网络 第20页

12月17日，华为日本代表处大手町办公室收到了东京都内一名普通市民的来信，信是实名写的，为了保护隐私，在华为心声社区以匿名的方式与大家分享之后，这封平实的信，却是如此温暖人心。

 ________________________________________

尊敬的华为孟晩舟CFO及全体员工：

首先，很抱歉我不会中文也不会英文。

所以我只能用日语来写这封信，特别希望有哪位懂日语的人能帮我翻译，将我的意思传达出来。

这次孟女士在加拿大遭遇的事情，我感到非常悲伤。

虽然我只看到日本国内的报道，并不知晓详情，但一想到您本人以及家人度过了多么难受的一段时间，以及今后还将承受怎样的痛苦，我觉得我不能保持沉默，必须要进行声援，所以写下了这封信。

世界上每天都在发生各种各样的事情，但对于住在日本的我来说，以前从未想过要通过写信的方式来表达自己的心情。

可是这次孟女士的事件，对我来说绝不是一件可以袖手旁观的事情。

为什么这么说？或许日本国内并没有太多的人知道，但我的一位住在宫城县的朋友告诉过我， 2011年东日本大地震时，其他公司都在撤退、逃离，只有华为，在危险还没有消除的情况下，毅然进入灾区，抓紧抢修被地震损坏的通信设施。

对华为这样一个能在那样困难的情况下为我们伸出援手的公司，无论有什么理由，这种不采取任何措施就直接动用国家力量单方面进行排除的做法，是背离做人常理的，让人感到非常悲哀、难受。作为一个日本人我感到羞愧。

1995年阪神淡路大地震中，我母亲被压在柜子底下不幸遇难，那年她才56岁。

当时，得到来自世界各地的支援，城市得以恢复重建，才有了今天美丽的神户。至今我心中仍充满着感激。

反之，住在日本的我却未能对家乡神户做出任何贡献，至今仍深感羞愧。

因此，在我心中，孟女士是恩人。

对中国的了解，我只是从学校的“社会课”中学到一点知识，但1972年周恩来总理和田中角荣首相主持中日建交的场面，却深深印在了当时还是孩子的我的脑海中。

在签字仪式上，田中角荣首相用毛笔签字给我留下了非常深刻的印象，从那以后，我开始学习书法。

现在，只要日本哪里举办王羲之等名人的书法展，展出期间我都要去看好几次。

虽然中国和日本一个是社会主义一个是资本主义，国家的根本性质不同，但我认为中国和日本从今往后应该更加相互尊重，加深和扩大友好关系。

我只是一家小公司的小老板，像我这样人终究帮不上什么忙，但我从心底衷心祝愿贵公司能够更加发展壮大，取得更大的成就。

谨上

2018年12月14日

华为留守日本大地震

孟晚舟此前惟一一次提及与日本大地震的这段故事是在2016年9月清华大学演讲中，孟晚舟总结华为成功原因最重要的两点，“一是为客户创造价值，二是艰苦奋斗”，她讲到：“2011年，日本9级地震，引发福岛核泄露。当别的电信设备供应商撤离日本时，华为选择了留下来，地震后，我从香港飞到日本，整个航班连我在内只有两个人。在代表处开会，余震刚来时，大家脸色刹变，到后面就习以为常了。与此同时，华为的工程师穿着防护服，走向福岛，抢修通信设备。勇敢并不是不害怕，而是心中有信念。”

当绝大多数航班都在飞出时，孟晚舟选择了逆向飞进日本。航班上的另一位乘客是一位日本人，还问孟晚舟是不是坐错航班了，机组人员也反复确认。

大地震后，时任华为公司董事长孙亚芳立即率队赶赴日本，华为代表处仍然坚守岗位，抢修通讯设备。

在2011年4月3日的华为内部刊物《华为人》上，一位名叫张亮的华为员工这样回忆当时的情景：

“大家又以正常的状态投入到工作中去，对家人也是百般安慰：‘妈，我已经转移到大阪了，瞧，这是我的新房间，’一位同事在东京换了个住处，以此安慰年迈的母亲。

一位兄弟和新婚的妻子视频聊天说：‘老婆，放心吧，我在这里挺好的，国内的新闻太夸张了！我们领导都来看我们了，晚上还一起吃饭’。

公司董事长孙亚芳看望在一线坚持作战的所有办事处人员，在晚宴上鼓励大家：‘目前的东京就像是飓风的风眼，周边虽然乱成了一锅粥，但我们这里依然很平静。’”

领导身先士卒，在华为已经形成一种文化

任正非在2017年2月15日与尼泊尔代表处员工座谈时说：“

我承诺，只要我还飞得动，就会到艰苦地区来看你们，到战乱、瘟疫……地区来陪你们。我若贪生怕死，何来让你们去英勇奋斗。在阿富汗战乱时，我去看望过员工。……。利比亚开战前两天，我在利比亚，我飞到伊拉克时，利比亚就开战了。我飞到伊拉克不到两天，伊拉克首富告诉我：‘我今天必须将你送走，明天伊拉克就封路开战了。我不能用专机送你，不安全，我派保镖送你。’结果前后一个大车队，十多名保镖，连续奔驰一千多公里，把我送上了最后一架飞机。一路上换车队，就如从深圳到西藏，经过广西换广西车队；经过贵州、云南换当地车队。粤B一直开到那里，那里就太显眼了。

我鼓励你们奋斗，我自己会践行。”

