器进行传输路径的确认，再根据下发结果进行转发。

OpenFlow网络的这个处理流程，有点类似于状态检测防火墙中的快速路径与慢速路径的处理，只不过转发与控制层面在物理上完全分离。这也意味着，OpenFlow网络中的设备能够分布部署、集中管控，使网络变为软件可定义的形态。在OpenFlow网络中部署一种新的路由协议或安全算法，往往仅需要在控制服务器上撰写数百行代码。加州大学伯克利分校的Scott Shenker教授对此有着很到位的评价：“OpenFlow并不能让你做你以前在网络上不能做的一切事情，但它提供了一个可编程的接口，让你决定如何路由数据包、如何实现负载均衡或是如何进行访问控制。因此，它的这种通用性确实会促进发展。”

在得到学术界的普遍认可后，工业界也开始对这项新技术表达出浓厚的兴趣。OpenFlow已经在美国斯坦福大学、Internet2、日本的JGN2plus等多个科研机构中得到部署，网络设备生产商思科、惠普、Juniper、NEC等巨头也纷纷推出了支持OpenFlow的有线和无线交换设备，而谷歌、思杰等网络应用和业务厂商则已将OpenFlow技术用于其不同的产品中。就在半个月前，以OpenFlow为产品核心设计理念的初创企业Big Switch Networks成功完成了总额1375万美元的第一轮融资，标志着资本市场对这项新技术及其发展前景的充分认可。目前，OpenFlow的推广组织开放网络基金会（Open Networking Foundation）的成员基本涵盖了所有网络及互联网领域的巨头。

好用才是硬道理

使用新技术的代价往往十分高昂，好在OpenFlow具有足够的开放性，给在传统网络中的融合实现带来可能。清华大学信息技术研究院网络安全实验室在本届INFOCOM大会上现场展示的部署在清华大学信息楼内的LiveSec网络安全系统，就是一个非常好的范本。该系统在传统的以太网之上，通过无线接入技术和虚拟化技术引入了基于OpenFlow协议的控制层，显著降低了构建成本。

LiveSec网络安全系统包含三层架构：

• 以太网交换层: LiveSec基于传统的以太网络进行物理交换，所有的执行OpenFlow协议的接入设备通过传统以太网互联。
• OpenFlow控制层: LiveSec使用支持OpenFlow协议的虚拟交换机（Open vSwitch）和无线路由器构成接入网络层。OpenFlow控制层构成LiveSec的逻辑拓扑，并由LiveSec控制器进行集中控制。
• 网络用户和服务节点: 网络用户通过无线路由器接入，服务节点通过虚拟交换机接入。所有接入流量在接入层受到LiveSec控制器的全局策略控制。

基于上述架构，LiveSec相对传统的安全部署模型具有多重优势。首先，该系统解决了安全设备的可扩展问题。通过全局细粒度的负载均衡，LiveSec支持安全设备在网络的任意位置进行增量式部署。新部署的节点会按照OpenFlow协议自行入网，并自动将控制权交由LiveSec控制器。所有的用户和服务节点均可在LiveSec网络内动态迁移，包括无线接入和虚拟机的无缝迁移。记者在展示现场尝试进行了基于虚拟机的服务节点动态加入网络的实验，当具有安全检测能力的虚拟机加入网络中时，LiveSec的可视化界面会显示出该虚拟机在网络中的拓扑及其具备的业务能力（如杀毒功能，协议识别功能等）。LiveSec控制器会依据新增节点的处理能力将需要安全处理的网络流量均衡到新的节点上，从可视化界面中也可以看到新增节点引起的链路流量变化。

传统网络中，安全设备一般被部署在边缘，对进出流量进行访问控制。这种方式虽然成熟有效，对内网中的安全问题却无能为力。LiveSec创新的交互式访问控制特性则能很好地解决这一难题，由于系统提供了安全节点到控制器的信息交换通路，并针对安全事件设计了一套信息交换协议，LiveSec可以根据安全节点传来的安全事件，在用户接入层实施访问控制。这意味着，该系统做到了全网的点到点安全控制，任何攻击流量在不离开接入交换机的情况下就被扼杀在萌芽状态，内网安全的顽疾可以从根本上得到解决。

在OpenFlow网络中，控制服务器管控着所有的数据流，又能实时感知其他节点的状态，为可视化提供了足够的基础。记者在展示中看到，LiveSec结合OpenFlow协议以及应用层业务识别服务节点，将网络中所有的拓扑、流量、应用、安全变化都按照统一格式写入中央数据库，并在动态界面中实现了包括当前状态及历史事件回放在内的全网业务可视化。当使用无线设备的用户通过OpenFlow无线路由器接入后，立即会显示在系统的可视化界面中。该用户上网所涉及的应用层协议，也会实时显示在用户图标一侧。当用户访问不良网站或者进行攻击时，图标上会出现红色警示，LiveSec也会依据安全策略在用户接入端实时阻止用户的部分或所有流量。历史回放功能也相当实用，可以回放特定时间段内LiveSec的所有事件，攻击发起者包括地理位置在内的所有信息均可以通过数据库查找获取。

图4. 在清华大学信息楼部署的LiveSec系统

商业模式定成败

虽然OpenFlow网络从根本上解决了传统网络存在的很多问题，却也因标准化过程刚刚起步，缺乏大众化的、实用的落地方案，至今仍然多被用于各类实验性质的网络。在其发展的道路上，势必还要经历扩大用户规模和商业模式创新两大阶段。而纵观近年来IT行业巨头们的发展情况，缔造一个成功的商业模式，其重要性显然远远超过了技术创新。

