《高级路由技术（理论篇）》 课件 单元9、10 保护园区网络安全ACL、使用IS-IS构建可扩展路由网络

单元9：实现园区网安全访问《高级路由技术》(理论篇）主讲教师：XXX技术背景园区网络在功能和应用上日益提升的同时，安全问题也逐渐突出，各类黑客行为和攻击技术给企业的安全发展带来困扰。园区网络在外网上主要安全问题表现为：非法接入、网络入侵、黑客攻击、病毒传播、蠕虫攻击、漏洞利用、僵尸木马、信息泄露等已成为最大的安全威胁。园区网络安全问题主要表现为：带宽和应用滥用、APT潜伏渗透、BYOD接入管控、WLAN使用控制、病毒蠕虫扩散、信息泄露以及内部网络之间、内外网络之间的连接安全等。大部分园区网内部划分六个区域：互联网接入域、广域网接入域、外联服务域、数据中心域、内网办公域、运维管理域，六个区域面临的安全风险也有所不同，需要实施访问控制安全防护措施，保护部门网络之间的安全。学习目标了解园区网安全技术掌握园区网中访问控制安全9.1认识ACLACL全称为接入控制列表（AccessControlList，ACL），也俗称为软防火墙，ACL通过定义一些规则对网络设备接口上的数据报文进行控制，允许数据包通过，或丢弃该数据包。ACL应用在交换机与路由器上的安全技术，其主要目的是对网络数据通信进行过滤，从而实现各种访问控制需求。ACL技术通过IP数据包中五元组（源IP地址、目标IP地址、协议号、源端口号、目标端口号）来区分特定的数据流，并对匹配预设规则的数据包采取相应的措施，允许（Permit）或拒绝（Deny）数据通过，从而实现对网络的安全控制。9.1.1什么是ACL9.1认识ACL通过在园区网络中的三层路由设备上配置ACL后，可以限制园区网络中的数据流量，允许特定设备访问特定的网络，指导特定接口检测IP数据包流向等，如可以配置ACL禁止部分办公网内的设备访问外部公共网络，或者禁止使用内网中的FTP服务。还可以使用

ACL限制网络流量，提升网络性能，如根据数据包的协议，使用ACL指定数据包的优先级；如限定或简化路由更新信息的长度，使用ACL限制通过路由器某一网段的IP通信流量，通过ACL提供网络中的通信流量安全访问控制手段，可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。9.1.2ACL作用在接入交换机、汇聚交换机、核心交换机完成基本VLAN、路由配置，VLAN内/外的PC可以相互通信如果想要控制个别数据交互，又不影响与其他数据交互，这种情况下就需要使用访问控制列表9.2访问控制列表的应用场景VLAN10VLAN20VLAN30接入交换机汇聚交换机核心交换机PCA0/24PCB0/24接入交换机汇聚交换机PCC0/24出于安全考虑，要求员工的PC不能访问到主管的网段，这该如何实现？9.2访问控制列表的应用场景1楼接入交换机办公室1交换机主管A办公室/242楼接入交换机汇聚交换机VLAN20VLAN10VLAN30VLAN20员工1PC0/24主管B办公室/24办公室2交换机员工2PC0/24ACL的全称为访问控制列表（AccessControlList），用于定义一系列不同的规则设备可以根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，可以用于以下功能：使用ACL匹配流量用于流量过滤：可以匹配指定流量，拒绝通过用于NAT：可以匹配指定流量，进行NAT转换用于QoS：可以根据数据包的协议，指定数据包的优先级使用ACL匹配路由用于路由策略：可以用来匹配路由，进行过滤以及修改属性的操作用于路由重分布：可以匹配路由，进行精确的协议间路由导入的操作9.3访问控制列表的功能对进出的数据逐个过滤，丢弃或允许通过ACL应用于接口上，每个接口的出入双向分别过滤。仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤9.3使用ACL匹配流量，应用于过滤入方向ACL出方向ACL出方向ACL入方向ACL路由转发进程9.4

