Aruba提出三大行動應用策略 重新定義網路

企業應用行動裝置的比率越來越高，有越來越多公司開始接受用智慧型手機和平板電腦來協助日常作業，而且，員工經常需要帶著這些裝置在不同位置移動辦公，相對地，也提高對於Wi-Fi無線網路的依賴程度，因此大部分企業或多或少都提供這樣的使用環境。

然而，無線上網與有線上網之間，智慧型手機∕平板電腦與傳統桌上型電腦∕筆記型電腦，畢竟在前端網路存取方式與使用者操作方式上，都有一定的差異存在，若要更充分支應這樣不同以往的上網與管理需求，單靠傳統方式，以有線網路搭配無線網路基地臺的作法，已經相形見絀，Aruba在他們既有的網路技術基礎上，繼續強化行動化應用的相關功能，並提出新的作法。

強化Wi-Fi連線穩定度與可靠度

在行動網路環境中，考慮到費率與存取頻寬的經濟效益，Wi-Fi網路是最受到大眾青睞的技術，然而，不論是一般消費者或在企業工作的員工存取Wi-Fi網路時，在連線穩定度與可靠度仍無法獲得一定的品質保證。

因此，類似這樣的問題，是MDN首先需要克服的，Aruba透過現有的產品和技術，就已經可以因應。例如若出現無線網路大壅塞時，可應用一些Aruba特別強調支援高密度上網需求的Wi-Fi基地臺，例如AP220系列、AP130系列、RAP-155系列，來有效紓緩。

若需要更大的網路存取性能，有一些企業開始想要建置能支援GB等級傳輸量的無線網路環境，也就是下一代無線網路傳輸標準802.11ac，Aruba也在去年5月已正式推出支援802.11ac的解決方案。以無線網路基地臺來說，Aruba的室內型產品AP-224和AP-225，以及室外型產品AP-274、IAP-274系列、AP-275、IAP-275系列都支援。

讓行動裝置能存取具有最佳服務品質的無線網路基地臺

就支援802.11ac這點，其實並不稀奇，因為幾乎所有的無線網路設備商都積極投入，也都推出產品，不過，Aruba還有另一項可以提升無線網路存取效率的祕密武器，是其他廠商所沒有的，而且可以改善802.11n和802.11ac連線速度與網路頻寬，那就是去年推出的ClientMatch技術。

簡而言之，ClientMatch能夠確保讓行動裝置順利漫遊到最適合的無線網路基地臺，存取無線網路很順暢，而且前端使用者不需要進行任何設定，也無須配備特定智慧型手機或平板電腦，都能適用。

就運作原理來說，這項新技術會從行動裝置收集即時的網路效能資料，並監控每一臺無線基地臺的射頻訊號狀況，分析這些資料後，再對行動裝置提出最佳基地臺的連線建議，也就是說，行動裝置在移動位置、射頻訊號異動的過程中，能夠自動切換到提供最佳連線能力的無線基地臺，也就是較近、較不忙碌的基地臺，以便獲得最佳網路性能，而非持續黏滯在離目前位置很遠、訊號變弱的最初連線基地臺。

為什麼行動裝置會有黏滯在某一臺基地臺的狀況？吳章銘說，Aruba將這樣的連線行為稱為Sticky Client，在日常生活中經常遇到。例如，我們一開始是在自己的辦公桌操作行動裝置，自然會連到座位附近的基地臺，但有時需要換一個地方到會議室，或到其他同事身邊討論時，有可能行動裝置已離原本的基地臺很遠了，照理說，行動裝置應該改連到離目前所在位置最近的基地臺，所以，通常使用者需要重新選擇要連的基地臺，操作上很麻煩；甚至，還有可能出現只能連接到原來基地臺的情況，如此一來，受限於物理訊號較差，網路速度自然快不起來，連線穩定性也被牽累。

會出現後者這種情況，有很多原因，像是受到行動裝置本身的系統、驅動程式設定的影響、裝置本身決定基地臺漫遊的演算法效率不佳、缺乏監控射頻訊號干擾的機制，或是因為與其他上網速度更慢的裝置競爭，使得整個通訊頻道被壟斷。

新增許多機制，提升Wi-Fi網路應用安全性

對於強化行動裝置上網的安全性，Aruba在MOVE架構裡面，原本就有不少的功能，在MDN推出後，Aruba也繼續提供更多安全性強化的機制，主要可區分為裝置與App管理。

