【IT168厂商动态】每天上午八点，员工走进固定办公场所，开启企业统一分配的PC连接企业网络，通过PC上运行的邮件系统、OA以及协同软件与同事、供应商和合作伙伴展开一天的工作。这是目前很多企业每天重复发生的场景。在这场景中，企业定义了办公网络、地点和终端的边界，员工都是在这个“界限”内完成工作的。

　　逐渐普及的Wi-Fi、3G/4G网络为用户便捷接入提供了基础，无处不在的接入需求导致原有的企业园区网络清晰的边界逐渐模糊化：一方面企业需要对有线、无线多张网络统一规划，复杂度急剧增加;另一方面用户却需要和有线网络一样的快速、稳定的体验;移动终端数量和种类越来越多，员工携带一台Pad，既想访问企业内网又想不受限制的访问互联网，这就要求把企业网络边界的束缚放开;同时，随着企业自身的工作模式改变，员工出差、在家办公或者是在企业外部访问公司网络的情况越来越多;在移动互联网时代，企业自身与外界联系也越加频繁(包括与整个上下游合作伙伴之间的协作和与客户的合作)，企业网络边界变得更大。企业工作模式和工作环境变化使得企业网络界限出现模糊，无界网络从而出现。

　　传统网络最主要的特点是有内网和外网的区分，因此传统设计网络时会划定网络的界限，比如内联网、外联网等等，这样传统的网络是有界限范围的。但是随着移动互联网、云计算架构所带来的冲击，传统网络的界限防护在今天已经不再适用，使得传统网络界限被打破，网络从传统的承载网向无边无界的网络过渡，这样的网络简称为无界网络。无界网络通过企业内部、外部网络的整合，来实现随时随地，通过任何设备，向企业成员可靠、便捷、安全地提供企业网络服务和应用。

　　无界网络的出现，让企业移动信息化成为可能。企业员工利用各类终端，通过各种网络方式随时随地、安全方便地访问企业IT资源，不再受时间和位置的限制。而企业则可以利用移动信息化开展办公、服务和营销，提高生产力并降低成本，同时也提高员工使用满意度和积极性，并最终为客户带来价值。但无界网络的出现，同时也对企业IT带来极大的挑战。

　　? 不同身份、时间、地点的接入需求导致应用场景多样化。员工、合作伙伴等不同身份在咖啡店和园区内等不同地点的接入不应该被授权相同网络资源，因此需要对接入人员身份、接入网络的情境以及用户可访问网络资源做识别和身份鉴权。

　　? 对便捷配置的管理需求增大。接入企业网络的设备的多样性，要求IT能够简化企业员工接入网络的配置，快捷地分发企业应用，让员工能够轻松访问企业网络并开展工作。同时还有终端广泛应用带来的企业数据安全性问题和智能终端的管理性等问题。

　　如何在无界网络下为接入者提供安全、便捷的网络联接?这需要从更全面的管理角度出发，构建融合统一的网络控制，统一的基于情境的安全策略和易于交付的终端使用环境，从而确保企业员工可以在任何工作场所、使用任意终端都可以安全、快捷畅享可移动的网络服务。

　　融合统一的网络控制

　　融合统一网络控制首先要解决的是多场景下的集中控制。不论是企业内部的接入还是外部的接入，不论是有线的接入还是无线的接入，须要对用户、终端和网络进行集中式控制。

　　对用户来说，不同的接入方式，要进行统一的身份认证。也就是说，要有一个统一的认证和策略中心，进行全网各种形态用户的身份认证。首先是身份的识别，企业网络常采用网络AAA认证技术来识别接入者的用户账号、角色，从而根据账号身份划清对应的网络访问范畴，避免外来非法人员的接入。身份识别的手段上有最简单的用户名/密码，也有更高安全要求的证书、智能卡或者短信、动态口令等，甚至采用指纹、虹膜等生物识别技术。丰富多样的身份识别手段不仅可以精确判断接入者身份的合法性，也同时给接入者带来了便捷的易用性。

　　对终端来说，不同的终端形态(PC、智能手机以及PAD)须要进行集中式的管理。统一的管理平台进行全生命周期管理，包括注册、状态监控、挂失以及数据擦除等等。过去，每个网络用户通常只有一个PC终端，终端管理相对比较透明。而在无界网络中，每个网络接入者将拥有两个甚至三个终端—PC、智能手机和平板电脑。因此如果依靠网络AAA系统给每个接入者只分配一个网络账号的话，其将面临无法知晓到底是什么类型的终端接入了网络的问题。要解决根据不同终端类型的透明度问题，应该做到对终端的识别和注册。因此，需要在传统网络AAA认证技术的基础上，通过结合多重网络协议(例如DHCP、HTTP和MAC)，智能扫描并分析出终端的特征，从而发现设备的属性(设备种类、操作系统、厂商等)，并强制要求网络接入者进行注册，以确定终端的归属(公司所有还是员工所有)。

