要估算购买一定数量的云计算和存储所需的成本并不难——毕竟，供应商会公开列出他们的基本价格。但是，如果企业想真正了解云计算的运营成本，就需要对计划部署的资源有更全面的了解。企业尤其希望在云迁移之前估算云成本，以帮助更好地了解与继续在企业内部运行这些工作负载相比的经济效益。

常见的云成本考虑因素

在云中运行工作负载涉及多种类型的成本。这些成本包括但不限于以下方面：

• 应用程序迁移（重新托管、重构或重新设计）；
• 基于基础设施的资源（计算实例大小、数据存储要求以及网络和 SaaS 使用量）；
• 云服务之间的数据传输成本；
• 跨区域或可用性区域的数据重复；
• 未来使用量/工作量的长期增长。

在总体拥有成本模型中，还需要考虑和核算一些无形成本，如风险管理、灵活性和可扩展性，这些成本可能难以量化，但在更大的成本范围内却非常重要。

其中一些成本，如风险管理和安全的特定方面，部分由云服务提供商（CSP）承担。其他一些成本，如灵活性和机会成本则由企业承担，会影响企业投资其他业务领域的能力。

如何计算公有云方案和与本地私有云的总体拥有成本（TCO）？

要计算企业的云计算总体拥有成本，首先要比较在企业本地和在云中运行相同工作负载的成本。您还必须了解您的应用程序所需的全部功能，特别是其安全要求和其他可能增加大量成本的地方

无论是向云迁移还是新建应用，企业都需要对其预计的云总体拥有成本有一个准确的把握。

了解云计算的财务模型

在比较企业内部部署基础设施和主机托管服务（如 IaaS）时，使用率和时间是最重要的变量。通常情况下，企业本地部署IT资源的价值会随着账期的延长和利用率的提高而增加。但这不适用于云资源，因为云资源是按消耗量收费的。

要了解云的财务模型，第一步是指定一个统一的单位，以便在总拥有成本比较中将数据标准化。物理服务器、虚拟服务器或千兆字节的存储。标准单位既适用于企业内部资产，也适用于云资产。在本文中，我们假设您希望迁移到云提供商的基础设施，而不是为 PaaS 或无服务器配置重构应用程序。

接下来，计算平均资源单元的大小。例如，这个值可以是将所需的vCPU 和 RAM 除以VM数量。此外还应将网络和安全等相关服务考虑在内，以确保计算的准确性。

最后还需要模拟工作负载的预计增长率。增长率越高，意味着这项业务对标准化和自动化的依赖程度越高，在它规模化部署之后的总体成本会下降。相反，低增长率的工作负载并不适合云计算，因为企业无法充分利用云计算的弹性和按需付费的特性去节约成本。

深入研究TCO模型

确定工作量需求后，确定建模期限的起始月份。一般是从第二个月开始建立模型，根据第一个月的预计使用需求，决定起始容量。然后确定建模期结束时的最佳容量利用率和资源单位（将大容量利用率的上限通常设定为 80% 至 90%）。

考虑任何基础设施开销和管理要求。例如，包括任何已经到位的服务管理工具和网络安全防御措施。您需要将内部安全和管理系统的成本与完成相同工作所需的云服务成本进行比较。这种开销会降低贵公司向客户销售收费应用程序的创收能力。

IT 供应商通常为内部部署硬件指定最长三年的定价折扣。我们可以以月为单位进行分析，并创建相应的模型——这是因为较长的总体时间框架会影响云计算 TCO 分析中折旧部分。

最后，确定每月的使用量，记录公司计划使用的云服务。这样做的目的是记录服务的潜在使用情况，以便预测成本。（生产系统的典型使用率是 100%，因为这些应用程序会持续运行。相反，测试和开发系统的最高使用率则较低，毕竟团队每天只在工作时间使用）。

洞察成本构成

要了解构成您现有本地基础设施部署支出的细枝末节，并考虑这些支出将如何转换到云中。

首先从硬件开始，这通常属于资本支出（CAPEX）。本地部署的软件大多也属于资本支出，但也可以作为运营支出计费，如数据库。硬件和软件维护也是总拥有成本中需要考虑的成本因素。

另外还需评估 CSP、软件供应商或外包专业服务公司的一次性安装费用。这些费用可能包括雇人构建云环境或将内部资产转移到公共云所需的费用。如果您的公司在公共部门或任何其他受严格监管的行业工作，则可能需要更多的前期费用，以支付应用程序部署到云之前必须满足的各种安全要求。

您还需要计算经常性开支，如运营和维护的人工成本。如果您拥有混合云环境，则应将数据中心的电力消耗成本纳入云计算的总体拥有成本。您可能还需要考虑前期成本和资本支出中未包含的容量利用支出。例如，随着用户群的不断扩大，软件许可费用可能会根据您部署的虚拟机数量而增加。

对潜在成本进行分类

到目前为止，我们讨论过的各种成本构成可以分为三类。对于每一类，企业可能都有一个或多个成本组成部分需要考虑：

• 实体设备。作为成本组成部分，这包括托管虚拟服务器的内部物理服务器。它还包括支持这些物理服务器所需的机架数量。
• 管理。这包括支持管理所需的任何成本组成部分。例如，AWS 用户可能会选择由服务级别协议支持的基于结果的管理服务，如 AWS 业务支持或企业支持计划。
• 产业化成本（进入生产应用阶段的成本）。包括支持研究、开发、自动化、文档或培训的任何成本组成部分。产业化背后的成本效益很难量化，因此许多 TCO的比较都低估了这一类别的价值，这也是云计算支出充满意外的主要原因。例如，向云迁移或建设新云的预算可能无法准确反映自动化的云管理和运营任务所需的工作。