可整合多種應用系統，自動執行前端申請或後端管理工作流程

首先，在網路服務的提供上，若企業決定開放員工自帶行動設備上班，此時企業需同時滿足員工與訪客的裝置上網需求，Aruba在ClearPass的存取控制系統中，不只是能夠透過政策限制使用者的存取行為，也提供一套自動化工作流程，讓使用者自己去設定行動裝置的安全性與身分認證，並且透過線上表單的介面，自行登錄所攜帶的各種無線周邊裝置，例如投影機、印表機。

在ClearPass 6.3新版中，也提供RESTful的應用程式介面（API）與資料饋送機制（data feeds），以便搭配第三方廠商提供的IT或業務系統，達到各種安全工作流程自動化機制，例如產生事件通知、派送工單（Ticket）、訪客登入。

而目前這項機制可針對4種應用系統加以整合，市面上已經有一些廠商可對應。像是付款管理，有VISA、PayPal、micros等系統配合；網路安全方面，則有Palo Alto、IBM廠商與其合作；在安全事件管理（SIEM），也有Splunk、ServiceNow的系統或雲端服務支援；行動裝置管理（MDM）方面，幾家主要的業者，如Citrix XenMobile、MobileIron、AirWatch都可以搭配。

舉例來說，若在Aruba的MOVE架構下，出現使用者違反網路政策的行為，例如擅自移除行動裝置的MDM Profile控制檔，可透過這些MDM系統的協助，由ClearPass觸發一則SMS簡訊，將通知推播到有問題的行動裝置上。ClearPass會在ServiceNow這類使用者求助系統中來整合這些訊息，然後自動產生工單、通知安全人員。在這種情況下，IT部門可以加速原本需手動處理的工作流程。

除此之外，Aruba ClearPass原本就提供了MDM Connector，可整合一些市面上的MDM產品，像是Citrix XenMobile、MobileIron、AirWatch，以及SOTI、MaaS360和JAMF，來收集行動裝置的狀態，然後強制實施網路控管政策。ClearPass亦可反向作業，利用網路存取的相關事件，來強制實施行動裝置的控管政策，例如當行動裝置一進去管制區，就立即停用拍照功能。

強化App安全控管

員工操作行動裝置時，幾乎都是透過安裝、執行各種App的方式，連到公司外部，而不是透過網頁瀏覽器，因此即便企業有應用程式防火牆或所謂的次世代防火牆，能夠辨識從80埠進出的網路應用程式流量，並予以管控，但對於行動裝置的App不一定有辦法能夠完整涵蓋到，因此若要全面使用無線網路，必須要能具備足夠的App辨識能力，才能進一步封鎖惡意App的連線，以及阻擋會占用大量頻寬的App流量，以免危害公司無線網路、甚至整體網路的穩定性。

在新推出MDN的網路架構中，Aruba也開始提供比一般Wi-Fi設備內建防火牆功能更進階的應用程式防火牆，提升對於Wi-Fi網路的控制能力，讓純無線網路的工作空間足以因應來自App威脅，以及頻寬管理的挑戰。

這功能Aruba稱為次世代行動防火牆（Next-Generation Mobility Firewall），當中主要採用了深度封包檢測（DPI）的技術，可控制第4到7層的網路流量，並且能針對已知的1,500多種應用程式、App，為不同使用者角色訂定細部執行規則、服務品質（QoS）與頻寬使用的合約，而且不論它們是採用加密連線的方式進行，也能掌控。

要實現Aruba次世代行動防火牆，主要是透過4月才發布的6.4版ArubaOS（Aruba網路控制器與基地臺所採用的作業系統軟體），實際使用時，企業需加買政策強制實施防火牆的軟體授權（Policy Enforcement Firewall Next Generation，PEFNG，根據基地臺數量計價）。

在ArubaOS裡面，這些防護都是透過新推出的AppRF 2.0的功能來操作，它支援深度封包檢測的引擎，能用來偵測有線與無線網路中的各種應用程式流量，並讓管理者可以設定存取控制清單（ACL），或是根據使用者角色，來許可或限用所能執行的應用程式或應用程式類型，以及應用程式所能運用的頻寬、對應的服務品質，這會有助於提升Aruba設備對於應用程式流量的辨識與掌控能力。

新版ArubaOS還有一個值得注意的安全性特色，那就是可以整合Palo Alto公司的次世代防火牆。這套資安設備裡面所特有的User-ID管制功能中，可讓管理者根據使用者（群組）來設定與強制實施防火牆政策，而Aruba的無線網路控制器對這防護系統的整合，主要是將所收集到的網路與上網使用者的資訊，提供給該公司的防火牆設備User-ID功能使用。

