《高級(jí)路由技術(shù)（理論篇）》 課件 單元9、10 保護(hù)園區(qū)網(wǎng)絡(luò)安全ACL、使用IS-IS構(gòu)建可擴(kuò)展路由網(wǎng)絡(luò)

單元9：實(shí)現(xiàn)園區(qū)網(wǎng)安全訪問(wèn)《高級(jí)路由技術(shù)》(理論篇）主講教師：XXX技術(shù)背景園區(qū)網(wǎng)絡(luò)在功能和應(yīng)用上日益提升的同時(shí)，安全問(wèn)題也逐漸突出，各類黑客行為和攻擊技術(shù)給企業(yè)的安全發(fā)展帶來(lái)困擾。園區(qū)網(wǎng)絡(luò)在外網(wǎng)上主要安全問(wèn)題表現(xiàn)為：非法接入、網(wǎng)絡(luò)入侵、黑客攻擊、病毒傳播、蠕蟲攻擊、漏洞利用、僵尸木馬、信息泄露等已成為最大的安全威脅。園區(qū)網(wǎng)絡(luò)安全問(wèn)題主要表現(xiàn)為：帶寬和應(yīng)用濫用、APT潛伏滲透、BYOD接入管控、WLAN使用控制、病毒蠕蟲擴(kuò)散、信息泄露以及內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全等。大部分園區(qū)網(wǎng)內(nèi)部劃分六個(gè)區(qū)域：互聯(lián)網(wǎng)接入域、廣域網(wǎng)接入域、外聯(lián)服務(wù)域、數(shù)據(jù)中心域、內(nèi)網(wǎng)辦公域、運(yùn)維管理域，六個(gè)區(qū)域面臨的安全風(fēng)險(xiǎn)也有所不同，需要實(shí)施訪問(wèn)控制安全防護(hù)措施，保護(hù)部門網(wǎng)絡(luò)之間的安全。學(xué)習(xí)目標(biāo)了解園區(qū)網(wǎng)安全技術(shù)掌握?qǐng)@區(qū)網(wǎng)中訪問(wèn)控制安全9.1認(rèn)識(shí)ACLACL全稱為接入控制列表（AccessControlList，ACL），也俗稱為軟防火墻，ACL通過(guò)定義一些規(guī)則對(duì)網(wǎng)絡(luò)設(shè)備接口上的數(shù)據(jù)報(bào)文進(jìn)行控制，允許數(shù)據(jù)包通過(guò)，或丟棄該數(shù)據(jù)包。ACL應(yīng)用在交換機(jī)與路由器上的安全技術(shù)，其主要目的是對(duì)網(wǎng)絡(luò)數(shù)據(jù)通信進(jìn)行過(guò)濾，從而實(shí)現(xiàn)各種訪問(wèn)控制需求。ACL技術(shù)通過(guò)IP數(shù)據(jù)包中五元組（源IP地址、目標(biāo)IP地址、協(xié)議號(hào)、源端口號(hào)、目標(biāo)端口號(hào)）來(lái)區(qū)分特定的數(shù)據(jù)流，并對(duì)匹配預(yù)設(shè)規(guī)則的數(shù)據(jù)包采取相應(yīng)的措施，允許（Permit）或拒絕（Deny）數(shù)據(jù)通過(guò)，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全控制。9.1.1什么是ACL9.1認(rèn)識(shí)ACL通過(guò)在園區(qū)網(wǎng)絡(luò)中的三層路由設(shè)備上配置ACL后，可以限制園區(qū)網(wǎng)絡(luò)中的數(shù)據(jù)流量，允許特定設(shè)備訪問(wèn)特定的網(wǎng)絡(luò)，指導(dǎo)特定接口檢測(cè)IP數(shù)據(jù)包流向等，如可以配置ACL禁止部分辦公網(wǎng)內(nèi)的設(shè)備訪問(wèn)外部公共網(wǎng)絡(luò)，或者禁止使用內(nèi)網(wǎng)中的FTP服務(wù)。還可以使用

ACL限制網(wǎng)絡(luò)流量，提升網(wǎng)絡(luò)性能，如根據(jù)數(shù)據(jù)包的協(xié)議，使用ACL指定數(shù)據(jù)包的優(yōu)先級(jí)；如限定或簡(jiǎn)化路由更新信息的長(zhǎng)度，使用ACL限制通過(guò)路由器某一網(wǎng)段的IP通信流量，通過(guò)ACL提供網(wǎng)絡(luò)中的通信流量安全訪問(wèn)控制手段，可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。9.1.2ACL作用在接入交換機(jī)、匯聚交換機(jī)、核心交換機(jī)完成基本VLAN、路由配置，VLAN內(nèi)/外的PC可以相互通信如果想要控制個(gè)別數(shù)據(jù)交互，又不影響與其他數(shù)據(jù)交互，這種情況下就需要使用訪問(wèn)控制列表9.2訪問(wèn)控制列表的應(yīng)用場(chǎng)景VLAN10VLAN20VLAN30接入交換機(jī)匯聚交換機(jī)核心交換機(jī)PCA0/24PCB0/24接入交換機(jī)匯聚交換機(jī)PCC0/24出于安全考慮，要求員工的PC不能訪問(wèn)到主管的網(wǎng)段，這該如何實(shí)現(xiàn)？9.2訪問(wèn)控制列表的應(yīng)用場(chǎng)景1樓接入交換機(jī)辦公室1交換機(jī)主管A辦公室/242樓接入交換機(jī)匯聚交換機(jī)VLAN20VLAN10VLAN30VLAN20員工1PC0/24主管B辦公室/24辦公室2交換機(jī)員工2PC0/24ACL的全稱為訪問(wèn)控制列表（AccessControlList），用于定義一系列不同的規(guī)則設(shè)備可以根據(jù)這些規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類，并針對(duì)不同類型的報(bào)文進(jìn)行不同的處理，可以用于以下功能：使用ACL匹配流量用于流量過(guò)濾：可以匹配指定流量，拒絕通過(guò)用于NAT：可以匹配指定流量，進(jìn)行NAT轉(zhuǎn)換用于QoS：可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)使用ACL匹配路由用于路由策略：可以用來(lái)匹配路由，進(jìn)行過(guò)濾以及修改屬性的操作用于路由重分布：可以匹配路由，進(jìn)行精確的協(xié)議間路由導(dǎo)入的操作9.3訪問(wèn)控制列表的功能對(duì)進(jìn)出的數(shù)據(jù)逐個(gè)過(guò)濾，丟棄或允許通過(guò)ACL應(yīng)用于接口上，每個(gè)接口的出入雙向分別過(guò)濾。僅當(dāng)數(shù)據(jù)包經(jīng)過(guò)一個(gè)接口時(shí)，才能被此接口的此方向的ACL過(guò)濾9.3使用ACL匹配流量，應(yīng)用于過(guò)濾入方向ACL出方向ACL出方向ACL入方向ACL路由轉(zhuǎn)發(fā)進(jìn)程9.4

