單元9：實現園區網安全訪問《高級路由技術》(理論篇）主講教師：XXX技術背景園區網絡在功能和應用上日益提升的同時，安全問題也逐漸突出，各類黑客行為和攻擊技術給企業的安全發展帶來困擾。園區網絡在外網上主要安全問題表現為：非法接入、網絡入侵、黑客攻擊、病毒傳播、蠕蟲攻擊、漏洞利用、僵尸木馬、信息泄露等已成為最大的安全威脅。園區網絡安全問題主要表現為：帶寬和應用濫用、APT潛伏滲透、BYOD接入管控、WLAN使用控制、病毒蠕蟲擴散、信息泄露以及內部網絡之間、內外網絡之間的連接安全等。大部分園區網內部劃分六個區域：互聯網接入域、廣域網接入域、外聯服務域、數據中心域、內網辦公域、運維管理域，六個區域面臨的安全風險也有所不同，需要實施訪問控制安全防護措施，保護部門網絡之間的安全。學習目標了解園區網安全技術掌握園區網中訪問控制安全9.1認識ACLACL全稱為接入控制列表（AccessControlList，ACL），也俗稱為軟防火墻，ACL通過定義一些規則對網絡設備接口上的數據報文進行控制，允許數據包通過，或丟棄該數據包。ACL應用在交換機與路由器上的安全技術，其主要目的是對網絡數據通信進行過濾，從而實現各種訪問控制需求。ACL技術通過IP數據包中五元組（源IP地址、目標IP地址、協議號、源端口號、目標端口號）來區分特定的數據流，并對匹配預設規則的數據包采取相應的措施，允許（Permit）或拒絕（Deny）數據通過，從而實現對網絡的安全控制。9.1.1什么是ACL9.1認識ACL通過在園區網絡中的三層路由設備上配置ACL后，可以限制園區網絡中的數據流量，允許特定設備訪問特定的網絡，指導特定接口檢測IP數據包流向等，如可以配置ACL禁止部分辦公網內的設備訪問外部公共網絡，或者禁止使用內網中的FTP服務。還可以使用

ACL限制網絡流量，提升網絡性能，如根據數據包的協議，使用ACL指定數據包的優先級；如限定或簡化路由更新信息的長度，使用ACL限制通過路由器某一網段的IP通信流量，通過ACL提供網絡中的通信流量安全訪問控制手段，可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。9.1.2ACL作用在接入交換機、匯聚交換機、核心交換機完成基本VLAN、路由配置，VLAN內/外的PC可以相互通信如果想要控制個別數據交互，又不影響與其他數據交互，這種情況下就需要使用訪問控制列表9.2訪問控制列表的應用場景VLAN10VLAN20VLAN30接入交換機匯聚交換機核心交換機PCA0/24PCB0/24接入交換機匯聚交換機PCC0/24出于安全考慮，要求員工的PC不能訪問到主管的網段，這該如何實現？9.2訪問控制列表的應用場景1樓接入交換機辦公室1交換機主管A辦公室/242樓接入交換機匯聚交換機VLAN20VLAN10VLAN30VLAN20員工1PC0/24主管B辦公室/24辦公室2交換機員工2PC0/24ACL的全稱為訪問控制列表（AccessControlList），用于定義一系列不同的規則設備可以根據這些規則對數據包進行分類，并針對不同類型的報文進行不同的處理，可以用于以下功能：使用ACL匹配流量用于流量過濾：可以匹配指定流量，拒絕通過用于NAT：可以匹配指定流量，進行NAT轉換用于QoS：可以根據數據包的協議，指定數據包的優先級使用ACL匹配路由用于路由策略：可以用來匹配路由，進行過濾以及修改屬性的操作用于路由重分布：可以匹配路由，進行精確的協議間路由導入的操作9.3訪問控制列表的功能對進出的數據逐個過濾，丟棄或允許通過ACL應用于接口上，每個接口的出入雙向分別過濾。僅當數據包經過一個接口時，才能被此接口的此方向的ACL過濾9.3使用ACL匹配流量，應用于過濾入方向ACL出方向ACL出方向ACL入方向ACL路由轉發進程9.4