华为中东非洲片区总裁易翔在2017年武汉大学校园招聘宣讲会上讲了一个故事：

“2008年9月20日夜，巴基斯坦首都伊斯兰堡发生大爆炸，死伤300多人，任总要求到巴基斯坦和阿富汗现场看望兄弟们。我作为当时的巴基斯坦负责人，以安全为由，反复建议任总不要过来，任总回复我一封邮件，让我无法阻止他，这封邮件力透纸背，我一生难忘，兄弟们看了都热泪盈眶:‘兄弟们能去的地方，我为什么不能去，谁再阻挡我去，谁下课!  任正非’”。

任正非到了伊斯兰堡后，还专程飞到阿富汗首都喀布尔，看望阿富汗的驻地员工。其实，任正非还看望了华为竞争对手公司的员工，同时要求华为的救援系统，为他们提供帮助。

真情无边界，人间自有真情在！

 

 

中国有句古语出自《史记·李将军列传论》—“桃李不言，下自成蹊”。

意思是无需太多宣扬，出色的事物自然而然地会受到人们的关注与褒奖。

SD-WAN热度正当时

现如今在广域网场景中大热的网红-SD-WAN，就颇具此番意境—从提升企业WAN连接效能到灵活交付，再到网络连接安全与稳定性，其于无形体验中快速推动着企业数字化转型，扶摇直上。

SD-WAN可见的市场深度更有足够吸引力：权威IDC数据显示，2018年全球SD-WAN市场收入将达23亿美元，至2021年复合年增长率将至69%，远超80亿美元。

未来5年，SD-WAN软件收入将以41%的复合年增长率增长，硬件则为21%。

伴随SD-WAN的四处开花，2018 Gartner最新发布的广域网边缘、网络防火墙以及有线与无线局域网的魔力象限领导者坐标，精准统一地指向一家科技厂商—思科，唯一一家同时在三领域收获三大魔力象限领导者桂冠的实力派。

这一切背后，即是思科意图网络创新迎来的“全栈”式爆发：基于意图的全智慧网络向广域网延伸之时，做到了平衡应用体验与安全、提供快速自动部署环境、大幅减少企业IT预算、灵活高效地网络连接，让更安全更智慧的网络应用触手可及。

如今，基于思科意图网络的SD-WAN与安全技术的创新整合，顺理成章地成为助力用户快速采用云服务的重要保障。

“在软件定义广域网中着重谈安全性，没有安全性就没有体验”。思科全球副总裁，大中华区首席技术官曹图强以安全性，作为对思科最新SD-WAN安全解决方案的核心注脚极为贴切。

在他看来，SD-WAN的安全性应应有磐石之力，覆盂之安。

如何应对“云边缘”挑战

事实上，将安全置于SD-WAN方案的核心不无理由，当各级分支机构、区域IT员工以及移动办公不断与企业的关键应用实现联接时，包括公有云、私有云以及SaaS衍生出的服务交互，即在网络和安全的交叉点上催生出“云边缘”形态。

重点是，后者令人喜忧参半！喜，互联网应用的开放让网络路径不再单独“封闭”式的存在，取而代之的则是畅通无阻的云网络；忧处在于，除了应用体验不一致以外，开放会带来网络应用的不确定性与安全风险，若无立竿见影地有效防护，恐难应对来自网络空间的潜在威胁。

“思科的SD-WAN帮助客户轻松获得最佳网络功能和安全性是平衡而非妥协。这是一座通往全新业务领域的桥梁，用户获取云服务的同时便可于各种互联体验中高枕无忧。”曹图强进一步用“平衡”来强调安全与应用的和谐共存。

基于此，安全、简单、可扩展自然成为用户选择思科SD-WAN方案的三个关键词，而细心的用户也由此发现，其恰是基于意图的全智慧网络基因—意图、直观以及情景的立体表现。

在思科SD-WAN安全解决方案发布之前，得益于业界最强大的网络威胁情报解决方案Talos的支持，思科在网络安全层面已具备颇为震撼的加密流量分析能力–无需对网络数据包进行解密即可找到恶意软件在网络中的位置。

聚焦广域网企业级安全功能，思科所推出的全新高级软件定义安全堆叠，融合Talos技术的同时，也将自身安全能力进一步扩展，以此应对关键的云边缘安全挑战。

事实上，思科SD-WAN设备现已集成从应用感知型企业防火墙和入侵防护，再到URL过滤等广泛的高级安全特性，并支持通过单一界面进行管理，羽翼非常丰满。

如果深入场景细节不难发现，思科

SD-WAN安全堆叠侧重于与移动办公、分支机构网络应用相关的四项关键层面：

合规隔离，无论数据位于分支机构还是位于云中，叠栈都能保护存储和传输中的敏感数据与威胁实现隔离；直接互联，允许网络端口直接联网并去除潜在攻击面；云端访问，绕过企业网络和数据中心内置的现有集中式安全产品（如 DMZ、防火墙和入侵检测），直接触达云资源和 SaaS 应用；访客接入，允许访客从个人设备接入本地 Wi-Fi，同时确保业务流量和敏感网络服务与访客流量完全分离。

“‘能量越大，责任越大’，思科之所以获得权威机构的肯定在于，思科可将网络各类细分功能、SD-WAN功能与安全能力做到极致，如果我们将其结合到同一设备上，在控制器上实现一体化集成式的安全解决方案。可以想象，它无疑是业界唯一一个SD-WAN综合能力最全面的网络工具”。曹图强如是说。

让简化应用部署清晰可见

简化应用与部署的必要性不言自明，在IT人员不足以及复杂的广域网管理挑战面前，思科网络的“意图”的极为明显：思科SD-WAN不仅能够做到将传统网络管理流程转变为自动化了解用户意图能力，更能于数分钟内将管理海量广域网设备变成可能！同时实现方案部署与管理简化到极致。