ACL技術(shù)原理ACL使用數(shù)據(jù)包過(guò)濾技術(shù)，通過(guò)讀取OSI模型中第3層和第4層數(shù)據(jù)包頭中的特征信息，如源地址，目標(biāo)地址，源端口，目標(biāo)端口等，根據(jù)預(yù)先定義好的規(guī)則，在三層設(shè)備上對(duì)經(jīng)過(guò)的數(shù)據(jù)包進(jìn)行過(guò)濾，實(shí)現(xiàn)網(wǎng)絡(luò)安全訪問(wèn)控制的目的。實(shí)施ACL訪問(wèn)控制安全，首先需要在三層設(shè)備中定義一直Acl過(guò)濾規(guī)則；然后把其應(yīng)用在三層設(shè)備的某個(gè)接口上。如在路由器設(shè)備的接口而言，每一個(gè)訪問(wèn)控制列表ACL都需要控制兩個(gè)方向，出接口和入接口的方向。出：已經(jīng)過(guò)路由器的CPU處理，離開路由器的數(shù)據(jù)包。入：已到達(dá)路由器接口的數(shù)據(jù)包，將被路由器的CPU處理。ACL工作原理傳輸意義上ACL規(guī)則，無(wú)論是標(biāo)準(zhǔn)訪問(wèn)控制列表與擴(kuò)展訪問(wèn)控制列表中，均使用列表的標(biāo)識(shí)號(hào)進(jìn)行區(qū)別。由于編號(hào)命名的不規(guī)范，目前更多使用名稱訪問(wèn)控制列表，幫助區(qū)分不同類型的ACL，使用一個(gè)字母或數(shù)字組合的字符串來(lái)代替所數(shù)字列表標(biāo)識(shí)號(hào)。使用名稱訪問(wèn)控制列表不僅僅可以見名識(shí)意，還可以編輯列表，方便刪除某一條特定的控制條目，方便修改。在使用名稱訪問(wèn)控制列表時(shí)，不能以同一名字命名多個(gè)ACL，不同類型的ACL也不能使用相同的名字。ACL分類9.4

ACL技術(shù)原理9.5配置IPACL標(biāo)準(zhǔn)IPACL中，對(duì)數(shù)據(jù)的檢查元素僅是源IP地址。下面以一個(gè)園區(qū)網(wǎng)內(nèi)部訪問(wèn)控制需求為例，描述標(biāo)準(zhǔn)IPACL應(yīng)用步驟及注意事項(xiàng)。在網(wǎng)絡(luò)場(chǎng)景中要求來(lái)自某部門（/24）網(wǎng)段中的計(jì)算機(jī)不可以訪問(wèn)單位的服務(wù)器/32，其他部門的計(jì)算機(jī)訪問(wèn)服務(wù)器不受限制。9.5.1配置標(biāo)準(zhǔn)IPACL9.5配置IPACL使用time-range參數(shù)把配置完成的時(shí)間段和ACL規(guī)則配合使用。需要注意的是，只有在time-range指定時(shí)間段內(nèi)生效，其他未引用時(shí)間段規(guī)則將不受影響。如圖9-10所示為某學(xué)校網(wǎng)絡(luò)，需要配置訪問(wèn)控制規(guī)則，上班時(shí)間（9：00~18：00）不允許員工教學(xué)網(wǎng)主機(jī)（/24）訪問(wèn)Internet，下班時(shí)間可以訪問(wèn)Internet上的Web服務(wù)。詳細(xì)的配置規(guī)則如下所示。9.5.2配置基于時(shí)間ACL9.5配置IPACL為某企業(yè)網(wǎng)絡(luò)，只允許公司財(cái)務(wù)部的計(jì)算機(jī)機(jī)（）訪問(wèn)公司的財(cái)務(wù)服務(wù)器（54），不允許其他任何員工的計(jì)算機(jī)機(jī)訪問(wèn)財(cái)務(wù)服務(wù)器。在網(wǎng)絡(luò)安全訪問(wèn)控制中，使用基于IP的ACL可能無(wú)法滿足網(wǎng)絡(luò)需求。因?yàn)閱T工可以修改計(jì)算機(jī)的IP地址為，就能夠繞過(guò)IPACL針對(duì)IP地址的檢查，實(shí)現(xiàn)對(duì)財(cái)務(wù)服務(wù)器訪問(wèn)。因此，需要使用基于MAC的ACL就避免此現(xiàn)象產(chǎn)生。基于MAC的ACL9.5配置IPACL對(duì)于這樣的需求，使用基于MAC地址過(guò)濾顯然不能實(shí)現(xiàn)安全目標(biāo)，因?yàn)镸ACACL控制列表技術(shù)不能像擴(kuò)展ACL那樣進(jìn)行基于端口信息過(guò)濾。為了滿足這種更復(fù)雜、更精確的數(shù)據(jù)包過(guò)濾需求，可以使用專家（Expert）ACL技術(shù)實(shí)現(xiàn)這樣的效果。專家ACL能考慮到實(shí)際網(wǎng)絡(luò)的復(fù)雜需求，將ACL的檢測(cè)元素?cái)U(kuò)展到源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口和協(xié)議，從而可以實(shí)現(xiàn)對(duì)數(shù)據(jù)的更精確的過(guò)濾，滿足網(wǎng)絡(luò)的復(fù)雜需求。對(duì)于專家ACL，一些交換機(jī)只支持入方向（in）過(guò)濾，在配置和應(yīng)用專家ACL時(shí)需要考慮ACL規(guī)則配置方式，以及應(yīng)用專家ACL的接口?；趯＜褹CL通配符也稱“反掩碼”，和IP地址結(jié)合使用，以描述一個(gè)地址范圍反掩碼和子網(wǎng)掩碼相似，但含義不同0表示：對(duì)應(yīng)位需要比較1表示：對(duì)應(yīng)位不比較9.5訪問(wèn)控制列表的通配符IP地址通配符含義最終表示的網(wǎng)絡(luò)地址55只比較前24位/2455只比較前22位/2255只比較前8位/8每一位都精確比較/3255每一位都不比較/055只比較前10位/10每一條語(yǔ)句也稱為ACE，訪問(wèn)控制表項(xiàng)(AccessControlEntry：ACE) ACE匹配的順序?yàn)閺纳现料?