对于每个成本类别，确定总成本是否使用由通用容量变量定义的相同归一化分母。

总结：公有云还是本地私有部署？

在定义本地私有部署方案的价值驱动因素时，请仔细研究单位资源成本中的最大利用率和常规利用率，并进行量化比较。利用率是指服务器、网络和其他基础设施用于提供服务的总体程度。服务器或路由器等内部资产的使用时间越长，您从中获得的价值就越大。不过，使用时间越长，运营和维护成本也会随之增加。

上云并不一定更便宜，成本不应该是唯一的决定因素。不过如果您了解云计算的总体拥有成本，就能更好地做出明智的云决策。在确定云计算的价值驱动因素时也要特别考虑利用率因素，如虚拟机每天运行多少小时、存储消耗、可用性和安全性。云计算的 “即用即付 “模式提供了一定的经济效益，因为它使资源管理更加灵活，并能让员工腾出时间处理其他重要任务。

降低云计算总体拥有成本的方法

您可以采取以下措施来降低长期云成本：

• 从配置到监控，采用更多自动化技术。
• 设计具有明确灵活性和自动扩展空间的应用程序。
• 消除闲置或放弃的资源和服务。
• 从按需定价转向基于消费的定价以及计划或预留实例。

相关阅读：企业私有云网络解决方案

可编程交换机和OpenFlow

目前的专用交换芯片（ASIC）的设计面向标准2/3层的数据包的转发操作，虽然软件定义网络（SDN）的发展为其提供一定灵活性（通过将控制平面独立出来，消除对交换和路由协议的依赖）但转发仍基于固定的数据包格式。

OpenFlow 协议定义了控制平面和数据平面之间的网络可编程接口，但对比起数据平面可编程的交换机，其灵活性和性能还是相距甚远。

例如，SDN 控制器可以使用 OpenFlow 协议，根据数据包中的附加字段（如老化时间或 IP 数据包选项字段中的值等），指示应将具有指定源 IP 地址和目标 IP 地址的数据包转发到某个端口。

而支持数据平面可编程交换机，可以使用L2/3数据包字段值以外的标准转发数据包。它能通过从不同端口发送具有相同参数的数据包来实现负载平衡。例如，它还可以根据通过交换机的数据包速率实施其他类型的策略，或者以任意格式封装数据包——根据任意帧格式转发数据包的能力对于支持非 IP 协议（例如某些物联网设备使用的一些协议）非常有用，具有可编程数据平面的交换机就可以转发这些数据包，并将其修改为通过 IP 网络发送。

P4语言与可编程数据平面的结合

为配置可编程数据平面，我们有一种专门的编程语言： 独立于协议的数据包处理器编程语言（P4）。这是一种开源语言，由 P4 语言联盟维护。P4 独立于转发硬件设计，因此必须开发专门针对硬件的编译器，才能将 P4 语句转换为硬件。

P4 程序由一组表组成，这些表指定了数据包中的字段以及要对这些字段执行的操作。解析器扫描接收到的数据包，直到与表项中的模式匹配，然后执行相关操作。P4程序没有定义的字段或操作集，因此 P4 程序员可以自由创建。

当然可编程数据平面并不是唯一支持非 IP 协议的方法，芯片为可以支持任何协议或应用而设计，但那也仅限于该应用，并且开发半导体是一个耗时且昂贵的过程。所以，可编程数据平面与 P4 编程语言的结合，为处理新协议和现有协议的新要求提供了更高效、更灵活的方式。

P4交换机与DPU的结合

Asterfusion X-T 系列是一款出色的 P4 交换机，旨在将高性能交换可编程性和 DPU 的基于状态的处理能力结合在一起，这在网络历史上尚属首次。Asterfusion 将 tofino 交换机上基于 P4 的数据路径与 ARM64 DPU 上基于 DPDK 的流量处理相结合，帮助应用于负载平衡、NAT 和 NVMEoF等场景。

产品详情：X-T系列：全开放、可编程、高性能的P4可编程硬件平台 – 星融元Asterfusion

云计算和超级计算的区别

• 通用 vs 专用：云计算面向更广泛普适的场景，随着应用领域和应用层次不断扩张，对外提供丰富多变的云业务应用；超级计算/HPC则主要提供国家高科技领域和尖端技术研究需的运算速度和存储容量，其中主要包括航天、能源、国防、气候建模等
• 分布 vs 并行：云计算以分布式为特色，统筹分散的硬件、软件和数据资源，通过软件实现资源共享和业务协同，运行的任务也是分布式的，当前云计算正在从核心云转向边缘云，分布式理念体现得更加极致；超算集群逻辑上是集中式的，针对计算密集型任务更强调并行计算以获得高性能，各节点任务存在前后的依赖，节点之间数据交换的延迟要求极高。
• 成本 vs 性能：云计算中心的底层逻辑是规模经济，追求成本效益，一般采用廉价标准x86硬件搭建，可用性、可靠性、扩展性大多通过软件模拟实现；而超算中心更追求卓越性能，舍得花钱升级计算和存储，使用各类高性能加速芯片、低延时通信、高级存储系统，随之而来的能源消耗也很高。

我国超算中心的布局

超级计算又称高性能计算 (HPC)，是计算科学的重要前沿分支，指利用并行工作的多台计算机系统（即超级计算机）的集中式计算资源，处理极端复杂或数据密集型问题。超算能力是衡量一个国家或地区科技核心竞争力和综合国力的重要标志。超算算力以每秒浮点运算次数衡量，一般以Petaflops（PFlops）为度量单位。

