谈谈如何构建泛BYOD融合网络

　　为满足这些需求，需要从泛BYOD的视角出发，构建泛BYOD的融合企业网络，包括融合有线无线的网络，基于情景感知的统一策略和统一管理、无漏洞的安全防护，确保企业员工可以在任意工作场所、使用任意终端设备自由畅享可移动的网络服务。

　　有线无线融合网络构成BYOD的基础：大量智能终端进入企业，引起接入流量增加，VOIP、虚拟桌面、视频会议、智真等应用的逐渐普及要求企业的核心网络拥有大容量转发的能力、稳定的性能。千兆接入、万兆汇聚、40GE核心将是建网标准，网络核心需要具备更高转发能力，汇聚节点需要更智能以接受策略频繁变更，接入则需要更轻量和自动化。

　　同时，网络资源不应再受地域和业务形态限制，网络会协同融合全网安全设备，适应BYOD移动化趋势下的全面安全管理；网络资源能全面虚拟化，有线、无线网络向深度融合演进，比如从设备层面实现AC随板，融合成一个网元；把AP当成交换机的而一个端口，统一网管、发现、配置等，通过这些方式大幅度降低管理的复杂度，从而让网络敏捷地为业务服务。 另外，BYOD带来的可移动性流量往往在小范围内密集接入，所以无线接入网络需要选择全覆盖、高速、高密的方案，比如支持基于终端自动逐包控制发送功率、限制低速率用户接入、提供5GHz/2.4GHz双频智能混合接入，从而减少高密度时同频用户终端干扰，提高可用带宽。最后，面向未来网络演进的趋势，需要考虑将SDN架构引入园区，为支撑企业网络动态化、云化发展提供保障。

　　统一接入、策略和管理提供用户无以伦比的接入体验：统一的接入协助企业提供内部LAN有线、Wi-Fi无线、分支远程以及企业外部VPN远程等多种接入认证手段，保障用户平滑地从一种接入环境迁移到另一种接入环境（比如员工从3G网络迁移到企业内网Wi-fi），享受无感知的网络切换体验。

　　统一的情景感知策略需要遵从5W1H（Who，Whose，What，When，Where，How）的控制策略，根据接入用户身份、终端类型、位置和网络接入方式等，来判断并自动下发网络权限和带宽等控制策略。比如：在工作时间员工手持Pad或智能手机在企业内网办公时，可以访问企业的高密级业务，获得高优先级QoS从而保障良好的视频会议等业务体验，但不能够使用微博以及诸如"愤怒的小鸟"等游戏，甚至在某些更严格的场景中不能使用蓝牙、照相、摄影等功能。当这名员工离开受限区域，对其终端功能的限制将自动解除，而当其在非工作时间通过运营商3G或者Wi-fi网络接入公司时，将不能访问企业高密业务，并限制QoS为低优先级。

　　最后，网络中并存多种网络设备、多种来自不同厂商的移动终端、iOS、Android等多种操作系统、员工/访客/VIP多种身份的用户等，这些组成元素需要IT管理者统一关注。因而需要考虑通过统一集成的管理平台，实现设备、终端、用户多维度统一管理，及时了解各项业务、资源、终端的运转状态。

　　端到端立体防护保障BYOD安全：BYOD新引入的安全问题首要在如何防止数据泄漏和隔离终端安全威胁对内网的影响，在移动终端可以通过安全沙箱技术，隔离存放个人和企业数据，防止数据外泄；通过移动设备管理（MDM）实现终端设备全生命周期的管理，包括功能控制、应用管理、设备丢失时远程锁定和擦除等，同时在移动终端入网前可实施安全检查，检测终端越狱/root、软件安装情况等，防止不安全的智能终端接入企业网络。在此基础上还需要结合L3/L4 VPN高强度加密传输、用户上网行为管控、全面的DDos、防病毒、IPS/IDS、WIPS/WIDS等传统安全方案，为用户在云、管、端整个网络架构中提供安全保障。

　　BYOD的建设需要统筹考虑到网络、安全、策略、管理等多方面，需要切实可行、行之有效。华为早自2009年起就在公司内部实践BYOD，截止目前面向全球410多个办事处、15个地区部、覆盖140多个国家的15万员工提供Push Mail、移动电话会议、业务审批流程等多种BYOD办公服务。从自身实践出发，华为提出了泛BYOD融合网络解决方案，涵盖高效网络建设、统一情景感知策略和管理、无漏洞安全等所有BYOD建设应关注的领域，协助企业和华为一样逐步走向无边界自由移动办公。