ACL技术原理ACL使用数据包过滤技术，通过读取OSI模型中第3层和第4层数据包头中的特征信息，如源地址，目标地址，源端口，目标端口等，根据预先定义好的规则，在三层设备上对经过的数据包进行过滤，实现网络安全访问控制的目的。实施ACL访问控制安全，首先需要在三层设备中定义一直Acl过滤规则；然后把其应用在三层设备的某个接口上。如在路由器设备的接口而言，每一个访问控制列表ACL都需要控制两个方向，出接口和入接口的方向。出：已经过路由器的CPU处理，离开路由器的数据包。入：已到达路由器接口的数据包，将被路由器的CPU处理。ACL工作原理传输意义上ACL规则，无论是标准访问控制列表与扩展访问控制列表中，均使用列表的标识号进行区别。由于编号命名的不规范，目前更多使用名称访问控制列表，帮助区分不同类型的ACL，使用一个字母或数字组合的字符串来代替所数字列表标识号。使用名称访问控制列表不仅仅可以见名识意，还可以编辑列表，方便删除某一条特定的控制条目，方便修改。在使用名称访问控制列表时，不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。ACL分类9.4

ACL技术原理9.5配置IPACL标准IPACL中，对数据的检查元素仅是源IP地址。下面以一个园区网内部访问控制需求为例，描述标准IPACL应用步骤及注意事项。在网络场景中要求来自某部门（/24）网段中的计算机不可以访问单位的服务器/32，其他部门的计算机访问服务器不受限制。9.5.1配置标准IPACL9.5配置IPACL使用time-range参数把配置完成的时间段和ACL规则配合使用。需要注意的是，只有在time-range指定时间段内生效，其他未引用时间段规则将不受影响。如图9-10所示为某学校网络，需要配置访问控制规则，上班时间（9：00~18：00）不允许员工教学网主机（/24）访问Internet，下班时间可以访问Internet上的Web服务。详细的配置规则如下所示。9.5.2配置基于时间ACL9.5配置IPACL为某企业网络，只允许公司财务部的计算机机（）访问公司的财务服务器（54），不允许其他任何员工的计算机机访问财务服务器。在网络安全访问控制中，使用基于IP的ACL可能无法满足网络需求。因为员工可以修改计算机的IP地址为，就能够绕过IPACL针对IP地址的检查，实现对财务服务器访问。因此，需要使用基于MAC的ACL就避免此现象产生。基于MAC的ACL9.5配置IPACL对于这样的需求，使用基于MAC地址过滤显然不能实现安全目标，因为MACACL控制列表技术不能像扩展ACL那样进行基于端口信息过滤。为了满足这种更复杂、更精确的数据包过滤需求，可以使用专家（Expert）ACL技术实现这样的效果。专家ACL能考虑到实际网络的复杂需求，将ACL的检测元素扩展到源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口和协议，从而可以实现对数据的更精确的过滤，满足网络的复杂需求。对于专家ACL，一些交换机只支持入方向（in）过滤，在配置和应用专家ACL时需要考虑ACL规则配置方式，以及应用专家ACL的接口。基于专家ACL通配符也称“反掩码”，和IP地址结合使用，以描述一个地址范围反掩码和子网掩码相似，但含义不同0表示：对应位需要比较1表示：对应位不比较9.5访问控制列表的通配符IP地址通配符含义最终表示的网络地址55只比较前24位/2455只比较前22位/2255只比较前8位/8每一位都精确比较/3255每一位都不比较/055只比较前10位/10每一条语句也称为ACE，访问控制表项(AccessControlEntry：ACE) ACE匹配的顺序为从上至下，即编号从低到高进行匹配一旦被某条ACE匹配成功（无论动作是deny或permit）,跳出该ACL如果一个ACL中没有配置任意一条ACE，则相当于允许所有数据包如果一个ACL中配置了任意一条语句，那么将存在一条默认ACE：denyipanyany（不显示）9.5访问控制列表的ACEACL的动作分为两种：permit和denypermit：匹配允许permit后面语句的数据/路由deny：不匹配禁止deny后面语句的数据/路由9.6访问控制列表的两种动作9.6访问控制列表的入方向过滤工作流程数据包入站是否配置入方向ACL包过滤数据包进入转发流程丢弃匹配第一条ACE匹配第二条ACE匹配最后一条ACE检查默认ACE通过NoYesYesYesYesNoNoNoNoYesNoNoNo9.6访问控制列表的出方向过滤工作流程数据包出站是否配置出方向ACL包过滤数据包出站丢弃匹配第一条ACE匹配第二条ACE匹配最后一条ACE检查默认ACE通过NoYesYesYesYesNoNoNoNoYesNoNoNoIP标准ACL只能匹配IP数据包头中的源IP地址配置ACL的时候使用”standard”关键字IP扩展ACL匹配源IP/目的IP、协议（TCP/IP）、协议信息（端口号、标志代码）等配置ACL的时候使用”extended”关键字除了上面两种常用类型外，还有以下其他的ACL类型9.7访问控制列表的常用类型ACL类型可匹配内容IP标准ACL源IPIP扩展ACL源IP，目的IP，ICMPtype，ICMPcode，TCP、UDP端口号，Fragment，TOS，DSCP，PrecedenceMAC扩展ACL源MAC，目的MAC，COS，协议字段（包括各种协议）专家级ACLIP扩展可匹配内容，MAC扩展可匹配内容，VID，innerVID，innerCOS自定义ACL（ACL80）专家级ACL可匹配内容，报文前80字节的任何内容IPV6ACL源IP，目的IP，ICMPtype，ICMPcode，TCP、UDP端口号，Fragment，DSCP，flow-label标准ACL和扩展ACL能够匹配的数据流类型不同标准ACL：仅匹配数据包的源IP地址扩展ACL：能够匹配3层及以上多种协议，并且可以同时匹配源IP和目的IP等9.7标准ACL与扩展ACL的不同Ruijie(config)#ipaccess-liststandard13Ruijie(config-std-nacl)#permit?A.B.C.DSourceaddressanyAnysourcehosthostAsinglesourcehostRuijie(config)#ipaccess-listextended101Ruijie(config-ext-nacl)#permit?<0-255>AnIPprotocolnumbereigrpEnhancedInteriorGatewayRoutingProtocolgreGeneralRoutingEncapsulationicmpInternetControlMessageProtocoligmpInternetGroupManagmentProtocolipAnyInternetProtocolipinipIPInIPnosNOSospfOpenShortestPathFirsttcpTransmissionControlProtocoludpUserDatagramProtocol数字命名默认的命名，需要注意标准和扩展两种类型ACL的数字命名范围是不一样的标准ACL常用数字命名为1-99，1300-1999扩展ACL常用数字命名为100-199，2000-2699自定义名称定义更具有代表意义的名称，推荐使用比如禁止VLAN10内的PC访问VLAN30，可以定义为DENY_VLAN10_TO_VLAN309.7访问控制列表的命名Ruijie(config)#ipaccess-liststandard?<1-99>IPstandardacl<1300-1999>IPstandardacl(expandedrange)WORDAclnameACL通过带条件的语句来标识数据包例如禁止PC1（IP:0）和PC2（IP:0）访问PC3（IP:0）的数据流使用下面的配置方法进行配置9.7访问控制列表的配置命令（扩展ACL）Ruijie(config)#ipaccess-listextended101Ruijie(config-ext-nacl)#10denyip5555Ruijie(config-ext-nacl)#20denyip5555扩展ACL的名字ACL的类型ACE的动作源IP与通配符目的IP与通配符若存在多种不同的访问控制需求，就需要在一个ACL中定义多条语句不允许VLAN10内的PC访问/24内的所有PC不允许VLAN10内的PC访问/24内的所有PC仅允许VLAN10内的特定PC（0）访问/24内的所有PC允许VLAN10内PC仅可以访问的tcp80端口其他数据流放行配置思路首先确定是采用标准还是扩展ACL确定配置ACL中多条语句的顺序将格式相同（动作、数据流类型、子网号、反掩码等）的语句放置在一起配置根据需求配置多条语句时，要确认所配置的顺序能否满足需求。