目前，全国国家超级计算中心有十座，分别位于天津、广州、长沙、深圳、济南、无锡、郑州、昆山、成都和西安，其中深圳和西安中心二期正在建设，文昌航天超算中心已进入建设尾声。

超算中心网络建设

超算中心需要解决的一个性能瓶颈，是各个计算节点之间的网络连接。在早期的计算中心内部，服务器之间是通过普通的万兆网卡和网线（或者光纤）使用 TCP/IP 协议传输数据。这种方案下网络延迟和吞吐量完全无法满足高性能计算的需求。

目前超算中心主流的网络架构基于 RDMA (Remote Direct Memory Access)，远程直接数据存取），它通过网络把数据直接传入计算机的存储区，将数据从一个系统快速移动到远程系统的内存中，而不对操作系统造成任何影响，这样就不需要用到多少计算机的处理功能。RDMA有三个特点，低时延、低CPU占用、高吞吐带宽。它就是为了解决网络传输中服务器端数据处理的延迟而产生的。

当前RDMA技术有三大路线，分别是InfiniBand，iWARP和RoCE。

InfiniBand 是由 InfiniBand 行业协会所倡导的。InfiniBand 采用封闭的私有协议，需要使用 Mellanox 的专用交换机。但它的性能目前是三派之中最强的。iWARP 是在 TCP/IP 协议上面，对 RDMA 做的技术封装。从原理上看，它就失去了 RDMA 的性能优势，已经逐渐被业界所抛弃了。

值得一提的是 RoCE。RoCEv2 标准可实现 RDMA 路由在三层以太网的传输——RoCEv2 规范将用以太网链路层上的 IP 报头和 UDP 报头替代 InfiniBand 网络层，只需专用网卡和低时延的以太网交换机便可实现。与此相对的，InfiniBand 只有单一厂商，可能存在厂商锁定问题，并且供货周期和后续维保服务难以保证。所以，RoCE 作为低时延替代方案，越来越被人们所重视。

星融元高性能计算（HPC）网络方案（基于RoCEv2）

超低TCO、超高性价比

相较于IB网络方案，大幅度降低用户的网络TCO，同时确保超高性能

横向平滑扩容、1:1收敛无阻塞

无收敛的网络设计确保无阻塞的大容量网络，按需横向扩展

整网RoCEv2

基于CEE/DCB能力，提供可与IB媲美的性能和同样无损的网络服务

开放网络操作系统

星融元网络操作系统AsterNOS，SONiC企业级发行版，支持灵活的功能扩展、在线升级

无缝对接云管

AsterNOS 利用简单易用的REST API，可轻松让第三方的云平台/控制器快速纳管

专家级服务

专业、全面、可靠的研发、方案与服务团队，为客户提供小时级的快速响应服务

本文参考：
浙商证券行业报告 算力铸就大模型：超算、智算及数据中心行业报告（2023）
HPCWire https://www.hpcwire.com/topic/networks/

对于许多企业来说，Wi-Fi 已成为用户和终端的首选网络接入技术。与有线局域网相比，无线局域网具有许多优势，比如可靠灵活，还能降低拥有成本。无线局域网安装简单，可以移动，不受物理位置的限制，而且具有可扩展性。然而，这些优点也带来了一个非常明显的缺点：安全性。

Wi-Fi 的无边界特性，再加上一系列令人困惑的传统和现代身份验证、访问控制和加密技术，使 WLAN 的安全性问题成为企业网络运维团队普遍面临的重要挑战。

什么是 WLAN 安全？

WLAN 网络安全威胁可能导致数据被盗。为了防范这种风险，安全团队要建立机制，阻止通过无线介质读取传输或接收通信以及收集敏感信息（如个人信息、登录凭证或业务数据）的企图。

企业的IT团队可以使用多种方法保护 Wi-Fi 的安全通信。其中一些方法是在管理有线和无线通信的通用方法，比如企业级身份验证机制、通过MAC地址允许列表限制企业网络访问、基于网络和设备的防病毒和恶意软件服务，以及使用第三方 VPN。

什么是 WLAN 安全？

WLAN 网络安全威胁可能导致数据被盗。为了防范这种风险，安全团队要建立机制，阻止通过无线介质读取传输或接收通信以及收集敏感信息（如个人信息、登录凭证或业务数据）的企图。

企业的IT团队可以使用多种方法保护 Wi-Fi 的安全通信。其中一些方法是在管理有线和无线通信的通用方法，比如企业级身份验证机制、通过MAC地址允许列表限制企业网络访问、基于网络和设备的防病毒和恶意软件服务，以及使用第三方 VPN。

常见的WLAN威胁和漏洞

IP 和 MAC 欺骗

如果坏人成功连接到企业 WLAN，他们可以使用工具通过更改数据包头中的源 IP 地址或篡改允许列表设备的 MAC 地址来冒充或欺骗受信任的设备。反过来，接收设备可能会在不知情的情况下接受欺骗通信。DDoS 僵尸网络和中间人攻击是最常见的欺骗手段。

DNS 缓存欺骗/中毒

DNS 欺骗是指在 WLAN 上放置未经授权的设备，欺骗其他已连接客户端使用的 DNS 服务器。反过来，被欺骗的 DNS 服务器会将试图访问可信远程资源（如网站）的用户和设备重定向到恶意资源。

恶意接入点（AP）

当坏人部署了使用相同或外观相似的服务集标识符（SSID）的无线接入点时，就会出现这种情况。毫无戒备的用户连接到恶意设备，然后流量就会被捕获和监控，甚至被重定向到恶意目的地。这些非法接入点往往模仿公司 SSID，试图让公司设备连接到它，而不是合法接入点。