在记者看来，LiveSec在某些技术以外环节上的创新，对OpenFlow的推广有着十分积极的意义。该系统将传统安全网关的数据平面拓展到整个网络之中，以全网内的OpenFlow交换设备作为数据转发平面。并且为了保证可扩展性并降低成本，保留了传统的以太网交换设备，仅通过引入支持OpenFlow协议的接入层网络来实现逻辑拓扑的全网可控。这意味着，有着一定研发能力的用户可以利用廉价的硬件平台和开源软件，自行搭建低成本的OpenFlow网络。据LiveSec团队负责人亓亚烜博士介绍，该校信息楼内实验网络的建设大量采用了传统的以太网交换机和无线接入点，OpenFlow控制层则由运行着开源的Open vSwitch模块的电脑和支持OpenFlow协议的第三方无线接入点固件DD-WRT实现，从而建立了一个低成本、高性能的OpenFlow网络。

未来的数据中心网络越来越趋向于由虚拟机和服务器群所组成，数据中心的交换架构则趋向扁平，使用高性能交换机群组或clos 网络甚至可以支持百万个节点的无阻塞互联。在这种情况下，网络服务质量及高可用性成为用户最为关心的问题。以LiveSec为代表的基于OpenFlow的网络操作系统支持网络设备的分布式部署，有效避免了单点失效问题。控制服务器的分布式部署，则可以利用分布式哈希技术同步全网拓扑和策略。当网络出现局部故障时，系统可以利用OpenFlow协议迅速构建全新的互联拓扑，甚至可以为不同的业务和应用分别构建不同的拓扑，以满足安全和服务质量的需求。这又是新的商业机会，试想一下，在OpenFlow网络的支持下，IaaS提供商可以为用户交付一个独一无二的网络，用户甚至可以自行设定数据流在本网内的路径和安全策略，而不仅仅是几个虚拟设备的控制权。

从系统实现模式的角度看，LiveSec的模式是构建网络操作系统（基于开源项目Nox），这个发展方向已经被许多业内人士所认同。不管对象是桌面还是网络，操作系统存在的根本意义都是管理设备和提供编程接口。众所周知，想发挥一块高性能显卡的处理能力，必须先安装该硬件的驱动。基于OpenFlow的网络操作系统也是如此，仍以LiveSec为例，所有OpenFlow交换设备和安全服务节点都可看作网络系统中的硬件设备，安全业务的实现则通过服务节点上的软件完成。当新的服务节点加入网络时，LiveSec控制器首先要知道这个节点能处理什么业务，以及如何与设备建立通信机制，才能让安全处理的执行者和决策者有效地互动起来。出于商业层面的考虑，这种机制的建立往往由服务提供者主动告知控制器，需要一个与电脑安装硬件驱动十分相似的过程。对网络管理者来说，这个步骤简化了部署及使用难度；而对设备制造商而言，这种方式也有利于将现有针对传统网络的产品快速移植到OpenFlow网络中。

受当前流行的运营模式影响，基于OpenFlow的网络操作系统也在加入更多的应用发行元素。当用户在控制台中添加服务如同在App Store获取应用般便捷时，OpenFlow网络的建设必然会步入高速发展阶段。实际上，这种发行模式与当前许多云安全服务的商务模式是可以无缝对接的，为云安全的落地提供了绝佳的渠道。以抗DDoS需求为例，在用户购买对象大量地由专用设备转向清洗服务的今天，供应商可以通过系统内置的发行体系为用户提供自助服务，然后按次数或处理能力收取费用；用户完全不必考虑现实中令人头疼的部署问题，只需通过“软件商店”下载安装相应服务，就能为OpenFlow网络添加抗DDoS的能力。

分享

分享

【陈怀临注：我个人与高老师不熟悉。但知道作为晚辈和对体系结构和系统软件充满热爱的人，需要尊敬和缅怀这样的人。中国之所以不会亡，就是有了邓稼先，钱学森等等许多我们知道的和不知道的人们。。。中国一定会崛起，重耀我大汉之光。一个属于中国人的中国。】

本文是高庆狮先生2006年为纪念“中国计算机事业创建50周年”所做。曾发表在《计算机世界》上。这是非常珍贵的中国计算机发展史料，我们在此再次刊载，借以缅怀刚刚辞世的高先生和其他早期筚路蓝缕、艰苦创业的先驱们。

　　自从1946年，世界上第一台数字电子计算机在美国诞生，与计算机最邻近领域的数学和物理界的共和国泰斗、世界数学大师华罗庚教授和中国原子能事业的奠基人钱三强教授，十分关注这一新技术如何在国内发展。

　　中国诞生计算机

　　从1951年起，国内外和计算机领域相近的其他领域人才，尤其是从国外回来的教授、工程师和博士，不断转入到该行业中。他们当中的很多人，都在华罗庚领导的中科院数学所和钱三强领导的中科院物理所里，其中包括国际电路网络权威闵乃大教授、在美国公司有多年实践经验的范新弼博士、在丹麦公司有多年实践经验的吴几康工程师，以及从英国留学回来的夏培肃博士和从美国留学回来的蒋士飞博士。

　　他们积极推动，把发展计算机列入12年发展规划。

　　1956年3月，由闵乃大教授、胡世华教授、徐献瑜教授、张效祥教授、吴几康副研究员和北大的党政人员组成代表团，参加了在莫斯科主办的“计算技术发展道路”国际会议，到前苏联“取经”，为我国制定12年规划的计算机部分做技术准备。当时的代表团主要成员后来都参加了12年规划。此外，范新弼、夏培肃和蒋士飞也加入规划制定中。在随后制定的12年规划中，确定了中国要研制计算机，并批准中国科学院成立计算技术、半导体、电子学及自动化等四个研究所。