事实证明，企业安全官（Chief Security Officer）在思科的SD-WAN云端平台即可做到以下几点：借助思科 Umbrella套件，可加速部署并提高对安全管理的完全可视化；其还凭借云托管vManage 控制器获得基于 GUI 的工作流程，极为简便；零接触式思科 ISR/ASR 和 vEdge 路由器可由分支机构中的非技术人员启动，并根据预定义的业务意图进行远程配置，并沿着业务需求进行定制；边缘路由器则持续监控流量模式，自动调整连接以适应优先级业务数据、维护云和 SaaS 应用 QoE，主动适应安全威胁。

由此可见，思科一系列简化应用与部署的环节一方面解放了IT人员的双手，从而腾出更多精力聚焦自身业务成长；另一方面，其让安全合规机制能够更加有效的融入SD-WAN管理流程中，省时省事省力，用户几乎可以做到一键触达。

而对于思科而言，仍不忘为客户献上锦上添花式的优质体验–选择与微软通力合作，一同增强用户与Office 365优质联接。

事实上，与其他友商不同的是，思科SD-WAN具备可实时检测到达Microsoft Office 365云的所有可用路径，并根据基于Microsoft Office URL确定距离最近的云，这将为用户带来高达40%的更快性能。

曹图强指出，企业级的优质应用体验，一向遵循两个硬指标来评判体验的优质与否：一是快速高效，二即是稳定可靠。为了将性能提升40%，思科通过模拟位于 AWS孟买地区的数据中心和位于AWS悉尼地区的远程分支机构完成对比测试，体验颇佳。

思科目的明确，广域网既要安全，也要优质体验！无疑，始终聚焦为用户提供最佳的网络体验，与最可靠的应用服务才是思科SD-WAN进化的重点。

“今天移动客户最希望看到的，便是如何能够更好地利用云端的服务，提升自身的业务质量。事实上，当你跨越区域登录Office 365时，思科广域网解决方案会提供最佳路径，即能帮助客户轻松识别最近的Office 365 数据中心，从而将性能提升 40%”。曹图强认为，路径的选择往往是决定性的，其不仅是距离的问题，更需要其完美直达客户所期待的应用目的地。

这也是为何思科要与上层应用实现优质结合，高效与稳定是所有企业用户的必要的体验效果，思科没有理由慢半拍。

扩展融合SD-WAN基础设施

在可扩展层面，思科加速了扩展了软件定义广域网产品组合，在Viptela和Meraki的基础上，通过打造全球最广泛的SD-WAN产品组合，进一步夯实用户在SD-WAN应用中的可选服务。

当面对分支机构与分散型区域业务的网络应用升级，思科进一步为小型和大型分支机构推出了两款全新的集成多业务路由器（ISR），丰富客户的菜单的同时也为SD-WAN基础设施层增添了扩展选项。

在曹图强看来，ISR1000、ISR4000，ASR1000，VEDGE等产品系列，无论是在一个广域网的交换路由平台里，或是通过虚拟模块方式，思科都可以帮助客户自行定义。

这也就意味着，思科SD-WAN有理由向更为灵活而丰富的客制化形态前行。此外，思科进一步简化全新解决方案的使用和管理方式，客户可以通过单一许可证模型购买网络和安全功能，并通过单一界面进行管理。

值得一提的是，思科在在致力于把基于意图的网络触角向企业网宽度延展之时，其也持续在园区网的接入方面强化其自身的优势。

例如，其同期发布了两款全新的Catalyst产品系列：Catalyst 9800 无线局域网控制器以及全新的 Catalyst 9200 交换机。

前者做到了同时为有线和无线网络设备提供单一的现代操作系统IOS XE—其可简化操作，并在思科有线和无线解决方案中提供完全可编程性、先进安全性、热修补以及更多任务关键型功能；后者Catalyst 9200 交换机，作为成长最快的Catalyst 9000产品家族的一员，它将基于意图的网络扩展到简单的分支机构部署和中端市场客户端，进一步通过功能化的产品创新，满足细分市场用户日益增长的网络应用需求。

据悉，Catalyst 9200 将在明年年初在中国市场上市，届时中国企业级网络市场又将迎来一次热购。

用DevNet开放胸拥抱SD-WAN

随着基于云服务的不断演进，托管服务提供商MSP通过网络不断升级着面向SMB的云端增值服务，对于他们而言，软件工具与方案的分享对业务成长极富落地价值。

基于此，借助开放式API，思科SD-WAN为MSP、运营商以及ISV提供了创建独特新服务的机会。

事实上，为了帮助开发人员和网络工程师开拓创新，思科DevNet创建全新SD-WAN学习实验室和沙箱，并在DevNet平台上不断为思科伙伴输出工具类服务以及实践经验。

无论是MSP亦或ISV，思科的ecosystem从未缺少创新活力，这在DevNet之上也同样如此。要知道，生态的价值不仅仅来源于合作，更多的是分享。具体来说，在整个安全方案部署以及广域网部署中，思科始终会把API接口开放，实现相关代码共享，从而使IT人员根据不同的情景，打造最为有效的方案及应用服务。

总结，如果说思科SD-WAN可以帮助IT人员提供更好的应用体验，并通过独步天下的简单性和扩展性提高用户的工作效率。那么，其更为亮眼之处便是从分支机构到云端，在任何需要的地方，IT都可以轻松实现最佳的安全体验。