外部非法接入

当 WLAN 信号传播到公司围墙外的公共空间时，某些程序会自动搜索开放的或可利用的 WLAN，用于免费上网 不法分子可以利用这些来查找和窃取敏感的企业数据。

无线局域网安全最佳实践

企业应认真规划和执行统一的策略，以保护其 WLAN 免受数据丢失和未经授权的访问。虽然最终的安全选项取决于所需的保护级别和预算，但IT团队可以遵循一些重要的提示和技巧，比如明确谁需要访问什么以及何时访问？这里的对象包括集中办公人员以及远程办公人员。

按 SSID 区分 Wi-Fi 用户和设备

各部门和设备使用 WLAN 的方式各不相同。因此，团队不能使用相同的标准保护每台设备。例如，保护支持 WPA-Enterprise 的设备和只支持 WPA-Personal 的设备的一种方法是将传统设备逻辑地划分为单独的 SSID。分段后，团队就可以对安全性较低的端点实施访问策略。

访客 Wi-Fi。为只需要访问互联网的用户和设备设置一个单独的访客 Wi-Fi SSID。访问策略可以阻止这些设备与企业网络上的任何用户或设备通信，同时还能在网络边缘之外安全地传输互联网流量。

避免信号强度泄漏到不安全区域

安装在外墙附近的接入点应仔细设置其功率级别，以减少信号泄漏到附近的停车场或公共广场。这样做有助于防止外部无线干扰，减少未经授权的用户成功连接网络的机会。

恶意 AP 检测

大多数企业级 WLAN 平台都包含监控 802.11 无线频率范围的工具，以识别恶意 AP 或可能欺骗企业 SSID 的 AP。
802.1x 身份验证与 PSK。尽可能要求用户和设备使用 802.1x 而不是 PSK 进行身份验证。这减少了每年多次手动更改 PSK 的需要。它还能防止共享 PSK，因为共享 PSK 有可能导致黑客利用 Wi-Fi 未经授权访问企业网络。

网络局域网交换端口配置

在配置将无线接入点连接到企业局域网的交换端口时要考虑到安全性。将 AP 管理 IP 地址放在分段虚拟局域网上，只允许特定 VLAN 中继到 AP。使用静态或固定MAC 地址端口安全技术，防止有人拔下 AP 插头并将未经授权的设备连接到局域网。

新一代云化园区网络架构中的内生安全

结合新一代云化园区架构的内生安全特性，星融元云化园区网络可以提供多种接入终端安全管理能力，智能保障园区网络的安全性，为IT运维团队大大减少了花费在终端安全控制上的时间和人力成本。例如：交换机将主动跟踪任何接入终端与DHCP服务器之间的交互过程，并自动学习设备信息，非法终端产生的网络流量将在接入端口被直接丢弃，不再依赖手动配置安全策略。

此外，星融元云化园区网络支持与多种主流安全认证系统的对接。

AAA（Authentication Authorization Accounting，认证/授权/计费）是目前主流的认证框架体系，由接入用户、接入设备、认证服务器三部分组成，接入用户是需要获取网络访问权限的实体，接入设备一般是交换机，负责验证用户身份和管理用户接入，认证服务器负责管理用户信息。AAA可以通过多种协议来实现。

在与接入用户交互阶段：星融元云化园区网络支持802.1x（有线终端）、MAC（哑终端）、Portal（无线终端）三种认证方式。

在与认证服务器交互阶段：星融元云化园区网络支持主流的RADIUS、TACACS+两种认证协议，支持认证/授权/计费功能。

实践应用中，星融元云化园区网络和知名的开源软件FreeRADIUS进行了全方位适配开发，也和ForeScout、ClearPass、ISE等主流商用认证系统成功对接。

更多有关企业园区网络的产品和方案信息，请参考：云化园区网络解决方案

什么是分布式机框DDC？

DDC，Disaggregated Distributed Chassis的概念指使用若干个低功耗盒式设备组成的集群替换框式设备业务线卡和网板等硬件单元，盒式设备间通过线缆互联形成集群。整个集群通过集中式或者分布式的NOS（网络操作系统）管理，以期突破DCI单框设备性能和功耗瓶颈的问题。

分布式机框方案的优势和劣势？

降低单点功耗：多台低功耗的盒式设备分散部署，解决了功耗集中的问题

传统的机框式交换机随着交换芯片技术的不断提升，交换容量越来越大，端口从 100G 逐步过渡到400G。但随之而来的是交换机功耗的大幅提升，16 槽位的机框交换机，全400G 端口需要4-5 万瓦的电力供应，这对老机房的设备选代升级带来巨大挑战，部分机房机柜电力无法满足需求。

突破框式设备扩容限制：通过多设备集群实现扩容，不受机框尺寸限制；

降低单点功耗：多台低功耗的盒式设备分散部署，解决了功耗集中的问题，降低机柜电力和散热的要求；

提升带宽利用率：与传统的ETH网Hash交换相比，DDC采用信元（Cell）交换，基于Cell进行负载均衡，有助于提升带宽利用率；

缓解丢包：使用设备大缓存能力满足DCI场景高收敛比要求。先通过VOQ（Virtual Output Queue）技术先将网络中接收到的报文分配到不同的虚拟出队列中，再通过Credit通信机制确定接收端有足够的缓存空间后再发送这些报文，从而减少由于出口拥塞带来的丢包。

