引言

注册参加网络研讨会 奖励优惠 比较厂商

各种用户、设备和应用无处不在,不断发展,而且 “互联” 程度不断提高,给我们的生活带来了更多便利。但是,随着我们越来越依赖于网络连接,对新型架构的需求也愈发明显。由于互联设备数量激增,对数据密集型应用的需求不断增长,而且网络威胁日渐猖獗,传统网络根本无法应对网络环境的瞬息万变。

网络接入和基础设施是各种组织的基石。从存储重要的设计和财务文件到开展内部团队协作以及与客户沟通,每项业务运营都要仰赖可靠、可扩展而且安全的网络接入。

变革的速度正在不断加快。因此,组织不仅必须改变他们开展业务的方式,还要改变他们为此运用网络连接的方式,这势在必行。在万物互联的全数字化世界,随着客户的期望不断提高,无间断、不插拔的网络连接变得越来越重要,随之对智能网络的需求也与日俱增。

网络转型

Gartner 预测,到 2023 年,超过 60% 的企业会将网络视为其全数字化战略的核心,而目前这一比例还不到 20%(1)。随着组织采用云、移动和分析等全数字化技术来加快创新速度并提高敏捷性,用户体验这一关键指标对他们的重要性由此凸显出来。通过以用户体验的需求为主要推动力来制定战略目标,超越全数字化,实现全数字化转型,组织可以从根本上实现业务转型,从而在市场中获得竞争优势。

由于几乎所有全数字化技术本质上都是以网络为中心的,因此网络被视为实现这些全数字化计划的战略推动力。企业环境的快速发展和不可预测性要求网络能够快速适应并紧跟企业发展速度,而不能成为全数字化转型取得成功的阻碍。

企业必须实现网络转型,才能处理数量庞大且不断增长的用户、设备和应用,并能应对各种连接和安全挑战。他们唯有利用网络的强大功能和价值,才能推动落实业务优先事项并丰富客户体验。因此,全数字化转型正在促进新网络平台的采用,换言之,它正在加快网络转型。

网络挑战

在通向全数字化就绪型网络的进程中,组织不仅要重视快速连接和简化管理等核心功能,更要放眼其他方面。尽力而为的连接和服务交付并不能保证满足不断变化的客户期望。在当今世界,网络面临着安全连接所有全数字化设备的压力;尽管网络显然是转型变革的源头,但仍有大量的挑战阻碍着我们。

每天都有新的无线产品面市

Wireless Devices

每年有超过 40 亿台 Wi-Fi 设备进入市场。物联网 (IoT) 陷入了一种混乱增长状况,而新型计算机和智能手机并非唯一成因,甚至连主要成因都算不上,从恒温器和烟雾探测器到智能手表等日常设备才是这种状况背后的最大推手。例如,增强现实 (AR) 和虚拟现实 (VR) 等一系列新型专业化和多样化的 IoT 设备正在迅速推进到企业、学校、医院和企业中。那么,我们如何确保这些全数字化产品能够无缝连接到网络并提供最理想的用户体验?

万物互联,永远在线

Connected Devices

在当今的全数字化互联世界中,从灯泡到医疗设备,一切似乎都变成了互联网通道。随着越来越多的事物需要访问互联网,预计到 2022 年,全球联网设备和连接数量将达到 285 亿。这些设备能够帮助我们按照既定方式开展业务,但无法像人类一样应对停机,因此它们所依赖的连接必须做到永远在线。如何制定合适的战略来确保网络不受延迟和带宽不足的影响?

人人都渴求一致的体验

Unified Experience

随着网络互联移动设备数量和类型呈指数级增长,为用户提供一致的体验成为 IT 组织的一项要务。用户希望可以随时随地从互联设备获得一致、不受限制且始终可用的体验。网络管理员正在不断设计高效的方法来自动执行移动设备的识别、分类和入网,确保在有线环境和无线环境中实现一致的策略和管理,并防御复杂攻击。如何在不影响安全性和工作效率的情况下,帮助 IT 团队节省时间?

攻击者试图翻新花样展开攻击的情况随处可见

Hackers

机遇与风险并存。显然,移动性和 IoT 会扩大受攻击面,并且越来越多的此类产品处于无人管理状态,因此容易受到威胁。由于攻击者的花样层出不穷,我们需要先发制人,提高网络的智能性和安全性,利用对流量模式的深度可视性和最新情报来保护企业和防御攻击。您的安全性是内置的还是附加的?

