目前許多企業(yè)都已經(jīng)開始允許員工自帶智能設(shè)備使用企業(yè)內(nèi)部應(yīng)用。這樣做的目標(biāo)是在滿足員工自身對(duì)于新科技和個(gè)性化追求的同時(shí)，提高員工的工作效率，降低企業(yè)在移動(dòng)終端上的成本和投入。

可事實(shí)上，不少的企業(yè)也發(fā)現(xiàn)了這種趨勢下暴露的IT管理問題：曾幾何時(shí)，手持設(shè)備被當(dāng)成駭客入侵內(nèi)網(wǎng)的絕佳跳板。某個(gè)在咖啡館攻陷目標(biāo)手機(jī)的駭客，可以靜靜等待感染木馬的目標(biāo)手機(jī)被帶到敏感網(wǎng)絡(luò)，隨后再做進(jìn)一步的攻擊。又比如，一些公司敏感數(shù)據(jù)，被手機(jī)上網(wǎng)的員工不小心發(fā)布到了社交網(wǎng)絡(luò)平臺(tái)上，而各種電子市場的惡意App、木馬App更是數(shù)不勝數(shù)……

移動(dòng)設(shè)備管理（Mobile Device Management，MDM），一直是企業(yè)信息化的重要議題，最近兩年業(yè)內(nèi)BYOD（Bring Your Own Device，指攜帶自己的設(shè)備辦公，這些設(shè)備包括個(gè)人電腦、手機(jī)、平板等。現(xiàn)在更多的情況指手機(jī)或平板這樣的移動(dòng)智能終端設(shè)備）逐漸成為最熱門的IT關(guān)鍵詞之一，移動(dòng)辦公雖然可以提升員工工作效率，但像BYOD這樣多點(diǎn)復(fù)雜智能終端接入，公司在IT管理方面可謂是傷透腦筋。

于是，各家IT廠商紛紛推出針對(duì)移動(dòng)辦公的IT解決方案，其中華為公司的移動(dòng)辦公整體解決方案是目前本土廠商中較為完整和全面的。本文對(duì)華為移動(dòng)辦公解決方案進(jìn)行簡單評(píng)測分析，希望幫助各位企業(yè)IT部門管理者更加深入解決BYOD帶來的管理難題。

了解華為移動(dòng)辦公安全解決方案的組成：

事實(shí)上，華為移動(dòng)辦公解決方案是指華為eSight WLAN管理組件，它提供了有線無線一體化的解決方案，實(shí)現(xiàn)了有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的融合管理，幫企業(yè)用戶實(shí)現(xiàn)業(yè)務(wù)的批量部署、調(diào)整、故障恢復(fù)及日常的運(yùn)行維護(hù)。

華為移動(dòng)辦公網(wǎng)絡(luò)架構(gòu)（如圖）具有層次化、模塊化和冗余性特點(diǎn)。

圖：華為移動(dòng)辦公網(wǎng)絡(luò)架構(gòu)

1) 層次化設(shè)計(jì)：核心層、匯聚層、接入層，每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和易于維護(hù)。

2) 模塊化設(shè)計(jì)：每一個(gè)模塊一個(gè)部門，部門內(nèi)部調(diào)整涉及范圍小，定位問題也容易。

3) 冗余性設(shè)計(jì)：雙節(jié)點(diǎn)冗余性設(shè)計(jì)，適當(dāng)?shù)娜哂嘈蕴岣呖煽啃?，過度的冗余不便于運(yùn)行維護(hù)。

測試環(huán)境：

本次對(duì)華為SVN移動(dòng)辦公解決方案進(jìn)行測試，對(duì)象包括SVN5560主機(jī)和Anyoffice客戶端（IOS/Android）。