当然，以上只是有关厂家对外宣称的说法，对此也有业内人士提出了质疑，总结了DDC方案的四大缺陷。

缺陷一：不可靠的设备管控平面

框式设备各部件通过硬件高度集成、可靠性极高的PCIe总线实现控制管理面互联，并设备都使用双主控板设计，确保设备的管控平面高可靠。DDC则使用“坏了就换”的易损模块线缆互联，构筑多设备集群并支撑集群管控平面运行。虽突破了框式设备的规模，但这种不可靠的互联方式给管控面带来了极大风险。两台设备堆叠，异常时会出现脑裂、表项不同步等问题。对于DDC这不可靠的管控平面而言，这种问题更容易发生。

缺陷二：高度复杂的设备NOS

SONiC社区已有基于VOQ架构下的分布式转发机框设计，并持续迭代补充和修改以便于满足对DDC的支持。虽然白盒确实已经有很多落地案例，但“白框”却少有人挑战。构筑一个拉远的“白框”，不仅仅需要考虑集群内多设备的状态、表项信息的同步和管理，还需要考虑到版本升级、回滚、热补丁等多个实际场景在多设备下的系统化实现。DDC对集群的NOS复杂度要求指数级提升，目前业界没有成熟商用案例，存在很大的开发风险。

缺陷三：可维护方案缺失

网络是不可靠的，因此ETH网络做了大量可维护和可定位的特性或工具，比如耳熟能详的INT、MOD。这些工具可以对具体的流进行监控，识别丢包的流特征，从而进行定位排障。但DDC使用的信元仅是报文的一个切片，没有相关IP等五元组信息，无法关联到具体的业务流。DDC一旦出现丢包问题，当前的运维手段无法定位到丢包点，维护方案严重缺失。

缺陷四：成本提升

DDC为突破机框尺寸限制，需要将集群的各设备通过高速的线缆/模块互联；互联成本是远高于框式设备线卡和网板之间通过PCB走线和高速链接器互联，且规模越大互联成本越高。

同时为降低单点功耗集中，通过线缆/模块互联的DDC集群整体功耗高于框式设备。相同一代的芯片，假设DDC集群设备之间用模块互联，集群功耗较框式设备高30%。

AI场景下，DDC方案能否应对？

AI网络支撑的业务其特征是流数量少，单条流的带宽大；同时流量不均匀，经常出现多打一或者多打多的情况（All-to-All和All-Reduce）。所以极易出现流量负载不均、链路利用率低、频繁的流量拥塞导致的丢包等问题，无法充分释放算力。

根据上文，DDC使用信元交换将报文切片成Cells，并根据可达信息采用轮询机制发送，流量负载会较为均衡的分配到每一条链路，实现带宽的充分利用，这可以解决DCN中大小流的问题，仍然存在相当多的缺陷。

缺陷一：硬件要求特定设备，封闭专网不通用

DDC架构中的信元交换和VOQ技术，均依赖特定硬件芯片实现。DCC依赖硬件并通过私有的交换协议构建了一张封闭的专网并不通用，给后续运维以及升级扩容造成困难。

缺陷二：大缓存设计增加网络成本，不适合大规模DCN组网

DDC方案除去高昂的互联成本外，还背负着芯片大缓存的成本负担。DCN网络当前均使用小缓存设备，最大仅64M；而源于DCI场景的DDC方案通常芯片的HBM达到GB以上。

缺陷三：静态时延增加

DDC的大缓存能力将报文缓存，势必增加硬件转发静态时延。同时信元交换，对报文的切片、封装和重组，同样增加网络转发时延。通过测试数据比较，DDC较传统ETH网转发时延增大1.4倍。显然不适应AI计算网络的需求。
缺陷四：DC规模增大，可靠性下降

DDC进入DCN需要满足更大的一个集群，至少要满足一个网络POD。这意味着这个拉远的“框“，各个部件距离更远。那么对于这个集群的管控平面的可靠性、设备网络NOS的同步管理、网络POD级的运维管理要求更高。

全盒式的分布式组网方案

区别于DDC方案本质上仍是一个被拆解的”机框”，星融元的分布式组网则将解耦这件事做得更彻底——依靠高密度、大容量的盒式设备+专利的分布式算法，将禁锢在机箱内的CLOS架构分布到网络中，将网络的规划、部署、调整、优化，这些的主动权交还给用户，大幅降低建设成本，提升可扩展性，轻松实现千万级虚机规模的网络部署

数据面：支持专利的分布式路由算法PICFA，所有交换机能力整合为一个超级的“分布式虚拟路由表”，支持大规模组网扩展

在部署了PICFA的云网络中，所有租户的所有虚拟网络信息被动态、智能、均衡地分布在全网的所有Spine和Leaf交换机上，充分利用所有交换机的所有表项空间，由此，单台网络设备的FIB容量不再成为云的容量限制，虚拟机数量获得量级的提升，服务器计算力被充分利用。

控制面：采用ARP转主机路由的去堆叠方案，将路由分布到全网，Leaf仅保留直接接入VM的MAC表项，降低表项空间要求

Leaf交换机以上均采用L3路由，Leaf交换机仅需保存直接接入的虚机的MAC表项，有效的降低了Leaf交换机上的表项空间要求，也从另一个角度解决了Leaf交换机表项空间不足的问题

管理面：全网统一配置模板，支持ZTP零配置上线，即插即用，提高运维效率，全网分层简化配置，只需两个配置模板（Spine、Leaf）上线即插即用。

星融元全盒式组网在时延敏感网络场景的应用（以AIGC网络为例）

1、接入能力：网络架构横向扩展与存算分离

由于GPU资源本身稀缺的特性，尽可能多的把GPU资源集中在一个统一的资源池里面，将有利于任务的灵活调度，减少AI任务的排队、减少资源碎片的产生、提升GPU的利用率。要组成大规模GPU集群，网络的组网方式需要进行优化

