以往考量到管理與安全性問題,許多企業乾脆不提供員工使用無線網路,如今隨著各式各樣的行動裝置逐漸成為知識工作者生活的一部分,工作與生活的分界也越來越模糊,帶自己的行動裝置上班(Bring Your Own Device,BYOD)成了無法阻擋的趨勢。
因應這股BYOD趨勢,已發展多年的無線網路技術,如今整合到企業端實體網路環境中,以安全控管方面來看,不論是無線還是實體網路業者皆已提供解決方案來達到管理的目的,但是對傳輸頻寬的效能影響也是不可忽視的一環。
實現BYOD的基礎架構
就BYOD的管理層面來看,大致可分為設備的辨識、登入控制、應用程式權限存取等部分,像是既有的無線網路廠商Aruba以及Avaya等企業網路設備廠商,各有不同的實作法來協助企業建置BYOD的應用環境。
企業要管理各式各樣的行動裝置,不管是用筆記型電腦、平板電腦、智慧型手機透過無線網路登入企業內部系統,管理面與安全性的考量皆有別於傳統實體網路。Aruba亞太區技術顧問吳章銘表示,無線網路的世界中,安全控制相當重要。
「首先要能夠辨識身分,才有辦法配置適當的權限,因此Aruba解決方案技術發展至今辨識細緻程度已到廠牌、型號、序號、所安裝的應用程式等細節,可取得的資料越詳細,越可以靈活配置連線後端伺服器的權限。」吳章銘說,部署方式也是企業會關注的焦點之一,只要在核心交換器(Core Switch)旁邊配置Aruba ClearPass即可,由於交換器跟無線網路控制器之間在802.1X標準協定下彼此溝通,因此就算是不同廠商的網路設備,同樣可透過ClearPass來執行身分驗證與設置防火牆權限。
以用戶為中心的概念 整合網路存取
|
▲Aruba亞太區技術顧問吳章銘提醒,BYOD的熱潮難以阻擋,既然無法抑止,不如從有效控管面著手。 |
至於無線與實體網路環境整合後,跟原有的管理概念有何不同?吳章銘解釋,以往只要筆記型電腦接上實體線路,就可以順利存取內部伺服器,但是一旦透過無線網路連線時,卻無法連接到這些伺服器,主要就是權限不一樣所導致。
對此,Aruba是以用戶為中心的網路(User Centric Networks)架構設計,使用者不論透過無線還是實體線路連接,皆擁有相同權限。打破傳統為了資訊安全考量以網路連接埠為中心的限制,這種以人為中心的概念,其所被賦予的登入權限、可存取的應用程式範圍,皆是隨著人移動。
Avaya台灣分公司技術經理楊光明表示,其實無線網路運用的大都是標準IEEE協定,Avaya Identity Engines解決方案也不例外,在開放的基礎架構下實現實體與無線網路接入控制及權限控管。但是他觀察BYOD的實際需求,從網路面來看,有一個問題過去往往會被忽略,那就是頻寬需要夠大、網路要夠穩定。
無線與實體網路結合 不可忽視的問題
對於BYOD熱潮可能引發的新問題,吳章銘觀察,多數已具備無線網路的企業,原先都只是規劃給筆記型電腦使用,當時還沒有預測到行動裝置數量會有今日的成長,不僅是Wi-Fi的承載量不夠,連IT基礎建設的網路也可能成為瓶頸,因為行動裝置連接網路,最後還是得回到實體線路,整體流量可能是過去的2到3倍。如今再看無線網路架構,不只多元化的行動裝置需要被管控,連既有的基礎架構中網路的配置都必須加入一併考量。
目前無線網路普遍的做法是透過精簡型無線網路(Thin AP)架構,利用控制器(Controller)集中控管基地台的電波訊號強度、動態調配頻道等。然而值得注意的是,當無線網路環境不斷擴大後,是否還能保持網路頻寬傳輸的流暢性?則是企業建置評估必須關注之處。
楊光明進一步解釋,由於Thin AP的技術類似VPN,都是建立連線傳輸通道,在網路的世界跨越各式網路系統平台。其最大的問題點在於當2個來自不同基地台的使用者要互相溝通時,資料流都必須再流回控制器,以802.11n的傳輸頻寬300MB而言,一來一回,就已經占據大部分的頻寬。因此一旦使用者連線數量增加,控制器本身的吞吐量、效能表現,即成為影響傳輸品質的關鍵。
以往控制器解決的方式是透過叢集(Cluster)架構,不夠用時再增加控制器來改善。可是在吞吐量的部分,即使是較高規格可達到10G、20G的控制器,可承載的連線數量也有限,對一個大型無線連線環境而言,控制器很容易就會變成效能瓶頸。
分散式處理架構 紓解網路效能瓶頸
|
▲Avaya台灣分公司技術經理楊光明表示,不可忽略可能引發的網路傳輸效能問題,才不致為了順應BYOD的浪潮,而影響既有的網路服務品質。 |
有什麼方式可以解決無線與實體網路整合後的效能瓶頸問題?楊光明表示,目前市場上解決方案的作法,一種是把無線控制器做在交換器裡,並讓基地台本身都含有控制器功能,彼此可獨立溝通,資料傳輸就不用再經過核心網路傳遞;另一種是在核心交換器加裝介面卡模組,讓控制器擁有單獨的運算處理空間,以提高處理速度。這兩者都只是把控制器變成不同型態。
而Avaya的做法也是把控制器功能抽離出來,直接內建加入到核心交換器中,但運用獨特的轉發技術,建置成為Avaya VENA Unified虛擬化網路架構。楊光明說明所謂的虛擬化,指的就是無線控制器中傳送資料功能的通道,改由核心交換器提供服務。如此一來,即可利用到Avaya既有交換器中把Forwarding Table配置在I/O介面卡上的獨特技術,以分散式處理來紓解頻寬效能方面的問題。
他進一步說明,當傳送資料的需求發生時,通道建立的路由規則,即可整合到實體線路的Forwarding Table,也就是說,可以做到無線傳輸需求用實體線路來傳送,不僅避免遇到控制器頻寬的壅塞,也不用再透過介面卡模組,才可以讓無線的網路環境,也能套用到實體網路環境中,利用像是備援(Redundancy)、Fabric等相對成熟的技術架構。
將BYOD納入未來企業資訊架構發展方向時,需避免因此影響網路連線品質,才能有效利用BYOD這股新趨勢,為公司帶來更多工作彈性與效率。