一些误解和错误的看法

1.为什么不适合使用SSL封装记录的新协议

记得，SSL然而，传输层协议封装上。传输层。的比率表示的应用层传输层的语义是比一些较少的细节更详细的。怎样才能得到它封装它的一个详细的应用？这是一个典型的尾巴摇狗。本末，极端分心！HTTPS只要SSL以上，我们能够SSL下吗？
这里最重要的是数据边界问题。你是用你的应用协议来定义数据边界还是用SSL来定义你的数据边界？谁能定义数据边界谁就要在外边。显然，作为且只作为一个传输层安全增强协议，SSL只能在里面。

假设在外面，那么你就必须要处理SSL record边界和真正的你的应用边界之间的关系，而这样的相应关系的处理是极其不便的，不是由于复杂，而是不便，由于。只要你颠倒SSL和你的应用协议之间的封装关系，这个问题就能得到完美的解决。看看OpenVPN的协议，这就是答案！

使用SSL record来封装应用数据是一个颠倒的做法。一个典型的以SSL为中心的错误做法。

2.IP层的VPN的架构为何要分离认证和传输

注意到IPSec的每个包都携带SPI。用于对等体识别SA，为何每个包都要携带一个SA而不是在传输前搞一个握手，建立一个“连接”，这样SA们就能够保存在该连接中而不用每次传输了。其实，这样做是对的。由于IP层本来就是没有连接的。在这个意义上，OpenVPN建议用UDP封装，我认为是合理的。

而SSL最初为TCP应用而设计，内在有一个连接保持。建立一个会话，SSL将这样的识别机制内置在了会话中，因此SA相似的概念便能够分别存储在端到端的本地，不须要传输，这是还有一种方式，和IPSec不在一个层次。可是假设要在应用层实现一个IP层的VPN，则OpenVPN的UDP方式统一了它们。

我理解的IPSec已经不再是一个框架以及相关的实现，而是一套思想，因此也就没有了“尽管不必然制应用可是须要定制操作系统协议栈而带来了复杂性和不稳定性”这样的和一旦和SSL相比較时总会被人提到的劣势，而这个劣势差点儿是IPSec的唯一劣势。

排除了这个劣势后剩下的这个思想就是协商认证和安全传输的分离。

这个思想不只能够让你保持IP的语义，差点儿不论什么一个层次的语义都是能够保持的，其带来的灵活性更是带来了很多其它的实惠，你能够在认证机制之外又一次协商传输密钥，你能够在安全传输的同一时候又一次用同一种方式或者不同的方式进行协商，随便怎么都行。

3.并行匹配算法

匹配算法将会变得越来越重要，毫不夸张。

早年接触过ASIC芯片，后来又接触了并行CAM查找硬件，在那个时候，我都是非常激动的。现在，我在周末的时候写出的模块体现了这些思想，那就是你怎样让多个匹配过程同一时候进行，然后将匹配结果相与得到最后的结果。

在软件上，你须要一个框架，而这个框架在硬件上就是那些门电路，这个框架能够满足不论什么匹配进入并给出是否匹配的结果。这个算法能够硬件化，而且能够证明硬件还是比软件高效，可是却没有软件灵活，非常多时候在灵活和高效两边，必须权衡，可是在并行匹配算法方面，不用权衡。试想，用硬件来实现并行匹配查找，失去了什么，本来我真的不好用一个词来表达，恰恰昨天同事告诉了我一个术语，那就是“短路”，诚然，硬件查找难以实现短路。是的。可是硬件算法根本不须要短路。假设有5个匹配，同一时候我有5个匹配硬件单元。假设要用软件算法，没有短路机制的情况下，须要5个时间单元。就算在第一个匹配后短路，也须要1个时间单元，可是用硬件的话。总共也就一个时间单元。

这就是硬件算法的优点。

我设计了一个基于路由匹配算法的訪问控制软件模块，实际上就是依照源和目的地址的匹配，依照这个思想。我的意思是还能够用别的match。而不不过源和目的地址，我须要做的就是将全部这些match映射成和源/目标地址那样的u32数值(或者别的不论什么类型的数值，OO而已)。然后依照最长掩码匹配进行精确匹配，天啊。最长掩码匹配真是一个思想而不不过一个方法！

由于算法是固定的，那么我就非常easy将其硬件化，简单的CAM而已...思想。

4.《枪炮，细菌与钢铁》

这是一本绝棒的书，我超级喜欢！

早在几年前我就在公司的书架上看到了这本书，当时认为这是一本畅销书。加上书名也没有神马吸引我的地方。我就没有在意，要知道我从不读畅销书，我喜欢那种出版几十年上百年的那种。另外我也不喜欢花哨的书名，我比較喜欢学术化的书名。因此我错过了这本书，直到上周。我才买了一本，发现非常好。

好在什么地方呢？推理！推理太严谨了。作者提出一个问题。并不直接解决问题，而是将这个大问题一步步分解，然后也不是逐步解决这些小问题，绝妙的地方在于。在作者描写叙述之后，这些问题不解自答，这让读者不自觉认定作者所述的都是真理。尽管作者的观点并不一定是真理。可是这样的毫无漏洞的论述方式不禁让人叹为观止。

5.公立幼儿园有啥好的

我不知道，反正都往里面挤。廉价吗？是的！家长缺钱吗？不！关键是主导的传统观念在作怪。

实际上就算公立幼儿园把小孩训练成傻子，家长也非常乐意将孩子送去。由于它是迈向高考的第一步。

6.人们都喜欢将事情夸张化

马可波罗将西方人引来了吗？某种意义上是的，尽管不是他个人。什么中国遍地黄金。丝绸挂在树上之类的，全是夸张之辞。假设你理解不了这个。那么请看看周围，外地的人。过春节回家的时候，天天嚷嚷买不上票的一定能够买的上票，而且没有几个人，差点儿没有人回不了家。再看看周围。大家都在嚷嚷房价贵，买不起，可是却都买上了房子。都说户口难迁。其实，不是那回事。言不由衷，人的本性。

我也懒得这样夸张。