彻底改变网络接入

网络面临的挑战和趋势决定了对新型网络架构的需求,这种架构不仅需要支持优化每个用户的多云连接,而且还需要能够无缝、安全地连接日益多样化的设备和应用。

现在正是彻底改变接入网络的绝佳时机!

思科安全接入为新型网络连接确立了发展蓝图。作为一种基于意图的网络架构,它可以随时随地将用户及其设备连接到正确的数据和应用,实现一致的连接体验,同时还能确保可靠、安全地访问任何位置的工作负载(图 1)。

通过统一并自动实施所有交换机和无线产品的接入管理策略,并且不断分析网络数据,思科安全接入可确保网络为组织实现预期业务目标提供有力支持。它可以提高可靠性、灵活性和安全性,并且能够支持和管理更多用户和设备,无论这些用户和设备位于何处都无妨。

支持这种架构的网络产品包括各种思科交换机和无线解决方案,例如思科 Catalysts 交换机、无线接入点和控制器。我们的网络产品中都内置了思科安全解决方案。利用这种集成模式,安全应用和网络可以协同工作,减少用于防御、检测和缓解威胁的时间。

面向云环境的思科 TetrationCisco Cloudlock思科 Cloudlock 是专为特定网络域提供服务的安全应用,其他安全应用则广泛适用于多种网络域,并且可以根据特定客户使用案例被触发启动。例如,Stealthwatch 可以检测整个专用网络、公共云和混合环境中的威胁,而 思科高级恶意软件防护 (AMP) 可以防御漏洞,检测和删除终端及网络中的恶意软件。

图 1. 思科安全接入架构
图 1. 思科安全接入架构

这种无缝的安全连接(或接入)体验必须做到全面覆盖,无论是各网络域内部,还是网络域之间,均无一遗漏,包括分支机构、园区、远程位置、数据中心和多云。这意味着每个网络域都将充当唯一的安全接入解决方案(图 2):

  • 安全网络接入: 确保所有用户、设备和应用在分支机构或园区网络内外的连接安全无虞
  • 安全云/应用接入: 确保只有授权用户能够随时随地访问数据和应用
  • 安全远程接入: 确保远程用户和设备能够安全、一致地访问数据和应用

共享接入策略管理将这些网络域结合在一起,允许各个域在独立运行的情况下通力合作,实现共同的业务意图。您可以对策略进行一次性定义,然后将其应用到任何位置,并对其进行系统性监控,以确保实现业务意图 (2)。无论用户和工作负载位于何处,这种接入策略都将跟踪防护这些用户和工作负载。

图 2. 思科安全接入架构组件
图 2. 思科安全接入架构组件

思科安全网络接入

通过利用思科软件将强大的策略自动化和分析网络协调功能与用于园区的一系列下一代交换机、无线接入点和控制器相结合,思科安全网络接入可帮助 IT 对进入网络中的一切人员和设备进行安全注册和分段,从而提高企业生产力并改善用户体验。

图 3. 思科安全网络接入

我们的安全网络接入解决方案的基本原理基于以下四个架构原则和设计要点:

无线优先

Wireless First

如今,业务移动性和随时随地访问已使无线连接成为应用和数据的首选连接模式。为了提供卓越的无线体验,IT 部门需要超越 Wi-Fi,打造无处不在的无线环境,实现永远在线且始终安全的连接,从而确保用户可以无缝漫游,并且万物互联无中断。思科安全网络接入由思科有线解决方案提供支持,可面向任何应用为任何用户或设备提供最佳性能和可靠性。其软件定义的交换矩阵可对网络中的一切人员和设备进行安全注册和分段,从而提高企业生产力并改善用户体验。

云端驱动

Cloud-driven

云加快了创新步伐,为 IT 和业务运营引入数据驱动型情报。思科安全网络接入利用基于云的网络软件,具有出色的可扩展性,可以提供新的创新功能并采用各种功能,从而确保更快实现价值。它使 IT 从被动变为主动,能够洞察网络状态和各种趋势,在这些趋势对用户产生影响之前先行一步。接入网络的云驱动框架可在整个有线和无线网络中提高业务灵活性、运营效率和策略协调一致性。

