Gartner 预测，到 2023 年，超过 60% 的企业会将网络视为其全数字化战略的核心，而目前这一比例还不到 20%⁽¹⁾。随着组织采用云、移动和分析等全数字化技术来加快创新速度并提高敏捷性，用户体验这一关键指标对他们的重要性由此凸显出来。通过以用户体验的需求为主要推动力来制定战略目标，超越全数字化，实现全数字化转型，组织可以从根本上实现业务转型，从而在市场中获得竞争优势。

由于几乎所有全数字化技术本质上都是以网络为中心的，因此网络被视为实现这些全数字化计划的战略推动力。企业环境的快速发展和不可预测性要求网络能够快速适应并紧跟企业发展速度，而不能成为全数字化转型取得成功的阻碍。

企业必须实现网络转型，才能处理数量庞大且不断增长的用户、设备和应用，并能应对各种连接和安全挑战。他们唯有利用网络的强大功能和价值，才能推动落实业务优先事项并丰富客户体验。因此，全数字化转型正在促进新网络平台的采用，换言之，它正在加快网络转型。

网络面临的挑战和趋势决定了对新型网络架构的需求，这种架构不仅需要支持优化每个用户的多云连接，而且还需要能够无缝、安全地连接日益多样化的设备和应用。

现在正是彻底改变接入网络的绝佳时机！

思科安全接入为新型网络连接确立了发展蓝图。作为一种基于意图的网络架构，它可以随时随地将用户及其设备连接到正确的数据和应用，实现一致的连接体验，同时还能确保可靠、安全地访问任何位置的工作负载（图 1）。

通过统一并自动实施所有交换机和无线产品的接入管理策略，并且不断分析网络数据，思科安全接入可确保网络为组织实现预期业务目标提供有力支持。它可以提高可靠性、灵活性和安全性，并且能够支持和管理更多用户和设备，无论这些用户和设备位于何处都无妨。

支持这种架构的网络产品包括各种思科交换机和无线解决方案，例如思科 Catalysts 交换机、无线接入点和控制器。我们的网络产品中都内置了思科安全解决方案。利用这种集成模式，安全应用和网络可以协同工作，减少用于防御、检测和缓解威胁的时间。

面向云环境的思科 Tetration 和 Cisco Cloudlock思科 Cloudlock 是专为特定网络域提供服务的安全应用，其他安全应用则广泛适用于多种网络域，并且可以根据特定客户使用案例被触发启动。例如，Stealthwatch 可以检测整个专用网络、公共云和混合环境中的威胁，而 思科高级恶意软件防护 (AMP) 可以防御漏洞，检测和删除终端及网络中的恶意软件。

这种无缝的安全连接（或接入）体验必须做到全面覆盖，无论是各网络域内部，还是网络域之间，均无一遗漏，包括分支机构、园区、远程位置、数据中心和多云。这意味着每个网络域都将充当唯一的安全接入解决方案（图 2）：

共享接入策略管理将这些网络域结合在一起，允许各个域在独立运行的情况下通力合作，实现共同的业务意图。您可以对策略进行一次性定义，然后将其应用到任何位置，并对其进行系统性监控，以确保实现业务意图 ⁽²⁾。无论用户和工作负载位于何处，这种接入策略都将跟踪防护这些用户和工作负载。

通过利用思科软件将强大的策略自动化和分析网络协调功能与用于园区的一系列下一代交换机、无线接入点和控制器相结合，思科安全网络接入可帮助 IT 对进入网络中的一切人员和设备进行安全注册和分段，从而提高企业生产力并改善用户体验。

我们的安全网络接入解决方案的基本原理基于以下四个架构原则和设计要点：

架构组件

顾名思义，思科安全网络接入的组件包括两个功能层：网络和安全（图 4）。

由思科 Catalyst 9000 交换机和思科 Catalyst 9100 无线接入点组成的一整套思科 Catalyst 产品组合是此解决方案的主要基础设施。思科 Catalyst 9000 交换机是专为满足安全、IoT、移动和多云领域的需求而打造的下一代企业级交换机。这些交换机经过优化，可处理 Wi-Fi 6 的流量，支持完全可编程性和可维护性，并且支持在单个平台上融合有线网络和无线网络。

