目前許多企業都已經開始允許員工自帶智能設備使用企業內部應用。這樣做的目標是在滿足員工自身對于新科技和個性化追求的同時，提高員工的工作效率，降低企業在移動終端上的成本和投入。

可事實上，不少的企業也發現了這種趨勢下暴露的IT管理問題：曾幾何時，手持設備被當成駭客入侵內網的絕佳跳板。某個在咖啡館攻陷目標手機的駭客，可以靜靜等待感染木馬的目標手機被帶到敏感網絡，隨后再做進一步的攻擊。又比如，一些公司敏感數據，被手機上網的員工不小心發布到了社交網絡平臺上，而各種電子市場的惡意App、木馬App更是數不勝數……

移動設備管理（Mobile Device Management，MDM），一直是企業信息化的重要議題，最近兩年業內BYOD（Bring Your Own Device，指攜帶自己的設備辦公，這些設備包括個人電腦、手機、平板等。現在更多的情況指手機或平板這樣的移動智能終端設備）逐漸成為最熱門的IT關鍵詞之一，移動辦公雖然可以提升員工工作效率，但像BYOD這樣多點復雜智能終端接入，公司在IT管理方面可謂是傷透腦筋。

于是，各家IT廠商紛紛推出針對移動辦公的IT解決方案，其中華為公司的移動辦公整體解決方案是目前本土廠商中較為完整和全面的。本文對華為移動辦公解決方案進行簡單評測分析，希望幫助各位企業IT部門管理者更加深入解決BYOD帶來的管理難題。

了解華為移動辦公安全解決方案的組成：

事實上，華為移動辦公解決方案是指華為eSight WLAN管理組件，它提供了有線無線一體化的解決方案，實現了有線網絡和無線網絡的融合管理，幫企業用戶實現業務的批量部署、調整、故障恢復及日常的運行維護。

華為移動辦公網絡架構（如圖）具有層次化、模塊化和冗余性特點。

圖：華為移動辦公網絡架構

1) 層次化設計：核心層、匯聚層、接入層，每層功能清晰，架構穩定，易于擴展和易于維護。

2) 模塊化設計：每一個模塊一個部門，部門內部調整涉及范圍小，定位問題也容易。

3) 冗余性設計：雙節點冗余性設計，適當的冗余性提高可靠性，過度的冗余不便于運行維護。

測試環境：

本次對華為SVN移動辦公解決方案進行測試，對象包括SVN5560主機和Anyoffice客戶端（IOS/Android）。

表1：測試工具：

表2：測試軟件：

圖：功能測試拓撲圖

 

圖：內容測試拓撲圖

測試結果如下：

測試內容包括認證授權、安全郵箱、安全瀏覽器、移動設備管理、性能共五大方面，測試結論如下：

華為SVN移動辦公安全解決方案可保障移動辦公的安全性和高可靠性，滿足相關安全合規要求。從根本上提高了企業員工的辦公效率，節省了辦公成本，并防范了網絡和信息安全風險。

1. 用戶認證：支持本地認證、外部認證、證書認證、輔助認證，多達10種用戶認證方法，能結合應用需求自由搭配組合，滿足不同安全程度的接入認證。

2. 安全郵箱：支持多種郵件協議，支持郵件推送服務，支持日歷、聯系人功能并與outlook同步；在安全性方面支持郵件加密傳輸，郵件加密保存，附件在線瀏覽，附件轉發策略，離線郵箱策略。

3. 安全瀏覽器：支持web內容適配，支持流量精簡，支持文檔沙箱，支持防拷貝，支持訪問行為策略。

4. 移動設備管理：支持資產管理，支持設備管理，支持用戶應用管理，支持企業數據保護，并提供管理員、終端用戶豐富的管理手段。

5. 性能：SVN5560支持 20000用戶并發在線，SSL有效吞吐量達到1Gbps。

華為移動辦公安全解決方案試用體驗：

通常情況下，企業網普遍采用AC+Fit AP的方式組網，AC進行業務控制，統一管理Fit AP。eSight通過SNMP接口下發配置至AC。

圖：華為移動辦公整體解決方案架構

當一條鏈路兩端的設備被添加到網管中，將在物理拓撲展現POE和AP之間的鏈路：一臺新的設備（POE或者AC）添加到網管中，網管讀取POE或者AC的MIB信息，取得AC下的所有AP和POE的鏈路信息，網管將鏈路的信息添加到網管的鏈路管理中供用戶查看，網管將鏈路添加到物理拓撲中，展現具體的POE和AP之間的鏈路信息，出現新的鏈路并且鏈路兩端設備已存在于物理拓撲中，如果有告警上報，新的鏈路會自動在拓撲中展現。

圖：拓撲發現

如果沒有告警，可以手動搜索鏈路一端的網關，也可以在物理拓撲中展現出新的鏈路。如下圖：

圖：手動拓撲發現

◆業務部署

網管將AC設備添加到網關上，通過在設備上進行配置調通AC與AP之間的管理/業務通道。

用戶可以下載規劃表單，填寫AP基本信息，通過批量導入增加AP，實現快速部署和擴容。

 