ACL技術原理ACL使用數據包過濾技術，通過讀取OSI模型中第3層和第4層數據包頭中的特征信息，如源地址，目標地址，源端口，目標端口等，根據預先定義好的規則，在三層設備上對經過的數據包進行過濾，實現網絡安全訪問控制的目的。實施ACL訪問控制安全，首先需要在三層設備中定義一直Acl過濾規則；然后把其應用在三層設備的某個接口上。如在路由器設備的接口而言，每一個訪問控制列表ACL都需要控制兩個方向，出接口和入接口的方向。出：已經過路由器的CPU處理，離開路由器的數據包。入：已到達路由器接口的數據包，將被路由器的CPU處理。ACL工作原理傳輸意義上ACL規則，無論是標準訪問控制列表與擴展訪問控制列表中，均使用列表的標識號進行區別。由于編號命名的不規范，目前更多使用名稱訪問控制列表，幫助區分不同類型的ACL，使用一個字母或數字組合的字符串來代替所數字列表標識號。使用名稱訪問控制列表不僅僅可以見名識意，還可以編輯列表，方便刪除某一條特定的控制條目，方便修改。在使用名稱訪問控制列表時，不能以同一名字命名多個ACL，不同類型的ACL也不能使用相同的名字。ACL分類9.4

ACL技術原理9.5配置IPACL標準IPACL中，對數據的檢查元素僅是源IP地址。下面以一個園區網內部訪問控制需求為例，描述標準IPACL應用步驟及注意事項。在網絡場景中要求來自某部門（/24）網段中的計算機不可以訪問單位的服務器/32，其他部門的計算機訪問服務器不受限制。9.5.1配置標準IPACL9.5配置IPACL使用time-range參數把配置完成的時間段和ACL規則配合使用。需要注意的是，只有在time-range指定時間段內生效，其他未引用時間段規則將不受影響。如圖9-10所示為某學校網絡，需要配置訪問控制規則，上班時間（9：00~18：00）不允許員工教學網主機（/24）訪問Internet，下班時間可以訪問Internet上的Web服務。詳細的配置規則如下所示。9.5.2配置基于時間ACL9.5配置IPACL為某企業網絡，只允許公司財務部的計算機機（）訪問公司的財務服務器（54），不允許其他任何員工的計算機機訪問財務服務器。在網絡安全訪問控制中，使用基于IP的ACL可能無法滿足網絡需求。因為員工可以修改計算機的IP地址為，就能夠繞過IPACL針對IP地址的檢查，實現對財務服務器訪問。因此，需要使用基于MAC的ACL就避免此現象產生。基于MAC的ACL9.5配置IPACL對于這樣的需求，使用基于MAC地址過濾顯然不能實現安全目標，因為MACACL控制列表技術不能像擴展ACL那樣進行基于端口信息過濾。為了滿足這種更復雜、更精確的數據包過濾需求，可以使用專家（Expert）ACL技術實現這樣的效果。專家ACL能考慮到實際網絡的復雜需求，將ACL的檢測元素擴展到源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口和協議，從而可以實現對數據的更精確的過濾，滿足網絡的復雜需求。對于專家ACL，一些交換機只支持入方向（in）過濾，在配置和應用專家ACL時需要考慮ACL規則配置方式，以及應用專家ACL的接口。基于專家ACL通配符也稱“反掩碼”，和IP地址結合使用，以描述一個地址范圍反掩碼和子網掩碼相似，但含義不同0表示：對應位需要比較1表示：對應位不比較9.5訪問控制列表的通配符IP地址通配符含義最終表示的網絡地址55只比較前24位/2455只比較前22位/2255只比較前8位/8每一位都精確比較/3255每一位都不比較/055只比較前10位/10每一條語句也稱為ACE，訪問控制表項(AccessControlEntry：ACE) ACE匹配的順序為從上至下，即編號從低到高進行匹配一旦被某條ACE匹配成功（無論動作是deny或permit）,跳出該ACL如果一個ACL中沒有配置任意一條ACE，則相當于允許所有數據包如果一個ACL中配置了任意一條語句，那么將存在一條默認ACE：denyipanyany（不顯示）9.5訪問控制列表的ACEACL的動作分為兩種：permit和denypermit：匹配允許permit后面語句的數據/路由deny：不匹配禁止deny后面語句的數據/路由9.6訪問控制列表的兩種動作9.6訪問控制列表的入方向過濾工作流程數據包入站是否配置入方向ACL包過濾數據包進入轉發流程丟棄匹配第一條ACE匹配第二條ACE匹配最后一條ACE檢查默認ACE通過NoYesYesYesYesNoNoNoNoYesNoNoNo9.6訪問控制列表的出方向過濾工作流程數據包出站是否配置出方向ACL包過濾數據包出站丟棄匹配第一條ACE匹配第二條ACE匹配最后一條ACE檢查默認ACE通過NoYesYesYesYesNoNoNoNoYesNoNoNoIP標準ACL只能匹配IP數據包頭中的源IP地址配置ACL的時候使用”standard”關鍵字IP擴展ACL匹配源IP/目的IP、協議（TCP/IP）、協議信息（