伴隨著(zhù)移動(dòng)化而來(lái)的是什么?
移動(dòng)辦公和BYOD帶來(lái)的移動(dòng)性是企業(yè)園區網(wǎng)不可避免的趨勢。園區內部的移動(dòng)化有兩種主流場(chǎng)景,首先是用戶(hù)因為工作需要在企業(yè)總部園區、分支、出差途中接入;另一種是園區內部基于Wi-Fi網(wǎng)絡(luò )接入,比如用戶(hù)可以拿著(zhù)筆記本電腦從辦公室移動(dòng)至會(huì )議室,而同時(shí)連接和業(yè)務(wù)不中斷。
這些移動(dòng)化技術(shù)的運用帶來(lái)了企業(yè)運營(yíng)效率的提升,但同時(shí)帶來(lái)了新的問(wèn)題:
來(lái)自IT運維人員的聲音:我們公司已經(jīng)實(shí)現W·AN覆蓋和移動(dòng)辦公,員工們大都使用便攜機、Pad在公司接入網(wǎng)絡(luò ),可我最近老是被CIO呵斥,說(shuō)年初是各部門(mén)年度規劃會(huì )議的高峰時(shí)段,但是重要視頻會(huì )議總是被其他流量沖擊,根本沒(méi)辦法保障業(yè)務(wù)體驗。
來(lái)自售后服務(wù)總監的聲音:出于工作需要,我們部門(mén)的員工總是需要到客戶(hù)現場(chǎng)接入公司網(wǎng)絡(luò )處理問(wèn)題,所以我們部門(mén)很早就實(shí)現移動(dòng)辦公和遠程接入了,但是我的兄弟經(jīng)常會(huì )發(fā)現在客戶(hù)那里通過(guò)VPN接入公司的時(shí)候,在北京的繞路到瑞典接入,在深圳的繞路到越南接入,這導致網(wǎng)絡(luò )質(zhì)量特別差,尤其是處理重大問(wèn)題的時(shí)候,網(wǎng)絡(luò )的延誤已經(jīng)影響了我們的客戶(hù)滿(mǎn)意度。
來(lái)自CIO的聲音:出于業(yè)務(wù)需要,我們公司研發(fā)項目組非常多而且人員變動(dòng)頻繁,項目組之間需要嚴格的網(wǎng)絡(luò )權限隔離來(lái)保障我們信息資產(chǎn)的安全,這給我們的網(wǎng)絡(luò )維護帶來(lái)了很大的工作量,盡管無(wú)線(xiàn)接入非常靈活,但考慮到這可能導致我們的員工接入地點(diǎn)變得更加靈活和無(wú)法管理,我們一直遲遲無(wú)法下決心。
可以看出,伴隨著(zhù)BYOD、移動(dòng)化帶來(lái)了新的問(wèn)題,那就是如何為移動(dòng)的用戶(hù)提供一致的策略和業(yè)務(wù)體驗保障。也就是說(shuō)隨著(zhù)人移動(dòng),需要保障安全策略和業(yè)務(wù)體驗是一致的。這里的安全策略主要包括訪(fǎng)問(wèn)不同身份的用戶(hù)之間的隔離控制策略、用戶(hù)訪(fǎng)問(wèn)數據中心的業(yè)務(wù)安全控制策略;業(yè)務(wù)體驗主要包括用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)的帶寬和業(yè)務(wù)優(yōu)先級保障,比如VIP用戶(hù)移動(dòng)辦公時(shí)的優(yōu)先接入。
這些都是圍繞著(zhù)用戶(hù)移動(dòng)化,也就是“行”而興起的需求。傳統園區中,為了實(shí)現對業(yè)務(wù)和用戶(hù)進(jìn)行控制,IT部門(mén)會(huì )對全網(wǎng)進(jìn)行復雜的規劃和設計。在接入層設備手工配置V·AN、AC·等來(lái)控制訪(fǎng)問(wèn)權限和帶寬,在路由器防火墻設備上手工配置QoS、流控策略等。隨著(zhù)移動(dòng)化帶來(lái)的同一個(gè)終端會(huì )在不同的地方接入,使得策略和業(yè)務(wù)配置復雜度成指數型的增長(cháng),尤其是當須要進(jìn)行業(yè)務(wù)和用戶(hù)調整時(shí),須要手工在全網(wǎng)設備上進(jìn)行改動(dòng),對于IT部門(mén)來(lái)說(shuō)簡(jiǎn)直是災難性的事件。
另外,因為IP網(wǎng)絡(luò )各個(gè)節點(diǎn)是獨立運行,通過(guò)單點(diǎn)分布式計算來(lái)運行業(yè)務(wù)策略的,所以很難保證各個(gè)節點(diǎn)之間不會(huì )存在配置不一致,從而導致策略和體驗上的全網(wǎng)不一致。
那么應該如何面對移動(dòng)性對企業(yè)園區網(wǎng)絡(luò )帶來(lái)的挑戰,如何保證策略和體驗隨著(zhù)用戶(hù)和終端的移動(dòng)而保持一致,如何簡(jiǎn)化IT部門(mén)的工作,簡(jiǎn)化策略和體驗控制的復雜度?
