由于智能手機以及平板電腦的出現成爆炸式增長，IT部門不得不重新考慮如何在企業網絡中為不斷增加的移動設備提供支持。BYOD方案的部署其實就是要通過各種場景綁定相應的策略引導終端用戶按照一定的授權接入網絡，同時在正確識別終端類型等各類信息的基礎上解決如何支持和管理它們以及如何保護它們安全的問題。

    BYOD的部署對IT部門的工作人員帶來了巨大的挑戰。尤其是BYOD的實施和部署階段，有諸多實際難題，例如如何和企業現有業務無縫結合、如何減少對現有網絡的改動、如何實現企業數據安全保護等。目前業界各廠商實現方式不盡相同。本文主要以H3C BYOD方案為例進行闡述。

    一、BYOD方案的實施步驟

    部署任何一家廠商提供的BYOD方案，在部署前都需要充分調研實際業務及需求。通常主要從如下幾個方面考慮。

    網絡類型。包括有線、Wi-Fi、VPN等。以便IT人員規劃設計合理的認證方式和組網。

    網絡設備。多廠商設備之間是否存在適配，網絡設備的規格是否滿足BYOD業務需求，是否有必要進行擴容以滿足BYOD部署后的業務應用。

    終端類型。BYOD業務和終端密切結合，需要充分了解終端的類型和應用情況，例如用戶終端是企業派發還是私人購買，是否存在部分終端有特殊應用而無需進行BYOD注冊等。

    企業中的APP應用。BYOD是為了更好地讓用戶隨時隨地移動辦公，其中APP是最關鍵的業務，BYOD的實施和部署要充分考慮企業內部APP的應用情況，是否存在應用權限控制、黑白APP列表、APP數據安全等。

    開放融合。用戶部署BYOD時是否需要和已有的業務系統對接或者是否存在二次開發的需求。

    數據安全。IT部門對終端數據的安全要求，是否需要進行數據安全加密和終端權限控制等。

    訪客需求。用戶是否有訪客業務需求。

    在充分調研用戶的實際需求后，需要規劃合理的組網方式。那么BYOD到底對組網有何要求呢？目前BYOD技術主要集中在如何解決移動終端（手機、平板、POS機等）設備網絡認證控制方案的層面上。因此，首先需要保證終端基于身份的認證得以實現，在此基礎之上再擴展BYOD的特性。比如終端的MAC認證、Portal認證、802.1x認證、VPN認證等多種認證方式都可以用來實現BYOD。目前這些身份認證方式已經發展得非常成熟，相關的技術支持也很到位。

    以H3C的BYOD方案為例，一個典型的BYOD解決方案的組網由四個體系構成。

    認證設備：啟用身份認證的設備，例如無線控制器。一般認證方式為MAC認證、Portal認證、802.1x認證、VPN認證等。

    H3C iMC BYOD服務器：主要使用了H3CiMC EIP組件的功能。

    認證終端：有認證接入網絡訪問資源的設備，一般是移動設備如PAD、手機，也可以是PC或POS、打印機等設備。

    DHCP服務器：用于給終端設備分配IP地址，同時可以配合iMC BYOD的DHCP特征識別方式進行終端識別。DHCP服務器可以是Windows DHCP服務器，也可以是支持DHCP特性的網絡設備。

    此外，實際組網中可能還會存在短信網關、用戶業務系統等其他元素。

圖1 H3C BYOD解決方案組網圖

    確定組網并實施基礎網絡建設后，實施H3C BYOD業務可根據如下幾步開展：

    根據業務規模選擇合理的服務器，在此服務器上安裝部署iMC BYOD軟件；

    在網絡設備上配置基于身份的認證方式。例如在圖1的組網中，在無線控制器上配置符合網絡需求的身份認證；

    若DHCP服務器為Windows DHCP服務器，則在此服務器上安裝iMC DHCP Agent程序，并根據要求設置合理參數，啟用該程序；

    根據BYOD需求，在iMC BYOD服務器上設置合理的接入場景和接入策略，在iMC BYOD服務器上創建正式賬號或訪客使用的BYOD服務并與賬號相關聯。本步驟配置較多，主要流程如圖2所示。

圖2 BYOD服務器上的配置

    從易于管理的角度上看，建議為BYOD匿名賬號、訪客、接入正常賬號均配置專用的BYOD服務，而非三類賬號都共用同一個BYOD服務。

    另外，部分企業用戶可能會涉及需要部署MDM/MAM系統。隨著移動終端大量接入網絡，IT管理者不得不將關注點從物理設備的接入管理轉移到移動用戶體驗的管理上，尤其是會話管理控制，其中包括人表現形式數據安全和性能。對于用戶體驗而言，最重要的因素在于移動性的設計。這意味著IT部門需要參與移動設備的移動應用開發，用戶可以從企業應用商店直接下載這些應用�；蛘咄ㄟ^系統自動推送客戶業務需求的各類APP應用并完成大量復雜繁瑣的配置。此外，移動應用負責執行本地解密和顯示操作。

