伴随着移动化而来的是什么?

　　移动办公和BYOD带来的移动性是企业园区网不可避免的趋势。园区内部的移动化有两种主流场景，首先是用户因为工作需要在企业总部园区、分支、出差途中接入;另一种是园区内部基于Wi-Fi网络接入，比如用户可以拿着笔记本电脑从办公室移动至会议室，而同时连接和业务不中断。

　　这些移动化技术的运用带来了企业运营效率的提升，但同时带来了新的问题：

　　来自IT运维人员的声音：我们公司已经实现WLAN覆盖和移动办公，员工们大都使用便携机、Pad在公司接入网络，可我最近老是被CIO呵斥，说年初是各部门年度规划会议的高峰时段，但是重要视频会议总是被其他流量冲击，根本没办法保障业务体验。

　　来自售后服务总监的声音：出于工作需要，我们部门的员工总是需要到客户现场接入公司网络处理问题，所以我们部门很早就实现移动办公和远程接入了，但是我的兄弟经常会发现在客户那里通过VPN接入公司的时候，在北京的绕路到瑞典接入，在深圳的绕路到越南接入，这导致网络质量特别差，尤其是处理重大问题的时候，网络的延误已经影响了我们的客户满意度。

　　来自CIO的声音：出于业务需要，我们公司研发项目组非常多而且人员变动频繁，项目组之间需要严格的网络权限隔离来保障我们信息资产的安全，这给我们的网络维护带来了很大的工作量，尽管无线接入非常灵活，但考虑到这可能导致我们的员工接入地点变得更加灵活和无法管理，我们一直迟迟无法下决心。

　　可以看出，伴随着BYOD、移动化带来了新的问题，那就是如何为移动的用户提供一致的策略和业务体验保障。也就是说随着人移动，需要保障安全策略和业务体验是一致的。这里的安全策略主要包括访问不同身份的用户之间的隔离控制策略、用户访问数据中心的业务安全控制策略;业务体验主要包括用户访问业务的带宽和业务优先级保障，比如VIP用户移动办公时的优先接入。

　　这些都是围绕着用户移动化，也就是“行”而兴起的需求。传统园区中，为了实现对业务和用户进行控制，IT部门会对全网进行复杂的规划和设计。在接入层设备手工配置VLAN、ACL等来控制访问权限和带宽，在路由器防火墙设备上手工配置QoS、流控策略等。随着移动化带来的同一个终端会在不同的地方接入，使得策略和业务配置复杂度成指数型的增长，尤其是当须要进行业务和用户调整时，须要手工在全网设备上进行改动，对于IT部门来说简直是灾难性的事件。

　　另外，因为IP网络各个节点是独立运行，通过单点分布式计算来运行业务策略的，所以很难保证各个节点之间不会存在配置不一致，从而导致策略和体验上的全网不一致。

　　那么应该如何面对移动性对企业园区网络带来的挑战，如何保证策略和体验随着用户和终端的移动而保持一致，如何简化IT部门的工作，简化策略和体验控制的复杂度?

　　基于SDN思想，构建集中式管控

　　事实上，所有问题的关键是因为业务管控不集中，导致网络设备各自为政，很难保证全网的策略和体验一致性。试想一下，如果把这些控制集中起来，在一个地方统一配置用户和业务的安全、体验相关策略，并向全网同步下发。这不就使得全网策略和体验同步的同时，大大简化了设备的配置复杂度吗?

　　敏捷园区，业务随行

　　华为敏捷园区解决方案基于SDN思想设计，围绕着移动化带来的“行”的问题出发，更专注于移动化带来安全控制和用户业务体验一致性的保障。业务随行将包括策略随行和体验随身，其中策略包括权限、业务流和安全策略;体验包括对优先级和带宽的控制。从而可以让园区能敏捷的为业务访问服务,让我们简单的看几个敏捷园区工作的例子：

　　● 让研发、财经、市场、VIP用户等不同身份的人员可以同时在一个办公区接入，这些不同身份的用户间可以轻松自如的实现网络访问的隔离，具备不同的业务优先级，而且可以随着用户的移动和身份的变化而动态调整。

　　● 实现VIP用户在公司内部移动接入、跨广域网访问、出差途中移动办公时在全网的关键设备，比如接入交换机、广域网路由器、安全接入网关、数据中心入口防火墙等都自动获得较高带宽和网络访问的高业务优先级保障。

　　● 实现特殊用户，比如访客的流量自动识别，自动引流至相应安全设备进行上网行为审计等应用安全操作。

　　● 实现园区网络中面向不同身份用户的流量调度，比如根据用户身份自动在电信、联动、联通等多互联网出口之间进行分流调度。

　　这些功能将会如何实现?首先需要在园区网络中引入控制器，作为全网用户身份和策略的统一控制中枢。为了让全网的网络设备都可以了解用户身份以及对应该执行的策略是什么，首先在控制器统一定义用户组，而后将用户相匹配的安全控制、业务体验策略和用户组关联，并向全网同步下发。而网络设备(包括网络中的交换机、防火墙、VPN网关等)将动态接受控制器下发的策略，智能识别发送业务报文的源用户身份和目的用户身份，并执行控制器下发的策略。

　　因而当用户在不同地方接入时，其相关的安全控制策略，比如接入权限控制、用户组之间隔离等将从控制器出发跟随用户的脚步到达离他最近的边缘设备，和业务体验相关的带宽、QoS等策略将由控制器分发到全网的关键设备，比如网络出口和数据中心入口防火墙、安全接入网关等。从而在避免了管理员割裂分离、名目繁复的配置和管理工作的同时，又保障了用户在网络中安全访问和业务体验策略的统一。

　　而敏捷园区业务随行方案通过基于SDN的思想，与传统园区多用的访问控制方案(NAC)相比更加关注用户移动过程中的业务体验的保障，有如下3个重大变革：

　　变革1：全网策略的集中式管控

　　通过控制器集中管控全网基于用户的安全和体验策略，核心的价值是在大幅度降低管理员繁复工作的前提下，轻松实现全网统一的安全控制和业务体验，并以此带来策略随行和体验随身的效果。

　　变革2：用户的精细化管理

　　将传统方案基于用户组访问固定服务器IP地址的方式，变革成基于用户组间的策略控制。这种二维的精细化管控可以很方便地实现对用户组访问用户组场景的隔离控制，而这种隔离和用户物理位置无关。

　　变革3：基于用户和业务的应用安全防护

　　对于某些不安全的终端或者来自不安全区域的业务流，将流量引至安全资源中心进行清洗和防护，并基于用户组进行应用安全的策略控制。比如，对来自访客的流量引到NGFW进行入侵防御检测，并限制访客无法访问视频业务。

　　敏捷园区业务随行基于SDN思想设计，通过更丰富的策略、更全面的控制、更易用的方式来实现用户策略随行和体验随身，实现的效果是移动办公的人员不管在哪里，使用什么终端接入，体验能够一致。

　　“敏捷园区”现场体验

　　如何进一步了解敏捷园区业务随行方案的最新功能，甚至零距离接触创新方案的展示?“2014华为中国合作伙伴大会”于2014.3.23-25在南京举办，将在现场为您现场联合展示“敏捷园区业务随行”和“移动办公”解决方案。同时还会有华为最新敏捷交换机、无线、安全等全系列产品和方案创新特性的展出，期待您的光临。