，即編?hào)從低到高進(jìn)行匹配一旦被某條ACE匹配成功（無(wú)論動(dòng)作是deny或permit）,跳出該ACL如果一個(gè)ACL中沒有配置任意一條ACE，則相當(dāng)于允許所有數(shù)據(jù)包如果一個(gè)ACL中配置了任意一條語(yǔ)句，那么將存在一條默認(rèn)ACE：denyipanyany（不顯示）9.5訪問(wèn)控制列表的ACEACL的動(dòng)作分為兩種：permit和denypermit：匹配允許permit后面語(yǔ)句的數(shù)據(jù)/路由deny：不匹配禁止deny后面語(yǔ)句的數(shù)據(jù)/路由9.6訪問(wèn)控制列表的兩種動(dòng)作9.6訪問(wèn)控制列表的入方向過(guò)濾工作流程數(shù)據(jù)包入站是否配置入方向ACL包過(guò)濾數(shù)據(jù)包進(jìn)入轉(zhuǎn)發(fā)流程丟棄匹配第一條ACE匹配第二條ACE匹配最后一條ACE檢查默認(rèn)ACE通過(guò)NoYesYesYesYesNoNoNoNoYesNoNoNo9.6訪問(wèn)控制列表的出方向過(guò)濾工作流程數(shù)據(jù)包出站是否配置出方向ACL包過(guò)濾數(shù)據(jù)包出站丟棄匹配第一條ACE匹配第二條ACE匹配最后一條ACE檢查默認(rèn)ACE通過(guò)NoYesYesYesYesNoNoNoNoYesNoNoNoIP標(biāo)準(zhǔn)ACL只能匹配IP數(shù)據(jù)包頭中的源IP地址配置ACL的時(shí)候使用”standard”關(guān)鍵字IP擴(kuò)展ACL匹配源IP/目的IP、協(xié)議（TCP/IP）、協(xié)議信息（端口號(hào)、標(biāo)志代碼）等配置ACL的時(shí)候使用”extended”關(guān)鍵字除了上面兩種常用類型外，還有以下其他的ACL類型9.7訪問(wèn)控制列表的常用類型ACL類型可匹配內(nèi)容IP標(biāo)準(zhǔn)ACL源IPIP擴(kuò)展ACL源IP，目的IP，ICMPtype，ICMPcode，TCP、UDP端口號(hào)，F(xiàn)ragment，TOS，DSCP，PrecedenceMAC擴(kuò)展ACL源MAC，目的MAC，COS，協(xié)議字段（包括各種協(xié)議）專家級(jí)ACLIP擴(kuò)展可匹配內(nèi)容，MAC擴(kuò)展可匹配內(nèi)容，VID，innerVID，innerCOS自定義ACL（ACL80）專家級(jí)ACL可匹配內(nèi)容，報(bào)文前80字節(jié)的任何內(nèi)容IPV6ACL源IP，目的IP，ICMPtype，ICMPcode，TCP、UDP端口號(hào)，F(xiàn)ragment，DSCP，flow-label標(biāo)準(zhǔn)ACL和擴(kuò)展ACL能夠匹配的數(shù)據(jù)流類型不同標(biāo)準(zhǔn)ACL：僅匹配數(shù)據(jù)包的源IP地址擴(kuò)展ACL：能夠匹配3層及以上多種協(xié)議，并且可以同時(shí)匹配源IP和目的IP等9.7標(biāo)準(zhǔn)ACL與擴(kuò)展ACL的不同Ruijie(config)#ipaccess-liststandard13Ruijie(config-std-nacl)#permit?A.B.C.DSourceaddressanyAnysourcehosthostAsinglesourcehostRuijie(config)#ipaccess-listextended101Ruijie(config-ext-nacl)#permit?<0-255>AnIPprotocolnumbereigrpEnhancedInteriorGatewayRoutingProtocolgreGeneralRoutingEncapsulationicmpInternetControlMessageProtocoligmpInternetGroupManagmentProtocolipAnyInternetProtocolipinipIPInIPnosNOSospfOpenShortestPathFirsttcpTransmissionControlProtocoludpUserDatagramProtocol數(shù)字命名默認(rèn)的命名，需要注意標(biāo)準(zhǔn)和擴(kuò)展兩種類型ACL的數(shù)字命名范圍是不一樣的標(biāo)準(zhǔn)ACL常用數(shù)字命名為1-99，1300-1999擴(kuò)展ACL常用數(shù)字命名為100-199，2000-2699自定義名稱定義更具有代表意義的名稱，推薦使用比如禁止VLAN10內(nèi)的PC訪問(wèn)VLAN30，可以定義為DENY_VLAN10_TO_VLAN309.7訪問(wèn)控制列表的命名Ruijie(config)#ipaccess-liststandard?<1-99>IPstandardacl<1300-1999>IPstandardacl(expandedrange)WORDAclnameACL通過(guò)帶條件的語(yǔ)句來(lái)標(biāo)識(shí)數(shù)據(jù)包例如禁止PC1（IP:0）和PC2（IP:0）訪問(wèn)PC3（IP:0）的數(shù)據(jù)流使用下面的配置方法進(jìn)行配置9.7訪問(wèn)控制列表的配置命令（擴(kuò)展ACL）Ruijie(config)#ipaccess-listextended101Ruijie(config-ext-nacl)#10denyip5555Ruijie(config-ext-nacl)#20denyip5555擴(kuò)展ACL的名字ACL的類型ACE的動(dòng)作源IP與通配符目的IP與通配符若存在多種不同的訪問(wèn)控制需求，就需要在一個(gè)ACL中定義多條語(yǔ)句不允許VLAN10內(nèi)的PC訪問(wèn)/24內(nèi)的所有PC不允許VLAN10內(nèi)的PC訪問(wèn)/24內(nèi)的所有PC僅允許VLAN10內(nèi)的特定PC（0）訪問(wèn)/24內(nèi)的所有PC允許VLAN10內(nèi)PC僅可以訪問(wèn)的tcp80端口其他數(shù)據(jù)流放行配置思路首先確定是采用標(biāo)準(zhǔn)還是擴(kuò)展ACL確定配置ACL中多條語(yǔ)句的順序?qū)⒏袷较嗤▌?dòng)作、數(shù)據(jù)流類型、子網(wǎng)號(hào)、反掩碼等）的語(yǔ)句放置在一起配置根據(jù)需求配置多條語(yǔ)句時(shí)，要確認(rèn)所配置的順序能否滿足需求。