具体配置如下：9.8访问控制列表的多条语句配置方法Ruijie(config)#ipaccess-listextendedFOR_VLAN10Ruijie(config-ext-nacl)#permitiphost055Ruijie(config-ext-nacl)#denyip5555Ruijie(config-ext-nacl)#denyip5555Ruijie(config-ext-nacl)#permittcp55hosteq80Ruijie(config-ext-nacl)#denyip55hostRuijie(config-ext-nacl)#permitipanyany序列号的作用，方便后续维护语句自动生成的序号，默认以10位单位递增。也可以在配置ACL中的语句时提前添加不同的序号。如果新增需求：禁止VLAN10内的PC访问/24。配置如下：9.8访问控制列表的序号ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555540permittcp55hosteqwww50denyip55host60permitipanyanyRuijie(config)#ipaccess-listextendedFOR_VLAN10Ruijie(config-ext-nacl)#31denyip5555ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555531denyip555540permittcp55hosteqwww50denyip55host60permitipanyany1、应用在接口的入方向还是出方向？数据流是从交换机的接口出入，需要将配置好的ACL应用在接口上接口可以是物理接口也可以是SVI应用的方向根据ACL的内容以及数据流进入接口的方向进行配置选择9.8访问控制列表的应用位置-1数据流的源IP是0ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555531denyip555540permittcp55hosteqwww50denyip55host60permitipanyany目标网络可以应用在出接口可以应用在入接口2、在什么设备上配置ACL？需要结合实际的需求来判断将ACL应用在什么层次的设备上控制VLAN内的数据流，则需要在接入交换机上配置ACL控制VLAN间的数据流，则需要在汇聚交换机（网关）配置ACL配置如下的ACL，应用在何处才能够使得PCA无法访问PCB？B是对的，因为同一个vlan内的数据流不需要经过汇聚交换机9.8访问控制列表的应用位置-2VLAN10接入交换机汇聚交换机PCA0/24PCB0/24VLAN20ipaccess-listextendedFOR_VLAN1010denyiphost0host020permitipanyanyA、应用在该接口，方向为inB、应用在该接口，方向为in2、在什么设备上配置ACL？要求VLAN10不能访问VLAN30，VLAN20不能访问VLAN40如果将ACL配置在接入交换机上，需要在多台交换机上配置，配置工作量较大，而且容易出错因此控制跨网段转发的数据，建议在汇聚网关(SVI接口)上配置ACL，这样可以减少配置量，并方便维护9.8访问控制列表的应用位置-2VLAN10接入交换机汇聚交换机VLAN20VLAN10VLAN20VLAN30VLAN40……………在网关交换机的SVI下配置ACLipaccess-listextendedFOR_VLAN10（为VLAN20配置的ACL略）10denyip555520permitipanyanyRuijie(config)#intvlan10Ruijie((config-VLAN10)#ipaccess-groupFOR_VLAN10inRuijie(config)#intvlan20Ruijie((config-VLAN20)#ipaccess-groupFOR_VLAN20in3、ACL是在靠近源的设备上应用还是靠近目的的设备上应用？需要结合ACL的类型以及实际的应用、配置的工作量进行考虑标准ACL（匹配源地址），在靠近报文目的的设备上进行配置如果应用在靠近数据源的设备上，会有什么问题？9.8访问控制列表的应用位置-3使用标准ACL控制PCA不能访问PCBipaccess-liststandardAtoB10deny5520permitipanyany内部网络PCA0/24PCB0/243、ACL是在靠近源的设备上应用还是靠近目的的设备上应用？