什么是业务随行？

什么是业务随行？
业务随行，指的是在园区中，无论某个人在网络中如何移动，从什么地方接入，又换到了什么地方，IP地址是否有变化，它的权限都是一致的，也就是权限跟着人走。权限指的是用户是否被允许访问某个/某些特定资源，或者其他用户组。

为什么需要业务随行？
在企业网络中，用户希望不管身处何地、使用哪个IP地址，都可以获得相同的访问体验，传统的策略管理已无法满足用户需求，如下图，四大典型应用驱动了业务随行的产生。

（1）策略管理，打破物理隔离
在企业网络中，传统园区的有线网络建设 规划各个部门的工位、根据接入交换机的接入端口划分VLAN、不同VLAN的主机使用特定的IP网段、在交换机、路由器、防火墙设备上都以IP地址为依据来制定业务策略。然而新的办公模式带来的两个问题：
a、提高协同效率
企业分工精细化和外包模式的盛行，导致经常出现来自不同部门甚至不同公司的用户共同参与完成同一项目。这些用户需要在同一物理位置办公以提高协同工作效率，但是出于企业信息资产安全的考虑又不能简单地开放相互之间的数据传输。因此就产生了不能物理隔离的同时又要实现用户隔离的需求。这时，基于工位规划的园区网络建设思路已经无法适应。
b、策略部署挑战快速部署 即使企业尚未实现人员在任意位置接入这样开放的网络环境，但是企业业务的扩展导致的网络升级，人员流动，工位搬迁也是目前企业常见的场景。这些场景都需要网络管理员加快策略部署。
（2）“用户+应用”级QoS保证
传统的NAC技术作为一种网络安全技术，重点关注了基于用户身份对网络访问权限进行控制，对用户的网络体验并没有进行保证。
但是随着网络承载的业务类型愈加复杂，企业员工对网络的带宽、时延的要求越来越高。现实情况下，企业网络不可能无限拓展网络带宽，尤其是在企业网络的出口，带宽就意味着成本。
解决成本与体验的矛盾，就需要区分重点用户和普通用户，以及重点业务和普通业务。而传统QoS只能看到”IP+端口”，无法看到“用户+应用”，因而不能适应新的园区网络。
要实现“用户+应用”级的QoS，要求网络的边界设备同时具备用户身份识别和应用识别的能力，并且还需要进行快速的基于“用户+应用”的QoS策略部署。
（3）无线接入、人员移动办公
传统园区网络对于无线接入和VPN远程接入的用户的访问控制措施跟有线网络是类似的。通过接入终端分配不同的IP地址可以区分不同类型的用户，并最终在网络设备上以IP地址为依据来制定业务策略。
无线和远程接入带来的问题是，这两种技术提供了员工自由移动办公的环境，但是这种环境是不安全的。
恶意攻击和黑AP等问题都可以带来非法用户接入园区网络的问题，因此必须对无线网络进行良好的隔离，并且要求员工接入必须进行认证。
同一用户将可能使用多个不同范围内的IP地址来访问园区网络，网络上的业务策略配置变得愈加复杂和难以管理。
（4）BYOD、身份/终端多样
无线接入和VPN远程接入导致了园区网络的地理范围得到延展，而BYOD方案的实施则导致接入园区的网络的用户和终端类型变得更为多样。
如果园区网内的用户类型只有有限的几种，那么通过传统的动态VLAN和动态ACL技术还可以对不同用户的访问权限进行控制。但是引入BYOD之后，终端类型、终端归属关系、接入位置都可以成为用户划分的维度。这导致了一个企业的用户分类可能多达几十种甚至上百种。
这时，再使用传统的动态VLAN和动态ACL技术就会发现，为了适应这么多的用户类型，网络设备上预配置的VLAN和预留的IP网段将比以前增加几十倍，这导致网络难以部署和维护。