具體配置如下：9.8訪問(wèn)控制列表的多條語(yǔ)句配置方法Ruijie(config)#ipaccess-listextendedFOR_VLAN10Ruijie(config-ext-nacl)#permitiphost055Ruijie(config-ext-nacl)#denyip5555Ruijie(config-ext-nacl)#denyip5555Ruijie(config-ext-nacl)#permittcp55hosteq80Ruijie(config-ext-nacl)#denyip55hostRuijie(config-ext-nacl)#permitipanyany序列號(hào)的作用，方便后續(xù)維護(hù)語(yǔ)句自動(dòng)生成的序號(hào)，默認(rèn)以10位單位遞增。也可以在配置ACL中的語(yǔ)句時(shí)提前添加不同的序號(hào)。如果新增需求：禁止VLAN10內(nèi)的PC訪問(wèn)/24。配置如下：9.8訪問(wèn)控制列表的序號(hào)ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555540permittcp55hosteqwww50denyip55host60permitipanyanyRuijie(config)#ipaccess-listextendedFOR_VLAN10Ruijie(config-ext-nacl)#31denyip5555ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555531denyip555540permittcp55hosteqwww50denyip55host60permitipanyany1、應(yīng)用在接口的入方向還是出方向？數(shù)據(jù)流是從交換機(jī)的接口出入，需要將配置好的ACL應(yīng)用在接口上接口可以是物理接口也可以是SVI應(yīng)用的方向根據(jù)ACL的內(nèi)容以及數(shù)據(jù)流進(jìn)入接口的方向進(jìn)行配置選擇9.8訪問(wèn)控制列表的應(yīng)用位置-1數(shù)據(jù)流的源IP是0ipaccess-listextendedFOR_VLAN1010permitiphost05520denyip555530denyip555531denyip555540permittcp55hosteqwww50denyip55host60permitipanyany目標(biāo)網(wǎng)絡(luò)可以應(yīng)用在出接口可以應(yīng)用在入接口2、在什么設(shè)備上配置ACL？需要結(jié)合實(shí)際的需求來(lái)判斷將ACL應(yīng)用在什么層次的設(shè)備上控制VLAN內(nèi)的數(shù)據(jù)流，則需要在接入交換機(jī)上配置ACL控制VLAN間的數(shù)據(jù)流，則需要在匯聚交換機(jī)（網(wǎng)關(guān)）配置ACL配置如下的ACL，應(yīng)用在何處才能夠使得PCA無(wú)法訪問(wèn)PCB？B是對(duì)的，因?yàn)橥粋€(gè)vlan內(nèi)的數(shù)據(jù)流不需要經(jīng)過(guò)匯聚交換機(jī)9.8訪問(wèn)控制列表的應(yīng)用位置-2VLAN10接入交換機(jī)匯聚交換機(jī)PCA0/24PCB0/24VLAN20ipaccess-listextendedFOR_VLAN1010denyiphost0host020permitipanyanyA、應(yīng)用在該接口，方向?yàn)閕nB、應(yīng)用在該接口，方向?yàn)閕n2、在什么設(shè)備上配置ACL？要求VLAN10不能訪問(wèn)VLAN30，VLAN20不能訪問(wèn)VLAN40如果將ACL配置在接入交換機(jī)上，需要在多臺(tái)交換機(jī)上配置，配置工作量較大，而且容易出錯(cuò)因此控制跨網(wǎng)段轉(zhuǎn)發(fā)的數(shù)據(jù)，建議在匯聚網(wǎng)關(guān)(SVI接口)上配置ACL，這樣可以減少配置量，并方便維護(hù)9.8訪問(wèn)控制列表的應(yīng)用位置-2VLAN10接入交換機(jī)匯聚交換機(jī)VLAN20VLAN10VLAN20VLAN30VLAN40……………在網(wǎng)關(guān)交換機(jī)的SVI下配置ACLipaccess-listextendedFOR_VLAN10（為VLAN20配置的ACL略）10denyip555520permitipanyanyRuijie(config)#intvlan10Ruijie((config-VLAN10)#ipaccess-groupFOR_VLAN10inRuijie(config)#intvlan20Ruijie((config-VLAN20)#ipaccess-groupFOR_VLAN20in3、ACL是在靠近源的設(shè)備上應(yīng)用還是靠近目的的設(shè)備上應(yīng)用？需要結(jié)合ACL的類型以及實(shí)際的應(yīng)用、配置的工作量進(jìn)行考慮標(biāo)準(zhǔn)ACL（匹配源地址），在靠近報(bào)文目的的設(shè)備上進(jìn)行配置如果應(yīng)用在靠近數(shù)據(jù)源的設(shè)備上，會(huì)有什么問(wèn)題？9.8訪問(wèn)控制列表的應(yīng)用位置-3使用標(biāo)準(zhǔn)ACL控制PCA不能訪問(wèn)PCBipaccess-liststandardAtoB10deny5520permitipanyany內(nèi)部網(wǎng)絡(luò)PCA0/24PCB0/243、ACL是在靠近源的設(shè)備上應(yīng)用還是靠近目的的設(shè)備上應(yīng)用？需要結(jié)合ACL的類型以及實(shí)際的應(yīng)用、配置的工作量進(jìn)行考慮標(biāo)準(zhǔn)ACL（匹配源地址），在靠近報(bào)文目的的設(shè)備上進(jìn)行配置擴(kuò)展ACL（匹配目的地址），建議在靠近報(bào)文源的設(shè)備上進(jìn)行配置避免數(shù)據(jù)包在網(wǎng)絡(luò)中經(jīng)過(guò)多個(gè)設(shè)備轉(zhuǎn)發(fā)才在靠近目的的設(shè)備上被丟棄掉，會(huì)浪費(fèi)網(wǎng)絡(luò)資源9.8訪問(wèn)控制列表的應(yīng)用位置-3使用擴(kuò)展ACL控制PCA不能訪問(wèn)PCBipaccess-listextendedAtoB10denyip555520permitipanyany內(nèi)部網(wǎng)絡(luò)PCA0/24PCB0/243、ACL是在靠近源的設(shè)備上應(yīng)用還是靠近目的的設(shè)備上應(yīng)用？