需要结合ACL的类型以及实际的应用、配置的工作量进行考虑标准ACL（匹配源地址），在靠近报文目的的设备上进行配置扩展ACL（匹配目的地址），建议在靠近报文源的设备上进行配置避免数据包在网络中经过多个设备转发才在靠近目的的设备上被丢弃掉，会浪费网络资源9.8访问控制列表的应用位置-3使用扩展ACL控制PCA不能访问PCBipaccess-listextendedAtoB10denyip555520permitipanyany内部网络PCA0/24PCB0/243、ACL是在靠近源的设备上应用还是靠近目的的设备上应用？需要结合ACL的类型以及实际的应用、配置的工作量进行考虑标准ACL（匹配源地址），在靠近报文目的的设备上进行配置扩展ACL（匹配目的地址），建议在靠近报文源的设备上进行配置对于扩展ACL，如果想集中控制的话，也可以在报文目的设备上进行配置若要控制很多源IP网段不能访问PCB，可以在靠近PCB的设备上应用ACL，减少配置工作量，实现集中管理9.8访问控制列表的应用位置-3PCC0/24使用扩展ACL控制PCA和PCC不能访问PCBipaccess-listextendedtoB10denyip555520denyip555530permitipanyany内部网络PCA0/24PCB0/24在实际中除了使用ACL控制网段之间的互访外，还有一种比较常见的用法，就是封闭常见的病毒或木马占用的端口，并在三层网关SVI接口下应用，如下的防病毒ACL配置防病毒的ACL也可能会与某些应用的端口号重合，实施时需要注意控制互访和防病毒两种应用在实际中也多结合在一起，因此在配置的时候需要注意ACE的先后顺序防病毒应用ipaccess-listextendedantivirus10denytcpanyanyeq106820denytcpanyanyeq555430denytcpanyanyeq999540denytcpanyanyeq999650denytcpanyanyeq102260denytcpanyanyeq102370denytcpanyanyeq44580denytcpanyanyeq13590denytcpanyanyeq4444100denytcpanyanyeq1080110denytcpanyanyeq3128…(省略部分)280permitipanyanyACL可以添加时间参数，使其在特定的时间生效例如：公司架设有web服务器，现在要求服务器仅在工作日的早上9：00至下午18：00提供员工访问，其他时间均不能访问9.9基于时间的ACLPCSW1SW2WebServer内部网络9.10配置修改IPACL在基于编号的ACL规则编制中，使用“access-list”命令配置完成编号ACL后，如果需要对其进行修改，如添加一条新规则，系统默认添加至现有ACL规则末尾。如果要将一条新规则插入到现有规则中间，只能对整个ACL重新编写。这将带来大量维护工作。在基于名称的ACL规则编制中，针对此项进行改进。使用“ipaccess-list”命令配置名称ACL时，系统进入到ACL配置模式，在配置规则命令之前，添加一个序号参数（sequence-number），即可插入一条新过滤规则。9.2.7编辑修改ACL规则【网络实践】:使用ACL保护企业网安全某企业的网络使用多台交换机实现网络的互联互通。其中，接入层交换机SwitchC连接各部门计算机，通过千兆光纤连接汇聚层交换机。在汇聚层交换机SwitchB上划分多个VLAN，每个部门为一个VLAN，通过万兆光纤上连核心层设备。在核心层SwitchA上实现全网络连接，公司多台服务器如FTP，HTTP服务器等连接在核心交换机上，通过防火墙与Internet相连。为了保护企业网的安全，单位提出了以下组网需求：封堵各种病毒的常用端口，以保障内网安全。只允许内部计算机访问公司的服务器，不允许外部计算机访问服务器；只允许财务部门计算机访问财务部计算机，不允许非财务部门计算机访问；不允许非研发部门计算机访问研发部计算机；不允许研发部门人员在上班时间（即9:00~18:00）使用QQ等聊天工具上网，只允许使用企业内部微信沟通。【任务描述】【设计过程】省略好好学习天天向上单元10：使用IS-IS构建可扩展路由网络《高级路由技术》(理论篇）主讲教师：XXX技术背景在园区网络中，人们通常部署OSPF路由来提高网络高可用性和扩展性，很少使用IS-IS路由协议。