数据优化

Data-optimized

这种网络可以提供数百万个数据点,提供有关用户、用户体验和漏洞的情景信息。通过汇聚从所有来源(用户、设备、应用、威胁)收集的这些数据点,并利用强大的分析和机器学习功能,您可以做出更明智的业务、IT 和安全决策。只有思科通过集成从 ASIC 到软件以及跨交换和无线的整个堆栈,为您提供最广泛的网络数据访问。这些数据可以提供用于实现个性化体验的业务洞察力、有助于最大限度地减少停机时间的 IT 洞察力,以及在威胁发生前检测并阻止威胁的安全洞察力。

始终安全

Always Secure

利用内置安全功能,您可以对网络中的人员和事物了如指掌,控制所有连接,并可根据业务意图进行软件定义分段从而减少受攻击面。思科是唯一一家提供端到端融合有线和无线解决方案的供应商,该解决方案具有安全、分段和 加密流量分析 (ETA) 等创新功能,无需解密即可检测隐藏在加密网络流量中的恶意软件活动。

架构组件

顾名思义,思科安全网络接入的组件包括两个功能层:网络和安全(图 4)。

由思科 Catalyst 9000 交换机和思科 Catalyst 9100 无线接入点组成的一整套思科 Catalyst 产品组合是此解决方案的主要基础设施。思科 Catalyst 9000 交换机是专为满足安全、IoT、移动和多云领域的需求而打造的下一代企业级交换机。这些交换机经过优化,可处理 Wi-Fi 6 的流量,支持完全可编程性和可维护性,并且支持在单个平台上融合有线网络和无线网络。

思科 Catalyst 9100 无线接入点采用 Wi-Fi 6 技术并支持思科基于意图的网络架构,可满足不断增长的用户期望、IoT 设备和下一代云驱动应用需求。思科 Wi-Fi 6 无线接入点采用卓越的射频创新技术,能够处理不断增加的移动流量并可大规模支持 IoT,因而可智能扩展无线接入,为各种网络提供安全可靠的高质量无线体验。除了 Wi-Fi 6 功能外,思科 Catalyst 9100 还通过硬件和软件创新、高级分析以及多 RF(Wi-Fi、BLE 和 Zigbee)支持,扩展了基于意图的网络功能。借助更卓越的工业设计,它们还具备更高的射频性能,并可大规模提供可靠性、安全性和智能性。

思科 Catalyst 9100 无线接入点由思科 Catalyst 9115、9117、9120 和 9130 无线接入点组成,是思科 Aironet 无线接入点的下一代产品。Catalyst 9120 和 9130 无线接入点采用思科 RF ASIC,可执行高级射频频谱分析,并提供超越标准的独特功能,可以实现卓越的射频体验,包括:

图 4. 思科安全网络接入的组件
图 4. 思科安全网络接入的组件

网络层

思科安全网络接入解决方案的网络功能建立在基于意图的网络原理的基础之上,即捕获业务意图并根据该意图不断调整网络。此层由高级自动化和统一协调功能驱动,能够从数百个互联用户和设备扩展到数千个,甚至数百万个互联用户和设备。作为统一交换矩阵的一部分,逐一管理各个设备(无论是有线设备还是无线设备)的手动流程可由从单个位置控制的全局托管的基于意图的策略取代。此外,在部署前、部署期间和部署后使用机器学习和数据情境分析,可以在可扩展性、运营效率和安全性方面弥合您的业务需求与网络实际能力之间的差距。

网络层的主要功能可以划分为三个主要类别:

统一接入管理

Unified Access Management

Cisco DNA Center 是一种统一管理工具,用于部署和管理网络基础设施,将有线网络和无线网络都视为任务关键型基础设施,两者相辅相成。此控制台不仅可以处理调配、配置、连接监控和报告等常见的网络功能,而且能够进行频谱监控和基于位置的跟踪功能等专门的无线管理。借助通用的思科 IOS 软件,Cisco DNA Center 通过使用一个统一界面来简化操作、提高效率并简化各自管理任务,包括从发现并注册新用户与设备到创建并实施跨有线和无线网络的访问策略。

基于策略的自动化

基于策略的自动化

为了进一步简化操作,除统一管理外,思科有线和无线网络还通过面向用户、设备和装置的策略驱动型自动化跨多个域进行扩展和集成。这是一种独特的工具性功能,可实现零接触部署、轻松的软件更新/升级以及应用、用户和设备的简化分段。利用自动化可确保为网络中的各种应用制定面向各个用户或设备的适当策略,从而消除许多手动操作和日常操作,并缩短业务响应时间。