需要結(jié)合ACL的類型以及實(shí)際的應(yīng)用、配置的工作量進(jìn)行考慮標(biāo)準(zhǔn)ACL（匹配源地址），在靠近報(bào)文目的的設(shè)備上進(jìn)行配置擴(kuò)展ACL（匹配目的地址），建議在靠近報(bào)文源的設(shè)備上進(jìn)行配置對(duì)于擴(kuò)展ACL，如果想集中控制的話，也可以在報(bào)文目的設(shè)備上進(jìn)行配置若要控制很多源IP網(wǎng)段不能訪問(wèn)PCB，可以在靠近PCB的設(shè)備上應(yīng)用ACL，減少配置工作量，實(shí)現(xiàn)集中管理9.8訪問(wèn)控制列表的應(yīng)用位置-3PCC0/24使用擴(kuò)展ACL控制PCA和PCC不能訪問(wèn)PCBipaccess-listextendedtoB10denyip555520denyip555530permitipanyany內(nèi)部網(wǎng)絡(luò)PCA0/24PCB0/24在實(shí)際中除了使用ACL控制網(wǎng)段之間的互訪外，還有一種比較常見的用法，就是封閉常見的病毒或木馬占用的端口，并在三層網(wǎng)關(guān)SVI接口下應(yīng)用，如下的防病毒ACL配置防病毒的ACL也可能會(huì)與某些應(yīng)用的端口號(hào)重合，實(shí)施時(shí)需要注意控制互訪和防病毒兩種應(yīng)用在實(shí)際中也多結(jié)合在一起，因此在配置的時(shí)候需要注意ACE的先后順序防病毒應(yīng)用ipaccess-listextendedantivirus10denytcpanyanyeq106820denytcpanyanyeq555430denytcpanyanyeq999540denytcpanyanyeq999650denytcpanyanyeq102260denytcpanyanyeq102370denytcpanyanyeq44580denytcpanyanyeq13590denytcpanyanyeq4444100denytcpanyanyeq1080110denytcpanyanyeq3128…(省略部分)280permitipanyanyACL可以添加時(shí)間參數(shù)，使其在特定的時(shí)間生效例如：公司架設(shè)有web服務(wù)器，現(xiàn)在要求服務(wù)器僅在工作日的早上9：00至下午18：00提供員工訪問(wèn)，其他時(shí)間均不能訪問(wèn)9.9基于時(shí)間的ACLPCSW1SW2WebServer內(nèi)部網(wǎng)絡(luò)9.10配置修改IPACL在基于編號(hào)的ACL規(guī)則編制中，使用“access-list”命令配置完成編號(hào)ACL后，如果需要對(duì)其進(jìn)行修改，如添加一條新規(guī)則，系統(tǒng)默認(rèn)添加至現(xiàn)有ACL規(guī)則末尾。如果要將一條新規(guī)則插入到現(xiàn)有規(guī)則中間，只能對(duì)整個(gè)ACL重新編寫。這將帶來(lái)大量維護(hù)工作。在基于名稱的ACL規(guī)則編制中，針對(duì)此項(xiàng)進(jìn)行改進(jìn)。使用“ipaccess-list”命令配置名稱ACL時(shí)，系統(tǒng)進(jìn)入到ACL配置模式，在配置規(guī)則命令之前，添加一個(gè)序號(hào)參數(shù)（sequence-number），即可插入一條新過(guò)濾規(guī)則。9.2.7編輯修改ACL規(guī)則【網(wǎng)絡(luò)實(shí)踐】:使用ACL保護(hù)企業(yè)網(wǎng)安全某企業(yè)的網(wǎng)絡(luò)使用多臺(tái)交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)的互聯(lián)互通。其中，接入層交換機(jī)SwitchC連接各部門計(jì)算機(jī)，通過(guò)千兆光纖連接匯聚層交換機(jī)。在匯聚層交換機(jī)SwitchB上劃分多個(gè)VLAN，每個(gè)部門為一個(gè)VLAN，通過(guò)萬(wàn)兆光纖上連核心層設(shè)備。在核心層SwitchA上實(shí)現(xiàn)全網(wǎng)絡(luò)連接，公司多臺(tái)服務(wù)器如FTP，HTTP服務(wù)器等連接在核心交換機(jī)上，通過(guò)防火墻與Internet相連。為了保護(hù)企業(yè)網(wǎng)的安全，單位提出了以下組網(wǎng)需求：封堵各種病毒的常用端口，以保障內(nèi)網(wǎng)安全。只允許內(nèi)部計(jì)算機(jī)訪問(wèn)公司的服務(wù)器，不允許外部計(jì)算機(jī)訪問(wèn)服務(wù)器；只允許財(cái)務(wù)部門計(jì)算機(jī)訪問(wèn)財(cái)務(wù)部計(jì)算機(jī)，不允許非財(cái)務(wù)部門計(jì)算機(jī)訪問(wèn)；不允許非研發(fā)部門計(jì)算機(jī)訪問(wèn)研發(fā)部計(jì)算機(jī)；不允許研發(fā)部門人員在上班時(shí)間（即9:00~18:00）使用QQ等聊天工具上網(wǎng)，只允許使用企業(yè)內(nèi)部微信溝通?！救蝿?wù)描述】【設(shè)計(jì)過(guò)程】省略好好學(xué)習(xí)天天向上單元10：使用IS-IS構(gòu)建可擴(kuò)展路由網(wǎng)絡(luò)《高級(jí)路由技術(shù)》(理論篇）主講教師：XXX技術(shù)背景在園區(qū)網(wǎng)絡(luò)中，人們通常部署OSPF路由來(lái)提高網(wǎng)絡(luò)高可用性和擴(kuò)展性，很少使用IS-IS路由協(xié)議。但在運(yùn)營(yíng)商的網(wǎng)絡(luò)部署中，很多運(yùn)營(yíng)商都使用IS-IS來(lái)代替OSPF協(xié)議，不僅僅獲得OSPF路由協(xié)議所具有的優(yōu)勢(shì)，而且還提供更多可管理性和擴(kuò)展性機(jī)制。學(xué)習(xí)目標(biāo)了解IS-IS路由原理掌握IS-IS路由尋址掌握IS-IS鏈路狀態(tài)操作會(huì)配置IS-IS路由10.1認(rèn)識(shí)IS-IS路由協(xié)議OSI參考模型中同時(shí)也規(guī)范了網(wǎng)絡(luò)服務(wù)，定義了網(wǎng)絡(luò)設(shè)備之間使用無(wú)連接通信功能，也就是CLNS（ConnectionlessNetworkService，無(wú)連接網(wǎng)絡(luò)服務(wù)）。