1.IS-IS认证
IS-IS认证是基于网络安全性的要求而实现的一种认证手段,通过在IS-IS报文中增加认证字段对报文进行认证。当本地路由器接收到远端路由器发送过来的IS-IS报文,如果发现认证密码不匹配,则将收到的报文进行丢弃,达到自我保护的目的。
1.1.接口认证
使能IS-IS协议的接口以指定方式和密码对Level-1和Level-2的Hello报文进行认证。
发送带认证TLV的认证报文,本地对收到的报文也进行认证检查。
发送带认证TLV的认证报文,但是本地对收到的报文不进行认证检查。
1.2.区域认证
运行IS-IS的区域以指定方式和密码对Level-1的SNP和LSP报文进行认证。
1.3.路由域认证
运行IS-IS的路由域以指定方式和密码对Level-2的SNP和LSP报文进行认证。
1.4.认证规则
本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都进行认证检查。
本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文携带认证TLV,但不对收到的SNP报文进行检查。
本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文不携带认证TLV,也不对收到的SNP报文进行认证检查。
本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都不进行认证检查。
2.认证方式
明文认证:一种简单的认证方式,将配置的密码直接加入报文中,这种认证方式安全性不够。
MD5认证:通过将配置的密码进行MD5算法之后再加入报文中,这样提高了密码的安全性。
Keychian认证:通过配置随时间变化的密码链表来进一步提升网络的安全性。
3.IS-IS路由渗透
通常情况下,Level-1区域内的路由通过Level-1路由器进行管理。所有的Level-2和Level-1-2路由器构成一个连续的骨干区域。Level-1区域必须且只能与骨干区域相连,不同的Level-1区域之间并不相连。
Level-1-2路由器将学习到的Level-1路由信息装进Level-2 LSP,再泛洪LSP给其他Level-2和Level-1-2路由器。因此,Level-1-2和Level-2路由器知道整个IS-IS路由域的路由信息。但是,为了有效减小路由表的规模,在缺省情况下,Level-1-2路由器并不将自己知道的其他Level-1区域以及骨干区域的路由信息通报给它所在的Level-1区域。这样,Level-1路由器将不了解本区域以外的路由信息,可能导致与本区域之外的目的地址通信时无法选择最佳的路由。
为解决上述问题,IS-IS提供了路由渗透功能。通过在Level-1-2路由器上定义ACL(Access Control List)、路由策略、Tag标记等方式,将符合条件的路由筛选出来,实现将其他Level-1区域和骨干区域的部分路由信息通报给自己所在的Level-1区域。
如上图所示,RouterA发送报文给RouterF,选择的最佳路径应该是RouterA->RouterB->RouterD->RouterE->RouterF。因为这条链路上的cost值为40,但在RouterA上查看发送到RouterF的报文选择的路径是:RouterA->RouterC->RouterE->RouterF,其cost值为70,不是RouterA到RouterF的最优路由。
RouterA作为Level-1路由器并不知道本区域外部的路由,那么发往区域外的报文都会选择由最近的Level-1-2路由器产生的缺省路由发送出去,所以会出现RouterA选择次最优路由转发报文的情况。
如果分别在Level-1-2路由器RouterC和RouterD上使能路由渗透功能,Aera10中的Level-1路由器就会拥有经这两个Level-1-2路由器通向区域外的路由信息。经过路由计算,选择的转发路径为RouterA->RouterB->RouterD->RouterE->RouterF,即RouterA到RouterF的最优路由。