伴隨著移動化而來的是什么？

　　移動辦公和BYOD帶來的移動性是企業(yè)園區(qū)網(wǎng)不可避免的趨勢。園區(qū)內(nèi)部的移動化有兩種主流場景，首先是用戶因?yàn)楣ぷ餍枰�在企業(yè)總部園區(qū)、分支、出差途中接入；另一種是園區(qū)內(nèi)部基于Wi-Fi網(wǎng)絡(luò)接入，比如用戶可以拿著筆記本電腦從辦公室移動至?xí)�議室，而同時連接和業(yè)務(wù)不中斷。

　　這些移動化技術(shù)的運(yùn)用帶來了企業(yè)運(yùn)營效率的提升，但同時帶來了新的問題：

　　來自IT運(yùn)維人員的聲音：我們公司已經(jīng)實(shí)現(xiàn)W·AN覆蓋和移動辦公，員工們大都使用便攜機(jī)、Pad在公司接入網(wǎng)絡(luò)，可我最近老是被CIO呵斥，說年初是各部門年度規(guī)劃會議的高峰時段，但是重要視頻會議總是被其他流量沖擊，根本沒辦法保障業(yè)務(wù)體驗(yàn)。

　　來自售后服務(wù)總監(jiān)的聲音：出于工作需要，我們部門的員工總是需要到客戶現(xiàn)場接入公司網(wǎng)絡(luò)處理問題，所以我們部門很早就實(shí)現(xiàn)移動辦公和遠(yuǎn)程接入了，但是我的兄弟經(jīng)常會發(fā)現(xiàn)在客戶那里通過VPN接入公司的時候，在北京的繞路到瑞典接入，在深圳的繞路到越南接入，這導(dǎo)致網(wǎng)絡(luò)質(zhì)量特別差，尤其是處理重大問題的時候，網(wǎng)絡(luò)的延誤已經(jīng)影響了我們的客戶滿意度。

　　來自CIO的聲音：出于業(yè)務(wù)需要，我們公司研發(fā)項(xiàng)目組非常多而且人員變動頻繁，項(xiàng)目組之間需要嚴(yán)格的網(wǎng)絡(luò)權(quán)限隔離來保障我們信息資產(chǎn)的安全，這給我們的網(wǎng)絡(luò)維護(hù)帶來了很大的工作量，盡管無線接入非常靈活，但考慮到這可能導(dǎo)致我們的員工接入地點(diǎn)變得更加靈活和無法管理，我們一直遲遲無法下決心。

　　可以看出，伴隨著BYOD、移動化帶來了新的問題，那就是如何為移動的用戶提供一致的策略和業(yè)務(wù)體驗(yàn)保障。也就是說隨著人移動，需要保障安全策略和業(yè)務(wù)體驗(yàn)是一致的。這里的安全策略主要包括訪問不同身份的用戶之間的隔離控制策略、用戶訪問數(shù)據(jù)中心的業(yè)務(wù)安全控制策略；業(yè)務(wù)體驗(yàn)主要包括用戶訪問業(yè)務(wù)的帶寬和業(yè)務(wù)優(yōu)先級保障，比如VIP用戶移動辦公時的優(yōu)先接入。

　　這些都是圍繞著用戶移動化，也就是“行”而興起的需求。傳統(tǒng)園區(qū)中，為了實(shí)現(xiàn)對業(yè)務(wù)和用戶進(jìn)行控制，IT部門會對全網(wǎng)進(jìn)行復(fù)雜的規(guī)劃和設(shè)計(jì)。在接入層設(shè)備手工配置V·AN、AC·等來控制訪問權(quán)限和帶寬，在路由器防火墻設(shè)備上手工配置QoS、流控策略等。隨著移動化帶來的同一個終端會在不同的地方接入，使得策略和業(yè)務(wù)配置復(fù)雜度成指數(shù)型的增長，尤其是當(dāng)須要進(jìn)行業(yè)務(wù)和用戶調(diào)整時，須要手工在全網(wǎng)設(shè)備上進(jìn)行改動，對于IT部門來說簡直是災(zāi)難性的事件。