　　对于网络来说，有线和无线的设备要进行一体化管理，进行拓扑管理、性能统计、流量分析及故障管理。一体化管理意味着使用一个管理平台就能够实现常用的网络管理功能，如规划、配置、监控(包括性能、安全等)、异常处理、日志和报表。这个管理平台还需要具备无线管理的一些特殊功能，包括连接可靠性诊断、频谱防护管理和监控、定位等功能。这样才能从整体上对网络设备做到统一的控制管理。

　　统一的基于情境的策略管理

　　企业统一的策略管理应可以做到基于设备(What device)、角色(Who)、场所(Where)、时间(When)和接入网络(What Network)的情境感知，实现细粒度访问控制策略。比如：在工作时间员工拿Pad或智能手机在企业内网办公时，可以访问企业的内部统一通信业务，获得高优先级QoS从而保障良好的文档和多媒体传输业务体验，但不能够使用微信、微博和网络游戏，甚至在某些更严格的场景中不能使用蓝牙、照相、摄影等功能。当这名员工离开办公区域，对其终端的管控将自动去除，而当其在非工作时间通过运营商3G或者Wi-Fi网络接入公司时，将不能访问企业涉密的文档和多媒体传输业务。

　　IT部门可通过统一策略管理平台，基于一个用户身份和所处情境，一次性配置多套安全策略模版，统一分发到网络接入客户端。网络接入客户端基于环境感知，与企业各种网络设备智能联动，实现精确的网络访问控制。当用户自由的从咖啡厅、机场远程接入，到出差至办事处，用户的远程会话可在各种网络设备中切换，这个过程对用户完全透明，终端网络接入客户端可屏蔽一切复杂的网络连接，带给用户最简单、可靠的接入体验。

　　企业统一策略管理平台可保证单一策略来源，安全策略在全网范围保持一致性，轻松确保企业安全策略遵从。真正实现任何人、在任何地方、以任意授权设备(便携、智能手机或平板等物理设备，或虚拟设备)、通过任何网络(有线网络、无线网络、远程网络)自由、无边界的访问公司内部资源。直观的管理界面简单、易用，提升 IT部门工作效率的同时，实现对移动设备的全面可见性和控制力。

　　易于交付的终端使用环境

　　当用户携带各类设备接入企业网络时，企业IT需要自动为终端部署使用环境，以便用户快速地展开应用访问。针对终端和应用的安全性，企业往往考虑通过部署CA证书来控制网络和设备的安全性。然而CA证书的颁发和配置往往成为企业IT部门的难题。用户往往先需要访问企业证书门户，注册个人信息以便申请个人证书。而注册完毕后，还需要等待管理员批准，批准结束后需下载到终端，通过IE浏览器等方式导入到操作系统中。尽管在PC时代，可以通过USB智能卡等方式简化这一过程，但在如今，iPhone、Android等移动终端不再有USB接口，这使得企业在智能终端上部署证书出现难以解决的问题。此外，在这些终端上配置企业统一的EMail、密码策略、WiFi配置、VPN参数等都面临着严重的挑战。

　　基于前面提到的终端和身份的识别，企业网络终端部署系统通过智能匹配，计算出接入者所携带的终端对应的配置策略，通过OTA空中加载、客户端智能部署等技术，为访问终端智能申请并载入企业CA证书，自动配置企业邮箱和WiFi、VPN网络参数，使终端符合企业既定的安全配置，并为用户访问应用做好安全准备。

　　待接入者进入网络后，企业网络控制系统的可以智能为终端智能地分发企业应用、远程应用和远程桌面。通过文件分发、应用推送等技术，用户不用费心去查找各种企业安装软件，只需点击Yes/No按钮，终端操作系统就会按事先定义的分发策略安装企业应用客户端，或者在用户的客户端上显示已经分发的远程应用及桌面。这些操作都是静默处理的，在用户不用了解处理细节的情况下，自动完成，用户只需做简单的选择判断即可。

　　结束语

　　无界网络下安全、快捷的接入网络，随时随地开展办公，这是企业IT新的目标——企业员工、供应商和承包商可以利用新型的移动设备，变得更有生产力，并且保证安全。这听起来非常简单，而IT人员在执行企业安全政策的时候一直左右为难，因为很多新型移动设备很难去管理，员工不希望限制他的用户体验。H3C的无界网络移动终端管理解决方案从网络、终端、应用和策略管理多层次入手，为企业IT提供安全、智能、便捷的终端管理手段，为企业迈向无界管理提供了有力的支持。