ToR交换机用于和GPU Server直接连接，构成一个Block；ToR交换机向上一层是Leaf交换机，一组ToR交换机和一组Leaf交换机之间实现无阻塞全连接架构，构成一个Pod；不同Pod之间使用Spine交换机连接。

• Block是最小单元，包括256个GPU
• Pod是典型集群规模，包括8个Block，2048个GPU
• 超过2048个GPU，通过Fabric-Pod模式进行扩展

2、高可用设计

可用性问题在GPU集群中要求不高，因为大规模分布式的AI任务基本都是离线的训练任务，网络中断不会对主业务造成直接影响。但是这不意味着网络可用性无需关注，因为一个AI训练持续的时间可能会很长，如果没有中间状态保存的话，网络中断就意味着前面花费时间训练出来的成果全部失效，所使用的GPU资源也全部被浪费。

考虑到AI训练任务对网络拓扑的高度敏感性，某一处网络的中断会导致其他节点网络的非对称，无限增加上层处理的复杂度，因此在设计集群的时候需要考虑中断容忍的网络架构。

存储双上联

由于网络中断，导致一个存储节点下线，可能会在网络内触发大量数据恢复流量，增加网络负载，因此，建议采用双上联设计，确保某个交换机或上联链路中断不会影响存储节点的可用性。

计算单上行

如上文提及，综合性能与成本考虑，计算网暂不考虑双上联设计。

GPU网卡连接方式：同一个GPU Server上的8块卡连接到8个ToR，可以节省机间网络的流量，大部分都聚合在轨道内传输（只经过一级ToR），机间网络的流量大幅减少，冲击概率也明显下降，从而提供了整网性能。但是上面的方案，GPU Server上任何一个网卡或链接中断都会导致网络的非对称，整个GPU Server都会受到影响。所以干脆让所有网卡共享同一个交换机，好处是如果ToR交换机故障，影响到的GPU Server会尽可能少，从整个系统的角度出发，可用性反而提高了。

更多相关资讯：
客户案例：高性能、大规模、高可靠的AIGC承载网络
全以太网超低时延HPC网络方案 – 星融元Asterfusion
全闪分布式存储网络解决方案 – 星融元Asterfusion

本文参考：
http://www.cww.net.cn/article?id=577516
https://www.odcc.org.cn/download/24 DDC 技术白皮书2021

2021 年，云数据中心交换机的销售额以两位数增长，而非云领域的销售额则以中等个位数增长。到 2026 年，全球数据中心交换机市场的价值预计将达到 199 亿美元，年复合增长率为 5.6%。近年来，数据中心交换机市场的云计算部分预计将以几乎是非云计算市场两倍的速度扩张。以下是促成如此强劲的市场预测的主要因素：

• 持续的供应链问题推动了冲动消费
• 各行业数字化转型速度加快
• AI的等新兴业务驱动下，网络基础设施建设进入一轮扩张周期

数据中心交换机市场的美好前景固然带来了巨大的机遇，但在向400G过渡的过程中也面临着挑战。

400G交换机的市场机遇

• 芯片平台的多样性： 芯片多样性是过去几年数据中心行业的主题，这也给半导体巨头 Broadcom 带来了一定的压力。
• 智能设备： 智能设备的技术进步推动了对复杂连接和增强型网络解决方案的需求。预计这一趋势将推动芯片在数据中心服务器中的集成，从而为全球数据中心交换机市场提供利润丰厚的增长机会。

400G交换机的市场挑战

• 数据中心运营成本： 数据中心需要考虑当地的能源价格，因为能源成本在整体运营成本中占很大比重。对于云服务提供商和超大规模数据中心来说，能源成本本身就会令人望而却步。此外，机器维护和人工等额外运营费用也阻碍了市场的扩张。
• 复杂的架构： 由于云计算、服务器虚拟化、计算和存储技术的发展，数据中心架构变得越来越复杂。虽然高性能和更高带宽的数据中心交换机可以处理巨大的工作负载，但在各种架构中实施高带宽解决方案仍面临诸多挑战。
• 此外，在数据中心使用的各种技术之间建立兼容性也变得十分困难，这可能会导致大量额外开支，并阻碍新的部署。

星融元推出的32x400G规格的低时延交换机在公有云、私有云等场景下都有着不俗的性能表现，可为云数据中心多业务融合、高性能计算、大数据分析、高频交易等多种业务场景提供卓越的网络服务。

除了400G规格以外，CX-N系列还有以下型号以供组网选择：

CX-N系列预装的网络操作系统为AsterNOS（基于SONiC），具备高度的功能定制和可扩展性，帮助实现网络运维自动化。对比社区版SONiC，AsterNOS在以下方面做了大量功能补充和增强：

值得一提的是，与MC-LAG 解决方案相比，EVPN Multi-homing不仅能更好地解决可扩展性和流量负载平衡方面的限制，还能提高 VXLAN 接入端的可靠性。

更多有关EVPN Multi-homing的介绍：

MC-LAG还是Multi-Homing？探讨网络通信高可用性的新选择

此外，AsterNOS 完全支持类似 Cisco 的命令行模式，大大降低了运维端的学习成本。

下面是我们在使用 AserNOS 的交换机上演示以 不同的命令行模式（Klish/Bash）配置 VLAN。

欢迎关注微信公众号“星融元Asterfusion”，获取更多技术分享和最新产品动态。

如今，数据中心交换机市场正在向 400G 迁移，主要原因是云计算和云服务的普及推动了对高带宽和低时延的需求，让高性能的交换机得到了更广泛的应用。我们从三个方面进行简单分析。

