BYOD解决方案的实施与部署探讨.docVIP

BYOD解决方案的实施与部署探讨 　　【摘 要】 由于智能手机以及平板电脑的出现成爆炸式增长，IT部门不得不重新考虑如何在企业网络中为不断增加的移动设备提供支持。BYOD方案的部署其实就是要通过各种场景绑定相应的策略引导终端用户按照一定的授权接入网络，同时在正确识别终端类型等各类信息的基础上解决如何支持和管理它们以及如何保护它们安全的问题。BYOD的部署对IT部门的工作人员带来了巨大的挑战。尤其是BYOD的实施和部署阶段，有诸多实际难题，例如如何和企业现有业务无缝结合、如何减少对现有网络的改动、如何实现企业数据安全保护等。目前业界各厂商实现方式不尽相同。本文主要以H3C BYOD方案为例进行阐述。 　　【关键词】 BYOD方案 实例分析 部署要点 移动办公模式 　　1 BYOD方案的实施步骤 　　部署任何一家厂商提供的BYOD方案，在部署前都需要充分调研实际业务及需求。通常主要从如下几个方面考虑。 　　（1）网络类型。包括有线、Wi-Fi、VPN等。以便IT人员规划设计合理的认证方式和组网。 　　（2）网络设备。多厂商设备之间是否存在适配，网络设备的规格是否满足BYOD业务需求，是否有必要进行扩容以满足BYOD部署后的业务应用。 　　（3）终端类型。BYOD业务和终端密切结合，需要充分了解终端的类型和应用情况，例如用户终端是企业派发还是私人购买，是否存在部分终端有特殊应用而无需进行BYOD注册等。 　　（4）企业中的APP应用。BYOD是为了更好地让用户随时随地移动办公，其中APP是最关键的业务，BYOD的实施和部署要充分考虑企业内部APP的应用情况，是否存在应用权限控制、黑白APP列表、APP数据安全等。 　　（5）开放融合。用户部署BYOD时是否需要和已有的业务系统对接或者是否存在二次开发的需求。 　　（6）数据安全。IT部门对终端数据的安全要求，是否需要进行数据安全加密和终端权限控制等。 　　（7）访客需求。用户是否有访客业务需求。 　　在充分调研用户的实际需求后，需要规划合理的组网方式。那么BYOD到底对组网有何要求呢？目前BYOD技术主要集中在如何解决移动终端（手机、平板、POS机等）设备网络认证控制方案的层面上。因此，首先需要保证终端基于身份的认证得以实现，在此基础之上再扩展BYOD的特性。比如终端的MAC认证、Portal认证、802.1x认证、VPN认证等多种认证方式都可以用来实现BYOD。目前这些身份认证方式已经发展得非常成熟，相关的技术支持也很到位。 　　（8）H3C的BYOD解决方案实例。以H3C的BYOD方案为例，一个典型的BYOD解决方案的组网由四个体系构成。①认证设备：启用身份认证的设备，例如无线控制器。一般认证方式为MAC认证、Portal认证、802.1x认证、VPN认证等。②H3C iMC BYOD服务器：主要使用了H3CiMC EIP组件的功能。③认证终端：有认证接入网络访问资源的设备，一般是移动设备如PAD、手机，也可以是PC或POS、打印机等设备。④DHCP服务器：用于给终端设备分配IP地址，同时可以配合iMC BYOD的DHCP特征识别方式进行终端识别。DHCP服务器可以是Windows DHCP服务器，也可以是支持DHCP特性的网络设备。此外，实际组网中可能还会存在短信网关、用户业务系统等其他元素。 　　确定组网并实施基础网络建设后，实施H3C BYOD业务可根据如下几步开展： 　　①根据业务规模选择合理的服务器，在此服务器上安装部署iMC BYOD软件； 　　②在网络设备上配置基于身份的认证方式。例如在图1的组网中，在无线控制器上配置符合网络需求的身份认证； 　　③若DHCP服务器为WindowsDHCP服务器，则在此服务器上安装iMC DHCP Agent程序，并根据要求设置合理参数，启用该程序； 　　④根据BYOD需求，在iMCBYOD服务器上设置合理的接入场景和接入策略，在iMC BYOD服务器上创建正式账号或访客使用的BYOD服务并与账号相关联。本步骤配置较多，主要流程如图2所示。 　　从易于管理的角度上看，建议为BYOD匿名账号、访客、接入正常账号均配置专用的BYOD服务，而非三类账号都共用同一个BYOD服务。另外，部分企业用户可能会涉及需要部署MDM/MAM系统。随着移动终端大量接入网络，IT管理者不得不将关注点从物理设备的接入管理转移到移动用户体验的管理上，尤其是会话管理控制，其中包括人表现形式数据安全和性能。对于用户体验而言，最重要的因素在于移动性的设计。这意味着IT部门需要参与移动设备的移动应用开发，用户可以从企业应用商店直接下载这些应用。或者通过系统自动推送客户业务需求的各类APP应用并完成大量复杂繁琐的配置。此外，