　　计算技术研究所筹备处由科学院、总参三部、国防五院（七机部）、二机部十局（四机部）四个单位联合成立，北京大学、清华大学也相应成立了计算数学专业和计算机专业。为了迅速培养计算机专业人才，这三个单位联合举办了第一届计算机和第一届计算数学训练班。计算数学训练班的学生有幸听到了刚刚归国的钱学森教授和董铁宝教授讲课。钱学森教授在当时已经是国际控制论的权威专家，而董铁宝教授在美国已经有过3～4年的编程经验，也是当时国内惟一真正接触过计算机的学者。当时我也是学生之一。

　　钱学森的数学功底的深度和广度几乎涵盖了我们所学的数学的所有课程，而且运用自如，我们作为北大数学系学生，对此感到十分钦佩。同时，钱学森教授也帮助我们具体了解到，数学如何应用到实际物理世界中。

　　在前苏联专家的帮助下，由七机部张梓昌高级工程师领导研发的中国第一台数字电子计算机103机（定点32二进制位，每秒2500次）在中国科学院计算技术研究所诞生，并于1958年交付使用。参与研发的骨干有董占球、王行刚等年轻人。随后，由总参张效祥教授领导的中国第一台大型数字电子计算机 104机（浮点40二进制位、每秒1万次）在1959年也交付使用，骨干有金怡濂，苏东庄，刘锡刚，姚锡珊，周锡令等人。其中，磁心存储器是计算所副研究员范新弼和七机部黄玉珩高级工程师领导完成的。在104机上建立的、由仲萃豪和董韫美领导的中国第一个自行设计的编译系统，则在1961年试验成功（Fortran型）。

　　国防是首要服务对象

　　在任何先进国家，计算机的发展首先都是为国防服务，应用于国家战略部署上，中国也不例外。1958年，北京大学张世龙领导包括当时作为学生的王选在内的北大师生，与中国人民解放军空军合作，自行设计研制了数字电子计算机“北京一号”，并交付空军使用。当时中国人民解放军朱德总司令还亲自到北京大学北阁“北京一号”机房参观了该机器。随后，张世龙带领北大师生（包括王选和许卓群在内），立即投入北大自行设计的“红旗”计算机研制工作，当时设定的目标比前苏联专家帮助研制的104机还高，并于1962年试算成功。但是由于搬迁和文革的干扰，搬迁后“红旗”一直没有能够恢复和继续工作。

　　与此同时，1958年，在哈尔滨军事工程学院（国防科技大学前身）海军系柳克俊的领导下，哈尔滨军事工程学院和中国人民解放军海军合作，自行设计了“901”海军计算机，并交付海军使用。在海军系康继昌的领导下，哈尔滨军事工程学院和中国人民解放军空军合作，自行设计的“东风113”空军机载计算机也交付空军使用。随后，柳克俊领导的国产晶体管军用的计算机，也在1961年交付海军使用。

　　1958年～1962年期间，中国人民解放军总参谋部也前后独立研制成功了一些自行设计、全部国产化的计算机。

　　1964年，中科院计算技术研究所吴几康、范新弼领导的自行设计119机（通用浮点44二进制位、每秒 5万次）也交付使用，这是中国第一台自行设计的电子管大型通用计算机，也是当时世界上最快的电子管计算机。当时美国等发达国家已经转入晶体管计算机领域，119机虽不能说明中国具有极高水平，但是仍然能表明，中国有能力实现“外国有的，中国要有；外国没有的，中国也要有”这个伟大目标。

　　在119机上建立的，是董韫美领导的自行设计的编译系统，该系统在1965年交付使用（Algol型），后来移植到109丙机上继续起作用。

　　哈尔滨军事工程学院计算机系慈云桂教授领导的自行设计的晶体管计算机441B（浮点40二进制位、每秒8千次）在1964年研制成功，骨干人员包括康鹏等人。1965年，441B机改进为计算速度每秒两万次。

　　与此同时，中科院计算技术研究所蒋士飞领导的自行设计的晶体管计算机109乙机（浮点32二进制位、每秒6万次），也在1965年交付使用。为了发展“两弹一星”工程，1967年，由中科院计算机所蒋士飞领导，自行设计专为两弹一星服务的计算机109丙机，并交付使用，骨干有沈亚城、梁吟藻等人。两台109丙机分别安装在二机部供核弹研究用和七机部供火箭研究用。109丙机的使用时间长达15年，被誉为“功勋计算机”，是中国第一台具有分时、中断系统和管理程序的计算机，而且，中国第一个自行设计的管理程序就是在它上面建立的。

　　这些由中国科研人员自力更生、努力拼搏研制出的第一批计算机，代表了中国人掌握计算机的技术水平和成果，证明了中国有能力发展自己的全部国产化的计算机事业。

　　突破百万到超越亿计算

　　虽然我国自行设计研制了多种型号的计算机，但运算速度一直未能突破百万次大关。1973年，北京大学（由张世龙培养的、包括许卓群和张兴华等骨干人员）与“738厂”（包括孙强南、陈华林等骨干人员）联合研制的集成电路计算机150（通用浮点48二进制位、每秒1百万次）问世。这是我国拥有的第一台自行设计的百万次集成电路计算机，也是中国第一台配有多道程序和自行设计操作系统的计算机。该操作系统由北京大学杨芙清教授领导研制，是国内第一个自行设计的操作系统。

　　1973年3月，在全国实际研制目标200～500万次不能满足中国飞行体设计的计算流体力学需要的情形下，时任国防科委副主任的钱学森，根据飞行体设计需要，要求中科院计算所在20世纪70年代研制一亿次高性能巨型机，80年代完成十亿次和百亿次高性能巨型机，并且指出必须考虑并行计算道路。中科院计算所根据国防情报所和计算所情报室提供的国际上的公开资料，分析了1970年前后美国研制的高性能巨型机的优缺点之后，于1973年5月提出“全部器件国产化一亿次高性能巨型机（20M低功耗ECL、电路-四条流水线）及其模型机（757向量计算机、10M ECL、电路-单条流水线）”的可行方案。由于文革中受到严重干扰，以及文革后“走马灯”式良莠不齐的领导乱指挥，尽管在1979年，由亚城负责的20M 低功耗ECL电路的集成电路芯片投片已经研发成功，但是最终“全部器件国产化一亿次高性能巨型机”的研发，因为任务变化，最终搁浅。