基于SDN思想,構建集中式管控
事實(shí)上,所有問(wèn)題的關(guān)鍵是因為業(yè)務(wù)管控不集中,導致網(wǎng)絡(luò )設備各自為政,很難保證全網(wǎng)的策略和體驗一致性。試想一下,如果把這些控制集中起來(lái),在一個(gè)地方統一配置用戶(hù)和業(yè)務(wù)的安全、體驗相關(guān)策略,并向全網(wǎng)同步下發(fā)。這不就使得全網(wǎng)策略和體驗同步的同時(shí),大大簡(jiǎn)化了設備的配置復雜度嗎?
敏捷園區,業(yè)務(wù)隨行
華為敏捷園區解決方案基于SDN思想設計,圍繞著(zhù)移動(dòng)化帶來(lái)的“行”的問(wèn)題出發(fā),更專(zhuān)注于移動(dòng)化帶來(lái)安全控制和用戶(hù)業(yè)務(wù)體驗一致性的保障。業(yè)務(wù)隨行將包括策略隨行和體驗隨身,其中策略包括權限、業(yè)務(wù)流和安全策略;體驗包括對優(yōu)先級和帶寬的控制。從而可以讓園區能敏捷的為業(yè)務(wù)訪(fǎng)問(wèn)服務(wù),讓我們簡(jiǎn)單的看幾個(gè)敏捷園區工作的例子:
·讓研發(fā)、財經(jīng)、市場(chǎng)、VIP用戶(hù)等不同身份的人員可以同時(shí)在一個(gè)辦公區接入,這些不同身份的用戶(hù)間可以輕松自如的實(shí)現網(wǎng)絡(luò )訪(fǎng)問(wèn)的隔離,具備不同的業(yè)務(wù)優(yōu)先級,而且可以隨著(zhù)用戶(hù)的移動(dòng)和身份的變化而動(dòng)態(tài)調整。
·實(shí)現VIP用戶(hù)在公司內部移動(dòng)接入、跨廣域網(wǎng)訪(fǎng)問(wèn)、出差途中移動(dòng)辦公時(shí)在全網(wǎng)的關(guān)鍵設備,比如接入交換機、廣域網(wǎng)路由器、安全接入網(wǎng)關(guān)、數據中心入口防火墻等都自動(dòng)獲得較高帶寬和網(wǎng)絡(luò )訪(fǎng)問(wèn)的高業(yè)務(wù)優(yōu)先級保障。
·實(shí)現特殊用戶(hù),比如訪(fǎng)客的流量自動(dòng)識別,自動(dòng)引流至相應安全設備進(jìn)行上網(wǎng)行為審計等應用安全操作。
·實(shí)現園區網(wǎng)絡(luò )中面向不同身份用戶(hù)的流量調度,比如根據用戶(hù)身份自動(dòng)在電信、聯(lián)動(dòng)、聯(lián)通等多互聯(lián)網(wǎng)出口之間進(jìn)行分流調度。
這些功能將會(huì )如何實(shí)現?首先需要在園區網(wǎng)絡(luò )中引入控制器,作為全網(wǎng)用戶(hù)身份和策略的統一控制中樞。為了讓全網(wǎng)的網(wǎng)絡(luò )設備都可以了解用戶(hù)身份以及對應該執行的策略是什么,首先在控制器統一定義用戶(hù)組,而后將用戶(hù)相匹配的安全控制、業(yè)務(wù)體驗策略和用戶(hù)組關(guān)聯(lián),并向全網(wǎng)同步下發(fā)。而網(wǎng)絡(luò )設備(包括網(wǎng)絡(luò )中的交換機、防火墻、VPN網(wǎng)關(guān)等)將動(dòng)態(tài)接受控制器下發(fā)的策略,智能識別發(fā)送業(yè)務(wù)報文的源用戶(hù)身份和目的用戶(hù)身份,并執行控制器下發(fā)的策略。