提供簡化機制，讓行動裝置存取系統時更快通關，更容易分享內容

上述這些解法，所針對的都是對於無線網路安全性、網路頻寬管理的顧慮，也都是針對上網這件事所面臨的問題，因此，不論使用者是透過有線或無線網路，用各種裝置上網，企業會面臨到相關的挑戰。但是，用智慧型手機和平板電腦來做行動辦公，還有一些狀況是比傳統PC、筆電更為麻煩的部份。

例如，以這些行動裝置存取公司的應用系統時，或者是執行Evernote、Salesforce1等App時，通常以手指觸控方式輸入帳號、密碼驗證身分，若需要同時登入多個應用系統和網站，可能會為此浪費很多時間，或偷懶用強度不足的密碼。此外，若要用智慧型手機或平板電腦存取一些公司共享的媒體資源時，如無線投影機、無線印表機，因為同個樓層內可能有多臺這類型的周邊設備，使用者可能又會面臨到項目太多，而無法快速選取的窘境。

上述這些使用上的不便利，很多人也許不覺得需要關注，因為在小規模使用行動裝置上網時，問題並不明顯，但在大量採用、全面施行行動化應用時，可能就不得不正視。對此，目前各行動平臺與裝置廠商並沒有特別提出因應的對策，在Aruba這次新推出的MDN網路架構下，已經發展出下列功能來輔助。

支援自動登入應用系統，簡化帳號、密碼輸入程序，節省無謂的人工操作

在Aruba網路設備所採用的新版ArubaOS，以及負責管理存取的系統ClearPass，已經提供了Auto Sign-On的單一登入整合（Single Sign-on，SSO）的機制。這套自動登入系統能夠簡化煩人與反覆的帳號、密碼認證流程，讓行動工作者能在純無線網路的辦公網路登入企業應用系統。

當使用者在行動裝置執行Aruba WorkSpace的App，輸入帳號、密碼，完成Wi-Fi網路存取身分驗證，再開啟支援單一登入整合的網頁應用程式，像是Salesforce.com，或是執行工作時需要執行的各種App時，Aruba的Auto Sign-On可以自動認證員工身分、登入其他應用系統，並且獲得對應的存取權限，省略後續的帳號、密碼輸入。目前，這項單一登入整合機制，也能支援其他SSO身分供應系統業者的服務，例如Okta或Ping Identity。

值得注意的是，這一版的ClearPass特別支援了SAML（Secure Assertions Markup Language）。SAML是一種XML標記語言，最主要的作用是交換不同系統之間的身分認證與授權資訊，有了這項新功能的介接，Auto Sign-On可以結合後端系統的身分資料庫，因此，ClearPass在使用者開始存取公司的Wi-Fi網路、驗證使用者身分之餘，還可自動存取支援SAML的網站應用程式和App，達到單一登入整合、簡化登入過程的效果，而不需要每次登入系統時，都必須重複手動輸入帳號、密碼的工作。

除了ClearPass，Auto Sign-On要發揮作用，也需要搭配新版ArubaOS，此時，網路控制器與基地臺可透過第二層網路（L2，資料鏈結層）的認證資訊，達成對多種應用程式的單一登入整合，當中也是透過SAML來穿針引線。當使用者提出對網站伺服器的存取請求時，系統會將這些瀏覽請求導引到管理帳號密碼的系統（identity provider）來驗證身分。

如果使用者先前驗證過L2網路連線的登入身分，由於帳密資料庫已經得知身分認證的細部資訊，會以SAML回覆連線請求，並將使用者的瀏覽器自動導引到網頁應用程式上，而不需要重複輸入帳號、密碼。

行動裝置連接其他周邊裝置的免設定功能，支援更多協定

在Aruba的無線網路環境中，有一個功能是特別為大量採用行動裝置的環境所設計的，叫做AirGroup，當許多員工的行動裝置需要透過UPnP、DLNA、AirPrint與AirPlay等技術，來連接無線印表機與其他共享畫面的多媒體設備，以便列印與投影、播放畫面時，AirGroup可以提供相當簡化的安裝與設定方式，並確保連線的服務品質。

在ArubaOS和ClearPass系統先前的版本中，已經支援Apple的裝置免設定網路功能Bonjour服務，因此可以運用蘋果行動裝置的AirPrint和AirPlay功能，來連接支援該協定的無線網路印表機與AppleTV。