使用CLNS服務(wù)，無(wú)需在發(fā)送數(shù)據(jù)之間建立端到端的路徑，即可實(shí)現(xiàn)通信。CLNS服務(wù)系統(tǒng)中包括的三個(gè)重要協(xié)議組件：CLNP（ConnectionlessNetworkProtocol，無(wú)連接網(wǎng)絡(luò)協(xié)議）、IS-IS、ES-IS（EndSystem—IntermediateSystem，終端系統(tǒng)—中間系統(tǒng)）。10.1.1區(qū)分OSI網(wǎng)絡(luò)與CLNS網(wǎng)絡(luò)10.1認(rèn)識(shí)IS-IS路由協(xié)議在OSI通信模型中，主機(jī)（如PC）稱為ES（終端系統(tǒng)），路由器稱為IS（中間系統(tǒng)）。ES-IS是一種終端系統(tǒng)和路由器之間路由協(xié)議，實(shí)現(xiàn)同一網(wǎng)段中終端系統(tǒng)和路由器之間彼此發(fā)現(xiàn)對(duì)方，讓終端系統(tǒng)（ES）獲悉其網(wǎng)絡(luò)層地址。在CLNS網(wǎng)絡(luò)環(huán)境中，ES-IS就好像IP網(wǎng)絡(luò)中ICMP、ARP與DHCP協(xié)議一樣，協(xié)同IP協(xié)議開展工作。需要注意的是，生活中PC終端不使用ES-IS，因?yàn)镻C運(yùn)行TCP/IP協(xié)議。在CLNS網(wǎng)絡(luò)中，ES-IS協(xié)議工作機(jī)制。10.1.1區(qū)分OSI網(wǎng)絡(luò)與CLNS網(wǎng)絡(luò)10.1認(rèn)識(shí)IS-IS路由協(xié)議IS-IS路由協(xié)議工作在CLNS網(wǎng)絡(luò)環(huán)境，是CLNS網(wǎng)絡(luò)中的一個(gè)協(xié)議組件，在不支持IP網(wǎng)絡(luò)環(huán)境中的路由信息交換。為了實(shí)現(xiàn)IS-IS路由協(xié)議在IP網(wǎng)絡(luò)中交換路由信息，IETF組織對(duì)IS-IS協(xié)議進(jìn)行了擴(kuò)展，稱為集成IS-IS（IntegratedIS-IS）或雙重IS-IS（DualIS-IS）。集成IS-IS是一個(gè)能同時(shí)處理多個(gè)網(wǎng)絡(luò)層協(xié)議（如IP和CLNP）路由協(xié)議，能應(yīng)用在TCP/IP網(wǎng)絡(luò)和OSI網(wǎng)絡(luò)，為IP網(wǎng)絡(luò)提供動(dòng)態(tài)路由信息交換。相反，OSPF只支持IP一種網(wǎng)絡(luò)層協(xié)議，即OSPF僅支持IP路由。10.1.2了解IS-IS路由協(xié)議10.2掌握IS-IS路由技術(shù)Level-0路由（簡(jiǎn)稱L0路由）發(fā)生在ES與IS之間，使用ES-IS進(jìn)行路由信息交換。如之前介紹ES-IS那樣，ES通過(guò)偵聽I(yíng)S發(fā)送的ISH報(bào)文獲知IS的存在。當(dāng)ES要向其它ES發(fā)送信息時(shí)，它把數(shù)據(jù)包發(fā)送到IS。同樣，IS也偵聽ES發(fā)送的ESH報(bào)文，獲知ES的存在，當(dāng)有數(shù)據(jù)包要發(fā)送個(gè)某個(gè)ES時(shí)，根據(jù)通過(guò)ESH獲取到信息發(fā)送個(gè)特定的ES。這個(gè)過(guò)程稱L0路由選擇。10.2.1區(qū)分4種路由類型10.2掌握IS-IS路由技術(shù)在4種路由類型，IS-IS提供路由僅為L(zhǎng)1和L2這兩個(gè)級(jí)別，也就是說(shuō)IS-IS能實(shí)現(xiàn)在同一個(gè)路由域內(nèi)和域間路由選擇。因此，IS-IS路由選擇分為兩個(gè)等級(jí)，即L1和L2。IS-IS區(qū)域中的L1路由選擇，負(fù)責(zé)路由到區(qū)域內(nèi)的終端系統(tǒng)（ES）和IS。在同一個(gè)路由選擇區(qū)域中，所有設(shè)備的區(qū)域地址都相同。區(qū)域內(nèi)的路由選擇通過(guò)查看地址中的系統(tǒng)ID，然后，選擇最短的路徑來(lái)完成。IS-IS區(qū)域中的L2路由選擇在IS-IS區(qū)域之間進(jìn)行。路由器通過(guò)L2路由獲悉L1路由選擇的區(qū)域位置，并建立一個(gè)到達(dá)其它區(qū)域的路由表。10.2.2了解IS-IS路由類型10.2掌握IS-IS路由技術(shù)OSPF網(wǎng)絡(luò)中骨干區(qū)域就是區(qū)域0（Area0）。而IS-IS網(wǎng)絡(luò)中的骨干區(qū)域由具有L2路由選擇功能的路由器（L2或L1/2路由器）組成，而且必須物理上連續(xù)，IS-IS網(wǎng)絡(luò)中的骨干區(qū)域是一個(gè)虛擬區(qū)域。IS-IS與OSPF最大的區(qū)別就是：IS-IS協(xié)議的區(qū)域劃分的邊界位于鏈路；OSPF協(xié)議的區(qū)域邊界位于ABR路由器，通過(guò)ABR路由器維護(hù)與其相連的每一個(gè)區(qū)域內(nèi)的數(shù)據(jù)庫(kù)，也就是Area0骨干區(qū)域數(shù)據(jù)庫(kù)和Area1非骨干區(qū)域數(shù)據(jù)庫(kù)。10.2.3掌握IS-IS路由區(qū)域10.2掌握IS-IS路由技術(shù)IS-IS網(wǎng)絡(luò)中骨干區(qū)域是虛擬，更利于擴(kuò)展，靈活性更強(qiáng)。當(dāng)需要擴(kuò)展骨干時(shí)，只需添加L1/2路由器或L2路由器即可，這比OSPF網(wǎng)絡(luò)靈活的多。10.2.3掌握IS-IS路由區(qū)域10.2掌握IS-IS路由技術(shù)IS-IS僅負(fù)責(zé)L1和L2等級(jí)路由，相應(yīng)IS-IS路由器等級(jí)（或稱IS-IS路由器類型）分為3種：L1路由器（Level1）、L2路由器（Level2）和L1/2（Level1/2）路由器。如圖3種類型路由器在網(wǎng)絡(luò)中位置及發(fā)揮作用。10.2.4區(qū)分IS-IS路由器等級(jí)10.2掌握IS-IS路由技術(shù)在IS-IS中，針對(duì)廣播型和點(diǎn)到點(diǎn)型網(wǎng)絡(luò)，使用不同Hello報(bào)文。IS-IS的Hello報(bào)文分為三種類型。