　　表1和表2给出了代表中国掌握电子管、晶体管、集成电路计算机技术的发展时间表，水平主要是根据创新的“三性”中的先进性。需要说明的是，表中所列只是代表中国已掌握的计算机技术水平的计算机，其中，带*的103、104、119、150、757，及银河-1号巨型机和银河-2仿真计算机等7台计算机，都被载入“记述对中华文明发展起促进作用的重要历史事件”的中华世纪坛青铜甬道铭文中。

　　除了研制水平之外，产业、市场和应用的发展也同样重要。在批量生产计算机上，电子工业部及其相关研究所（例如著名的15所）和工厂（例如著名的 738厂）功不可没。不仅上述中国早期计算机的研制和批量生产要依靠它们，而且它们也独立设计和研制过一些成批生产的计算机(例如108系列、与清华大学合作的DJS-130等），尤其在人造卫星地面系统（例如320计算机及舰上718计算机）及其他军工任务上，这些研究所和工厂都有过突出贡献。研究所和工厂研究工作的重点，主要是在技术和工艺方面。他们的领军人包括莫根生、陈立伟、曹启章及一批骨干人员，例如江学国等。现任中国工程院院士罗沛霖领导的仿 IBM系列也起过历史性作用，沈绪榜和李三立负责的有关卫星天上和地上计算机及其他任务用的计算机也做出了重要的贡献。此外，七机部、清华大学及中科院各分院在发展计算技术方面还做出了许多贡献，这里就不枚举了。

　　中国自力更生全部国产化的半导体、集成电路计算机事业，和20世纪50～70年代林兰英、王守武、王守觉和徐元森等教授领导的中科院半导体所、上海冶金所和109厂的研究及开发工作是分不开的。中科院半导体所和109厂都是从中国科学院物理所独立出来的，中科院物理所对中国计算机事业的历史贡献功不可没。

　　人才培养至关重要

　　发展计算机事业离不开人才培养，20世纪50～70年代，中科院计算技术研究所(及之后的中国科技大学)的夏培肃副研究员、北京大学和哈尔滨军事工程学院，在组织教师和学生动手研制计算机、进行实践、培养人才等方面，都取得了很好的成绩。夏培肃领导组织教师和学生动手研制了107（定点32二进制位、每秒 250次）计算机，该计算机于1960年交付使用，并且还复制了两台。尽管107计算机比103（1958年交付使用）、104计算机（1959年交付使用）速度低了10倍到40倍，但是对培养人才起了重要作用。

　　一个计算机系统是由多方面研究成果构成的。范新弼领导的磁心存储器长期处于领先地位，其中主要的骨干有伍福宁、王振山、徐正春、张杰、甘鸿，等等。王克本领导了中国第一个八层印刷电路版研究与设计小组。方光旦在磁头、磁胶，张品贤在磁带，顾尔旺在磁鼓等方面，都做出了出色的贡献。实际上，大多计算机的研发都是集体成果，例如全国参加757计算机研发工作的人员，就有上千人。

　　我国第一个“计算机系统结构设计”小组于1957年在中科院计算所成立。20世纪50～70年代，它承担了中科院计算所代表性的计算机（119、109乙、109丙、757、717等计算机）的系统结构设计任务。参与成员则根据当时前苏联计算机领军人物、前苏联科学院列贝捷夫院士的建议，由年轻的数学专业毕业生组成。第一任小组负责人是国际网络权威人士闵乃大教授，第一个正式设计任务则是1958年5月国防部门的“导弹防御系统计算机”系统结构设计。设计工作由北京大学张世龙和第二任小组负责人虞承宣，加上6名数学专业毕业的大学生组成，其中周巢尘、沈绪榜等3人后来分别由不同领域（软件、航天、系统结构）、不同单位被选为中科院院士。

　　中国20世纪60年代编译系统的带头人在当时都是年轻人，如中国人民解放军总参谋部杨奇、中科院计算所董韫美和仲萃豪、南京大学徐家福、国防科技大学陈火旺等。中国20世纪60年代操作系统的带头人有北京大学杨芙清、南京大学大孙仲秀等，当时也都是年轻人。软件正确性设计（容易推广到硬件的正确性设计）是近20多年国际上关注的具有巨大经济效益、社会效益和理论价值的重大问题。我国领军人物何积丰院士、周巢尘院士如今已经是国际上知名的佼佼者。 20世纪70年代，逐渐形成容错和检测理论和实践的带头人是魏道政，而知识处理的带头人是陆汝钤。

　　依赖进口弊端过大

　　20世纪70年代后期以后，中国研制的计算机，几乎全部使用进口元器件、进口部件。

　　由于超大规模集成电路迅速发展，数千万甚至上亿个晶体管逐渐能够集成在一个芯片上，20世纪80年代及其之后得到迅速发展的计算机，是普通个人使用的“微机”（PC机）及超强“微机”（后者可以组成服务器或者并行处理的高性能计算机），而其他各式各样的计算机（包括超级中小型计算机在内）由于性价比问题，无法和微机竞争，就自然逐步退出舞台了。国际上没有及时调整战略的计算机公司，例如CDC公司、王安公司等，纷纷倒闭。虽然如此，国内那一段过渡时期为了满足用户需求而研制的各种机型也曾有过较大贡献，例如张修领导的KJ8920，在为用户提供优质服务软件方面就很突出。

