2.6 软件定义访问优势

2.6.1 可扩展的自动化部署

软件定义访问利用基于控制器的集中机制自动化构建大型企业网络而不需要网络操作员深度理解复杂的底层网络的转发原理。软件定义访问提供了一组满足所有连接方案的网络构造。

最重要的是，软件定义访问提供了灵活的、自动化的跨大型企业域的连接，这种方式能够最大限度地减少不稳定性并减少停机的风险。软件定义访问基于层级扩展的分布式框架，不需要在部署规模不断增加的情况下重新构建网络，无论部署是支持50个用户还是20万以上的用户。

软件定义访问还可以无缝地工作和扩展到大量站点上，并实现自动化的站点间连接，这使其可以扩展到传统办公室配线间之外的环境，如工作区、运营技术（OT）环境和制造业车间环境。因此，通过使用通用的、一致的和完全自动化的网络，软件定义访问主动实现了对业务敏捷性至关重要的快速IT/精简IT（如图2-24所示）。

下面列出了此用例的一些应用。

（1）医疗行业：远程协作和会诊。

（2）教育行业：远程获得教学和学习资源。

（3）制造行业：方便地扩展和管理工厂车间网络。

2.6.2 融合的有线和无线网络基础架构

软件定义访问无线网络数据转发平面转换为分布式结构（不集中在无线控制器上进行转发），并与有线通信共享相同的传输和封装方式。这样就能够利用有线网络基础架构的能力来实现增强的无线网络通信。对于多播、第一跳安全，以及网络分段，相比无线网络，在有线网络上将有更好的用户体验。软件定义访问无线提供以下功能。

（1）分布式数据转发平面。无线数据转发平面分布在边缘交换机上，以实现最佳转发性能和可扩展性。网络交换矩阵采用优化的数据平面进行转发而通常不会带来与分布式通信转发相关的麻烦，包括跨越VLAN、子网划分等。

（2）集中式无线控制平面。在思科统一无线网络部署中的创新射频功能也将在软件定义访问无线网络中得以继续利用。在动态射频管理（RRM）、客户端上线和客户端移动方面，基于网络交换矩阵的无线网络操作与传统的思科统一无线网络保持一致。这大大简化了对无线网络的操作，只要在网络交换矩阵中维护单一的无线控制平面即可，可实现跨网络交换矩阵的无缝漫游。

（3）简化的访客和移动隧道。不再需要锚点无线控制器，访客通信可以直接转发到DMZ而无须通过外部无线控制器跳转。

（4）安全策略简化。软件定义访问将安全策略和网络具体构造（IP地址和VLAN）之间的依赖关系解耦，简化了为有线和无线客户端定义和实现安全策略的方式。

（5）网络分段变得更容易。网络分段在网络交换矩阵中端到端地进行并且是层次化的，基于虚拟网络（VNI）和可扩展组标签（SGT）完成。网络分段策略同时适用于有线和无线用户。

软件定义访问无线网络提供了IoT就绪的网络基础架构，允许在企业内部对IoT设备进行网络分段而不会干扰整个企业网络。融合的有线和无线网络基础架构如图2-25所示。

下面列出了此用例的一些应用。

（1）医疗行业：在医疗临床网络中分段病患/访客。

（2）教育行业：改善课堂学习体验。

（3）零售行业：通过店内Wi-Fi增强客户体验。

2.6.3 为用户和终端设备提供安全的访问

软件定义访问为定义访问控制和网络分段策略提供了拓扑不可知性的基于身份的方法。这简化了策略定义、更新和法规遵从性报告。自动化框架将高级别的业务意图转换为网络基础架构中设备的低级别配置，以便在整个网络中推出快速、一致和经过验证的策略（如图2-26所示）。

此用例的一些应用如下。

（1）医疗行业：保持病患、设备和数据的安全。

（2）教育行业：建立一个安全的校园。

（3）制造行业：汇聚IT和OT网络。

2.6.4 相互关联的洞察力和分析能力

目前，我们解决网络问题往往是被动反应性的、缓慢的和低效的，这可能是缘于零碎的工具（每个工具对网络的可见度都很有限），也可能是网络复杂性、用户移动性，甚至缺乏一致的策略造成的。通过从系统日志、SNMP、NetFlow、AAA、DHCP、DNS等多种来源收集和关联细粒度遥测数据，软件定义访问提供了对网络的深入可见性，这为IT系统提供了丰富的洞察力来优化网络基础设施并支持更好的业务决策（如图2-27所示）。

下面列出了此用例的一些应用。

（1）医疗行业：改善临床工作流程和操作。

（2）教育行业：确保网络在不断变化的课堂上正常运行并提供出色的性能表现。

（3）制造行业：从工厂生产环境获得新的商业洞察力，从而做出更好的决策。