由此看思科SD-WAN，真可谓“桃李不言，下自成蹊”，它还有另一层直白而流行的表述：“我也想低调，但实力不允许”。

机场是连接城市，促进经济发展和人文交流的重要驱动力，也是人们出行的关键枢纽。2017年12月，亚特兰大哈兹菲尔德-杰克逊国际机场发生长达11小时的停电事故，导致1400次航班被取消，使达美航空公司遭受约5000万美元的损失，机场对于供电稳定性和可靠性的需求可见一斑。

施耐德电气认为，为了确保乘客安全舒适的出行体验，保障机场电力供应的安全、稳定，提升服务质量是基础，而机场运营效率也事关运营方的成本控制，日趋复杂化的需求让机场配电系统的数字化建设与智能升级被提上日程。

施耐德电气拥有领先的配电技术和全面高效的机场配电解决方案，可以在确保机场的关键设施和系统获得高可用性。 比如，通过对热点的全天候状态监测，用户可以及早发现问题并采取预防措施，并根据需求，选择在本地或者远程发出警报或警告；同时，通过对断路器的性能进行实时监控，运营方可实现对其健康状态的实时洞察，并在出现意外情况时发出警报或警告。其性能监测数据也可有助于运营者对设备制定更好的长期维护计划。

作为全球能效管理与自动化领域数字化转型的领导者，施耐德电气在国内外的机场数字化和智能化配电建设上拥有丰富的实践经验。作为中国民航“十二五”及“十三五”发展规划的重点实施项目，胶东机场按照国际4F运行等级设计，力求打造为一流的区域枢纽机场，实现高铁、地铁、公路、飞机的“零换乘”。此外，胶东机场将充分利用数字化技术，成就智慧机场，并引入海绵理念，力争打造绿色海绵机场。庞大的建设规模、高标准的智能化及绿色水平使得胶东机场对配电系统的可靠性、环保性和智能化水平提出严苛要求。

对应胶东机场的具体需求，施耐德电气为其提供了完整的中低压及关键电源一体化解决方案。基于EcoStruxure 架构与平台，施耐德电气为胶东机场提供了完整的中低压及关键电源一体化解决方案，包括由高性价比高质量的Blokset低压智能配电柜、PIX中压开关柜、New Mvnex中压柜等设备组成的中低压配电系统，以列头柜、精密配电柜、UPS及精密空调等组成的机房系统，以及与合作伙伴共同提供的三箱、箱变等设备。其中，在中压配电方面，施耐德电气为其提供了包含基于EcoStruxure^TM电网（EcoStruxure^TM Grid）的PIX系列中压开关柜以及新一代MVnex中压开关柜在内的智能配电解决方案。施耐德电气PIX系列中压开关柜可大幅度提升中压盘柜的资产性能和抗风险能力，其采用小型化设计，减少安装成本和占地空间，简化操作过程；具备机械联锁和电气联锁及全方位在线状态监测的数字化功能，提供智能化保护；此外，其可实现柜前简单运维，大大降低运维成本。施耐德电气新一代MVnex中压开关柜，其设计采用模块化结构，满足中国使用习惯，操作极简，机械联锁和电气联锁保护操作人员安全；同时，其全面运用了各种先进手段如计算机辅助设计、合成试验室，动态模拟等数字化技术，在提供更可靠的供电连续基础上大幅简化了运维操作。

此外，作为日内瓦机场多年的合作伙伴和供应商，施耐德电气携手日内瓦机场启动MEGA（Modernisation Electrical Geneva Airport）专项项目，力求实现从飞机停机到离场整个流程的配电系统现代化。项目从安装中压系统开始，涵盖变压器、配电设备和监控软件。此外，整个机场内部安装了多个低压配电柜，实时汇总信息并产出准确的能源报表。扩建中，施耐德电气以高成本效益的创新性解决方案确保高技术含量、执行到位的改造，在帮助客户提升绩效管理的同时，确保机场的关键设施和系统获得高的可用性；在不影响日常运营的前提下，极大提升了日内瓦机场的科技水平和旅客体验借此契机，同时为其升级了配电系统的控制面板。

未来，施耐德电气期望以全球领先的配电产品和技术为更多机场建设提供专业化智能配电解决方案，为更多机场的不间断安全运行提供可靠保障。

2018年8月30日，北京 — 近日，思科与引道地图信息技术有限公司（以下简称“引道地图”）展开深入合作，以思科全球领先的基于意图的网络平台为支撑，助力引道地图充分挖掘海量数据，进行商业智能分析，为传统会展赋予全数字化能量。同时，这也是思科面向未来打造的颠覆性网络平台在中国市场的成功应用之一，具备自我学习、自我调整、自我保护能力的网络为不同行业的商业模式变革、业务价值重塑创造了无限想象空间。

引道地图成立于2014年，其业务主要包括以下两个方面。其一，作为高德地图合作伙伴，通过启动电动汽车分时租赁品牌“嗨皮出行”，布局互联网相关业务；其二，以智慧城市解决方案为战略重点，推进传统集成业务向移动互联网、物联网的运营转型，其中智慧会展是其智慧城市解决方案中最显著的突破领域。为了提供更出色的智慧会展服务，引道地图在帮助会展场所提供高质量网络接入这一基础服务之外，更集合Wi-Fi、蓝牙、APP和用户海量数据的商业智能分析，让数据转变为具有商业价值的精准营销洞察，帮助展览方提高运营管理水平，有效拉动人流，提升会