端口號、標志代碼）等配置ACL的時候使用”extended”關鍵字除了上面兩種常用類型外，還有以下其他的ACL類型9.7訪問控制列表的常用類型ACL類型可匹配內容IP標準ACL源IPIP擴展ACL源IP，目的IP，ICMPtype，ICMPcode，TCP、UDP端口號，Fragment，TOS，DSCP，PrecedenceMAC擴展ACL源MAC，目的MAC，COS，協議字段（包括各種協議）專家級ACLIP擴展可匹配內容，MAC擴展可匹配內容，VID，innerVID，innerCOS自定義ACL（ACL80）專家級ACL可匹配內容，報文前80字節的任何內容IPV6ACL源IP，目的IP，ICMPtype，ICMPcode，TCP、UDP端口號，Fragment，DSCP，flow-label標準ACL和擴展ACL能夠匹配的數據流類型不同標準ACL：僅匹配數據包的源IP地址擴展ACL：能夠匹配3層及以上多種協議，并且可以同時匹配源IP和目的IP等9.7標準ACL與擴展ACL的不同Ruijie(config)#ipaccess-liststandard13Ruijie(config-std-nacl)#permit?A.B.C.DSourceaddressanyAnysourcehosthostAsinglesourcehostRuijie(config)#ipaccess-listextended101Ruijie(config-ext-nacl)#permit?<0-255>AnIPprotocolnumbereigrpEnhancedInteriorGatewayRoutingProtocolgreGeneralRoutingEncapsulationicmpInternetControlMessageProtocoligmpInternetGroupManagmentProtocolipAnyInternetProtocolipinipIPInIPnosNOSospfOpenShortestPathFirsttcpTransmissionControlProtocoludpUserDatagramProtocol數字命名默認的命名，需要注意標準和擴展兩種類型ACL的數字命名范圍是不一樣的標準ACL常用數字命名為1-99，1300-1999擴展ACL常用數字命名為100-199，2000-2699自定義名稱定義更具有代表意義的名稱，推薦使用比如禁止VLAN10內的PC訪問VLAN30，可以定義為DENY_VLAN10_TO_VLAN309.7訪問控制列表的命名Ruijie(config)#ipaccess-liststandard?<1-99>IPstandardacl<1300-1999>IPstandardacl(expandedrange)WORDAclnameACL通過帶條件的語句來標識數據包例如禁止PC1（IP:0）和PC2（IP:0）訪問PC3（IP:0）的數據流使用下面的配置方法進行配置9.7訪問控制列表的配置命令（擴展ACL）Ruijie(config)#ipaccess-listextended101Ruijie(config-ext-nacl)#10denyip5555Ruijie(config-ext-nacl)#20denyip5555擴展ACL的名字ACL的類型ACE的動作源IP與通配符目的IP與通配符若存在多種不同的訪問控制需求，就需要在一個ACL中定義多條語句不允許VLAN10內的PC訪問/24內的所有PC不允許VLAN10內的PC訪問/24內的所有PC僅允許VLAN10內的特定PC（0）訪問/24內的所有PC允許VLAN10內PC僅可以訪問的tcp80端口其他數據流放行配置思路首先確定是采用標準還是擴展ACL確定配置ACL中多條語句的順序將格式相同（動作、數據流類型、子網號、反掩碼等）的語句放置在一起配置根據需求配置多條語句時，要確認所配置的順序能否滿足需求。具體配置如下：9.8訪問控制列表的多條語句配置方法Ruijie(config)#ipaccess-listextendedFOR_VLAN10Ruijie(config-ext-nacl)#permitiphost055Ruijie(config-ext-nacl)#denyip5555Ruijie(config-ext-nacl)#denyip5555Ruijie(config-ext-nacl)#permittcp55hosteq80Ruijie(config-ext-nacl)#denyip55hostRuijie(config-ext-nacl)#permitipanyany序列號的作用，方便后續維護語句自動生成的序號，默認以10位單位遞增。