但在运营商的网络部署中，很多运营商都使用IS-IS来代替OSPF协议，不仅仅获得OSPF路由协议所具有的优势，而且还提供更多可管理性和扩展性机制。学习目标了解IS-IS路由原理掌握IS-IS路由寻址掌握IS-IS链路状态操作会配置IS-IS路由10.1认识IS-IS路由协议OSI参考模型中同时也规范了网络服务，定义了网络设备之间使用无连接通信功能，也就是CLNS（ConnectionlessNetworkService，无连接网络服务）。使用CLNS服务，无需在发送数据之间建立端到端的路径，即可实现通信。CLNS服务系统中包括的三个重要协议组件：CLNP（ConnectionlessNetworkProtocol，无连接网络协议）、IS-IS、ES-IS（EndSystem—IntermediateSystem，终端系统—中间系统）。10.1.1区分OSI网络与CLNS网络10.1认识IS-IS路由协议在OSI通信模型中，主机（如PC）称为ES（终端系统），路由器称为IS（中间系统）。ES-IS是一种终端系统和路由器之间路由协议，实现同一网段中终端系统和路由器之间彼此发现对方，让终端系统（ES）获悉其网络层地址。在CLNS网络环境中，ES-IS就好像IP网络中ICMP、ARP与DHCP协议一样，协同IP协议开展工作。需要注意的是，生活中PC终端不使用ES-IS，因为PC运行TCP/IP协议。在CLNS网络中，ES-IS协议工作机制。10.1.1区分OSI网络与CLNS网络10.1认识IS-IS路由协议IS-IS路由协议工作在CLNS网络环境，是CLNS网络中的一个协议组件，在不支持IP网络环境中的路由信息交换。为了实现IS-IS路由协议在IP网络中交换路由信息，IETF组织对IS-IS协议进行了扩展，称为集成IS-IS（IntegratedIS-IS）或双重IS-IS（DualIS-IS）。集成IS-IS是一个能同时处理多个网络层协议（如IP和CLNP）路由协议，能应用在TCP/IP网络和OSI网络，为IP网络提供动态路由信息交换。相反，OSPF只支持IP一种网络层协议，即OSPF仅支持IP路由。10.1.2了解IS-IS路由协议10.2掌握IS-IS路由技术Level-0路由（简称L0路由）发生在ES与IS之间，使用ES-IS进行路由信息交换。如之前介绍ES-IS那样，ES通过侦听IS发送的ISH报文获知IS的存在。当ES要向其它ES发送信息时，它把数据包发送到IS。同样，IS也侦听ES发送的ESH报文，获知ES的存在，当有数据包要发送个某个ES时，根据通过ESH获取到信息发送个特定的ES。这个过程称L0路由选择。10.2.1区分4种路由类型10.2掌握IS-IS路由技术在4种路由类型，IS-IS提供路由仅为L1和L2这两个级别，也就是说IS-IS能实现在同一个路由域内和域间路由选择。因此，IS-IS路由选择分为两个等级，即L1和L2。IS-IS区域中的L1路由选择，负责路由到区域内的终端系统（ES）和IS。在同一个路由选择区域中，所有设备的区域地址都相同。区域内的路由选择通过查看地址中的系统ID，然后，选择最短的路径来完成。IS-IS区域中的L2路由选择在IS-IS区域之间进行。路由器通过L2路由获悉L1路由选择的区域位置，并建立一个到达其它区域的路由表。10.2.2了解IS-IS路由类型10.2掌握IS-IS路由技术OSPF网络中骨干区域就是区域0（Area0）。而IS-IS网络中的骨干区域由具有L2路由选择功能的路由器（L2或L1/2路由器）组成，而且必须物理上连续，IS-IS网络中的骨干区域是一个虚拟区域。IS-IS与OSPF最大的区别就是：IS-IS协议的区域划分的边界位于链路；OSPF协议的区域边界位于ABR路由器，通过ABR路由器维护与其相连的每一个区域内的数据库，也就是Area0骨干区域数据库和Area1非骨干区域数据库。10.2.3掌握IS-IS路由区域10.2掌握IS-IS路由技术IS-IS网络中骨干区域是虚拟，更利于扩展，灵活性更强。当需要扩展骨干时，只需添加L1/2路由器或L2路由器即可，这比OSPF网络灵活的多。10.2.3掌握IS-IS路由区域10.2掌握IS-IS路由技术IS-IS仅负责L1和L2等级路由，相应IS-IS路由器等级（或称IS-IS路由器类型）分为3种：L1路由器（Level1）、L2路由器（Level2）和L1/2（Level1/2）路由器。