　　另外，因?yàn)镮P網(wǎng)絡(luò)各個節(jié)點(diǎn)是獨(dú)立運(yùn)行，通過單點(diǎn)分布式計(jì)算來運(yùn)行業(yè)務(wù)策略的，所以很難保證各個節(jié)點(diǎn)之間不會存在配置不一致，從而導(dǎo)致策略和體驗(yàn)上的全網(wǎng)不一致。

　　那么應(yīng)該如何面對移動性對企業(yè)園區(qū)網(wǎng)絡(luò)帶來的挑戰(zhàn)，如何保證策略和體驗(yàn)隨著用戶和終端的移動而保持一致，如何簡化IT部門的工作，簡化策略和體驗(yàn)控制的復(fù)雜度？

　　基于SDN思想，構(gòu)建集中式管控

　　事實(shí)上，所有問題的關(guān)鍵是因?yàn)闃I(yè)務(wù)管控不集中，導(dǎo)致網(wǎng)絡(luò)設(shè)備各自為政，很難保證全網(wǎng)的策略和體驗(yàn)一致性。試想一下，如果把這些控制集中起來，在一個地方統(tǒng)一配置用戶和業(yè)務(wù)的安全、體驗(yàn)相關(guān)策略，并向全網(wǎng)同步下發(fā)。這不就使得全網(wǎng)策略和體驗(yàn)同步的同時，大大簡化了設(shè)備的配置復(fù)雜度嗎？

　　敏捷園區(qū)，業(yè)務(wù)隨行

　　華為敏捷園區(qū)解決方案基于SDN思想設(shè)計(jì)，圍繞著移動化帶來的“行”的問題出發(fā)，更專注于移動化帶來安全控制和用戶業(yè)務(wù)體驗(yàn)一致性的保障。業(yè)務(wù)隨行將包括策略隨行和體驗(yàn)隨身，其中策略包括權(quán)限、業(yè)務(wù)流和安全策略；體驗(yàn)包括對優(yōu)先級和帶寬的控制。從而可以讓園區(qū)能敏捷的為業(yè)務(wù)訪問服務(wù)，讓我們簡單的看幾個敏捷園區(qū)工作的例子：

　　·讓研發(fā)、財(cái)經(jīng)、市場、VIP用戶等不同身份的人員可以同時在一個辦公區(qū)接入，這些不同身份的用戶間可以輕松自如的實(shí)現(xiàn)網(wǎng)絡(luò)訪問的隔離，具備不同的業(yè)務(wù)優(yōu)先級，而且可以隨著用戶的移動和身份的變化而動態(tài)調(diào)整。

　　·實(shí)現(xiàn)VIP用戶在公司內(nèi)部移動接入、跨廣域網(wǎng)訪問、出差途中移動辦公時在全網(wǎng)的關(guān)鍵設(shè)備，比如接入交換機(jī)、廣域網(wǎng)路由器、安全接入網(wǎng)關(guān)、數(shù)據(jù)中心入口防火墻等都自動獲得較高帶寬和網(wǎng)絡(luò)訪問的高業(yè)務(wù)優(yōu)先級保障。

　　·實(shí)現(xiàn)特殊用戶，比如訪客的流量自動識別，自動引流至相應(yīng)安全設(shè)備進(jìn)行上網(wǎng)行為審計(jì)等應(yīng)用安全操作。

　　·實(shí)現(xiàn)園區(qū)網(wǎng)絡(luò)中面向不同身份用戶的流量調(diào)度，比如根據(jù)用戶身份自動在電信、聯(lián)動、聯(lián)通等多互聯(lián)網(wǎng)出口之間進(jìn)行分流調(diào)度。