也可以在配置ACL中的語句時提前添加不同的序號。如果新增需求：禁止VLAN10內的PC訪問/24。配置如下：9.8訪問控制列表的序號ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555540permittcp55hosteqwww50denyip55host60permitipanyanyRuijie(config)#ipaccess-listextendedFOR_VLAN10Ruijie(config-ext-nacl)#31denyip5555ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555531denyip555540permittcp55hosteqwww50denyip55host60permitipanyany1、應用在接口的入方向還是出方向？數據流是從交換機的接口出入，需要將配置好的ACL應用在接口上接口可以是物理接口也可以是SVI應用的方向根據ACL的內容以及數據流進入接口的方向進行配置選擇9.8訪問控制列表的應用位置-1數據流的源IP是0ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555531denyip555540permittcp55hosteqwww50denyip55host60permitipanyany目標網絡可以應用在出接口可以應用在入接口2、在什么設備上配置ACL？需要結合實際的需求來判斷將ACL應用在什么層次的設備上控制VLAN內的數據流，則需要在接入交換機上配置ACL控制VLAN間的數據流，則需要在匯聚交換機（網關）配置ACL配置如下的ACL，應用在何處才能夠使得PCA無法訪問PCB？B是對的，因為同一個vlan內的數據流不需要經過匯聚交換機9.8訪問控制列表的應用位置-2VLAN10接入交換機匯聚交換機PCA0/24PCB0/24VLAN20ipaccess-listextendedFOR_VLAN1010denyiphost0host020permitipanyanyA、應用在該接口，方向為inB、應用在該接口，方向為in2、在什么設備上配置ACL？要求VLAN10不能訪問VLAN30，VLAN20不能訪問VLAN40如果將ACL配置在接入交換機上，需要在多臺交換機上配置，配置工作量較大，而且容易出錯因此控制跨網段轉發的數據，建議在匯聚網關(SVI接口)上配置ACL，這樣可以減少配置量，并方便維護9.8訪問控制列表的應用位置-2VLAN10接入交換機匯聚交換機VLAN20VLAN10VLAN20VLAN30VLAN40……………在網關交換機的SVI下配置ACLipaccess-listextendedFOR_VLAN10（為VLAN20配置的ACL略）10denyip555520permitipanyanyRuijie(config)#intvlan10Ruijie((config-VLAN10)#ipaccess-groupFOR_VLAN10inRuijie(config)#intvlan20Ruijie((config-VLAN20)#ipaccess-groupFOR_VLAN20in3、ACL是在靠近源的設備上應用還是靠近目的的設備上應用？需要結合ACL的類型以及實際的應用、配置的工作量進行考慮標準ACL（匹配源地址），在靠近報文目的的設備上進行配置如果應用在靠近數據源的設備上，會有什么問題？9.8訪問控制列表的應用位置-3使用標準ACL控制PCA不能訪問PCBipaccess-liststandardAtoB10deny5520permitipanyany內部網絡PCA0/24PCB0/243、ACL是在靠近源的設備上應用還是靠近目的的設備上應用？