如图3种类型路由器在网络中位置及发挥作用。10.2.4区分IS-IS路由器等级10.2掌握IS-IS路由技术在IS-IS中，针对广播型和点到点型网络，使用不同Hello报文。IS-IS的Hello报文分为三种类型。（1）点到点Hello报文：在点到点链路上建立邻接关系。（2）第1层LANHello报文：在广播型网络（LAN）中建立L1邻接关系（3）第2层LANHello报文：在广播型网络（LAN）中建立L2邻接关系。路由器之间在特定链路上，交换特定类型的HelloPDU，形成邻接关系。其中，IS-IS路由器发送L1IIH报文，使用组播地址为0180.c200.0014（所有L1路由器）；IS-IS路由器发送L2IIH报文，使用组播地址为0180.c200.0015（所有L2路由器）。10.2.5掌握IS-IS邻接关系10.2掌握IS-IS路由技术针对广泛应用NBMA网络类型，IS-IS默认为广播类型。也就是说，针对以太网广播型网络或LAN接口，以及封装Frame-Relay的主接口和多点子接口，IS-IS协议都将其看作广播型网络。点到点类型网络出现在封装PPP串行链路，或是永久虚电路（PVC）环境中。通常点到点类型的网络都是连接广域网接口。10.2.6区别IS-IS网络类型10.2掌握IS-IS路由技术IS-IS协议没有规定对NBMA网络的支持。对于OSPF协议中定义的NBMA接口，IS-IS认为其网络拓扑是PVC全互连（mesh）的网络，把它看作广播型网络。如果不是PVC全互连的结构，推荐使用点到点类型网络，即使用点到点子接口，以免造成NBMA网络中的链路状态数据库同步出现问题。在一个Frame-Relay网络，使用点到点子接口来解决IS-IS协议在NBMA网络中操作的不足，也就是将其转化为点到点类型的网络。10.2.6区别IS-IS网络类型10.2掌握IS-IS路由技术根据建立的邻接关系（邻接数据库），路由器上的IS-IS协议更新进程将链路状态数数据包（LSP）通告给所有的邻居，同时，也收到其它邻居通告的链路状态信息，并复制收到的LSP并通告给其它邻居。与OSPF一样，同一个区域中的路由器都维护相同的区域拓扑结构和链路状态数据库，即L1链路状态数据库。区域内的路由器依靠序列号数据包（SNP）进行数据库的同步和更新。IS-IS协议中的L1链路状态数据库与L2链路状态数据库是分离的；其中，L2链路状态数据库包含相连的所有区域的区域前缀信息，以实现区域间的路由。路由器上IS-IS协议从转发数据库中，提取出最短的路径注入到路由选择信息库，也就是路由器用来指导数据转发的路由表。当转发数据库中存在多条等价的最优路径时，多条路径可以同时加入到路由表中。IS-IS协议默认管理距离（AD）为115；而OSPF的默认管理距离为110。10.2.7了解IS-IS路由选择信息库10.3了解IS-IS寻址在OSI参考模型中，每一层协议都为高层提供特定服务。NSAP定义了适当的服务接口，类似于TCP和UDP定义协议类型。由于一台网络设备可能连接多个链路，所以需要有多个SNPA地址，但只需要一个CLNP地址。ES-IS的主要功能之一就是为节点提供NSAP地址到SNPA地址的映射。10.3.1NSAP地址10.3了解IS-IS寻址在IS-IS协议实施的路由选择过程中，没有使用NSAP地址中NSEL，所以NSEL始终为00。当NSEL为00时，称NSAP地址为NET地址（NetworkEntityTitile，网络实体标题）。NET地址唯一地表示IS-IS路由选择域中OSI主机，路由器使用NET地址标识自己。路由器发送的链路状态数据包（LSP）中，用NET地址标识自己，类似于OSPF发送LSA中路由器ID（RouterID）。10.3.2NET地址10.3了解IS-IS寻址假设路由器有一个Loopback接口，其IP地址为7，转换步骤如下。第一步：由于点分十进制环回接口的IP地址每一个字节不够3位数字，使用前0填充补足3位。也就是将7转换为192.168.001.017。第二步：此时IP地址变为了12个数字。然后，按照每4个数字一组分为3组，192.168.001.017地址转换为1921.6800.1017地址格式。第三步：将1921.6800.1017地址作为NET地址中的SysID字段，再加上区域地址和NSEL（00）后，就形成了NET地址。