因而當用戶(hù)在不同地方接入時(shí),其相關(guān)的安全控制策略,比如接入權限控制、用戶(hù)組之間隔離等將從控制器出發(fā)跟隨用戶(hù)的腳步到達離他最近的邊緣設備,和業(yè)務(wù)體驗相關(guān)的帶寬、QoS等策略將由控制器分發(fā)到全網(wǎng)的關(guān)鍵設備,比如網(wǎng)絡(luò )出口和數據中心入口防火墻、安全接入網(wǎng)關(guān)等。從而在避免了管理員割裂分離、名目繁復的配置和管理工作的同時(shí),又保障了用戶(hù)在網(wǎng)絡(luò )中安全訪(fǎng)問(wèn)和業(yè)務(wù)體驗策略的統一。
而敏捷園區業(yè)務(wù)隨行方案通過(guò)基于SDN的思想,與傳統園區多用的訪(fǎng)問(wèn)控制方案(NAC)相比更加關(guān)注用戶(hù)移動(dòng)過(guò)程中的業(yè)務(wù)體驗的保障,有如下3個(gè)重大變革:
變革1:全網(wǎng)策略的集中式管控
通過(guò)控制器集中管控全網(wǎng)基于用戶(hù)的安全和體驗策略,核心的價(jià)值是在大幅度降低管理員繁復工作的前提下,輕松實(shí)現全網(wǎng)統一的安全控制和業(yè)務(wù)體驗,并以此帶來(lái)策略隨行和體驗隨身的效果。
變革2:用戶(hù)的精細化管理
將傳統方案基于用戶(hù)組訪(fǎng)問(wèn)固定服務(wù)器IP地址的方式,變革成基于用戶(hù)組間的策略控制。這種二維的精細化管控可以很方便地實(shí)現對用戶(hù)組訪(fǎng)問(wèn)用戶(hù)組場(chǎng)景的隔離控制,而這種隔離和用戶(hù)物理位置無(wú)關(guān)。
變革3:基于用戶(hù)和業(yè)務(wù)的應用安全防護
對于某些不安全的終端或者來(lái)自不安全區域的業(yè)務(wù)流,將流量引至安全資源中心進(jìn)行清洗和防護,并基于用戶(hù)組進(jìn)行應用安全的策略控制。比如,對來(lái)自訪(fǎng)客的流量引到NGFW進(jìn)行入侵防御檢測,并限制訪(fǎng)客無(wú)法訪(fǎng)問(wèn)視頻業(yè)務(wù)。
敏捷園區業(yè)務(wù)隨行基于SDN思想設計,通過(guò)更豐富的策略、更全面的控制、更易用的方式來(lái)實(shí)現用戶(hù)策略隨行和體驗隨身,實(shí)現的效果是移動(dòng)辦公的人員不管在哪里,使用什么終端接入,體驗能夠一致。
“敏捷園區”現場(chǎng)體驗
如何進(jìn)一步了解敏捷園區業(yè)務(wù)隨行方案的最新功能,甚至零距離接觸創(chuàng )新方案的展示?“2014華為中國合作伙伴大會(huì )”于2014.3.23-25在南京舉辦,將在現場(chǎng)為您現場(chǎng)聯(lián)合展示“敏捷園區業(yè)務(wù)隨行”和“移動(dòng)辦公”解決方案。同時(shí)還會(huì )有華為最新敏捷交換機、無(wú)線(xiàn)、安全等全系列產(chǎn)品和方案創(chuàng )新特性的展出,期待您的光臨。