需要結合ACL的類型以及實際的應用、配置的工作量進行考慮標準ACL（匹配源地址），在靠近報文目的的設備上進行配置擴展ACL（匹配目的地址），建議在靠近報文源的設備上進行配置避免數據包在網絡中經過多個設備轉發才在靠近目的的設備上被丟棄掉，會浪費網絡資源9.8訪問控制列表的應用位置-3使用擴展ACL控制PCA不能訪問PCBipaccess-listextendedAtoB10denyip555520permitipanyany內部網絡PCA0/24PCB0/243、ACL是在靠近源的設備上應用還是靠近目的的設備上應用？需要結合ACL的類型以及實際的應用、配置的工作量進行考慮標準ACL（匹配源地址），在靠近報文目的的設備上進行配置擴展ACL（匹配目的地址），建議在靠近報文源的設備上進行配置對于擴展ACL，如果想集中控制的話，也可以在報文目的設備上進行配置若要控制很多源IP網段不能訪問PCB，可以在靠近PCB的設備上應用ACL，減少配置工作量，實現集中管理9.8訪問控制列表的應用位置-3PCC0/24使用擴展ACL控制PCA和PCC不能訪問PCBipaccess-listextendedtoB10denyip555520denyip555530permitipanyany內部網絡PCA0/24PCB0/24在實際中除了使用ACL控制網段之間的互訪外，還有一種比較常見的用法，就是封閉常見的病毒或木馬占用的端口，并在三層網關SVI接口下應用，如下的防病毒ACL配置防病毒的ACL也可能會與某些應用的端口號重合，實施時需要注意控制互訪和防病毒兩種應用在實際中也多結合在一起，因此在配置的時候需要注意ACE的先后順序防病毒應用ipaccess-listextendedantivirus10denytcpanyanyeq106820denytcpanyanyeq555430denytcpanyanyeq999540denytcpanyanyeq999650denytcpanyanyeq102260denytcpanyanyeq102370denytcpanyanyeq44580denytcpanyanyeq13590denytcpanyanyeq4444100denytcpanyanyeq1080110denytcpanyanyeq3128…(省略部分)280permitipanyanyACL可以添加時間參數，使其在特定的時間生效例如：公司架設有web服務器，現在要求服務器僅在工作日的早上9：00至下午18：00提供員工訪問，其他時間均不能訪問9.9基于時間的ACLPCSW1SW2WebServer內部網絡9.10配置修改IPACL在基于編號的ACL規則編制中，使用“access-list”命令配置完成編號ACL后，如果需要對其進行修改，如添加一條新規則，系統默認添加至現有ACL規則末尾。如果要將一條新規則插入到現有規則中間，只能對整個ACL重新編寫。這將帶來大量維護工作。在基于名稱的ACL規則編制中，針對此項進行改進。使用“ipaccess-list”命令配置名稱ACL時，系統進入到ACL配置模式，在配置規則命令之前，添加一個序號參數（sequence-number），即可插入一條新過濾規則。9.2.7編輯修改ACL規則【網絡實踐】:使用ACL保護企業網安全某企業的網絡使用多臺交換機實現網絡的互聯互通。其中，接入層交換機SwitchC連接各部門計算機，通過千兆光纖連接匯聚層交換機。在匯聚層交換機SwitchB上劃分多個VLAN，每個部門為一個VLAN，通過萬兆光纖上連核心層設備。在核心層SwitchA上實現全網絡連接，公司多臺服務器如FTP，HTTP服務器等連接在核心交換機上，通過防火墻與Internet相連。為了保護企業網的安全，單位提出了以下組網需求：封堵各種病毒的常用端口，以保障內網安全。只允許內部計算機訪問公司的服務器，不允許外部計算機訪問服務器；只允許財務部門計算機訪問財務部計算機，不允許非財務部門計算機訪問；不允許非研發部門計算機訪問研發部計算機；不允許研發部門人員在上班時間（即9:00~18:00）使用QQ等聊天工具上網，只允許使用企業內部微信溝通。【任務描述】【設計過程】省略好好學習天天向上單元10：使用IS-IS構建可擴展路由網絡《高級路由技術》(理論篇）主講教師：XXX技術背景在園區網絡中，人們通常部署OSPF路由來提高網絡高可用性和擴展性，很少使用IS-IS路由協議。但在運營商的網絡部署中，很多運營商都使用IS-IS來代替OSPF協議，不僅僅獲得OSPF路由協議所具有的優勢，而且還提供更多可管理性和擴展性機制。