假设区域地址为49.0011，使用IP地址转换为SysID的完整NET地址就为：49.0011.1921.6800.1017.0010.3.3系统ID（SysID）10.3了解IS-IS寻址使用IS-IS多宿主功能，可将不同区域合并到一个区域。一台L1路由器只在本区域内扩散链路状态信息，如果路由器连接在两个区域，可以在多个区域内扩散链路状态信息，使用区域合并机制，有效完成区域合并。如图路由器R1与R2都为L1/2路由器，属于不同区域49.0001和49.0002，它们之间建立L2邻接关系，路由器R1与R2都向L2骨干区域通告链路状态信息。需要将这两个区域合并为一个区域，可以为R1路由器赋予两个NET地址，这两个NET地址包含不同区域地址，分别为49.0001和49.0002，但是SysID是相同。10.3.4不同区域NET地址10.3了解IS-IS寻址由于路由器R1具有区域地址为49.0002的NET地址，与路由器R2区域地址相同，根据IS-IS建立邻接关系规则，路由器R1与R2建立一个L1邻接关系，拥有一个合并L1链路数据库。可以将路由器R1原先的49.0001的NET地址删除，完成区域合并。10.3.4不同区域NET地址10.4认识IS-IS链路状态数据库（LSDB）在多区域IS-IS路由域，同时存在着Level1链路状态数据库和Level2链路状态数据库。区域内L1路由器维护各自区域Level1链路状态数据库；Level2链路状态数据库由具有L2路由功能路由器（L2路由器和L1/2路由器）维护。所有具有L2路由功能路由器都拥有一个相同Level2链路状态数据库。对于L1/2路由器，同时维护两个链路状态数据库，Level1链路状态数据库和Level2链路状态数据库。Level1链路状态数据库中存放的是它所连接的非骨干区域链路状态信息集合，Level2链路状态数据库中存放是骨干区域链路状态信息集合。10.5区分IS-IS报文从点到点IIHPDU格式看出，大部分字段与L1/L2LANIIHPDU的报文相同。但在点到点IIHPDU中没有“Priority”字段，在点到点网络上不需要选举DIS。使用“LocalCircuitID”代替LANIIHPDU的“LANID”字段。LocalCircuitID（本地电路ID）由发送HelloPDU路由器分配给这条电路标识，在路由器接口唯一。在点到点链路的另一端，Hello报文中本地电路ID可能不为同样值。链路状态报文LSP（LinkStatePDUs）用于交换链路状态信息。分为两种：Level-1LSP和Level-2LSP，各自承载IS-IS不同层次的路由信息，它们有着相同报文格式。每个LSP都包含重要信息：LSPID、LSP序列号、LSP校验和、剩余时间、区域关联状态、超载状态以及区域划分。10.6掌握IS-IS路由原理首先，RouterA在网络中广播发送Level-2LANIIH，此报文中无邻居标识。互连RouterB收到报文后，将自己和RouterA邻居状态标识为Initial。然后，RouterB再向RouterA回复Level-2LANIIH，报文中标识RouterA为RouterB邻居。对端RouterA收到此报文，将自己与RouterB邻居状态标识为Up。然后，RouterA再向RouterB发送一个标识RouterB为RouterA邻居的Level-2LANIIH。最后，RouterB收到此报文后，将自己与RouterA邻居状态标识为Up。两台路由器成功建立邻居关系。10.6.1建立IS-IS邻居关系10.6掌握IS-IS路由原理IS-IS路由域内的所有路由器都产生自己LSP，LSP报文“泛洪”指当一台路由器向相邻路由器通告自己LSP，相邻路由器再将同样LSP报文传送到除发送该LSP的路由器外其它邻居，并逐级将LSP传送到整个层次内所有路由器方式。通过这种“泛洪”，层次内每一台路由器都拥有相同LSP，保持LSDB同步。每一个LSP拥有标识自己4字节序列号。在路由器启动时发送第一个LSP报文中序列号为1，需要生成新的LSP时，在前一个LSP序列号基础上加1，更高序列号意味着更新LSP。10.6.2实现LSP交互10.6掌握IS-IS路由原理首先，RouterA与RouterB建立邻居关系。建立邻居关系之后，RouterA与RouterB先发送CSNP给对端。如果一方发现对端LSDB与CSNP没有同步，则发送PSNP报文，请求相应LSP。假定RouterB通过PSNP报文，向