　　中国最早意识到个人计算机发展趋势而率先转向研究“微机”，并且做出突出贡献的带头人有倪光南、韩承德等。

　　国内高性能计算机，有慈云桂、卢锡城、周兴铭、杨学军领导的银河系列；张效祥、金怡濂、陈左宁领导的神州系列;李国杰、孙凝晖领导的曙光系列；祝明发领导的联想深腾系列；以及周兴铭领导的银河-2数字仿真巨型机等。PC机有联想系列、长城系列、方正系列、同方系列等，其学术代表性带头人是倪光南，产业代表性的领军人是柳传志。

　　计算机产业作为一个产业链，软件发展依赖于整机和应用需求的发展;整机的发展依赖于芯片、部件及需求的发展;芯片的发展则依赖于“集成电路生产线大三角形”的发展。这里集成电路生产线大三角形是指集成电路生产线的三大部分，即大底座、中间层和顶层。大底座（价值十多亿美元的集成电路制造工艺生产线）是从拉单晶硅到光刻-扩散-参杂，到最后封装，相当于过去林兰英、王守武、王守觉和徐元森等领导中科院半导体所、上海冶金所的研究工作。中间层是各种高速低功耗电路设计，相当于过去中科院计算所电路设计组蒋士飞、沈亚城等人的研究工作。20世纪70年代，沈亚城所进行的高速低功耗ECL电路设计，直到做成芯片，才可以算做完成。顶层则是硅编译等等软件工作，这部分工作过去是计算所使用小规模集成电路时把逻辑设计图变成为工程布线图的手工工作，加上半导体所制造小规模集成电路各种掩模版所需的手工工作。在超大规模集成电路的情况下，从复杂性、可靠性角度，手工是绝对不可能完成的，需要依靠硅编译来自动完成。

　　在允许部分进口的环境下，一个产业链如果要求全部国产化，会造成一环落后引发产业链后续部分全部落后的情况；使用进口元器件、进口部件，使得各种类型整机可以在国际先进基础上得到发展，进而软件和应用都能在国际先进基础上得到发展，从市场经济角度看，这无疑是正确的。

　　但是，当国内所研制的计算机全部转向使用进口元器件、进口部件时，一方面中国的高性能计算和PC机的发展依赖于进口元器件和进口部件的水平;另一方面中国的集成电路研制力量，由于缺少巨大的经济支持，都转向非计算机用的其他难度小的方向。

　　“元器件全部进口化”导致的结果是，不仅全部国产化的亿次高性能巨型机研制中止，而且真正完全自主的国产的计算机集成电路研制工作也中断，至今也没有恢复，甚至没有任何恢复的迹象，这两方面对国家安全都很不利。实际上，“集成电路生产线大三角形”依靠进口的集成电路生产线，就等于依赖外国集成电路生产线水平和外国政府批准向中国出口的集成电路生产线的水平。引进无法达到最先进，而且在特殊情况下，引进很可能中断，引进的生产线的备份件也不能得到更新。

　　“中国芯”何时真正崛起

　　进入21世纪以后，李德磊负责的“方舟”、胡伟武负责的“龙芯”、以及王沁参加负责的“多思”、方信我负责的“国安”等等“中国芯”项目不断涌现，计算机产业链国产化又前进了一大步。但当前或者未来将出现的众多的“中国芯”的共同点，都是“集成电路生产线大三角形”的一个应用。也就是说，其水平仍然是依赖于外国集成电路生产线水平和外国政府批准向中国出口的集成电路生产线的水平，仍然受制于人。

　　众多“中国芯”的主要的差别只是在系统结构设计上，或者在高速低功耗电路等设计上，有没有重大创新、重大突破。设计明显创新的，有国外学者称之为相当于“大学生课程设计”水平，虽然难听却也有几分道理。尽管能设计“中国芯”的人或公司越来越多，但是能设计“中国集成电路生产线大三角形”的人，如果不采取措施，不仅目前没有，恐怕不远的将来仍然是空白。如果中国不能制造中国的“集成电路生产线大三角形”，那么无论有多少种“中国芯”，中国的高性能计算机和中国PC机的发展水平就必然还是取决于美国“集成电路生产线大三角形”的发展水平及美国政府允许向中国出口的水平。

　　现实的道路是，我们可以通过引进、消化、吸收与独立研究相结合的方式发展芯片产业，而建立完全自主的“集成电路生产线大三角”，则应该是国家急需解决的重中之重。

　　早在1965年，中科院半导体所王守觉就开始研制从逻辑图到掩模版的自动形成系统“图形发生器”，这项研究比美国还早。由于文革破坏而中断了3年，1971年初研制成功时，反而比美国晚了一年多。以上历史说明，中国人的独立研究能力也不容忽视，研究环境也不容被忽视。

　　如何做到既能使产业链的各个环节的发展都能建立在国际最高水平之上，又能确保国家安全？这不仅仅是一个计算机产业链的问题，应该是许多产业链所存在的共同问题，更是决策者急需处理的政策问题。

　　中国半个世纪电子数字计算机事业的领路人，是在两位共和国功勋科学家华罗庚和钱三强关注下的一个群体，这个群体在50年前，是10多名从相邻领域转过来的30～40多岁的中青年带头人，和五、六十名受过专业教育的20多岁的青年骨干，还有数十名当时尚未出世的后起之秀，本文列举的，只是这个百人群体中的一小部分。

　　链接:文中部分科学家简历

　　华罗庚：江苏金坛人。中国解析数论、典型群、矩阵几何学、自守函数论与多复变函数论等很多方面研究的创始人与开拓者，国际知名数学家，先后当选美国科学院外籍院士，第三世界科学院院士，法国南锡大学、美国伊利诺大学、香港中文大学荣誉博士，联邦德国巴伐利亚科学院院士等。

