IDM概述
网络是人类创造的另一个世界。当现实世界中各个大洲、板块,不同国家、民族在和谐与争议中沿着历史车轮缓缓行进的时候,网络世界中也正发生着巨大的变化:网络的内容越来越庞杂,不同的网络系统正在试图满足所有人的需要。
仅就企业而言,存在管理者、财务人员、行政人员、销售人员等不同职能的人员,职能的明确划分带动公司业务健康有序发展,而企业网络的最大功用,就是凭借网络智能为他们赋予更强的能力与更高的效率。此时,惠普ProCurve Networking的IDM(身份驱动管理)解决方案应运而生,它只为最适合的人提供最适合的网络服务,像一只无形的大手,在不知不觉间为企业提供了完善、安全、通畅的网络运行,打造出卓越的网络智能。
IDM身份驱动
惠普ProCurve Networking首创了IDM这种新的网络管理和访问简化模式,将智能从网络中心推到了连接用户和实施策略的网络边缘。此解决方案基于身份驱动的模式,允许网络管理员根据用户(WHO)、位置(WHERE)、时间(WHEN)及上网方式(HOW)、上网需求(WHY)等种种因素综合考虑,通过在集中管理的数据库中定义的安全和管理策略,为每一位用户提供适当的资源和访问级别。将安全性和性能设置动态地应用于网络基础设施架构设备,并最终建立起统一的管理基础设施架构,以及更安全、移动和融合的网络。IDM网络管理模式
这种方法与传统网络管理模式有很大不同,配置后的特定交换机和特定端口以特定的方式运行。这种新方法使任何交换机和任何端口都可以针对每一个人有独特的表现。不管用户在什么地方如何连接,都能为用户提供相同的网络功能、资源和视图。这正是智能化、适应性网络的根本特性。网络反映不再如出一辙-它针对每一个用户有着不同的表现。
部署ProCurve IDM 解决方案具有明显的优势:首先,由于识别的是特定用户而不是客户端,使得网络安全性得到显着提高;其次,由于核心能够自动、动态地配置智能边缘,因此大大简化了网络的管理;再次,网络性能通过IDM及划分流量、带宽和QoS优先级而得到提高;最后,ProCurve IDM 解决方案确保适当的网络使用,提高工作效率。
IDM应用
宾西法尼亚州的某CFS教会学校正是IDM的受益者。学校网络采用了由HP ProCurve Switch 5300交换机为核心、HP ProCurve Switch 2500系列交换机为边缘而承载的IDM解决方案。
在实施 IDM以前,学校使用静态分配的虚拟局域网(VLAN)例如学生用VID-2 ,教师用VID-5。学生的VLAN网络权限严格受到限制,不能连接内网服务器的IP地址,互联网浏览受限,无法进行即时通信。而教师端口则提供了几乎所有的校园网络资源,互联网浏览也几乎不受限制。 与此同时,由于每个网络端口的安全策略都被静态的设置,公共区域(如咨询室、指导中心)设置的教师端口总是成为薄弱环节,总是有学生能够乘虚而入。另外,校园网还存在非法接入的无线接入点、非允许的Sony PS游戏机接入(学生们很喜欢多人联网游戏,而这是违反规定的)以及非法接入的代理服务器。校园网管理者总是苦于难以发现具体是哪些学生在违反规定,使整个网络面临危险。校方还希望实施 RADIUS统计,借以找到是谁在下载超大文件(如音乐和视频资料)。
所有这些问题都随着 802.1X和 IDM的实施迎刃而解了。学校不无惊喜的发现网络性能得到了大幅提升,因为违规的设备再也无法连接网络。IDM根据用户的组别动态为适合的应用提供个性化的端口设置。RADIUS及IDM 统计可以准确找到违规操作的学生,同时学校可以清楚知道每个学生端口、每个组、每个用户的数据流量,从而做到为每个用户连接提供最适合的网络连接。
在CFS学校,每天下午3点到5点是学校规定的运动时间,有了IDM的帮助,学生们在这些限定时间中都无法浏览网络。另外,在动态的访问控制下,学校对10年级、11年级和12不同年级的学生还实现了不同优先级的分级的上网时间段:10年级的学生上网时间到晚上10点,11年级的学生可以延长到11点,而高年级学生可以用到凌晨时分。除此之外,如果学生逃课的话,那么他回到宿舍或到图书馆的话也无法上网,因为IDM的联网规则是依据地点设定的。上课时间,学生们只有在教室里才能上网。