表1：測試工具：

表2：測試軟件：

圖：功能測試拓?fù)鋱D

圖：內(nèi)容測試拓?fù)鋱D

測試結(jié)果如下：

測試內(nèi)容包括認(rèn)證授權(quán)、安全郵箱、安全瀏覽器、移動(dòng)設(shè)備管理、性能共五大方面，測試結(jié)論如下：

華為SVN移動(dòng)辦公安全解決方案可保障移動(dòng)辦公的安全性和高可靠性，滿足相關(guān)安全合規(guī)要求。從根本上提高了企業(yè)員工的辦公效率，節(jié)省了辦公成本，并防范了網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn)。

1. 用戶認(rèn)證：支持本地認(rèn)證、外部認(rèn)證、證書認(rèn)證、輔助認(rèn)證，多達(dá)10種用戶認(rèn)證方法，能結(jié)合應(yīng)用需求自由搭配組合，滿足不同安全程度的接入認(rèn)證。

2. 安全郵箱：支持多種郵件協(xié)議，支持郵件推送服務(wù)，支持日歷、聯(lián)系人功能并與outlook同步；在安全性方面支持郵件加密傳輸，郵件加密保存，附件在線瀏覽，附件轉(zhuǎn)發(fā)策略，離線郵箱策略。

3. 安全瀏覽器：支持web內(nèi)容適配，支持流量精簡，支持文檔沙箱，支持防拷貝，支持訪問行為策略。

4. 移動(dòng)設(shè)備管理：支持資產(chǎn)管理，支持設(shè)備管理，支持用戶應(yīng)用管理，支持企業(yè)數(shù)據(jù)保護(hù)，并提供管理員、終端用戶豐富的管理手段。

5. 性能：SVN5560支持 20000用戶并發(fā)在線，SSL有效吞吐量達(dá)到1Gbps。

華為移動(dòng)辦公安全解決方案試用體驗(yàn)：

通常情況下，企業(yè)網(wǎng)普遍采用AC+Fit AP的方式組網(wǎng)，AC進(jìn)行業(yè)務(wù)控制，統(tǒng)一管理Fit AP。eSight通過SNMP接口下發(fā)配置至AC。

圖：華為移動(dòng)辦公整體解決方案架構(gòu)

當(dāng)一條鏈路兩端的設(shè)備被添加到網(wǎng)管中，將在物理拓?fù)湔宫F(xiàn)POE和AP之間的鏈路：一臺(tái)新的設(shè)備（POE或者AC）添加到網(wǎng)管中，網(wǎng)管讀取POE或者AC的MIB信息，取得AC下的所有AP和POE的鏈路信息，網(wǎng)管將鏈路的信息添加到網(wǎng)管的鏈路管理中供用戶查看，網(wǎng)管將鏈路添加到物理拓?fù)渲?，展現(xiàn)具體的POE和AP之間的鏈路信息，出現(xiàn)新的鏈路并且鏈路兩端設(shè)備已存在于物理拓?fù)渲?，如果有告警上?bào)，新的鏈路會(huì)自動(dòng)在拓?fù)渲姓宫F(xiàn)。

圖：拓?fù)浒l(fā)現(xiàn)

如果沒有告警，可以手動(dòng)搜索鏈路一端的網(wǎng)關(guān)，也可以在物理拓?fù)渲姓宫F(xiàn)出新的鏈路。如下圖：

圖：手動(dòng)拓?fù)浒l(fā)現(xiàn)

◆業(yè)務(wù)部署

網(wǎng)管將AC設(shè)備添加到網(wǎng)關(guān)上，通過在設(shè)備上進(jìn)行配置調(diào)通AC與AP之間的管理/業(yè)務(wù)通道。

