ISIS协议验证项目三大型企业网互联互通ISIS协议13课.pptxVIP

主讲人：战美玲山东轻工职业学院网络设备配置与管理IS-ISprotocolverificationIS-IS协议验证项目三大型企业网互联互通—ISIS协议

1IS-IS协议验证IS-IS协议验证的目的IS-IS的协议验证的核心目的具体包括：1.身份合法性验证：确保只有授权设备能参与路由信息交互。2、数据完整性保护：防止路由信息在传输过程中被篡改。3、抗重放攻击：避免攻击者通过重复发送旧报文干扰网络。IS-IS协议验证的核心目的，就是要在源头上杜绝非法设备接入网络，有效抵御恶意攻击，防止路由信息被篡改。

1IS-IS协议验证验证分类第一类是接口验证只对Level-1和Level-2的Hello报文进行认证。这就好比在每一扇房屋的门上安装一把独特的锁，只有拥有对应钥匙的人才能进入。在网络中，接口验证在路由器的接口级别进行，它确保连接到该接口的邻居设备是经过授权的。这种验证方式常用于小型网络，或者对单个链路安全性要求较高的场景。比如说家庭网络连接到小区网络的接口处，通过接口验证，就能防止邻居随意蹭网。

1IS-IS协议验证验证分类第二类是区域验证对Level-1的SNP和LSP报文进行认证。类似于给一个大型社区的所有出入口设置统一的门禁系统，只有持有社区统一发放门禁卡的人才能自由进出。在网络里，区域验证针对整个区域进行，只有通过区域统一认证的设备，才能在区域内进行路由信息交互。像企业园区内不同区域间的网络连接，就可以采用区域验证，保障园区内部不同区域之间的网络安全。

1IS-IS协议验证验证分类第三类是路由域验证对Level-2的SNP和LSP报文进行认证。它相当于给整个城市的所有交通要道设置统一的安检关卡，对所有进入城市的人员和车辆进行全面检查。在网络中，路由域验证作用于整个路由域，对所有参与路由的设备进行统一验证，是一种最为全面、严格的验证方式。常用于跨数据中心互联时，避免外部路由域渗透，比如大型跨国公司的全球网络。

1IS-IS协议验证验证方式明文验证配置明文验证时，只需在路由器的接口配置模式下简单设置一个验证密码。当邻居路由器连接时，会发送包含这个密码的验证信息，接收方验证密码一致后，才建立邻居关系。这种方式的优点是配置简单直接。它的缺点也很突出，安全性相对较低，因为密码是以明文形式传输的，就像在公开场合大声说出家门钥匙密码，极易被不法分子窃取。在小型企业分支网络中，由于分支网络规模较小，对安全性要求不是特别高，同时希望配置简单快捷，明文验证方式就有了用武之地。

1IS-IS协议验证验证方式MD5验证需要设置密钥ID和密码，路由器会根据这些信息生成一个MD5摘要。在发送路由信息时，会附带这个摘要，接收方根据相同的算法生成摘要并进行比对。只有比对一致，才会建立邻居关系。因为摘要在传输过程中很难被篡改，如同给重要文件加上了一个难以伪造的电子签名，所以MD5验证大大提高了安全性。以金融机构的内部网络为例，核心路由器之间传输着海量的敏感金融数据，对安全性的要求极高。

1IS-IS协议验证验证方式Keychain验证需要先创建一个Keychain，然后在Keychain中设置多个密钥，并指定每个密钥的生效时间。在与邻居路由器进行验证时，可以根据时间自动切换使用不同的密钥。在大型跨国企业的广域网连接中，不同地区的路由器之间通过互联网连接，网络环境复杂多变，面临的安全威胁多种多样。即使某个密钥不幸被泄露，由于密钥会及时更新，也能最大程度减少安全风险。

1小结IS-IS协议验证的目的IS-IS协议验证分类总结IS-IS协议验证方式

感谢您的观看山/东/轻/工/职/业/学/院主讲人：战美玲Thankyouforwatching