智慧会展取得成功的关键是，通过创新技术将传统会展向数字化、智慧化推进，通过网络解放IT生产力，并实现更高的业务相关性，从而提升其延伸价值。引道地图最新承建了中国进出口商品交易会（简称“广交会”）智慧会展项目。广交会由商务部和广东省人民政府联合主办，创建于1957年4月，每年春秋两季在广州举办，是中国目前历史最长、规模最大、商品种类最全的综合性国际贸易会展，它对运营平台和底层网络架构不断提出更高的核心需求：系统架构和设计必须能够应对未来不断增长的数据、用户、定位和需求；面对大量不同行业的会展、主办方、参展商、采购商，应用和服务的多样性、突发性要求运营平台和网络具备足够的能力、弹性，并能高效地部署；Wi-Fi及网络需要支持大流量、高密度、精确地图和精准定位；智能化、自动化的配置和快速部署；故障的快速诊断。

该项目的业务需求和系统上线时间压力向技术解决方案提供商提出了严峻挑战，而思科基于意图的网络解决方案的部署使各环节痛点难点迎刃而解：在具体方案中，思科帮助引道地图实现广交会整体网络的分区设计，并引入全新的Catalyst 9000系列交换机实现核心、汇聚和接入的新架构，完美实现整个场馆的有线无线统一接入；同时提供软件定义访问（SDA），能够根据参展客户的业务需求，仅需通过鼠标拖拉的简单操作，无需改动网络底层硬件配置，即可随需调动网络资源，提供更灵活的网络分段和业务策略。

此类规模性、复杂性极高的网络部署绝非易事，但思科在统筹规划、部署运营、技术服务等方面，无不展现其独特价值，并充分发挥了基于意图的网络的卓越优势，帮助引道地图顺利完成广交会所智慧会展服务的部署。引道地图成功实现由业务类型决定网络策略，打造了自动化、高可用性、按需分配的全新网络：

• 自动化：DNA中心帮助实现整体网络部署的自动化，上千台网络设备一键自动配置下发，任务执行自动化；而在以往，这需要几十名工程师彻夜不眠、通宵达旦地工作才能完成。同时，通过Plug and Play等服务自动化，近万台有线无线设备实现开箱即用，有效降低初始网络安装成本。
• 可视化：思科极具创新的DNA中心状态感知模块（DNA Center Assurance）帮助实现全网可视化，有效降低运维管理成本，减少故障时间和排错时间，确保业务连续性，保护投资；思科的无线传感器技术帮助实时了解场馆无线网络的健康状态和系统可用性。
• 智能化：重要展会开始前，可按需提供全网的无线网络状态报告，变被动运维为主动智能化运维；基于思科互联移动体验（CMX）数据开发的APP，能够让企业在自己的场所内基于位置进行检测、链接、并最终与客户互动，实现场馆广告的精确推送以及更合理化的展位布局。
• 一站式服务：Cisco Solution Support解决方案支持服务帮助引道地图提供一站式的技术支持，在多供应商的解决方案环境中，作为统一接口，对问题集中排查，提供最终解决方案，实现运维效率的最大化。

 

引道地图总经理骆元生对于本次合作给予了高度肯定：“思科基于意图的网络的智能化、可视化、自动化，解决了我们快速部署、维护、故障诊断的需求，节省了人力、物力，有效地保护了我们运营期间投资。同时可以让我们通过开发接口，使我们信息化业务快速展开，提升了业务灵活性，并允许我们给客户提供更有价值的数据挖掘增值服务。”

针对此次合作，思科全球副总裁、大中华区首席技术官曹图强表示：“基于意图的网络充分展示了思科在网络领域全球领先的技术实力与恢弘愿景。我们非常高兴能够通过这一平台帮助中国的行业客户进一步解放IT生产力，使其按期望的方式自定义网络，帮助创造更具价值的解决方案与服务，并且无论现在还是未来都能持续满足其需求。”

用于保护在线数据的加密技术给恶意软件提供了藏身之地。如何检测出加密流量中的威胁一直是行业面临的一个难题……现在，这一难题终于被攻克了。

2017年6月20日

作者：Jason Deign@DeigninSpain

加密是保护隐私的一个重要手段，能够保护我们的数据不被窥探，能够阻止犯罪分子窃取我们的信用卡信息、应用的使用习惯或密码。

加密的重要性不言而喻，据最新报告显示，截止今年2月，半数的在线流量均被加密。对于特定类型的流量，加密甚至已成为法律的强制性要求。

Gartner认为，到2019年，超过80%的企业网络流量将被加密。虽然这对于重视隐私的用户来说是一个福音，但IT团队将面临着严峻挑战。面对大量涌入的流量，如果没有解密技术，IT团队将无法查看流量内包含的信息。

这意味着加密是一把双刃剑，保护隐私的同时也让不法分子有了可乘之机。加密能够像隐藏其他信息一样隐藏恶意软件，从而带来一系列蠕虫（以及木马和病毒）。

思科首席工程师TK Keanini表示：“据Gartner预测，到2019年，半数的恶意软件活动将利用某种类型的加密来隐藏交付、命令、控制活动以及数据泄露。”思科今日宣布推出的一款新产品正好可以用来应对这一威胁。

恶意软件制造者对于加密非常了解，并且懂得如何利用这一技术。Gartner认为：“随着HTTPS的使用量超过HTTP，通过加密网络通道传递的恶意软件将变得越来越多。”

《赛马邮报》的安全经理Alan Cain评论道：“Facebook、Twitter和LinkedIn等网站都在使用SSL，这些网站在过去都曾遭受过‘绑架赞（Likejacking）’、恶意软件传播、数据泄露和垃圾邮件等威胁的侵害。80%的安全系统不能识别或防范SSL流量中的威胁，这使得加密的恶意软件成为当前业界最大的威胁。”

因此，Gartner认为，到2020年，超过60%的企业将无法有效解密HTTPS流量，从而“无法有效检测出具有针对性的网络恶意软件。”