用戶可以下載規(guī)劃表單，填寫AP基本信息，通過批量導(dǎo)入增加AP，實(shí)現(xiàn)快速部署和擴(kuò)容。

圖：配置向?qū)Ыo出了配置WLAN業(yè)務(wù)的完整步驟

配置AC基本信息：創(chuàng)建AC并配置AC的接口，認(rèn)證方式和轉(zhuǎn)發(fā)類型。

配置AP上線：添加AP到網(wǎng)關(guān)上。

配置模板：配置AP模板、射頻模板和ESS模板。

配置AP綁定模板：將模板綁定到AP上，完成對(duì)AP的業(yè)務(wù)配置。

◆業(yè)務(wù)監(jiān)控

用戶通過概覽信息查看用戶在線統(tǒng)計(jì)、資源統(tǒng)計(jì)、用戶接入情況、告警信息等，監(jiān)控設(shè)備狀態(tài)。

圖：監(jiān)控圖

用戶通過資源管理中的管理項(xiàng)查看AC、Fit AP、STA、非法AP等設(shè)備的狀態(tài)，并可通過AC、Fit AP接迚入圖形化的查看相關(guān)指標(biāo)。

同時(shí)，用戶可以通過WLAN業(yè)務(wù)拓?fù)浔O(jiān)控?zé)o線設(shè)備告警、狀態(tài)，逼真的展示無線網(wǎng)絡(luò)邏輯結(jié)構(gòu)，包括AC、AP、終端用戶、非法AP的邏輯連接關(guān)系及其詳細(xì)信息，并在拓?fù)涮峁┮欢ü收显\斷處理能力（Ping操作）。

值得一提的是，可以通過報(bào)表管理了解AP上行口流量、空口利用率、AP在線用戶數(shù)、射頻在線用戶數(shù)、AP接入失敗率、AP流量、STA在線趨勢、AP速率、STA信息以及AP關(guān)聯(lián)統(tǒng)計(jì)、AP流量統(tǒng)計(jì)、AP射頻統(tǒng)計(jì)和終端流量統(tǒng)計(jì)等信息；在Linux+Oracle環(huán)境，還支持TOPN用戶接入失敗率和TOPN用戶接入總次數(shù)的信息統(tǒng)計(jì)。

圖：報(bào)表簡約模式

報(bào)表管理提供以上信息展示，效果如下圖（以AP上行口流量統(tǒng)計(jì)報(bào)表為例）

圖：報(bào)表詳細(xì)模式

◆業(yè)務(wù)調(diào)整

網(wǎng)絡(luò)中存在盲區(qū)，用戶希望通過eSight快速、有序完成新增AP部署，實(shí)現(xiàn)熱點(diǎn)覆蓋。

圖：覆蓋區(qū)域平面圖

用戶從安全角度考慮，需要快速完成認(rèn)證策略或關(guān)聯(lián)密碼的修改。

圖：密碼更改

網(wǎng)絡(luò)中出現(xiàn)運(yùn)營商或私人AP占用規(guī)劃信道，干擾現(xiàn)網(wǎng)AP設(shè)備，在無法協(xié)調(diào)的情況，需要通過eSight快速切換信道。

圖：信道調(diào)整

◆故障診斷

以用戶無法正常上網(wǎng)為例（用戶接入歷史信息結(jié)合有線無線一體化定位）：

第一步：查詢用戶接入歷史的信息，查找相關(guān)記錄。

圖：查找功能

第二步：根據(jù)記錄對(duì)應(yīng)的AP信息，進(jìn)入拓?fù)涔芾聿榭磫栴}。

圖：對(duì)應(yīng)AP故障信息顯示

第三步：進(jìn)入設(shè)備面板，查看具體信息。

圖：點(diǎn)擊拓?fù)鋱D中的華為設(shè)備，可以直接更改

用戶可以通過AP PING上行設(shè)備IP（包括網(wǎng)關(guān)或服務(wù)器IP），根據(jù)測試結(jié)果，判斷AP上行業(yè)務(wù)線路的通斷情況?；蛲ㄟ^AP下行PING用戶IP地址，從而確認(rèn)用戶報(bào)障原因是用戶關(guān)聯(lián)問題還是上行業(yè)務(wù)開通。

圖：業(yè)務(wù)管理的Ping操作

◆故障恢復(fù)