學習目標了解IS-IS路由原理掌握IS-IS路由尋址掌握IS-IS鏈路狀態操作會配置IS-IS路由10.1認識IS-IS路由協議OSI參考模型中同時也規范了網絡服務，定義了網絡設備之間使用無連接通信功能，也就是CLNS（ConnectionlessNetworkService，無連接網絡服務）。使用CLNS服務，無需在發送數據之間建立端到端的路徑，即可實現通信。CLNS服務系統中包括的三個重要協議組件：CLNP（ConnectionlessNetworkProtocol，無連接網絡協議）、IS-IS、ES-IS（EndSystem—IntermediateSystem，終端系統—中間系統）。10.1.1區分OSI網絡與CLNS網絡10.1認識IS-IS路由協議在OSI通信模型中，主機（如PC）稱為ES（終端系統），路由器稱為IS（中間系統）。ES-IS是一種終端系統和路由器之間路由協議，實現同一網段中終端系統和路由器之間彼此發現對方，讓終端系統（ES）獲悉其網絡層地址。在CLNS網絡環境中，ES-IS就好像IP網絡中ICMP、ARP與DHCP協議一樣，協同IP協議開展工作。需要注意的是，生活中PC終端不使用ES-IS，因為PC運行TCP/IP協議。在CLNS網絡中，ES-IS協議工作機制。10.1.1區分OSI網絡與CLNS網絡10.1認識IS-IS路由協議IS-IS路由協議工作在CLNS網絡環境，是CLNS網絡中的一個協議組件，在不支持IP網絡環境中的路由信息交換。為了實現IS-IS路由協議在IP網絡中交換路由信息，IETF組織對IS-IS協議進行了擴展，稱為集成IS-IS（IntegratedIS-IS）或雙重IS-IS（DualIS-IS）。集成IS-IS是一個能同時處理多個網絡層協議（如IP和CLNP）路由協議，能應用在TCP/IP網絡和OSI網絡，為IP網絡提供動態路由信息交換。相反，OSPF只支持IP一種網絡層協議，即OSPF僅支持IP路由。10.1.2了解IS-IS路由協議10.2掌握IS-IS路由技術Level-0路由（簡稱L0路由）發生在ES與IS之間，使用ES-IS進行路由信息交換。如之前介紹ES-IS那樣，ES通過偵聽IS發送的ISH報文獲知IS的存在。當ES要向其它ES發送信息時，它把數據包發送到IS。同樣，IS也偵聽ES發送的ESH報文，獲知ES的存在，當有數據包要發送個某個ES時，根據通過ESH獲取到信息發送個特定的ES。這個過程稱L0路由選擇。10.2.1區分4種路由類型10.2掌握IS-IS路由技術在4種路由類型，IS-IS提供路由僅為L1和L2這兩個級別，也就是說IS-IS能實現在同一個路由域內和域間路由選擇。因此，IS-IS路由選擇分為兩個等級，即L1和L2。IS-IS區域中的L1路由選擇，負責路由到區域內的終端系統（ES）和IS。在同一個路由選擇區域中，所有設備的區域地址都相同。區域內的路由選擇通過查看地址中的系統ID，然后，選擇最短的路徑來完成。IS-IS區域中的L2路由選擇在IS-IS區域之間進行。路由器通過L2路由獲悉L1路由選擇的區域位置，并建立一個到達其它區域的路由表。10.2.2了解IS-IS路由類型10.2掌握IS-IS路由技術OSPF網絡中骨干區域就是區域0（Area0）。而IS-IS網絡中的骨干區域由具有L2路由選擇功能的路由器（L2或L1/2路由器）組成，而且必須物理上連續，IS-IS網絡中的骨干區域是一個虛擬區域。IS-IS與OSPF最大的區別就是：IS-IS協議的區域劃分的邊界位于鏈路；OSPF協議的區域邊界位于ABR路由器，通過ABR路由器維護與其相連的每一個區域內的數據庫，也就是Area0骨干區域數據庫和Area1非骨干區域數據庫。10.2.3掌握IS-IS路由區域10.2掌握IS-IS路由技術IS-IS網絡中骨干區域是虛擬，更利于擴展，靈活性更強。當需要擴展骨干時，只需添加L1/2路由器或L2路由器即可，這比OSPF網絡靈活的多。10.2.3掌握IS-IS路由區域10.2掌握IS-IS路由技術IS-IS僅負責L1和L2等級路由，相應IS-IS路由器等級（或稱IS-IS路由器類型）分為3種：L1路由器（Level1）、L2路由器（Level2）和L1/2（Level1/2）路由器。如圖3種類型路由器在網絡中位置及發揮作用。