39 KiB
BGP边界网关协议
作者:行癫
第一节:IS-IS原理与配置
一:IS-IS的基本概念
1.IS-IS概述
IS-IS是ISO定义的OSI协议栈中的CLNS(ConnectionLess Network Service,无连接网络服务)的一部分
IS-IS是一种链路状态路由协议,IS-IS与OSPF在许多方面非常相似,例如运行IS-IS协议的直连设备之间通过发送Hello报文发现彼此,然后建立邻接关系,并交互链路状态信息
CLNS由以下三个部分组成:
CLNP:类似于TCP/IP中的IP协议 (CLNP:无连接网络协议)
IS-IS:类似于TCP/IP中的OSPF
ES-IS:类似于TCP/IP中的ARP,ICMP等
ES:End System,终端系统,类似于IP网络环境中的主机
ES-IS:End System to Intermediate System,终端系统到中间系统
2.NSAP
NSAP(Network Service Access Point,网络服务访问点)是OSI协议栈中用于定位资源的地址,主要用于提供网络层和上层应用之间的接口。NSAP包括IDP及DSP
IDP(Initial Domian Part)相当于IP地址中的主网络号。它是由ISO规定,并由AFI(Authority and Format Identifier)与IDI(Initial Domain Identifier)两部分组成。AFI表示地址分配机构和地址格式,IDI用来标识域
DSP(Domian Specific Part)相当于IP地址中的子网号和主机地址。它由High Order DSP、System ID和SEL三个部分组成。High Order DSP用来分割区域,System ID用来区分主机,SEL(NSAP Selector)用来指示服务类型
3.NET
NET(Network Entity Title,网络实体名称)是OSI协议栈中设备的网络层信息,主要用于路由计算,由区域地址(Area ID)和System ID组成,可以看作是特殊的NSAP(SEL为00的NSAP)
NET的长度与NSAP的相同,最长为20Byte,最短为8Byte
在IP网络中运行IS-IS时,只需配置NET,根据NET地址设备可以获取到Area ID以及System ID
Area ID由IDP和DSP中的High Order DSP组成,既能够标识路由域,也能够标识路由域中的区域。因此,它们一起被称为区域地址,相当于OSPF中的区域编号;一般情况下,一个路由器只需要配置一个区域地址,且同一区域中所有节点的区域地址都要相同。为了支持区域的平滑合并、分割及转换,缺省情况下,一个IS-IS进程下最多可配置3个区域地址
System ID用来在区域内唯一标识主机或路由器。在设备的实现中,它的长度固定为6Byte
NET的配置举例
每台运行IS-IS的网络设备至少需拥有一个NET,当然,一台设备也可以同时配置多个NET,但是这些NET的System ID必须相同
在华为的网络设备上,System ID的长度总是固定的6Byte。在一个IS-IS路由域中,设备的System ID必须唯一,为了便于管理,一般根据Router ID配置System ID
4.IS-IS和OSPF区域划分的区别
IS-IS在自治系统内采用骨干区域与非骨干区域两级的分层结构:
Level-1路由器部署在非骨干区域
Level-2路由器和Level-1-2路由器部署在骨干区域
每一个非骨干区域都通过Level-1-2路由器与骨干区域相连
如图所示,整个骨干区域不仅包括Area49.0002中的所有路由器,还包括其它区域的Level2和Level-1-2路由器
注意:
在学习OSPF过程中,我们已经体会到了多区域、层次化网络设计的好处。对于链路状态路由协议而言,运行了该协议的设备会向网络中通告链路状态信息,同时也收集网络中所泛洪的链路状态信息后加以存储,并最终以这些信息为基础进行计算,从而得到路由信息。如果不采用多区域部署的方式,那么随着网络的规模逐渐增大,网络中泛洪的链路状态信息势必会越来越多,所有设备都将承受更重的负担,路由计算机收敛将逐渐变得更加缓慢,这也使得网络的扩展性变差
以上拓扑结构图可以体现IS-IS与OSPF的不同点:
在IS-IS中,每个路由器都只属于一个区域;而在OSPF中,一个路由器的不同接口可以属于不同的区域
在IS-IS中,单个区域没有骨干与非骨干区域的概念;而在OSPF中,Area0被定义为骨干区域
在IS-IS中,Level-1和Level-2级别的路由都采用SPF算法,分别生成最短路径树SPT(Shortest Path Tree);而在OSPF中,只有在同一个区域内才使用SPF算法,区域之间的路由需要通过骨干区域来转发
5.IS-IS路由器的分类
Level-1路由器
Level-1路由器(例如图中的R1)是一种IS-IS区域内部路由器,它只与属于同一区域的Level-1和Level-1-2路由器形成邻接关系,这种邻接关系称为Level-1邻接关系。Level-1路由器无法与Level-2路由器建立邻接关系
Level-1路由器只负责维护Level-1的链路状态数据库LSDB,该LSDB只包含本区域的路由信息。值得一提的是,Level-1路由器必须通过Level-1-2路由器接入IS-IS骨干区域从而访问其他区域
