锐捷智能DDI：守护网络“中枢神经”

来源：HIT专家网    记者：谭啸

不知大家是否还记得2013年的“福建医院黑客第一案”？“犯罪分子的作案工具有三个：无线路由器、笔记本电脑和U盘。他们把自动查询终端的网线拔下来插到无线路由器上面，笔记本电脑连上这个无线，这样就侵入了医院网络。之后用U盘里面的破解软件，把医院信息系统的密码给破解了，进而窃取医院各个科室的医药信息，得手后高价卖出。当时福建全省有不少医院都被盗取了信息，成为轰动福建卫生系统的黑客大案。”

在“平凡见不凡”锐捷网络DDI新品媒体沟通会上，锐捷网络网关产品事业部产品经理尚家川回顾了这起黑客案件，如今，通过锐捷网络的DHCP（动态主机配置协议服务器）准入控制，就可以避免上述黑客案件的发生。

用户日益需要商业级DDI解决方案

DDI这一概念是Gartner在2009年提出来的，它是三个网络核心服务设备的总称，包括：DNS（域名系统）、DHCP和IP管理。

以往用户大多采用免费的DDI方案，比如：ISC互联网联盟、网络设备自带的DNS/DHCP、Windows服务器内置的DNS/DHCP，但这些免费方案普遍面临着部署维护难、可管理性差、可靠性欠缺、IP管理能力弱等问题。

“当前，在云计算、物联网、移动互联的时代，IP地址正在爆发式增长，作为网络的‘中枢神经’，DNS/DHCP的可靠性越来越受到重视，IP地址管理也需要可视化与自动化，而不再是人工维护Excel表格。”尚家川谈道，商业级DDI解方案正在被越来越多的用户所需要。

尚家川表示，商业级DDI解决方案具有如下特点：一是软硬一体，即买即用，省去麻烦的安装工作，具有统一直观的GUI管理界面，便于集中维护管理；二是可靠性强，通过双机热备机制实现宕机切换、服务不中断；三是设备自身防攻击，服务更安全可靠；四是提供可视化IP地址管理，提高运维效率。

据统计，全球有15000家企业都在使用商业级DDI解决方案，85%的世界500强企业已经在用DDI方案。与国外相比，我国的DDI发展还处于起步阶段。据尚家川介绍，2014年赛迪网调研了国内1086位各行业信息化工作者，结果显示：有一半的人表示，一周要花5个小时来做DNS/DHCP管理工作；有一半的人表示，出现问题了会找专业厂商来解决，不会自己去解决；还有65%的人表示有这方面预算。“可以判断出，免费方案已经乏力，商业级DDI方案的价值正在日益凸显，我们也比较看好DDI这一细分领域的前景。”尚家川说。

极致智能DNS

针对用户的需求和应用场景，尚家川首先介绍了锐捷网络DNS服务器。“我们的目标是做最智能的DNS服务器，创造最快的网络访问体验及最佳的多链路负载均衡效果。”尚家川谈道，DNS的适用场景是出口多运营线路、有对外发布的网站。

锐捷如何解决多运营商的互联互通问题呢？尚家川介绍了锐捷DNS的几大特点：一是智能判断用户所在运营商，返回服务器对外映射的用户所在运营商公网地址，避免跨运营商访问；二是与SAM联动，基于用户属性进行DNS调度，针对不同运营商的用户，把他们的DNS请求发到不同运营商的DNS服务器；三是基于URL的DNS调度；四是TOP N热点网站加速；五是与出口设备联动，实现最优负载均衡效果，这是锐捷DNS的独特之处，常规智能DNS设备只有入站DNS解析。

既安全又简单的DHCP准入控制

该产品尤其适合医院。我们知道，医院对于各种终端的接入管理都比较严格。以前，医院的终端还比较简单，只有台式机，但是现在的终端越来越多，台式机、自助设备、移动医护PDA、查房iPad、智能手机、移动推车等，一个三甲医院大概能有2000个终端。对2000个终端进行接入管理，一是工作量非常大，二是难免会有疏漏，导致安全事件。

尚家川进一步介绍了锐捷DHCP是如何解决这一难题的：首先，锐捷DDI通过DHCP指纹技术，能够自动识别终端类型。如果发现是路由器就会立马把断网，防止私接无线路由器造成医院内网的安全漏洞，给不法分子盗取医疗机密数据以可乘之机。

其次，锐捷DHCP准入功能可以实现交换机上终端IP和MAC的自动绑定，无需人工手动配置，既节省维护工作，又不会产生错误。现在百分之七八十的医院终端管理，都是通过人工绑定来实现的。“手工绑定工作确实安全，但最大的问题就是超级麻烦，耗费时间很长，我们粗略估算一下，要把2000个终端进行IP/MAC的人工绑定，大概是需要78个小时。”尚家川说，“而且，工作量大容易导致配置错误，出现地址冲突。如果移动查房、移动护理的终端出现配置错误，就会影响正常的医护工作，问题就比较严重了。”锐捷DDI可以自动、批量完成IP/MAC绑定，2000个终端大约4小时即可完成绑定。

而且，后期的维护也是比较方便的，因为所有数据都在DDI一个平台上。“以前，我们都是通过Excel表格来维护的，在Excel表格里记录终端的IP/MAC，一旦出现人员变动，如果信息没有及时更新，IP地址的使用就乱套了。”尚家川说。

可视化IP地址管理

可视化IP地址管理也是锐捷DDI的独特之处。“它能实现全网IP状态一览无余。可分配、不可分配、静态IP、动态IP、在线、离线、保留IP、是否有IP冲突、IP接入位置等清晰可见，为IP地址管理提供可视化工具，简化运维工作。”尚家川介绍说，“后期我们还将与RIIL联动，实现全网终端、IP状态清晰可见，某个终端是接在哪个楼层、哪个科室，谁在使用都能通过这个可视化界面看到。”