　　钱三强：浙江湖州人，出生于浙江绍兴。核物理专家、中国核原子科学之父，曾师从居里的女儿、诺贝尔奖获得者伊莱娜?居里及其丈夫约里奥?居里。在中国研发原子弹期间，担任技术总负责人、总设计师，被追授“两弹一星功勋奖章”。

　　范新弼：电子计算机专家，湖南长沙人。1951年获美国斯坦福大学电子学博士学位，在电子器件研究与应用领域获8项美国专利。归国后，领导我国第一台大型计算机及其后多台大型计算机的磁芯存储器研制工作，领导中国半导体存储元件研究，建立了国内第一批测试设备。

　　张效祥：计算机专家、中国科学院院士（学部委员）、中国解放军总参谋部计算技术研究所研究员。领导中国第一台大型通用电子计算机的仿制并在此后的35年中主持中国自行设计的电子管、晶体管到大规模集成电路各代大型计算机的研制，为中国计算机事业的创建、开拓和发展，起了重要作用。1985年，领导完成中国第一台亿次巨型并行计算机系统。

　　钱学森：中国现代物理学家、世界著名火箭专家、全国政协副主席，浙江杭州市人，生于上海。钱学森曾在美国任讲师、副教授、教授以及超音速实验室主任和古根罕喷气推进研究中心主任。1950年开始，历经5年努力，于1955年才回到祖国，1958年起长期担任火箭导弹和航天器研制的技术领导职务。

　　董铁宝：力学家、计算数学家，江苏武进人，“中国第一个程序员”（王选），长期致力于结构力学、断裂力学、材料力学性能、计算数学的研究和教学，我国计算机研制和断裂力学研究的先驱者之一。1945年赴美学习，1956年归国教学，1968年在文革中因受迫害自杀。

　　金怡濂：中国工程院院士、著名高性能计算机专家、国家最高科学技术奖获得者，原籍江苏常州。中国第一台大型计算机研制者之一，先后提出多种类型、各个时期居国内领先或国际先进水平的大型、巨型计算机系统的设计思想和技术方案，为我国高性能计算机技术的跨越式发展和赶超世界计算机先进水平有着重要贡献。

　　王选：江苏无锡人。著名的计算机应用专家，主要致力于文字、图形、图象的计算机处理研究。中国科学院院士、中国工程院院士、第三世界科学院院士、国家最高科学技术奖获得者。曾任北大方正集团董事、方正控股有限公司首席科技顾问，九三学社副主席、中国科协副主席、九三学社副主席、中国科协副主席。2003年当选十届全国政协副主席。

　　周巢尘：计算机软件专家，原籍江苏南汇，中国科学院院士（学部委员）、第三世界科学院院士、中国科学院软件研究所研究员，曾任联合国大学国际软件技术研究所所长。

　　杨芙清：北京大学计算机学科第一位教授、博士生导师，中国科学院院士（学部委员）、计算机科学技术及软件专家，无锡人。历任软件工程国家工程研究中心主任、北京大学信息与工程科学学部主任、北京大学软件工程研究所所长、北京大学计算机科技系教授。

　　孙仲秀：计算机科学家、中国科学院院士，原籍浙江余杭，生于江苏省南京市，历任南京大学助教、讲师、副教授、教授、博士生导师、副校长等职。1974年后主持研制了中国国产系列计算机DJS200系列的DJS200/XT1和 DJS200/XT1P等操作系统。从1979年起开始对分布式计算机系统软件和应用进行了研究，1982年在国内首次研制成功ZCZ分布式微型计算机系统，研究和开发了多个实用的分布式计算机系统。

　　何积丰：中国科学院院士、计算机软件专家，生于上海，祖籍浙江宁波。现任华东师范大学终身教授、软件学院院长，上海嵌入式系统研究所所长、联合国大学国际软件技术研究所高级研究员。早年进行管理信息系统和办公自动化系统的研发。

　　吴几康：安徽歙县人。计算机专家、中国计算机事业的开拓者之一。曾于1951年至1953年在丹麦任无线电厂开发工程师，归国后调至中国科学院近代物理研究所，后参与筹建计算技术研究所。1965年负责研制成功两台大型通用计算机，后参与筹建771微电子学研究所，任副所长和研究员。

　　张梓昌：电子计算机专家。江苏崇明（今属上海市）人。历任航天工业部第二研究院所长、测控公司总工程师，中国计算机学会第一届副理事长，中国宇航学会第一、二届理事。长期从事电子设备和计算机的研制，曾负责我国第一台计算机的技术工作，是我国计算机技术的学科带头人之一。

　　张世龙：北京大学计算机科学与技术系主任、教授，曾参加我国第一台自行设计制造的大型计算机119机和北大红旗计算机的系统设计。

　　慈云桂：著名计算机科学家、教授，中国科学院技术科学部学部委员，安徽桐城人。历任国防科技大学副校长兼电子计算机系主任和计算机研究所所长等职，先后主持了我国多种型号计算机的研制，从领导研制我国第一台电子管数字计算专用机，到担任“银河”亿次计算机研制的技术总指挥和总设计师，为国家经济建设、国防建设及科学研究事业做出了突出贡献。

　　冯康：应用数学和计算数学家、中国科学院院士、世界数学史上具有重要地位的科学家。生于江苏南京，原籍浙江绍兴。其独立创造了有限元方法、自然归化和自然边界元方法，开辟了辛几何和辛格式研究新领域。中国现代计算数学研究的开拓者。1997年底国家自然科学一等奖授予冯康的另一项工作“哈密尔顿系统辛几何算法”。历任中国科学院计算技术研究所任副研究员、研究员，中国科学院计算中心主任、名誉主任。(排名不分先后)

分享

分享

转自http://news.csdn.net/a/20110516/297891.html
CSDN刚刚收到消息，中国科学院院士、著名计算机体系结构专家高庆狮研究员因病于2011年5月15日凌晨2点在京去世，享年77岁。