全球数据的爆炸式增长

数据中心存储着个人消费者、大中小型企业或组织的海量数据，随着互联网的发展，数据量也在不断增长。400G 数据中心交换机作为网络架构不可或缺的一部分，也开始从大型的云数据中心扩展到小型云服务提供商和大型企业。以下列表显示了全球数据使用的一些主要趋势。

• 社交媒体流量呈爆炸式增长
• 边缘小基站的部署和5G 服务的推出与应用
• 物联网和 IoT（工业物联网）的发展势头日益强劲
• 传统的办公室工作正转向远程方式

数据中心网络架构的升级

为满足数据中心对高带宽、高可用性和低延迟网络的发展要求，多级Spine-leaf网络架构的出现简化了数据中心网络，并提供了更高的网络容量，网络架构的变化也使数据中心具备了更灵活的连接和更高的扩展性——随着“东数西算”工程进入加速期，骨干光网络建设需求扩大，需要带宽更高的数据中心交换机来承载流量，以满足终端用户日益增长的需求。

超大规模数据中心和边缘数据中心的扩展

随着对低延迟性能需求的增长，超大规模服务提供商正在努力使云计算服务更靠近终端。这是因为用户与边缘数据中心网络之间的距离较短，能以更低的延迟提供应用和服务，所以边缘数据中心使用的交换机也日益受到重视，并推动数据中心的所有者和运营商改良其基础设施，以适应高速增长的流量。

新格局如何影响数据中心交换机

对于数据中心而言，性能问题实际上是服务器、存储与交换机和各类网络连接之间的问题。数据中心交换机会受到不断变化的数据中心格局的影响，为此所有网络运营商都在寻求可扩展、可靠和高效的交换解决方案。

架构从 ToR 转向 MoR/EoR

从机架顶部（ToR）架构转向MoR或EoR配置是一大重要变化。与 ToR 架构相比，MoR 和 EoR 所需的机架式数据中心交换机更少。这意味着占用更少的机架空间、更少的维护工作以及更少的电力和散热系统部署和能耗。
此外，升级到更高速度只需更换服务器的跳线，而无需更换更长的线缆。不过，为了方便行内服务器与 MoR/EoR 交换机之间的连接，这种转变需要采用结构化布线策略。

更高的交换机端口密度

与 ToR 向 MoR/EoR 转变密切相关的是数据中心交换机速度的提高。当 IEEE802.3ck 成为批准的标准时，为交换机专用集成电路 (ASIC) 提供电气 I/O 的串行器/解串器 (SerDes) 预计将达到 100G。这表明交换机专用集成电路也在提高 I/O 端口的密度。

通过更高的交换机端口密度支持更多的网络设备连接，就有可能减少机架顶部（ToR）交换机的数量。因此，数据中心架构所需的交换机数量总体上会减少。

数据中心使用 QSFP-DD 收发器模块、400G 光缆和 200G/400G 交换机的情况越来越普遍。在骨干网使用 400G 交换机，数据中心使用相同数量的交换机（机架空间）可提供更大的带宽速率（吞吐量）或支持更多网络节点。

星融元推出的32x400G规格的低时延交换机，端口转发时延低至~400ns。软件方面则搭载了AsterNOS网络操作系统（基于SONiC），具备高度的功能定制和可扩展性，帮助实现网络运维自动化，可为云数据中心多业务融合、高性能计算、大数据分析、高频交易等多种业务场景提供卓越的网络服务。

除了400G规格以外，采用全开放架构的数据中心交换机CX-N系列还有以下型号以供组网选择，在公有云、私有云等场景下都有着不错的性能表现。

关注vx公号“星融元Asterfusion”，获取更多技术分享和最新产品动态。

Wi-Fi 一直是企业网络的重要组成部分。对于许多企业网络环境来说，WiFi 是大多数终端设备的主要接入方式。当终端用户连接到一个稳定的无线局域网时，最好的感知就是没有感知——因为一切都能顺畅运行。这就意味着无线局域网必须可靠，其设置必须能够支持运营目标，而这些目标可能因个别网络情况而异。

无线接入点的部署

任何无线局域网的成功配置都取决于从物理和逻辑角度对组成网络的接入点进行的科学布置。通常情况下，我们需要关注以下几点：

以空间需求和业务目的驱动 Wi-Fi 规划和设备选型

好的 Wi-Fi 设置并不是随随便便就能实现的，尤其是在大型或技术复杂的环境中。有时，IT 团队会将无线接入点（AP）安装在简单方便的区域，而不是将接入点放置在需要达到最佳性能的地方。一旦出现这种情况，最终用户体验不佳几率就会成倍增加。

不同的网络目的通常会产生不同的网络设计和接入点布局。例如，使用基于 Wi-Fi 的定位服务、提供访客访问的WLAN和为终端提供服务的 WLAN 会产生不同的设计，正确的 Wi-Fi 接入点布置取决于每个网络设置的政策、具体情况和运营目标。

灵活规划无线接入点的物理位置

不同组织在规划无线接入点的布置和物理安全时并没有一套统一的指导方针或建议可供遵循。比如有些环境需要带锁的机柜或单独的隔绝外部的空间。而在另一些环境中，机柜则是一种浪费，因为机柜的成本甚至都会高于无线接入点本身，或者已有安全摄像头覆盖了该区域，或者该空间本就不对公众开放。