Gartner认为，届时加密的流量中将隐藏超过70%的网络恶意软件，而对抗这些威胁的手段将会受制于反解密系统，即便是最大的IT团队也无法忽视这一问题。

直到现在，处理此问题的常见方法是解密流量，并使用诸如新一代防火墙等设备查看流量。这种方法耗时较长，且需要在网络中添加额外的设备。随着威胁环境不断变化，将安全功能集成到网络中将有助于检测所有威胁，甚至是藏匿在加密流量中的威胁。

那么我们应该如何抵御看不见的威胁呢？思科的专家找到了相关线索。

使用加密流量分析进行威胁检测

尽管您无法查看加密流量，但思科技术负责人Blake Anderson和思科高级安全研究事业部院士（Fellow）David McGrew发现了一种特殊的方法，可以获知内部隐藏内容的线索。

Anderson和McGrew在去年十月发表的一篇名为《利用环境流量数据识别加密恶意软件流量》的文章中写道：“识别加密网络流量中的威胁，为我们带来了一系列网络安全挑战。”监控这一流量对于发现威胁和识别恶意软件来说非常重要，他们表示：“我们需要一种能够保持加密完整性的方式，来帮助我们实现这一目标。” 他们开发了监督机器学习模型，能够充分利用网络流数据独特且多样化的特性。他们介绍道：“这些数据特性包括TLS握手元数据、链接到加密流的DNS环境流，以及五分钟内来自同一源IP地址的HTTP-环境流的HTTP标头。”

研究人员研究了数百万不同流量上恶意流量和良性流量在使用TLS、DNS和HTTP方面的差异，提炼出了恶意软件最明显的一系列特性。

这一过程经过了真实数据的测试，以确保不会产生误报。最终思科推出了加密流量分析（ETA）技术，能够在加密数据的三个特征中寻找恶意软件的痕迹。

首先是联接的初始数据包。这一数据包可能包含有关其余内容的宝贵数据。然后是数据包长度和时间的顺序，可以针对自加密流量开始传输以后的流量内容提供重要线索。

最后，加密流量分析能够检查被分析的数据流中数据包的有效载荷上的字节分布。由于这一基于网络的检测流程由机器学习技术支持，其功效会随着时间的推移而持续上升。

近日，思科推出了加密流量分析功能（Encrypted Traffic Analytics），并且将来自全新Catalyst® 9000交换机和Cisco 4000系列集成多业务路由器的增强型NetFlow，与思科Stealthwatch的高级安全分析能力进行组合。

思科企业网络、物联网和开发商平台市场营销副总裁Prashanth Shenoy表示：“思科凭借一流的安全产品组合，持续为其网络设备构建安全特性。思科推出的全面威胁防御架构可将网络作为传感器和执行平台，来查看并处理所有威胁。”简而言之，全球所有通过思科设备的流量现在都将向庞大的威胁检测系统提供情报，使该系统能随时随地检测并阻止威胁。Shenoy表示：“就如同我们看到有人在争执的时候，我们可能无法听到他们在说什么，但仍可以从他们的手势和表情中得知发生了什么。思科拥有显著的优势，为现有的和未来的客户提供加密流量分析。只有采用我们最新芯片组的全新硬件才能够高速实时地进行分析，同时不会导致流量传输速度减缓。”

同时，思科的产品安装量遥遥领先于全球其他网络厂商，这意味着思科威胁防御系统的学习速度也远远超过其他厂商的产品。

采用Stealthwatch的思科网络不仅可以检测加密流量中的恶意软件，还可提升加密合规性，包括揭示TLS策略违规、发现加密套件漏洞以及持续监控网络的不透明性等。

这意味着网络将能够检测威胁，从而一举解决了网络加密流量所面临的主要挑战。Keanini表示：“借助我们的创新成果，企业将能更好地使用网络来打造极具竞争力的安全应用。通过使用机器学习技术来分析元数据流量模式，思科甚至能够在加密流量中发现已知威胁，并有效规避风险，而无需解密流量，这一技术手段是前所未有的。正是因为如此，思科新一代网络将成为唯一一个既能为企业带来强大安全性又能可靠保护隐私的系统。”

一年多前，我的同事David McGrew走进了我的办公室，向我介绍了他正在开展的一个项目，那45分钟的交谈令人难忘。

他告诉我，他的团队找到了行之有效的方法，可以解决网络安全所面临的最大挑战：他们发明了能够在加密流量中识别恶意软件的技术。在测试中，这项技术在不用解密信息的情况下，甚至取得了99.99%的准确性，这意味着此种安全手段不必牺牲用户隐私。

他向我解释如何在思科的大规模网络流量数据集上运行他们发明的机器学习算法，以及如何从加密流量中发现可用于识别恶意软件的数据特性，这时我才意识到他们攻克了之前从未得到解决的一个难题。我曾经认为这一问题根本不可能得到解决，但思科数据科学家小组证明了事实并非如此，他们彻底解决了“安全与隐私不可兼得”的行业难题。

重新思考新一代网络

我们推出了增强型威胁分析（ETA）这一重要技术。而这并不是我们本次宣布的唯一创新。增强型威胁分析是思科“全智慧的网络”的一部分，而“全智慧的网络”是新一代基于意图的网络基础设施。

这个夏天思科发布的硬件和软件创新汇集了数千名工程师的智慧结晶，它们构建于思科全数字化网络架构（DNA）之上，堪称思科十年来最伟大的创新成果。

我们认为，这一刻将在思科的历史上留下浓墨重彩的一笔，并就此开启新网络时代。今天比以往任何时刻都更具意义，思科提供面向全数字化业务的网络平台。全智慧的网络由意图驱动，具备强大的安全性，能够从环境中获取信息，并持续自我学习。