在ArubaOS 6.4 和ClearPass 6.3中，Aruba的AirGroup可支援DLNA（Digital Living Network Alliance）的標準，藉由它，使用者可在支援的Windows和Android裝置上共享多媒體內容，可以以無線的方式分享彼此的螢幕畫面和串流媒體。

事實上，DLNA是一套網路標準，源自於UPnP （Universal Plug and Play）協定，並加上既有的mDNS協定來實作，它會運用SSDP（Simple Service Discovery Protocol）的協定，來尋找網路上存在的相關服務。Apple裝置與Bonjour服務所採用的方式，也是透過mDNS的方式來實作。而ArubaOS所做的，主要是讓DLNA與現有的mDNS應用能夠相互整合，並且能在遵循該標準的裝置上，應用相關的免設定功能與政策管理。

而在AirGroup的運用上，會有兩個方式：一個是提供自助式服務，讓員工可以自行設定行動裝置的列印與畫面分享，無需IT人員協助；另一個是可基於員工的角色、所在位置和每天的時間變化，來限制當時這個使用者所能夠存取的周邊裝置項目，

以第二種方式來說，不只是為了簡化IT人員管理負擔，對於使用者的操作也會有幫助。因為，在企業環境中，一旦使用者要分享行動裝置到其他周邊裝置時，很可能會面臨可用的周邊裝置項目太多，不知道該選哪一臺才好的窘境，而AirGroup的這項機制，可以根據使用者、部門、時間、地點等條件，進一步限縮所能存取的無線網路印表機、投影機或智慧型電視，幫助你篩選出較適合的裝置，而不是列出全部的可用裝置，而可能因此浪費許多時間確認。吳章銘說，Aruba的這項功能，簡而言之，是讓你看到應該要看到的資源，但不是全部的資源。

關於AirGroup目前的運用方式，也有所強化。吳章銘說，AirGroup是透過多址傳送（Multicast）的方式來傳送訊號，但受限於Multicast本身的特性，是用最低速率來傳輸，所以行動裝置在存取裝置時，會出現很嚴重的延遲，他說，Aruba在網路控制器上，可以讓Multicast轉成單點傳播（Unicast）的方式去傳送訊號，讓無線網路設備不會以最低傳輸率來傳送這些資料。

網路設備商紛推整合有線與無線存取的方案

以Cisco和HP來說，就是頗為典型的例子。Cisco本身是以路由器產品著稱，也有交換器、防火牆等設備，他們從1998年就開始併購無線網路設備廠商，較知名的有Aironet、Airespace、Linksys與Meraki。而HP原本就有ProCurve系列的網路設備產品，2008年併購Colubris公司之後，ProCurve系列開始提供無線網路設備，等到2010年正式完成3Com的併購，HP Networking正式成軍，成為可同時提供有線、無線網路設備產品的廠商。
2012年開始，這兩大網路設備商也陸續提出了名為Unified Access與Unified Wired & Wireless LAN access的解決方案，企圖一口氣統合有線與無線網路的運用，並提供相關產品。

相關報導請見：「行動應用重新定義網路 Aruba新策略可行嗎？」

ClientMatch可確保存取最佳無線網路訊號的Wi-Fi基地臺
行動裝置連接Wi-Fi網路時，並不一定都會選擇具有最佳通訊品質的無線網路基地臺，目前Aruba提供了ClientMatch的技術，可設法讓使用者的智慧型手機或平板電腦連上Wi-Fi網路時，會選擇表現最好的無線網路基地臺來連接，所依據的標準，包括信號強弱、負載大小與佈建的密度。

AirWave提供互動式的整合通訊儀表板介面
Aruba AirWave現在提供了更進階、直覺的使用者介面，以圖像來檢視與控制微軟的Lync這類整合通訊的應用系統，同時，它能將整合通訊和網路效能測量整合在一起，提供單一的檢視方式，如此可等同於以Wi-Fi來控制整合通訊應用系統。

AirWave提供互動式的整合通訊儀表板介面
透過這套新的整合通訊儀表板，IT管理者等於是在Wi-Fi環境中操作整合通訊的應用，你只需透過簡易的滑鼠點選動作，即可取得AirWave系統測量到的歷史資料，並且能將即時通話品質資訊，根據地區別呈現在儀表板上，可減少手動操作整合通訊系統而因此出錯的機率。