（1）點(diǎn)到點(diǎn)Hello報(bào)文：在點(diǎn)到點(diǎn)鏈路上建立鄰接關(guān)系。（2）第1層LANHello報(bào)文：在廣播型網(wǎng)絡(luò)（LAN）中建立L1鄰接關(guān)系（3）第2層LANHello報(bào)文：在廣播型網(wǎng)絡(luò)（LAN）中建立L2鄰接關(guān)系。路由器之間在特定鏈路上，交換特定類型的HelloPDU，形成鄰接關(guān)系。其中，IS-IS路由器發(fā)送L1IIH報(bào)文，使用組播地址為0180.c200.0014（所有L1路由器）；IS-IS路由器發(fā)送L2IIH報(bào)文，使用組播地址為0180.c200.0015（所有L2路由器）。10.2.5掌握IS-IS鄰接關(guān)系10.2掌握IS-IS路由技術(shù)針對(duì)廣泛應(yīng)用NBMA網(wǎng)絡(luò)類型，IS-IS默認(rèn)為廣播類型。也就是說(shuō)，針對(duì)以太網(wǎng)廣播型網(wǎng)絡(luò)或LAN接口，以及封裝Frame-Relay的主接口和多點(diǎn)子接口，IS-IS協(xié)議都將其看作廣播型網(wǎng)絡(luò)。點(diǎn)到點(diǎn)類型網(wǎng)絡(luò)出現(xiàn)在封裝PPP串行鏈路，或是永久虛電路（PVC）環(huán)境中。通常點(diǎn)到點(diǎn)類型的網(wǎng)絡(luò)都是連接廣域網(wǎng)接口。10.2.6區(qū)別IS-IS網(wǎng)絡(luò)類型10.2掌握IS-IS路由技術(shù)IS-IS協(xié)議沒有規(guī)定對(duì)NBMA網(wǎng)絡(luò)的支持。對(duì)于OSPF協(xié)議中定義的NBMA接口，IS-IS認(rèn)為其網(wǎng)絡(luò)拓?fù)涫荘VC全互連（mesh）的網(wǎng)絡(luò)，把它看作廣播型網(wǎng)絡(luò)。如果不是PVC全互連的結(jié)構(gòu)，推薦使用點(diǎn)到點(diǎn)類型網(wǎng)絡(luò)，即使用點(diǎn)到點(diǎn)子接口，以免造成NBMA網(wǎng)絡(luò)中的鏈路狀態(tài)數(shù)據(jù)庫(kù)同步出現(xiàn)問(wèn)題。在一個(gè)Frame-Relay網(wǎng)絡(luò)，使用點(diǎn)到點(diǎn)子接口來(lái)解決IS-IS協(xié)議在NBMA網(wǎng)絡(luò)中操作的不足，也就是將其轉(zhuǎn)化為點(diǎn)到點(diǎn)類型的網(wǎng)絡(luò)。10.2.6區(qū)別IS-IS網(wǎng)絡(luò)類型10.2掌握IS-IS路由技術(shù)根據(jù)建立的鄰接關(guān)系（鄰接數(shù)據(jù)庫(kù)），路由器上的IS-IS協(xié)議更新進(jìn)程將鏈路狀態(tài)數(shù)數(shù)據(jù)包（LSP）通告給所有的鄰居，同時(shí)，也收到其它鄰居通告的鏈路狀態(tài)信息，并復(fù)制收到的LSP并通告給其它鄰居。與OSPF一樣，同一個(gè)區(qū)域中的路由器都維護(hù)相同的區(qū)域拓?fù)浣Y(jié)構(gòu)和鏈路狀態(tài)數(shù)據(jù)庫(kù)，即L1鏈路狀態(tài)數(shù)據(jù)庫(kù)。區(qū)域內(nèi)的路由器依靠序列號(hào)數(shù)據(jù)包（SNP）進(jìn)行數(shù)據(jù)庫(kù)的同步和更新。IS-IS協(xié)議中的L1鏈路狀態(tài)數(shù)據(jù)庫(kù)與L2鏈路狀態(tài)數(shù)據(jù)庫(kù)是分離的；其中，L2鏈路狀態(tài)數(shù)據(jù)庫(kù)包含相連的所有區(qū)域的區(qū)域前綴信息，以實(shí)現(xiàn)區(qū)域間的路由。路由器上IS-IS協(xié)議從轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中，提取出最短的路徑注入到路由選擇信息庫(kù)，也就是路由器用來(lái)指導(dǎo)數(shù)據(jù)轉(zhuǎn)發(fā)的路由表。當(dāng)轉(zhuǎn)發(fā)數(shù)據(jù)庫(kù)中存在多條等價(jià)的最優(yōu)路徑時(shí)，多條路徑可以同時(shí)加入到路由表中。IS-IS協(xié)議默認(rèn)管理距離（AD）為115；而OSPF的默認(rèn)管理距離為110。10.2.7了解IS-IS路由選擇信息庫(kù)10.3了解IS-IS尋址在OSI參考模型中，每一層協(xié)議都為高層提供特定服務(wù)。NSAP定義了適當(dāng)?shù)姆?wù)接口，類似于TCP和UDP定義協(xié)議類型。由于一臺(tái)網(wǎng)絡(luò)設(shè)備可能連接多個(gè)鏈路，所以需要有多個(gè)SNPA地址，但只需要一個(gè)CLNP地址。ES-IS的主要功能之一就是為節(jié)點(diǎn)提供NSAP地址到SNPA地址的映射。10.3.1NSAP地址10.3了解IS-IS尋址在IS-IS協(xié)議實(shí)施的路由選擇過(guò)程中，沒有使用NSAP地址中NSEL，所以NSEL始終為00。當(dāng)NSEL為00時(shí)，稱NSAP地址為NET地址（NetworkEntityTitile，網(wǎng)絡(luò)實(shí)體標(biāo)題）。NET地址唯一地表示IS-IS路由選擇域中OSI主機(jī)，路由器使用NET地址標(biāo)識(shí)自己。路由器發(fā)送的鏈路狀態(tài)數(shù)據(jù)包（LSP）中，用NET地址標(biāo)識(shí)自己，類似于OSPF發(fā)送LSA中路由器ID（RouterID）。10.3.2NET地址10.3了解IS-IS尋址假設(shè)路由器有一個(gè)Loopback接口，其IP地址為7，轉(zhuǎn)換步驟如下。第一步：由于點(diǎn)分十進(jìn)制環(huán)回接口的IP地址每一個(gè)字節(jié)不夠3位數(shù)字，使用前0填充補(bǔ)足3位。也就是將7轉(zhuǎn)換為192.168.001.017。第二步：此時(shí)IP地址變?yōu)榱?2個(gè)數(shù)字。然后，按照每4個(gè)數(shù)字一組分為3組，192.168.001.017地址轉(zhuǎn)換為1921.6800.1017地址格式。第三步：將1921.6800.1017地址作為NET地址中的SysID字段，再加上區(qū)域地址和NSEL（00）后，就形成了NET地址。