高庆狮1934年生于福建厦门鼓浪屿。1953年以数学100，物理97分的成绩考入北京大学数学力学系。在校期间，1956年他参加了中科院计算所与北大、清华合办的第一届计算机训练班，聆听了钱学森和董铁宝（回国前在美国有几年编程经验，是当时国内惟一接触过计算机的学者）的讲座，就此从抽象数学改读计算数学专业。毕业后又被分配到中国第一个计算机体系结构研究组——中国科学院计算技术研究所总体设计组。此后一直在中科院计算所工作。

高庆狮1980年被选为中国科学院院士，是中国计算机界最早的两位院士之一，也是当时技术科学部最年青的院士。第五届和第六届全国人民代表大会代表。北京科技大学教授、所长（从1994年开始），中国科学院计算技术研究所终身研究教授，大连理工大学兼职教授。

他是中国第一台自行设计的大型通用电子管计算机——119、第一台自行设计的大型通用晶体管计算机——109乙机的体系结构设计负责人之一，中国通用第一台十万次/秒计算机109丙机、中国第一台向量计算机757的体系结构负责人，中国第一个管理程序（109丙机上实现）的总体设计负责人。他也是第一颗人造卫星地面计算控制中心早期设计负责人之一，“两弹一星”任务中我国第一台具有分时中断系统的晶体管计算机——“功勋计算机”的体系结构设计负责人。1973年他提出了纵横加工流水线向量机设计思想，提出了中国第一台超大型向量机的原理和设计，与三年后公布的CRAY-1思路不谋而合。

高庆狮除了体系结构方面的成就外，在并行算法、机器翻译、人工智能等方面的研究和工程实践上也取得了丰硕成果，多次获得全国科学大会科学重大成果奖。2004年，还发现1965年Zadeh提出的模糊集合论不完备和不可能有补集等两个缺点。与此同时，他还培养了近百名硕士和博士。

愿高庆狮教授安息！

分享

分享

《云计算核心技术剖析》一书本月下旬将正式出版，现在已经可以在当当网和china-pub上预订，请大家给力地预订吧。还有现在大家已经可以下载本书的mini书，参看具体的目录或者看首席的推荐，具体请点击下面的图片，并且还可以在115网盘上下载。18号第三届中国云计算大会将在北京召开，我们图灵在那边有一个展台，当然肯定有《云计算核心技术剖析》的展示，希望大家如果去的话，到那边看看，下面有展台照片。

展台

分享

分享

1、何为云计算平台

说到云计算平台，不得不提开放平台。去年以来，开放平台这个字眼可谓是炙手可热。自Facebook、Apple将开放平台的成功演绎至极致，中国互联网界便掀起了一股“开放潮”，新浪、百度、淘宝、360、人人、腾讯等互联网巨头，甚至是当当和京东等电子商务巨头，都放言“逐鹿”开放平台。

开放平台有三层含义：

• 应用平台，为用户提供应用的统一入口，如Apple、Google、腾讯WebQQ的Appstore。
• 商务平台，为第三方开发者提供统一的商务接口，减少和不同平台接口之间的商务沟通成本。
• 云计算平台，通过技术能力的开放，为第三方应用提供实时可伸缩的计算资源、海量用户运维和客服、信息安全等后台支持和应用托管，可以在整个平台实现第三方应用的单一实例，如Google的GAE、Amazon的EC2、腾讯的opensns.qq.com。

无疑，这三者中，云计算平台才能真正解决第三方开发者面临海量用户的诸多挑战，对第三方开发者有着莫大的吸引力，可以实现互联网巨头们寡头经济和长尾经济两手硬的如意算盘，被视为未来互联网的制胜利器。因此，各互联网巨头也不惜投入巨资建设云计算平台争夺市场。据互联网公开的资料，腾讯的云计算平台opensns.qq.com开始建设仅4个月就取得出人意料的收获：

• 已有108多款第三方应用跑在腾讯云计算平台上；
• 4个月应用总安装次数超过3亿次；
• 日活跃用户总数达到2千5百万，最高同时在线用户超过400万；
• 有三款应用平均日登录超过千万，超过10款应用平均日登录过百万；
• 单个游戏月度分成收入超过1000万；

2、VLAN和IP规划面临挑战

那么，和原有仅支撑内部应用的数据中心相比，云计算平台的数据中心会面临什么样的新挑战？

显然，由于云计算平台的核心是诸多第三方应用的托管，业务隔离是首当其冲的要解决问题，否则无法确保第三方应用及数据的安全性。

从网络的角度，业务隔离必须要从接入层能够将各业务的服务器分开。网络大师们不暇思索的给出了解决方案：VLAN。

不料，问题马上来了。VLAN的规模如何确定，IP网络划分按照什么粒度进行？

云计算平台是典型的长尾经济商业模式，这也就意味着托管的应用数量庞大，大部分应用的规模较小，但谁也无法预知一觉醒来哪个应用的用户数量会暴涨，因此计算资源的伸缩性要求很大。

如果VLAN和IP网络的粒度较粗，由于大部分应用规模较小，这会带来IP地址等资源的巨大浪费。

如果VLAN和IP网络的粒度较细，意味着当应用长大时会分割在不同的VLAN和网络中，如果涉及HA、虚机迁移等特殊需求还可能需要将业务进行跨VLAN和网络的整合和迁移，这会招致业务部门的不满。更糟糕的是，服务器虚拟化技术发展很快，当服务器虚拟化1：4的时候，意味着网络设备硬件端口规模不变的情况下网络容量变成原来的4倍，如果服务器虚拟化在1：4的基础上进一步变成1：10网络容量就会猛增为最初的10倍，很轻易就会击穿VLAN和IP网络的规划，应用也将被迫进行的跨VLAN和IP网络的迁移，应用的中断将不可避免。