过去两年中的每一天，我们都在坚持不懈地对这一全新网络进行完善，并根据客户的需求不断改进，使之在今天成为现实。

我们深知，网络对于未来发展至关重要，但伴随着设备数量的爆炸式增长、云的出现以及移动的兴起，我们不得不质疑当前网络构建和管理的方法能否跟上世界发展的步伐。

我们知道客户在网络运营方面花费了大量的时间和金钱，但他们的基础设施仍然不够敏捷。

同时，我们还面临着安全的挑战。IP网络为我们打开了联接世界的大门，但网络攻击者也乘机而入，大肆发起攻击。

考虑所有这些因素，我们得到一个根本性的结论：我们需要重新思考如何从头开始构建企业IP访问和园区网络的方式。

这一目标的实现有赖于两项重要的创新成果：基于意图的基础设施，以及我们今天宣布推出的面向企业网络的命令中心——DNA中心。

构建全智慧的网络

全智慧的网络从基于意图的基础设施开始，它非常安全，基本涵盖所有IP基础设施，包含交换机、路由器和无线接入点等，用于在企业内部或者在互联网上联接和路由来自各类设备（个人电脑、平板电脑、手机、显示屏和物联网）的流量。

IP网络30年前诞生时规模很小，只是用于联接实验室中的两个部门。现在，企业网络中包含成千上万台设备，但大多数企业仍在使用相对原始的工具来管理这些复杂的设备，这一过程不仅昂贵并且减缓了企业的业务发展。

无线网络与有线网络隔离，有线网络又与广域网隔离。它们被分开管理和配置，具有不同的接口、命令和配置模式。通常每次只能配置一台设备，这无疑是雪上加霜。

通过全智慧的网络，我们将彻底改变这种传统方法，消除在过去30年里累积的种种复杂性。

现在我们拥有一个覆盖整个企业接入网的统一系统，能够支持所有类型的设备，这是一个基于意图的平台。基于意图的基础设施具有可编程性，并且高度集成，因此能够自动化运行。此外，它还内置安全功能，能发现威胁并自动响应，帮助企业远离高级威胁。

这个统一系统包括思科的网络软件操作系统IOS。过去两年中，我们针对全数字化时代的需求彻底重构了IOS。现在IOS由应用程序编程接口（API）驱动，拥有开放、可编程和模块化的特点，具备现代软件堆栈所必需的功能。

这些功能让客户可对IOS进行扩展，更轻松地将IOS与其他系统进行集成，并进行个性化交付。它将跨越整个企业交换、无线和路由产品组合，在全新的和现有的基础设施上运行。我们在过去30年中所开发的全部功能和产品类型，现在都得到了更新与改进，这将助推基于意图的网络在未来30年不断发展。

我们基于意图的IOS软件可在现有设备上部署，并转变已部署的网络。除此之外，我们发布了屡获殊荣的全新Catalyst园区交换机，即Catalyst 9000系列。这是当今最先进的企业交换机，其主要优势包括：

• 可编程：高性能、可编程的ASIC能够适应未来创新的要求，这是芯片技术的重大创新。
• 增强型威胁分析就绪：帮助网络发现并阻断最复杂的网络攻击。
• 物联网就绪：即时发现、加载并自动分隔物联网流量，包括自动配置网络以确保安全性，也就是将物联网设备与其他流量隔离。
• 移动就绪：能够托管无线控制器，并支持诸如11ax等全新无线标准。
• 云就绪：这些平台具备出色的可扩展性和开放可编程性，能够在内置的x86计算综合设施上托管第三方应用，使客户能在容器或虚拟机中运行其应用。

 

在倾力打造这一基于意图的基础设施的同时，我们也为全智慧的网络开发了一个命令中心，即DNA中心。用户可在DNA中心内将意图定义为策略，网络将基于此进行自动配置，并自动执行意图。

该流程将在构成企业接入网的数百乃至数千个交换机、路由器和无线接入点上运行。过去需要对网络中的每台设备逐一进行手动配置，现在通过一个本地或云端（具体取决于客户要求）的集中仪表板即可定义业务意图，之后整个网络将作为统一结构执行该策略。

DNA中心也是一个分析平台，可从所在网络收集环境信息。以前分布在数千个路由器、交换机和无线接入点中的所有类型的数据，现在都可以实时传输至DNA中心，从而帮助我们更好地洞悉企业运营情况和不断学习以解决复杂业务难题。

这一定义意图、收集环境信息、进行自我学习、并基于洞察执行新意图的完整闭环，便是基于意图的网络。思科将基于意图的安全基础设施与DNA中心提供的单点策略定义、环境信息收集和自我学习能力相结合，使之成为全新的企业网络构建方法。

 这便是：网络 全智慧

30多年来，思科一直深耕基础技术，推动互联网的崛起和发展。如今，技术已成为我们生活密不可分的一部分，并衍生出无数新行业、新企业、新岗位和新体验。我对思科在这些进步中所做出的贡献感到无比自豪。

这些创新推动我们进入一个飞速扩展的时代。展望未来，我相信时代的变革将为我们的客户带来卓越的价值和无限的机遇。但是在实现跨越式发展之前，我们必须要克服一些真正的复杂性和根本性挑战。

思科长久以来都有引领大规模变革方面的历史传统。我们深知最重要的是：在每一次变革中，我们必须重新思考所做的一切。思科从应用最前沿的技术创新中看到所蕴含着的巨大机遇，这些技术创新包括机器学习、人工智能和高级分析，以及我们运营和定义网络的方式。