在放置无线接入点时，经常出现的错误是过分关注隐藏无线AP，这使得以后很难对其进行维护。另一个错误是将接入点安装在易受攻击的区域，它们可能会被容易被非官方人员操作修改或被机器或其他设备以外撞到。

根据业务类型考虑接入点的合理布局

如今，大多数无线网络都是多用途的，它们可能会生成不同的SSID分别用于提供语音服务，供访客或受管理的企业笔记本电脑接入使用，但所有这些其实都由相同的接入点设备提供服务。每个 SSID 通常相当于一个特定的虚拟局域网，需要根据使用该 SSID 的客户类型进行安全配置。

严格控制设备管理权限

在企业网络环境中，很少会在客户端设备使用的网络上管理 AP。AP、交换机、闭路电视摄像机和一系列其他设备通常在严格控制的 IP 地址空间内进行管理，无论是使用防火墙还是访问控制列表，这些设备通常都与互联网和网络的其他部分隔绝，只有一小部分管理员可以访问这些设备，而且只有在满足双因素身份验证要求后才能访问。

监测非法接入点

无论 WLAN 如何满足操作要求，有些人可能会将无线路由器或 AP 连接到企业网络内的局域网，而他们根本没有必要这样做。个人的无知、对政策的无视或纯粹的恶意都可能促使非法无线网络设备的加入。无论这些设备出现的原因是什么，都必须提前制定应对策略。哪怕不并非寻找安全漏洞，不受控的无线接入点也会产生高强度干扰，阻碍合法用户使用企业 Wi-Fi 系统。

要最大限度地减少非法接入设备的出现，首先要制定并传达明确的政策。在这之后检测是关键，这就需要持续监控 Wi-Fi 频谱，查找可疑的信号来源。

更深层次的优化思路——架构升级

在无线接入点部署以外，我们也可以深层次地从网络架构的优化来提升无线网络的使用体验，并简化企业网络中的安全管理。例如采用分布式网关提升无线漫游的效率，简化前期部署和后期的动态维护工作。此外，架构本身自带的内生安全特性也可大大减少手动配置安全策略等枯燥又易错的运维工作。

什么是分布式网关？

星融元云化园区网络解决方案搭建是一个全三层的IP网络，一个子网的网关会以分布式的形式存在于每一个接入交换机上。它充分利用每一个接入层设备的能力，所有的跨子网转发动作在最近的分布式网关上完成，让网关功能不再成为压垮网络中某一台设备的潜在风险，同时大幅度提升整网的转发效率。

对比传统的无线方案，设备发生AP漫游后的流量不再需要绕道转发，也无需在配置前期考虑网络划分的问题——网络管理员只需要在网络初始化时一次性配置好所有分布式网关的信息即可，无需在运行过程中动态调整，进一步降低运维的复杂度。

接入终端安全控制

结合认证系统和内生安全特性，星融元云化园区网络可以提供多种接入终端安全管理能力，智能保障园区网络的安全性。例如：交换机将主动跟踪任何接入终端与DHCP服务器之间的交互过程，并自动学习设备信息，非法终端产生的网络流量将在接入端口被直接丢弃，不再依赖手动配置安全策略。

当今的企业生存和死亡取决于他们快速构建、启动和改进应用和服务以实现业务目标的能力。NetOps和DevOps是支持软件持续集成，交付和部署的互补概念。

DevOps是什么？

DevOps 是一种与敏捷方法相关的软件开发方法，开发人员和系统管理员一起工作，不断构建、测试、交付和改进应用和服务。支持者表示，与使用传统的、市场缓慢的瀑布模型的孤立开发和运营团队相比，DevOps可以更好地跟上当今企业的数字需求。核心 DevOps 原则包括协作、自动化、持续集成 (CI)、持续测试和持续交付 (CD)。

NetOps是什么？

从历史上看，术语 NetOps 是网络操作的简写，即与维护、监视和排除网络故障相关的活动。但是，今天，NetOps通常是指在网络中使用DevOps原则和工具。这种现代方法也被称为NetOps 2.0，DevNetOps，NetDevOps，网络即代码和Super-NetOps。 NetOps 2.0 结合了网络自动化、编排和虚拟化，将基础架构视为代码 (IaC)。这将产生更灵活、可编程和可扩展的网络基础架构，需要更少的手动干预，并且可以跟上 DevOps 设置的加速步伐。 在某些情况下，IaC 使 DevOps 团队能够通过自动化和自助服务在整个开发和测试阶段管理应用程序的操作环境。通过将网络转移到 CI/CD 管道中，NetOps 有助于提高软件开发生命周期 (SDLC) 的效率，并最大限度地减少后期部署问题。

NetOps 和 DevOps 之间的主要区别

DevOps主要是软件开发人员和系统管理员的职权范围，而NetOps是受DevOps影响的网络方法。DevOps 有助于快速高效的应用程序开发，而 NetOps 支持快速有效地部署这些应用程序。

星融元Asterfusion对NetDevOps可编程网络的支持

NetDevOps对网络提出了软件编程、软件定义、按需定制、运营优化的要求，而开放网络的理念与架构方法恰恰能够满足这些要求。NOS作为网络设备的“灵魂”，NetDevOps要求NOS从封闭、黑盒的体系向开放、透明的体系演进。

AsterNOS是星融元基于标准的Linux、以SONiC/SAI作为内核，为云计算时代构建的新一代开放、开源、以业务为中心NOS。AsterNOS SDK是星融元为满足NetDevOps需求为AsterNOS设计的一套开放网络的开发环境，能够支持开放网络的使用者在AsterNOS之上高效地运维网络和开发自己的网络应用。