可是VLAN和IP网络的粒度放大到什么程度才合适那？似乎暂时没有答案。长尾应用和服务器虚拟化的发展很难准确预知。

网络大师们总是追求完美的，希望应用尽可能避免迁移，于是，另一个方案出台了。

网络大师们现在不划分细颗粒的VLAN和IP网络了，干脆创建一个大VLAN，应用的隔离通过PVLAN进行，这样IP网络的划分问题也迎刃而解了。似乎一切都完美了。

还没等网络大师们喘上两口气，就发现这个方案似乎也行不通。

首先，从技术角度，单个VLAN的规模是有限制的，由于大量生成树节点的计算会对作为根节点的三层设备的CPU产生冲击，通常一个二层网络难以超过2000台服务器（包括虚拟机）的规模。这样规模的网络对云计算平台来说太小，需要建设多个网络模块，整个数据中心的网络结构的层次要增加，跨模块的网络性能又成为另外一个浮起的瓢。

其次，在服务器虚拟化的环境下，由于目前交换机还无法直接通过端口区分虚拟机，如果想使用PVLAN隔离虚拟机，服务器虚拟化平台就必须支持PVLAN TRUNK，或者说母机内置的虚拟交换机必须支持PVLAN TRUNK。目前业界仅Cisco的Nexus1000v可以支持，但限于vmware平台，而更受互联网行业青睐的开源解决方案尚无踪影。

前一个问题，即将出台的IETF的Trill标准，或者现在业界已有的解决方案，如Cisco的Fabric Path，可以在某种程度上解决，但后一个问题，网络大师们就无解了。

正当网络大师们行将崩溃的时候，一根救命稻草飘然而至，那就是即将发布的IEEE的802.1Qbg、Qbh标准。不管Qbg和Qbh双方如何争相表明己方的优势，事实上两者的最终目标是一致的，那就是要在接入交换机上通过虚拟端口的方式提供虚拟机在网络端口层面上的感知。

于是，当Qbg和Qbh商用后，接入层交换机就可以使用PVLAN的手段进行业务隔离，不管是物理机还是虚拟机。

然而事情还没结束，Qbg和Qbh并不是原有的交换机和服务器网卡所能支持的。交换机可以在建设数据中心时适当超前选择hardware ready的设备，当标准出来软件升级即可，甚至可以在原有数据中心更换接入层交换机。可是服务器的网卡选择并不是由网络大师们确定的，互联网企业定制的服务器要更换新型网卡也不是那么容易，更何况现存的大量服务器更换网卡几乎不太可能。最重要的一点，目前没有任何网络设备厂商承诺Qbg和Qbh会有PVLAN的特性支持，也许他们目前的重点是确保能够成为标准之一，还顾不上这样的细节。

终于，网络大师两眼一黑，昏倒在地。

3、VLAN+ACL卷土重来

网络大师被速效救心丸救醒，因为云计算平台正在建设中，网络规划不可缺少。

吸取了之前的经验和教训，网络大师们决定暂时抛开那些尚未发布的标准，立足于目前可用的技术。

于是，VLAN和IP网络划分又开始了，这次网络大师们仍然决定做一个尽可能大的二层网络，所不同的是，不再考虑PVLAN的隔离方式，而采用VLAN ACL的方式进行访问控制实现隔离，虚拟机的母机和接入层交换机采用vlan trunk的方式连接。这样现有的交换机和虚拟化平台都可以支持，唯一需要新增加的，就是ACL管理的工具系统，这对于研发能力超强的互联网企业，算是小菜一碟了。

还有一个对于网络大师们是好消息的事情是，业界有些网络设备厂商已经开始支持基于标签的访问控制，比如Cisco的TrustSec，可以将访问控制的矩阵规模极大的缩小，虽然需要新的网络设备型号才能完全支持，但至少事情已经在网络大师们可控制的范围内了。

网络大师们兴冲冲的带着最新的方案去和业务部门研讨，希望得到业务部门的支持，赶紧把ACL管理系统开发出来。

业务部门的一席话差点又让网络大师眼前一黑：“我们现在在服务器上用IPTables和Ptables做业务隔离，如果性能会不够，再考虑别的方式”。

分享

分享

还记得第一次听《同桌的你》的时候，禁不住泪流满面；也同时知道了高晓松同学。

同学的情谊基本上就仅次与家人了。也是作为社会人在社会上混的重要Social Circle的部分。

这几天，高晓松同学有点背。喝酒驾驶被抓了。而且据说是刚好5月1日，刚刚整的法律，喝酒驾驶算刑事犯罪。。。

一些相关报道如下：
“
高晓松醉驾案定于5月17日下午两点半在东城法院开庭审理。根据检方的指控，2011年5月9日22时许，被告人高晓松醉酒后驾驶英菲尼迪牌小型越野车，行驶至本市东城区东直门外大街十字坡路口东50米处时发生交通事故，致4车追尾、3人受伤。经他人报警后，被告人高晓松在案发现场等候处理，后民警赶至案发现场将其查获。经司法鉴定，被告人高晓松血液内酒精含量为243.04mg/100ml。

　　此外，北京“醉驾被刑拘”第一人李俊杰案也在5月17日下午两点开庭审理。有关法律人士称，同属“醉驾入刑”案，高晓松和李俊杰将同样面临1至6个月的拘役，所不同的是，高晓松因酒驾致4车追尾、3人受伤，且其血液中酒精含量超过“酒驾”标准3倍，情节不能算轻微，面临处罚可能会比李俊杰更重一些。
”

今天与几个哥们吃饭，大家开玩笑，说晓松同学是否可以利用这个机会写一个《同窗的你》？

大家都注意，不要喝酒开车。算一个rule吧。毕竟还是安全重要。

分享