10.2.4區分IS-IS路由器等級10.2掌握IS-IS路由技術在IS-IS中，針對廣播型和點到點型網絡，使用不同Hello報文。IS-IS的Hello報文分為三種類型。（1）點到點Hello報文：在點到點鏈路上建立鄰接關系。（2）第1層LANHello報文：在廣播型網絡（LAN）中建立L1鄰接關系（3）第2層LANHello報文：在廣播型網絡（LAN）中建立L2鄰接關系。路由器之間在特定鏈路上，交換特定類型的HelloPDU，形成鄰接關系。其中，IS-IS路由器發送L1IIH報文，使用組播地址為0180.c200.0014（所有L1路由器）；IS-IS路由器發送L2IIH報文，使用組播地址為0180.c200.0015（所有L2路由器）。10.2.5掌握IS-IS鄰接關系10.2掌握IS-IS路由技術針對廣泛應用NBMA網絡類型，IS-IS默認為廣播類型。也就是說，針對以太網廣播型網絡或LAN接口，以及封裝Frame-Relay的主接口和多點子接口，IS-IS協議都將其看作廣播型網絡。點到點類型網絡出現在封裝PPP串行鏈路，或是永久虛電路（PVC）環境中。通常點到點類型的網絡都是連接廣域網接口。10.2.6區別IS-IS網絡類型10.2掌握IS-IS路由技術IS-IS協議沒有規定對NBMA網絡的支持。對于OSPF協議中定義的NBMA接口，IS-IS認為其網絡拓撲是PVC全互連（mesh）的網絡，把它看作廣播型網絡。如果不是PVC全互連的結構，推薦使用點到點類型網絡，即使用點到點子接口，以免造成NBMA網絡中的鏈路狀態數據庫同步出現問題。在一個Frame-Relay網絡，使用點到點子接口來解決IS-IS協議在NBMA網絡中操作的不足，也就是將其轉化為點到點類型的網絡。10.2.6區別IS-IS網絡類型10.2掌握IS-IS路由技術根據建立的鄰接關系（鄰接數據庫），路由器上的IS-IS協議更新進程將鏈路狀態數數據包（LSP）通告給所有的鄰居，同時，也收到其它鄰居通告的鏈路狀態信息，并復制收到的LSP并通告給其它鄰居。與OSPF一樣，同一個區域中的路由器都維護相同的區域拓撲結構和鏈路狀態數據庫，即L1鏈路狀態數據庫。區域內的路由器依靠序列號數據包（SNP）進行數據庫的同步和更新。IS-IS協議中的L1鏈路狀態數據庫與L2鏈路狀態數據庫是分離的；其中，L2鏈路狀態數據庫包含相連的所有區域的區域前綴信息，以實現區域間的路由。路由器上IS-IS協議從轉發數據庫中，提取出最短的路徑注入到路由選擇信息庫，也就是路由器用來指導數據轉發的路由表。當轉發數據庫中存在多條等價的最優路徑時，多條路徑可以同時加入到路由表中。IS-IS協議默認管理距離（AD）為115；而OSPF的默認管理距離為110。10.2.7了解IS-IS路由選擇信息庫10.3了解IS-IS尋址在OSI參考模型中，每一層協議都為高層提供特定服務。NSAP定義了適當的服務接口，類似于TCP和UDP定義協議類型。由于一臺網絡設備可能連接多個鏈路，所以需要有多個SNPA地址，但只需要一個CLNP地址。ES-IS的主要功能之一就是為節點提供NSAP地址到SNPA地址的映射。10.3.1NSAP地址10.3了解IS-IS尋址在IS-IS協議實施的路由選擇過程中，沒有使用NSAP地址中NSEL，所以NSEL始終為00。當NSEL為00時，稱NSAP地址為NET地址（NetworkEntityTitile，網絡實體標題）。NET地址唯一地表示IS-IS路由選擇域中OSI主機，路由器使用NET地址標識自己。路由器發送的鏈路狀態數據包（LSP）中，用NET地址標識自己，類似于OSPF發送LSA中路由器ID（RouterID）。10.3.2NET地址10.3了解IS-IS尋址假設路由器有一個Loopback接口，其IP地址為7，轉換步驟如下。第一步：由于點分十進制環回接口的IP地址每一個字節不夠3位數字，使用前0填充補足3位。也就是將7轉換為192.168.001.017。第二步：此時IP地址變為了12個數字。然后，按照每4個數字一組分為3組，192.168.001.017地址轉換為1921.6800.1017地址格式。第三步：將1921.6800.1017地址作為NET地址中的SysID字段，再加上區域地址和NSEL（00）后，就形成了NET地址。