    如果設置丟失或被盜，那么應用可以通過程序遠程擦除或自行銷毀。因此設計支持移動訪問的應用程序，通過加密實現數據安全性，并且在會話層管理網絡訪問，這些都是在部署BYOD需要考慮的要素。H3C BYOD解決方案中的MDM/MAM組件可以很好地協助IT管理者解決移動終端在移動辦公時面臨的終端安全問題和移動應用管理問題。

    二、BYOD解決方案的部署要點

    BYOD的實施和部署應盡量做到簡單易行，消除IT部門的實施投入和后續管理投入、減少對網絡的改動、保護現有投資，同時又保證終端使用者的易用體驗�？偨YH3C BYOD的部署，需要關注以下要點：

    在已有網絡認證方式上設計一個契合業務需求的BYOD方案，選擇合適的認證方式。若選擇Portal方式，可根據不同終端、不同SSID推送不同的WEB認證頁面，且頁面可實現靈活定制化；

    終端用戶帳號實現自注冊。例如可部署短信網關，訪客帳號通過短信注冊方式獲取認證指令，免去繁瑣的開戶過程；

    對于希望實現快速認證的用戶，可部署BYOD智能終端無感知快速認證，讓入網更加快捷方便；

    根據不同的接入場景下發不同的網絡權限。同時，在終端識別的基礎上，IT管理者能全盤控制終端接入，及時掌控終端類型，統籌IT資源規劃；

    利用BYOD的MDM/MAM系統，實現智能終端的數據加密或信息安全管控，為企業用戶推送所需APP應用，特別是門戶APP。

    隨著VDI越來越廣泛應用，也需要結合BYOD方案來為企業打造一套便于員工辦公的智能化系統。不論是傳統的臺式機和筆記本電腦，亦或是各種豐富的智能移動終端，都有其對應的VDI客戶端用于訪問企業的虛擬化數據中心。如何發揮VDI和BYOD的各自優勢來滿足客戶業務需求同樣成為BYOD方案部署時需要關注的對象。

    此外，如果部署H3C iMC的UBA組件（用戶行為審計），BYOD系統可以結合UBA系統通過行為審計功能詳細記錄終端用戶的行為，并在必要的時候和BYOD系統聯動對用戶做出某些強制的管控動作。

    三、BYOD定制開發業務的部署

    實際部署BYOD業務時，用戶經常會有需要將廠商的BYOD系統和自身業務系統進行對接或者其他定制開發的需求。以H3C BYOD為例，其依賴的H3CiMC系統以業務管理和業務流程模型為核心，通過H3CiMC能夠靈活組織功能組件，形成直接面向客戶需求的業務流解決方案，從根本上解決多業務融合管理的復雜性。因此，H3C BYOD解決方案不是一個封閉固化的系統，它可以根據用戶需求進行靈活的定制開發。基于iMC的技術框架、二次開發接口等技術，用戶的開發團隊或H3C公司的定制開發團隊可以為客戶提供基于客戶特定業務的定制開發。

    常見的可定制開發的項目包括：

    和企業AD服務器的對接，以方便企業正式員工的開戶；

    和第三方短信平臺實現對接，以方便訪客的短信開戶功能；

    和客戶自身系統對接，諸如銀行排隊機等以滿足公共場所訪客的快速開戶；

    系統web頁面定制，網頁鏈接、廣告推送等，以滿足企業個性化需求；

    和企業其他業務系統數據庫對接，方便企業IT管理者隨時調用系統數據庫以滿足自身業務需求。

    通過定制開發業務的部署，用戶可以實現個性化需求，極大增強了使用BYOD的體驗感，使得企業IT管理者能靈活地將各類系統完美結合，打造屬于企業自身的智能化移動化辦公系統。

    四、結束語

    BYOD解決方案是開放、多樣、靈活的，其實施和部署最關鍵是以充分了解用戶實際需求為前提，結合用戶網絡資源和BYOD解決方案的優勢，設計出符合用戶需求的部署方案。依賴H3C iMC系統，IT管理者可以充分利用其靈活多維度的動態授權策略，在終端識別的基礎上對各類移動終端進行智能管控和權限管理。利用iMC開放的開發接口，和用戶自身系統完美對接，同時通過部署MDM/MAM，協助IT管理者解決移動終端在移動辦公時面臨的終端安全問題和移動應用管理的問題。真正實現BYOD Anytime、Anywhere、Anyone、Anydevice的移動辦公模式。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：BYOD解決方案實施與部署

本文網址：http://www.guhuozai8.cn/html/solutions/14019318129.html