主题：【原创】“怪腕”加班记–从设计实例谈Vlan在网络安全领域的应用 -- 萨苏

[对IT工作兴趣不大的朋友可略过]

这几天，写东西不太上心，家里小东西找爸爸也不见，很是气闷。

大嘴爸爸跑到哪儿去了？一个人玩，太没意思了。。。

没办法，老萨对一个网络设计作了些修改，因为赶在星期一上午要通过审议，周末只好去加班。这个设计，说来比较有趣，今天上午设计被中日双方通过，一起工作的日本工程师称老萨当了一回“怪腕”。

从个人感觉上说，这个设计在专业技巧上并没有用什么特别的东西，但的确完成了设计目的，还是比较满意的，最重要的，把费用从两千七百万日元降到了基本为零。其中思路，或许有益于同样从事IT行业的朋友，所以，把一点浅见写出来，算是和大家分享吧。

所谓“怪腕”，本来是日本围棋选手大平修三九段的外号，形容此人下棋不走正路，输赢不说，谁跟他下谁别扭，特累。这显然不是个正面形象。大平修三晚年改了棋风，不过这个外号算是落下了，一直没改，而且被日本人形容一切不按常理出牌的家伙。

那么说老萨这次的设计是否又不按常理出牌了？老实说中国工程师在日本作的设计经常被看作不按常理出牌，这不过是中国工程师们多年因陋就简的老传统还有一点儿残余而已。要知道我们上一辈办过拿胶皮粘飞机发动机的买卖，俺们这已经退化很多了，不过是和一向循规蹈矩的日本工程师不大合拍而已。事实上这次老萨的设计拿到国内应该很平常，只不过在日本，就被看成“怪腕”了。您看，一头驴，送到贵州，老虎看了当怪物，一个老萨，送到日本，日本人看了也当怪物，无非是少见多怪罢了。

外链图片需谨慎，可能会被源头改

黔之驴，瀛之…

事实上，要我说，引发兄弟作这个设计的，那才叫“怪腕”到绝户呢。

这位，就是大中国某城市的一位老总，他和我们公司合作，项目古怪异常。写这篇文章前，中午和法律部的丹尼尔一起吃饭，问了问他的看法，确定了下面的内容并不违反公司规则，然而连老丹都说你就算写了，有多少人能信只怕也是问题。

在日本，买什么东西或者服务的时候，比如买个血压计或者申请了新的手机，销售商总是一起提供咨询电话，多半是免费，而每次你有什么疑问，如果打这个电话对方都十分尽心，堪称耐心细致。因此，这常常被称作日本服务业质量优秀的一大看点。

然而，在日本打这种咨询电话的时候，用户很少有人想到，接电话提供帮助的服务人员，可能根本就不在日本，而是大海彼岸的一个中国人！

说来怪异，然而这位老总所在公司提供的就是这类服务，且生意火爆得很。这完全因为中日之间劳动力成本差异极大，而远程的网络服务价格这两年又大幅降低的原因。如果这种生意都通过国际长途来做，那花的钱恐怕够在上海和日本之间修条地道了。

我听到这种服务存在的消息最初根本不相信，直到自己真的做测试，才确信中国方面的服务完全做到了“以假乱真”，你根本无法分辨接电话的是中国人还是日本人，我只能依靠微小的声音迟延将它们区分出来。这让我十分惊讶，因为萨也已经在日本呆了好几年了，一说日语还是马上会被听出是外国人。那位老总的部下呢？大多是职业高中毕业的女生，居然能让日本人真假难辨，是人家太聪明呢？还是老萨脑袋让驴踢过呢。我曾就这件事和那位老总聊过，说你们的人怎么练出来的？

那位憨厚得如同山东胶东农民的老总没正面回答，只指着网上一条消息说，萨先生您看这条东西没有？美国人写的，说咱们中国人缺乏创造力，就善于仿冒。。。您看，美国人都这么说。。。

人材阿。可能中国最不缺的就是人材吧。要不怎么老萨这号的都只能在国外混饭吃呢？

不管怎么说，这位老总和他的部下为所在公司某一部门也提供这类服务，而且干得很好。干得很好的结果就是双方准备签新的合同，新合同里面，连复杂的二线服务也准备交一部分给这家公司。

于是新的问题出现了。原来作一线服务，中国方面并不需要使用公司在日本的数据库系统，而如果作利润较高，但要求也较高的二线服务，公司的部分数据库，就要对中国方面开放，而原来这些系统，是只对日本方面的二线部门开放的。

下面图中内容，并不是我们真正的系统，只是标准化了的连接模式，用于说明类似系统的大致工作流程（别紧张，没什么商业机密，大家都是这样的模式）

现在的工作模式

这个工作模式，需要稍作说明，本来，这部分系统只有日本在全国各地的工作人员使用，他们从各地的终端通过广域网联入公司数据中心，公司数据中心的第一道防火墙对他们进行检验，确认他们有进来的权限后，将其请求转给接入服务器，接入服务器仅仅管理接入的进程（Session）,说白了如果你是合法用户，就不让你掉线或者掉线了赶紧重新接起来；过了这一关，他们的请求会被送到第二道防火墙，确认有进来的权限后，交给应用系统服务器，这里放的是终端用户真正需要使用的程序；接着，如果需要调用数据库，调用请求会再次被交给第三道防火墙，确认有进来的权限后，真正取出数据来。

可是，中方加入后，情况就不同了。请看下图的模式

这个系统，可以看出，中方需要使用一部分原来日方使用的服务器。于是，出于安全角度考虑，双方协定必须实现系统的分隔，才可以开始工作。这个分隔，指的是中方只能用指定的服务器，日方也只能用中方不用的服务器，而双方服务器之间，双方终端之间，任何数据交流都是不允许的。

为了实现这个分隔，日方该部门的网络工程人员做好了设计，费用双方均摊。

两边的头头看这设计很满意，等一看预算，那边的花总 --那边老总姓花，可是一彪形大汉，跟这种植物的观赏部分毫无共通之处 –就开始往后边踅摸。

踅摸什么呢？

找修机器用的大扳手呢？

找那玩意儿干吗？

要打人啊。

[待续]