假設(shè)區(qū)域地址為49.0011，使用IP地址轉(zhuǎn)換為SysID的完整NET地址就為：49.0011.1921.6800.1017.0010.3.3系統(tǒng)ID（SysID）10.3了解IS-IS尋址使用IS-IS多宿主功能，可將不同區(qū)域合并到一個(gè)區(qū)域。一臺(tái)L1路由器只在本區(qū)域內(nèi)擴(kuò)散鏈路狀態(tài)信息，如果路由器連接在兩個(gè)區(qū)域，可以在多個(gè)區(qū)域內(nèi)擴(kuò)散鏈路狀態(tài)信息，使用區(qū)域合并機(jī)制，有效完成區(qū)域合并。如圖路由器R1與R2都為L(zhǎng)1/2路由器，屬于不同區(qū)域49.0001和49.0002，它們之間建立L2鄰接關(guān)系，路由器R1與R2都向L2骨干區(qū)域通告鏈路狀態(tài)信息。需要將這兩個(gè)區(qū)域合并為一個(gè)區(qū)域，可以為R1路由器賦予兩個(gè)NET地址，這兩個(gè)NET地址包含不同區(qū)域地址，分別為49.0001和49.0002，但是SysID是相同。10.3.4不同區(qū)域NET地址10.3了解IS-IS尋址由于路由器R1具有區(qū)域地址為49.0002的NET地址，與路由器R2區(qū)域地址相同，根據(jù)IS-IS建立鄰接關(guān)系規(guī)則，路由器R1與R2建立一個(gè)L1鄰接關(guān)系，擁有一個(gè)合并L1鏈路數(shù)據(jù)庫(kù)?？梢詫⒙酚善鱎1原先的49.0001的NET地址刪除，完成區(qū)域合并。10.3.4不同區(qū)域NET地址10.4認(rèn)識(shí)IS-IS鏈路狀態(tài)數(shù)據(jù)庫(kù)（LSDB）在多區(qū)域IS-IS路由域，同時(shí)存在著Level1鏈路狀態(tài)數(shù)據(jù)庫(kù)和Level2鏈路狀態(tài)數(shù)據(jù)庫(kù)。區(qū)域內(nèi)L1路由器維護(hù)各自區(qū)域Level1鏈路狀態(tài)數(shù)據(jù)庫(kù)；Level2鏈路狀態(tài)數(shù)據(jù)庫(kù)由具有L2路由功能路由器（L2路由器和L1/2路由器）維護(hù)。所有具有L2路由功能路由器都擁有一個(gè)相同Level2鏈路狀態(tài)數(shù)據(jù)庫(kù)。對(duì)于L1/2路由器，同時(shí)維護(hù)兩個(gè)鏈路狀態(tài)數(shù)據(jù)庫(kù)，Level1鏈路狀態(tài)數(shù)據(jù)庫(kù)和Level2鏈路狀態(tài)數(shù)據(jù)庫(kù)。Level1鏈路狀態(tài)數(shù)據(jù)庫(kù)中存放的是它所連接的非骨干區(qū)域鏈路狀態(tài)信息集合，Level2鏈路狀態(tài)數(shù)據(jù)庫(kù)中存放是骨干區(qū)域鏈路狀態(tài)信息集合。10.5區(qū)分IS-IS報(bào)文從點(diǎn)到點(diǎn)IIHPDU格式看出，大部分字段與L1/L2LANIIHPDU的報(bào)文相同。但在點(diǎn)到點(diǎn)IIHPDU中沒有“Priority”字段，在點(diǎn)到點(diǎn)網(wǎng)絡(luò)上不需要選舉DIS。使用“LocalCircuitID”代替LANIIHPDU的“LANID”字段。LocalCircuitID（本地電路ID）由發(fā)送HelloPDU路由器分配給這條電路標(biāo)識(shí)，在路由器接口唯一。在點(diǎn)到點(diǎn)鏈路的另一端，Hello報(bào)文中本地電路ID可能不為同樣值。鏈路狀態(tài)報(bào)文LSP（LinkStatePDUs）用于交換鏈路狀態(tài)信息。分為兩種：Level-1LSP和Level-2LSP，各自承載IS-IS不同層次的路由信息，它們有著相同報(bào)文格式。每個(gè)LSP都包含重要信息：LSPID、LSP序列號(hào)、LSP校驗(yàn)和、剩余時(shí)間、區(qū)域關(guān)聯(lián)狀態(tài)、超載狀態(tài)以及區(qū)域劃分。10.6掌握IS-IS路由原理首先，RouterA在網(wǎng)絡(luò)中廣播發(fā)送Level-2LANIIH，此報(bào)文中無(wú)鄰居標(biāo)識(shí)?；ミBRouterB收到報(bào)文后，將自己和RouterA鄰居狀態(tài)標(biāo)識(shí)為Initial。然后，RouterB再向RouterA回復(fù)Level-2LANIIH，報(bào)文中標(biāo)識(shí)RouterA為RouterB鄰居。對(duì)端RouterA收到此報(bào)文，將自己與RouterB鄰居狀態(tài)標(biāo)識(shí)為Up。然后，RouterA再向RouterB發(fā)送一個(gè)標(biāo)識(shí)RouterB為RouterA鄰居的Level-2LANIIH。最后，RouterB收到此報(bào)文后，將自己與RouterA鄰居狀態(tài)標(biāo)識(shí)為Up。兩臺(tái)路由器成功建立鄰居關(guān)系。10.6.1建立IS-IS鄰居關(guān)系10.6掌握IS-IS路由原理IS-IS路由域內(nèi)的所有路由器都產(chǎn)生自己LSP，LSP報(bào)文“泛洪”指當(dāng)一臺(tái)路由器向相鄰路由器通告自己LSP，相鄰路由器再將同樣LSP報(bào)文傳送到除發(fā)送該LSP的路由器外其它鄰居，并逐級(jí)將LSP傳送到整個(gè)層次內(nèi)所有路由器方式。通過(guò)這種“泛洪”，層次內(nèi)每一臺(tái)路由器都擁有相同LSP，保持LSDB同步。每一個(gè)LSP擁有標(biāo)識(shí)自己4字節(jié)序列號(hào)。在路由器啟動(dòng)時(shí)發(fā)送第一個(gè)LSP報(bào)文中序列號(hào)為1，需要生成新的LSP時(shí)，在前一個(gè)LSP序列號(hào)基礎(chǔ)上加1，更高序列號(hào)意味著更新LSP。10.6.2實(shí)現(xiàn)LSP交互10.6掌握IS-IS路由原理首先，RouterA與RouterB建立鄰居關(guān)系。建立鄰居關(guān)系之后，RouterA與RouterB先發(fā)送CSNP給對(duì)端。如果一方發(fā)現(xiàn)對(duì)端LSDB與CSNP沒有同步，則發(fā)送PSNP報(bào)文，請(qǐng)求相應(yīng)LSP。假定RouterB通過(guò)PSNP報(bào)文，向