假設區域地址為49.0011，使用IP地址轉換為SysID的完整NET地址就為：49.0011.1921.6800.1017.0010.3.3系統ID（SysID）10.3了解IS-IS尋址使用IS-IS多宿主功能，可將不同區域合并到一個區域。一臺L1路由器只在本區域內擴散鏈路狀態信息，如果路由器連接在兩個區域，可以在多個區域內擴散鏈路狀態信息，使用區域合并機制，有效完成區域合并。如圖路由器R1與R2都為L1/2路由器，屬于不同區域49.0001和49.0002，它們之間建立L2鄰接關系，路由器R1與R2都向L2骨干區域通告鏈路狀態信息。需要將這兩個區域合并為一個區域，可以為R1路由器賦予兩個NET地址，這兩個NET地址包含不同區域地址，分別為49.0001和49.0002，但是SysID是相同。10.3.4不同區域NET地址10.3了解IS-IS尋址由于路由器R1具有區域地址為49.0002的NET地址，與路由器R2區域地址相同，根據IS-IS建立鄰接關系規則，路由器R1與R2建立一個L1鄰接關系，擁有一個合并L1鏈路數據庫。可以將路由器R1原先的49.0001的NET地址刪除，完成區域合并。10.3.4不同區域NET地址10.4認識IS-IS鏈路狀態數據庫（LSDB）在多區域IS-IS路由域，同時存在著Level1鏈路狀態數據庫和Level2鏈路狀態數據庫。區域內L1路由器維護各自區域Level1鏈路狀態數據庫；Level2鏈路狀態數據庫由具有L2路由功能路由器（L2路由器和L1/2路由器）維護。所有具有L2路由功能路由器都擁有一個相同Level2鏈路狀態數據庫。對于L1/2路由器，同時維護兩個鏈路狀態數據庫，Level1鏈路狀態數據庫和Level2鏈路狀態數據庫。Level1鏈路狀態數據庫中存放的是它所連接的非骨干區域鏈路狀態信息集合，Level2鏈路狀態數據庫中存放是骨干區域鏈路狀態信息集合。10.5區分IS-IS報文從點到點IIHPDU格式看出，大部分字段與L1/L2LANIIHPDU的報文相同。但在點到點IIHPDU中沒有“Priority”字段，在點到點網絡上不需要選舉DIS。使用“LocalCircuitID”代替LANIIHPDU的“LANID”字段。LocalCircuitID（本地電路ID）由發送HelloPDU路由器分配給這條電路標識，在路由器接口唯一。在點到點鏈路的另一端，Hello報文中本地電路ID可能不為同樣值。鏈路狀態報文LSP（LinkStatePDUs）用于交換鏈路狀態信息。分為兩種：Level-1LSP和Level-2LSP，各自承載IS-IS不同層次的路由信息，它們有著相同報文格式。每個LSP都包含重要信息：LSPID、LSP序列號、LSP校驗和、剩余時間、區域關聯狀態、超載狀態以及區域劃分。10.6掌握IS-IS路由原理首先，RouterA在網絡中廣播發送Level-2LANIIH，此報文中無鄰居標識。互連RouterB收到報文后，將自己和RouterA鄰居狀態標識為Initial。然后，RouterB再向RouterA回復Level-2LANIIH，報文中標識RouterA為RouterB鄰居。對端RouterA收到此報文，將自己與RouterB鄰居狀態標識為Up。然后，RouterA再向RouterB發送一個標識RouterB為RouterA鄰居的Level-2LANIIH。最后，RouterB收到此報文后，將自己與RouterA鄰居狀態標識為Up。兩臺路由器成功建立鄰居關系。10.6.1建立IS-IS鄰居關系10.6掌握IS-IS路由原理IS-IS路由域內的所有路由器都產生自己LSP，LSP報文“泛洪”指當一臺路由器向相鄰路由器通告自己LSP，相鄰路由器再將同樣LSP報文傳送到除發送該LSP的路由器外其它鄰居，并逐級將LSP傳送到整個層次內所有路由器方式。通過這種“泛洪”，層次內每一臺路由器都擁有相同LSP，保持LSDB同步。每一個LSP擁有標識自己4字節序列號。在路由器啟動時發送第一個LSP報文中序列號為1，需要生成新的LSP時，在前一個LSP序列號基礎上加1，更高序列號意味著更新LSP。10.6.2實現LSP交互10.6掌握IS-IS路由原理首先，RouterA與RouterB建立鄰居關系。建立鄰居關系之后，RouterA與RouterB先發送CSNP給對端。如果一方發現對端LSDB與CSNP沒有同步，則發送PSNP報文，請求相應LSP。假定RouterB通過PSNP報文，向