　　這些功能將會如何實(shí)現(xiàn)？首先需要在園區(qū)網(wǎng)絡(luò)中引入控制器，作為全網(wǎng)用戶身份和策略的統(tǒng)一控制中樞。為了讓全網(wǎng)的網(wǎng)絡(luò)設(shè)備都可以了解用戶身份以及對應(yīng)該執(zhí)行的策略是什么，首先在控制器統(tǒng)一定義用戶組，而后將用戶相匹配的安全控制、業(yè)務(wù)體驗(yàn)策略和用戶組關(guān)聯(lián)，并向全網(wǎng)同步下發(fā)。而網(wǎng)絡(luò)設(shè)備（包括網(wǎng)絡(luò)中的交換機(jī)、防火墻、VPN網(wǎng)關(guān)等）將動態(tài)接受控制器下發(fā)的策略，智能識別發(fā)送業(yè)務(wù)報文的源用戶身份和目的用戶身份，并執(zhí)行控制器下發(fā)的策略。

　　因而當(dāng)用戶在不同地方接入時，其相關(guān)的安全控制策略，比如接入權(quán)限控制、用戶組之間隔離等將從控制器出發(fā)跟隨用戶的腳步到達(dá)離他最近的邊緣設(shè)備，和業(yè)務(wù)體驗(yàn)相關(guān)的帶寬、QoS等策略將由控制器分發(fā)到全網(wǎng)的關(guān)鍵設(shè)備，比如網(wǎng)絡(luò)出口和數(shù)據(jù)中心入口防火墻、安全接入網(wǎng)關(guān)等。從而在避免了管理員割裂分離、名目繁復(fù)的配置和管理工作的同時，又保障了用戶在網(wǎng)絡(luò)中安全訪問和業(yè)務(wù)體驗(yàn)策略的統(tǒng)一。

　　而敏捷園區(qū)業(yè)務(wù)隨行方案通過基于SDN的思想，與傳統(tǒng)園區(qū)多用的訪問控制方案（NAC）相比更加關(guān)注用戶移動過程中的業(yè)務(wù)體驗(yàn)的保障，有如下3個重大變革：

　　變革1：全網(wǎng)策略的集中式管控

　　通過控制器集中管控全網(wǎng)基于用戶的安全和體驗(yàn)策略，核心的價值是在大幅度降低管理員繁復(fù)工作的前提下，輕松實(shí)現(xiàn)全網(wǎng)統(tǒng)一的安全控制和業(yè)務(wù)體驗(yàn)，并以此帶來策略隨行和體驗(yàn)隨身的效果。

　　變革2：用戶的精細(xì)化管理

　　將傳統(tǒng)方案基于用戶組訪問固定服務(wù)器IP地址的方式，變革成基于用戶組間的策略控制。這種二維的精細(xì)化管控可以很方便地實(shí)現(xiàn)對用戶組訪問用戶組場景的隔離控制，而這種隔離和用戶物理位置無關(guān)。

　　變革3：基于用戶和業(yè)務(wù)的應(yīng)用安全防護(hù)

　　對于某些不安全的終端或者來自不安全區(qū)域的業(yè)務(wù)流，將流量引至安全資源中心進(jìn)行清洗和防護(hù)，并基于用戶組進(jìn)行應(yīng)用安全的策略控制。比如，對來自訪客的流量引到NGFW進(jìn)行入侵防御檢測，并限制訪客無法訪問視頻業(yè)務(wù)。

　　敏捷園區(qū)業(yè)務(wù)隨行基于SDN思想設(shè)計(jì)，通過更豐富的策略、更全面的控制、更易用的方式來實(shí)現(xiàn)用戶策略隨行和體驗(yàn)隨身，實(shí)現(xiàn)的效果是移動辦公的人員不管在哪里，使用什么終端接入，體驗(yàn)?zāi)軌蛞恢隆?/p>

　　“敏捷園區(qū)”現(xiàn)場體驗(yàn)

　　如何進(jìn)一步了解敏捷園區(qū)業(yè)務(wù)隨行方案的最新功能，甚至零距離接觸創(chuàng)新方案的展示？“2014華為中國合作伙伴大會”于2014.3.23-25在南京舉辦，將在現(xiàn)場為您現(xiàn)場聯(lián)合展示“敏捷園區(qū)業(yè)務(wù)隨行”和“移動辦公”解決方案。同時還會有華為最新敏捷交換機(jī)、無線、安全等全系列產(chǎn)品和方案創(chuàng)新特性的展出，期待您的光臨。