网络状态感知

Network Assurance

此关键功能涉及持续验证、洞察力和纠正措施。思科可以跨有线和无线基础设施广泛获取网络数据。借助高级分析和 AI/ML,Cisco DNA 网络状态感知能够带来重要的业务洞察力,提高网络可视性,并加快网络问题故障排除的补救速度。

安全层

思科的安全应用可确保全面保护所有网络域。借助思科 Catalyst 解决方案的内置安全功能,您可以对网络中的人员和设备了如指掌,帮助构建完整的零信任访问安全模型,并制定威胁防御、检测和响应策略,以实现持续保护。例如,在园区和分支机构中,思科高级恶意软件防护 (AMP) 可防御高级恶意软件,而 思科 Umbrella™ 使用 DNS 来阻止所有端口和协议中的威胁。此外,思科 ISE 还通过其自适应和动态网络分区防御威胁,思科加密流量分析 (ETA) 无需解密即可检测隐藏在加密网络流量中的恶意软件活动。

思科安全网络接入安全层的主要功能可以划分为三个主要类别:

软件定义的网络分段

Software-Defined Segmentation

由于能够将网络分段,组织能够控制未经授权用户、设备和应用对企业网络某些部分的访问级别。通过分段实现的流量隔离可防止攻击在整个网络中轻松传播并造成破坏。借助思科身份服务引擎 (ISE),可以轻松跨无线连接和有线连接对分段策略进行一致控制。借助 ISE,可以为用户和设备配置基于角色的组,并将这些组映射到他们需要的适当访问级别,从而利用每个终端的情景身份信息自动实施这些访问策略。

思科有线和无线解决方案可以确保各网段之间流量的完全隔离和安全,并通过一系列本机集成的安全功能(如企业防火墙、URL 过滤、入侵防御和 DNS 监控)保护各网段内的数据。

基于信任的接入

Trust-Based Access

思科零信任是一种全面的方法,可确保跨用户、设备、API、IoT 以及网络中的许多其他事物保护所有访问的安全。它有助于保护您的员工、工作负载和工作场所。

思科软件定义接入 (SD-Access) – 是一种适用于园区网络的思科零信任解决方案,可以支持并实施一致的安全策略组,实现覆盖整个企业的基于角色的访问控制。它通过自动实施访问策略,并借助网络身份验证和授权对用户和设备应用适当的访问级别,从而改善用户体验。通过与其他安全应用和产品(例如 Umbrella 或 AMP)的生态系统集成,您可以为您的企业园区环境提供完整的零信任安全。

持续保护

Constant Protection

思科的集成式安全应用和解决方案为您提供了应对复杂和大量威胁的巨大覆盖范围、可扩展性和丰富功能。它们具备高级安全功能,可为硬件、软件以及流经交换机和网络的所有数据提供完整性保障。它们可确保提供只有通过在每台网络设备中内置威胁防御、检测和响应才能实现的持续保护。

通过访问思科 Stealthwatch 等卓越解决方案,您可以利用网络基础设施遥测功能了解网络中的用户以及他们正在执行的活动。

持续的可视性

全面了解快速变化、移动优先和云驱动型 IT 环境对于填补传统边界网络解决方案的缺口至关重要。在园区环境中,要获得全面可视性,首先需要对以下方面进行分类,即进入园区网络中的用户和设备、个人所有的移动设备或恶意无线接入点的连接位置以及用户或 IoT 设备与服务或应用交互的方式。获得对所有网络通信(甚至包括云中的网络通信)的基本了解可提供完整的资产清单,以便制定基于组的策略。它确保能够监控可能表示存在威胁或违反策略的情况的异常行为。此外,在更准确地对所有类型的设备或工作负载进行分类并且更快地确定偏离基线的异常情况方面,机器学习至关重要。

结论

借助思科安全网络接入奠定坚实的基于意图的网络基础,各种规模的组织都可以加快全数字化转型之旅。思科安全网络接入能够在云中部署网络软件,从而大规模地实现新创新,这开创了有线和无线连接的新时代,使之进入沉浸式网络体验的新纪元。它采用无线优先、云驱动和数据优化的理念,以安全功能作为核心。与其他解决方案不同,思科安全网络接入提供简化的运营模式,可实现统一管理、统一通用操作系统、全面安全性和跨有线和无线网络的通用策略。借助这种解决方案,IT 团队可以实现网络连接自动化并将其扩展到数千个用户和设备,预测变化,并在采用面向未来构建的网络的最佳实践时快速、安全地适应变化。

Cisco DNA 软件演示系列
Catalyst 9800 系列半价优惠