圖：配置向導給出了配置WLAN業務的完整步驟

配置AC基本信息：創建AC并配置AC的接口，認證方式和轉發類型。

配置AP上線：添加AP到網關上。

配置模板：配置AP模板、射頻模板和ESS模板。

配置AP綁定模板：將模板綁定到AP上，完成對AP的業務配置。

◆業務監控

用戶通過概覽信息查看用戶在線統計、資源統計、用戶接入情況、告警信息等，監控設備狀態。

 

圖：監控圖

用戶通過資源管理中的管理項查看AC、Fit AP、STA、非法AP等設備的狀態，并可通過AC、Fit AP接迚入圖形化的查看相關指標。

同時，用戶可以通過WLAN業務拓撲監控無線設備告警、狀態，逼真的展示無線網絡邏輯結構，包括AC、AP、終端用戶、非法AP的邏輯連接關系及其詳細信息，并在拓撲提供一定故障診斷處理能力（Ping操作）。

值得一提的是，可以通過報表管理了解AP上行口流量、空口利用率、AP在線用戶數、射頻在線用戶數、AP接入失敗率、AP流量、STA在線趨勢、AP速率、STA信息以及AP關聯統計、AP流量統計、AP射頻統計和終端流量統計等信息；在Linux+Oracle環境，還支持TOPN用戶接入失敗率和TOPN用戶接入總次數的信息統計。

圖：報表簡約模式

報表管理提供以上信息展示，效果如下圖（以AP上行口流量統計報表為例）

圖：報表詳細模式

◆業務調整

網絡中存在盲區，用戶希望通過eSight快速、有序完成新增AP部署，實現熱點覆蓋。

圖：覆蓋區域平面圖

用戶從安全角度考慮，需要快速完成認證策略或關聯密碼的修改。

圖：密碼更改

網絡中出現運營商或私人AP占用規劃信道，干擾現網AP設備，在無法協調的情況，需要通過eSight快速切換信道。

圖：信道調整

◆故障診斷

以用戶無法正常上網為例（用戶接入歷史信息結合有線無線一體化定位）：

第一步：查詢用戶接入歷史的信息，查找相關記錄。

圖：查找功能

第二步：根據記錄對應的AP信息，進入拓撲管理查看問題。

圖：對應AP故障信息顯示

第三步：進入設備面板，查看具體信息。

圖：點擊拓撲圖中的華為設備，可以直接更改

用戶可以通過AP PING上行設備IP（包括網關或服務器IP），根據測試結果，判斷AP上行業務線路的通斷情況?；蛲ㄟ^AP下行PING用戶IP地址，從而確認用戶報障原因是用戶關聯問題還是上行業務開通。

圖：業務管理的Ping操作

◆故障恢復

AP在線升級完后或網絡調試過程中，網絡管理人員希望通過eSight進程批量重啟AP。

AP配置異常或網絡調試過程中，網絡管理人員需要通過eSight進程批量恢復AP出廠配置。

網絡中某個AP出現硬件故障，需要eSight提供快速AP替換的功能，滿足AP更換后業務配置無變化。

總結：

經過實際體驗，我們發現華為移動辦公安全解決方案在WLAN管理方面有如下優勢：

業務監控：可提供圖形化的監控能力，支持全網物理資源、非法AP、統計類、性能等相關信息查看。

業務調整：可快速實現認證策略或關聯密碼的修改、切換信道、新增AP盲區覆蓋等業務，為客戶提供了極大的便捷性和實用性。

故障診斷：可通過拓撲管理有線無線一體化或執行AC、AP Ping操作實現鏈路信息的獲取和鏈路通斷的診斷，并可通過提供通訊、環境等相關故障告警幫劣用戶故障點定位、解決。

故障恢復：可以提供快速AP替換，更替網絡中某個硬件故障AP，滿足AP更換后業務配置無變化。

可以說，華為移動辦公安全解決方案在用戶業務部署不調整中，提供了簡潔的配置向導，幫助用戶端到端、批量、有序、快速完成業務部署。

在用戶故障排查處理過程提供故障通知、故障排查、故障處理的有效手段，幫助快速有效的發現問題、解決問題。

在業務監控中提供業務拓撲查看無線網絡邏輯拓撲、提供位置拓撲查看射頻信號并提供無線性能、報性、無線信息統計頁面監控當前網絡狀態。這的確為用戶日常運維及網絡調整提供了全面的解決方案，極大提升網絡管理效率。

隨著超百兆802.11n技術的成熟應用及千兆802.11ac標準的推出，WLAN速率不在是移動辦公接入的瓶頸。在移動辦公的時代，企業員工可以隨時隨地接入網絡，極大提升辦公效率，但同時也對網絡安全和網絡架構提出了很大挑戰，安全需求和數據監管導致胖樹效應加強，使縱向數據流量激增，數據處理高度集中，這對企業來說要求更加高，網絡匯聚和核心帶寬必須足夠大，超百兆和千兆帶寬的接入，要求網絡架構匯聚部署萬兆和核心部署超萬兆交換機……

這一切都是的企業在考慮整體IT架構時，不得不把移動辦公帶來的影響考慮在內，不過華為移動辦公整體解決方案也許可以給企業IT部門管理者提供一個不錯的選擇。