AP在線升級(jí)完后或網(wǎng)絡(luò)調(diào)試過程中，網(wǎng)絡(luò)管理人員希望通過eSight進(jìn)程批量重啟AP。

AP配置異常或網(wǎng)絡(luò)調(diào)試過程中，網(wǎng)絡(luò)管理人員需要通過eSight進(jìn)程批量恢復(fù)AP出廠配置。

網(wǎng)絡(luò)中某個(gè)AP出現(xiàn)硬件故障，需要eSight提供快速AP替換的功能，滿足AP更換后業(yè)務(wù)配置無變化。

總結(jié)：

經(jīng)過實(shí)際體驗(yàn)，我們發(fā)現(xiàn)華為移動(dòng)辦公安全解決方案在WLAN管理方面有如下優(yōu)勢：

業(yè)務(wù)監(jiān)控：可提供圖形化的監(jiān)控能力，支持全網(wǎng)物理資源、非法AP、統(tǒng)計(jì)類、性能等相關(guān)信息查看。

業(yè)務(wù)調(diào)整：可快速實(shí)現(xiàn)認(rèn)證策略或關(guān)聯(lián)密碼的修改、切換信道、新增AP盲區(qū)覆蓋等業(yè)務(wù)，為客戶提供了極大的便捷性和實(shí)用性。

故障診斷：可通過拓?fù)涔芾碛芯€無線一體化或執(zhí)行AC、AP Ping操作實(shí)現(xiàn)鏈路信息的獲取和鏈路通斷的診斷，并可通過提供通訊、環(huán)境等相關(guān)故障告警幫劣用戶故障點(diǎn)定位、解決。

故障恢復(fù)：可以提供快速AP替換，更替網(wǎng)絡(luò)中某個(gè)硬件故障AP，滿足AP更換后業(yè)務(wù)配置無變化。

可以說，華為移動(dòng)辦公安全解決方案在用戶業(yè)務(wù)部署不調(diào)整中，提供了簡潔的配置向?qū)?，幫助用戶端到端、批量、有序、快速完成業(yè)務(wù)部署。

在用戶故障排查處理過程提供故障通知、故障排查、故障處理的有效手段，幫助快速有效的發(fā)現(xiàn)問題、解決問題。

在業(yè)務(wù)監(jiān)控中提供業(yè)務(wù)拓?fù)洳榭礋o線網(wǎng)絡(luò)邏輯拓?fù)?、提供位置拓?fù)洳榭瓷漕l信號(hào)并提供無線性能、報(bào)性、無線信息統(tǒng)計(jì)頁面監(jiān)控當(dāng)前網(wǎng)絡(luò)狀態(tài)。這的確為用戶日常運(yùn)維及網(wǎng)絡(luò)調(diào)整提供了全面的解決方案，極大提升網(wǎng)絡(luò)管理效率。

隨著超百兆802.11n技術(shù)的成熟應(yīng)用及千兆802.11ac標(biāo)準(zhǔn)的推出，WLAN速率不在是移動(dòng)辦公接入的瓶頸。在移動(dòng)辦公的時(shí)代，企業(yè)員工可以隨時(shí)隨地接入網(wǎng)絡(luò)，極大提升辦公效率，但同時(shí)也對(duì)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)架構(gòu)提出了很大挑戰(zhàn)，安全需求和數(shù)據(jù)監(jiān)管導(dǎo)致胖樹效應(yīng)加強(qiáng)，使縱向數(shù)據(jù)流量激增，數(shù)據(jù)處理高度集中，這對(duì)企業(yè)來說要求更加高，網(wǎng)絡(luò)匯聚和核心帶寬必須足夠大，超百兆和千兆帶寬的接入，要求網(wǎng)絡(luò)架構(gòu)匯聚部署萬兆和核心部署超萬兆交換機(jī)……

這一切都是的企業(yè)在考慮整體IT架構(gòu)時(shí)，不得不把移動(dòng)辦公帶來的影響考慮在內(nèi)，不過華為移動(dòng)辦公整體解決方案也許可以給企業(yè)IT部門管理者提供一個(gè)不錯(cuò)的選擇。