在重新构思网络时，我们必须从高度依赖人工且耗时的静态方法转变为能够适应未来需求的方法，这种新方法能够预测需求、洞悉意图并从所有业务相关的数据环境中持续学习。

思科推出新一代网络

基于上述原因，思科面向新时代推出新一代网络，这是当今世界和未来的网络。新一代网络是思科多年来不懈创新的智慧结晶，我相信它将改变整个行业的发展轨迹。

新一代网络造就了一个世界，您可以连接数十亿个设备，几乎可以立即识别它们，知道什么是值得信赖的，什么不可信，并从联接中获取卓越价值。所有这些工作均可在数小时内完成，无需花费数周乃至数月的时间。这一能力前所未有且至关重要，我们认为，它将促使企业更勇于探索全新机遇——因为变化虽大，却也不会那么让人望而却步，同时风险也在降低。

基于意图的网络是新时代的核心，它关注业务成果并推动企业以更快的速度达成预期目标。它是一个目的驱动的网络，未雨绸缪，进而帮助企业更快速、更智能地发展。尽管这一网络的实现依赖于多项技术的支撑，但意图和环境是它得以实现的关键概念支柱。随着企业的发展步伐不断加速，对于这些功能的需求也将与日俱增。

基于意图的网络支持大规模自动化，让企业能够轻松管理以前看似难以管理的一系列设备与技术；基于恰当的环境解读数据，从而使网络为企业提供更有意义的见解；身处行业之中，我们正在打造新一代的技术，如通过语音或手势等与技术进行自然地互动，从而在技术体验中加入更多人性特质。

所有这一切的核心是信任。思科打造的新网络是一个全面集成的统一系统，集智能与安全为一体。思科拥有数十年网络方面的经验，企业可以信任思科所拥有的最佳实践，这些实践将帮助企业实现网络自动化。同时，企业可以信任能够持续自我学习和自我演进的网络，这一网络可以检测出尚未发生的问题，提供切实可行的洞察并自行解决问题。

思科的产品组合全面采用基于意图的方法

在重新构思网络的基础上，思科将意图和环境方面的功能运用到整个思科产品组合中，包括下一代数据中心架构、高级物联网应用、世界一流的安全产品组合、端到端分析产品以及对核心技术的大量投资等。我们致力于打造全新理念，不断挑战极限，以全新方式为我们的客户带来卓越创新。

我们必须转变理念，打造能持续进行自我学习和自我演进的技术。我们认为，基于意图的基础设施将会成为下一个重要的增长机遇，而网络将会成为这一系列全新技术中的重要推动者和加速器。

许多人认为思科正在转型成一家软件公司，但实际情况是硬件、软件和服务对于思科的未来发展以及为客户建立全数字化业务的坚实基础来说均至关重要。在我们宣布如何在企业网络这一核心业务领域进行转变的同时，今天也标志着思科从上至下承诺将全力推动基于意图的基础设施发展的开始。

随着我们开启基于意图的基础设施的新篇章，思科的愿景是构建一个真正安全和智能的平台，推动全数字化业务创造出更加卓越的价值。我们坚信，这将为客户重塑未来奠定坚实基础。

（2017年6月9日，北京）如今，云计算数据中心正在向更大规模、更高速率快速演进，新华三预见到这一应用趋势，并创造了一项新的世界纪录。2017年6月，新华三研制的数据中心核心交换机 S12500X-AF成功通过全球权威测试机构Network Test测试，实现单框768个100G端口全线速转发，成为目前业内唯一一款可达到这一性能的数据中心核心交换机设备。

这是业界迄今为止最大规模的100G以太网接口单机性能测试，不仅验证了新华三的研发能力，更向全世界展示了“中国智造”的实力和风采。

(全球权威测试机构Network Test测试报告)

这次测试由新华三委托独立测试机构Network Test进行，测试中采用全球领先的思博伦通信测试仪表，并选择Fullmesh全网状组网的流量模式，针对满框768个100G端口进行流量测试。为了更好的贴近用户应用场景，还有目的性地增加了超大规格IP路由转发表容量测试，其挑战难度前所未有。在连续测试过程中，新华三S12500X-AF的表现十分稳定，充分证明了自身的优异性能与可靠品质。

(测试场景：数据中心核心交换机S12500X-AF)

S12500系列是新华三自主研发的核心交换机产品，一直以高性能、高稳定性著称，广泛应用于全球高端用户。而S12500X-AF则是新华三应对云计算数据中心网络更大规模、更高速率的发展趋势，推出的最新型号，其单台设备具备最高有768个100G以太网接口带宽容量，在全球范围内站在同类产品最前列。

新华三集团高级副总裁、首席技术官尤学军表示，“预见到下一代技术发展趋势，提供充分满足客户应用需求的高品质产品和方案，这是新华三研发团队的使命。”S12500X-AF能取得这样的成绩，关键在于硬件设计上的前瞻和领先，其中多项设计是业界独一无二的，从而使其在测试中“一骑绝尘”，成为同类设备中的“翘楚”。

一直以来，新华三在高端产品技术创新方面不断超越自我，相继推出S12500系列核心交换机、CR19000集群路由器等等堪称业界“巅峰”的产品。此次S12500X-AF创造全球交换机性能新纪录，不仅延续了新华三在高端交换设备领域的辉煌成绩，也向全世界展示了中国企业的创新能力。

在“应用驱动，云领未来”的新IT战略指引下，新华三还将继续加大创新投入，实现技术与应用的双轮驱动，持续引领、推进数字经济走向未来。