IDM——打造智能网络的无形之手

　　网络是人类创造的另一个世界。当现实世界中各个大洲、板块，不同国家、民族在和谐与争议中沿着历史车轮缓缓行进的时候，网络世界中也正发生着巨大的变化：网络的内容越来越庞杂，不同的网络系统正在试图满足所有人的需要。

　　仅就企业而言，存在管理者、财务人员、行政人员、销售人员等不同职能的人员，职能的明确划分带动公司业务健康有序发展，而企业网络的最大功用，就是凭借网络智能为他们赋予更强的能力与更高的效率。此时，惠普ProCurve Networking的IDM(身份驱动管理)解决方案应运而生，它只为最适合的人提供最适合的网络服务，像一只无形的大手，在不知觉间为企业提供了完善、安全、通畅的网络运行，打造出卓越的网络智能。

　　技术驱动：旧模式隐患重重

　　在传统技术驱动的网络管理模式中，所有的网络智能和决策能力都被置于核心设备上，通过网络核心设置与客户端口静态连接的网络端口，在此进行设备识别并实施访问和安全策略。网络的主要职责就是发现设备，确保这些设备得到正确的配置，并促进网络连接的设备和服务间的连接。相反，边缘设备基本上没有智能功能，在验证和连接过程中不能提供帮助。它们没有识别或决策能力，只能将数据包传送给核心路由交换机。

　　因此，这样以来，用户的各种访问、应用、带宽和服务质量(QoS)的独特需要在很大程度上被忽视了。不管连接网络的用户是来宾还是CIO，基础设施架构反应如出一辙。事实上，网络无法区分不同的用户，只能区别这些用户用以连接网络的设备。

　　这种传统的网络管理和访问简化模式不仅影响了工作效率，而且产生了诸多相关问题和限制：恶意流量不断渗透基础设施架构，使得网络管理员必须不断的手动配置每一台核心理由交换机和边缘交换机，而这种模式妨碍了组织根据流量、带宽和服务质量的增长等提高效率和实现最佳网络性能的能力，性能及运营等，为不断提高总体业务效率和效益设置了障碍。

　　身份驱动：新模式带来网络福音

　　惠普ProCurve Networking首创了IDM这种新的网络管理和访问简化模式，将智能从网络中心推到了连接用户和实施策略的网络边缘。此解决方案基于身份驱动的模式，允许网络根据用户(WHO)、位置(WHERE)、时间(WHEN)及上网方式(HOW)、上网需求(WHY)等种种因素综合考虑，通过在集中管理的数据库中定义的安全和管理策略，为每一位用户提供适当的资源和访问级别。

　　IDM解决方案利用中心命令动态地自动配置边缘，在访问控制、访问权限和策略实施方面，提供针对个人或小组的行为。边缘控制使交换机和接入点可以在网络边缘做出正确的决策，这样就能够轻松地管理，并且帮助公司不断地增强其网络。

　　IDM是建立智能化网络的基础，能够防止未授权的访问。IDM可以实时动态的、层次分明的方式帮助公司最充分地利用网络资源，将安全性和性能设置动态地应用于网络基础设施架构设备，并最终建立起统一的管理基础设施架构，以及更安全、移动和融合的网络。

　　实现网络边缘智能化后，安全性得到加强、流量优先级得以改善，用户可以随时随地进行连接，畅游网络，在接受安全、适应、方便的用户体验的同时，也提高了工作效率。

　　智能分配安全无忧

　　宾西法尼亚州的CFS教会学校正是IDM的受益者。学校网络采用了由HP ProCurve Switch 5300交换机为核心、HP ProCurve Switch 2500系列交换机为边缘而承载的IDM解决方案。

　　在实施IDM以前，学校使用静态分配的虚拟局域网(VLAN)，例如学生用VID-2，教师用VID-5。学生的网络权限受到限制，不能连接内网服务器的IP地址，互联网浏览受限，无法进行即时通信。而教师端口则提供了几乎所有的校园网络资源，互联网浏览也几乎不受限制。与此同时，由于每个网络端口的安全策略都被静态的设置，公共区域(如咨询室、指导中心)设置的教师端口总是成为薄弱环节，总是有学生能够乘虚而入。另外，校园网还存在非法入侵的无线接入点、非允许的Sony PS游戏机接入(学生们很喜欢多人联网游戏，而这是违反规定的)以及入侵代理服务器。校园网管理者总是苦于难以发现具体是哪些学生在违反规定，使整个网络面临危险。校方还希望实施RADIUS分区统计，借以找到是谁在下载超大文件(如音乐和video资料)。

　　所有这些问题都随着802.1X和IDM的实施迎刃而解了。学校不无惊喜的发现网络性能得到了大幅提升，因为违规的设备再也无法连接网络。IDM根据用户的组别动态为适合的应用提供个性化的端口。RADIUS及IDM统计可以准确找到违规操作的学生，同时学校可以清楚知道每个学生端口、每个组、每个用户的数据流量，从而做到为每个用户连接提供最快的网络连接。

　　在CFS学校，每天下午3点到5点是学校规定的运动时间，有了IDM的帮助，学生们在这些限定时间中都无法登陆网络。另外，在动态的访问控制下，学校对10年级、11年级和12年级的学生还实现了分层的上网时间段：10年级的学生上网时间到晚上10点，11年级的学生可以延长到11点，而高年级学生可以用到凌晨时分。除此之外，如果学生逃课的话，那么他回到宿舍或到图书馆的话也无法上网，因为IDM的联网规则是依据地点设定的。上课时间，学生们只有在教室里才能上网。

　　IDM的实施，使得这些以前无法约束的规定也一一兑现。校方对IDM非常满意，而学生们则有些失落——因为他们发现自己不再是网络系统的对手。

　　ProCurve IDM解决方案使CFS学校的网络访问实现了智能，它根据每一个人及其学习工作的独特要求自动配置网络，根据用户、位置、时间及其它因素，将安全性和性能设置动态的、自如的应用于网络基础设施架构设备。

　　IDM这只打造智能网络的无形之手，为用户网络访问管理模式赋予明显的优势。通过IDM，惠普ProCurve Networking使得网络核心与智能边缘完美匹配，管理、性能、安全性得到显著提高，因此网络的使用变得更加轻松。