思科 Catalyst 9100 无线接入点采用 Wi-Fi 6 技术并支持思科基于意图的网络架构，可满足不断增长的用户期望、IoT 设备和下一代云驱动应用需求。思科 Wi-Fi 6 无线接入点采用卓越的射频创新技术，能够处理不断增加的移动流量并可大规模支持 IoT，因而可智能扩展无线接入，为各种网络提供安全可靠的高质量无线体验。除了 Wi-Fi 6 功能外，思科 Catalyst 9100 还通过硬件和软件创新、高级分析以及多 RF（Wi-Fi、BLE 和 Zigbee）支持，扩展了基于意图的网络功能。借助更卓越的工业设计，它们还具备更高的射频性能，并可大规模提供可靠性、安全性和智能性。

思科 Catalyst 9100 无线接入点由思科 Catalyst 9115、9117、9120 和 9130 无线接入点组成，是思科 Aironet 无线接入点的下一代产品。Catalyst 9120 和 9130 无线接入点采用思科 RF ASIC，可执行高级射频频谱分析，并提供超越标准的独特功能，可以实现卓越的射频体验，包括：

网络层

思科安全网络接入解决方案的网络功能建立在基于意图的网络原理的基础之上，即捕获业务意图并根据该意图不断调整网络。此层由高级自动化和统一协调功能驱动，能够从数百个互联用户和设备扩展到数千个，甚至数百万个互联用户和设备。作为统一交换矩阵的一部分，逐一管理各个设备（无论是有线设备还是无线设备）的手动流程可由从单个位置控制的全局托管的基于意图的策略取代。此外，在部署前、部署期间和部署后使用机器学习和数据情境分析，可以在可扩展性、运营效率和安全性方面弥合您的业务需求与网络实际能力之间的差距。

网络层的主要功能可以划分为三个主要类别：

安全层

思科的安全应用可确保全面保护所有网络域。借助思科 Catalyst 解决方案的内置安全功能，您可以对网络中的人员和设备了如指掌，帮助构建完整的零信任访问安全模型，并制定威胁防御、检测和响应策略，以实现持续保护。例如，在园区和分支机构中，思科高级恶意软件防护 (AMP) 可防御高级恶意软件，而 思科 Umbrella™ 使用 DNS 来阻止所有端口和协议中的威胁。此外，思科 ISE 还通过其自适应和动态网络分区防御威胁，思科加密流量分析 (ETA) 无需解密即可检测隐藏在加密网络流量中的恶意软件活动。

思科安全网络接入安全层的主要功能可以划分为三个主要类别：

持续的可视性

全面了解快速变化、移动优先和云驱动型 IT 环境对于填补传统边界网络解决方案的缺口至关重要。在园区环境中，要获得全面可视性，首先需要对以下方面进行分类，即进入园区网络中的用户和设备、个人所有的移动设备或恶意无线接入点的连接位置以及用户或 IoT 设备与服务或应用交互的方式。获得对所有网络通信（甚至包括云中的网络通信）的基本了解可提供完整的资产清单，以便制定基于组的策略。它确保能够监控可能表示存在威胁或违反策略的情况的异常行为。此外，在更准确地对所有类型的设备或工作负载进行分类并且更快地确定偏离基线的异常情况方面，机器学习至关重要。

借助思科安全网络接入奠定坚实的基于意图的网络基础，各种规模的组织都可以加快全数字化转型之旅。思科安全网络接入能够在云中部署网络软件，从而大规模地实现新创新，这开创了有线和无线连接的新时代，使之进入沉浸式网络体验的新纪元。它采用无线优先、云驱动和数据优化的理念，以安全功能作为核心。与其他解决方案不同，思科安全网络接入提供简化的运营模式，可实现统一管理、统一通用操作系统、全面安全性和跨有线和无线网络的通用策略。借助这种解决方案，IT 团队可以实现网络连接自动化并将其扩展到数千个用户和设备，预测变化，并在采用面向未来构建的网络的最佳实践时快速、安全地适应变化。

(1) 思科网络趋势报告

(2) 面向基于意图的网络的思科多域集成