Level-2路由器
Level-2路由器(例如图中的R4、R5、R6、R7)是IS-IS骨干路由器,它可以与同一或者不同区域的Level-2路由器或者Level-1-2路由器形成邻接关系。Level-2路由器维护一个Level-2的LSDB,该LSDB包含整个IS-IS域的所有路由信息
所有Level-2级别(即形成Level-2邻接关系)的路由器组成路由域的骨干网,负责在不同区域间通信。路由域中Level-2级别的路由器必须是物理连续的,以保证骨干网的连续性
Level-1-2路由器
Level-1-2路由器与OSPF中的ABR非常相似,它也是IS-IS骨干网络的组成部分
Level-1-2路由器维护两个LSDB,Level-1的LSDB用于区域内路由,Level-2的LSDB用于区域间路由
同时属于Level-1和Level-2的路由器称为Level-1-2路由器(例如图中的R2和R3),它可以与同一区域的Level-1和Level-1-2路由器形成Level-1邻接关系,也可以与其他区域的Level-2和Level-1-2路由器形成Level-2的邻接关系。
注意:
在华为路由器上配置IS-IS时,缺省时,路由器全局Level为Level-1-2,当然,可以通过命令修改该设备的类型
6.IS-IS支持的网络类型
IS-IS会自动根据接口的数据链路层封装决定该接口的缺省网络类型, IS-IS支持两种类型的网络:
广播(Broadcast): 如Ethernet
点到点(P2P): 如PPP、 HDLC等
7.IS-IS开销值
IS-IS使用Cost(开销)作为路由度量值,Cost值越小,则路径越优。IS-IS链路的Cost与设备的接口有关,与OSPF类似,每一个激活了IS-IS的接口都会维护接口Cost。然而与OSPF不同的是,IS-IS接口的Cost在缺省情况下并不与接口带宽相关(在实际部署时,IS-IS也支持根据带宽调整Cost值),无论接口带宽多大,缺省时Cost为10
一条IS-IS路径的Cost等于本路由器到达目标网段沿途的所有链路的Cost总和
IS-IS有三种方式来确定接口的开销,按照优先级由高到低分别是:
接口开销:为单个接口设置开销
全局开销:为所有接口设置开销
自动计算开销:根据接口带宽自动计算开销
narrow类型下使用的TLV:
128号TLV(IP Internal Reachability TLV):用来携带路由域内的IS-IS路由信息
130号TLV(IP External Reachability TLV):用来携带路由域外的IS-IS路由信息
2号TLV(IS Neighbors TLV):用来携带邻居信息
wide类型下使用的TLV:
135号TLV(Extended IP Reachability TLV):用来替换原有的IP reachability TLV,携带IS-IS路由信息,它扩展了路由开销值的范围,并可以携带sub TLV
22号TLV(IS Extended Neighbors TLV):用来携带邻居信息
8.IS-IS报文格式
IS-IS报文是直接封装在数据链路层的帧结构中的
PDU(Protocol Data Unit,协议数据单元)可以分为两个部分,报文头(IS-IS Header)和变长字段部分(Variable Length Fields )
其中IS-IS Header又可分为通用头部(PDU Common Header)和专用头部(PDU Specific Header)。对于所有PDU来说,通用报头都是相同的,但专用报头根据PDU类型不同而有所差别
IS-IS通用头部详解
Intradomain Routing Protocol Discriminator:域内路由选择协议鉴别符,固定为0x83
Length Indicator:IS-IS头部的长度(包括通用头部和专用头部),以Byte为单位
Version/Protocol ID Extension:版本/协议标识扩展,固定为0x01
System ID Length:NSAP地址或NET中System ID区域的长度。值为0时,表示System ID区域的长度为6Byte
R(Reserved):保留,固定为0
Version:固定为0x01
Max.Areas:支持的最大区域个数。设置为1~254的整数,表示该IS-IS进程实际所允许的最大区域地址数;设置为0,表示该IS-IS进程最大只支持3个区域地址数
IS-IS报文类型概述
IS-IS的PDU有4种类型:IIH(IS-IS Hello),LSP( Link State PDU,链路状态报文),CSNP(Complete Sequence Number PDU,全序列号报文),PSNP(Partial Sequence Number PDU,部分序列号报文)
IIH:用于建立和维持邻接关系, 广播网络中的Level-1 IS-IS路由器使用Level-1 LAN IIH; 广播网络中的Level-2 IS-IS路由器使用Level-2 LAN IIH; 点到点网络中则使用P2P IIH
LSP:用于交换链路状态信息。LSP分为两种,Level-1 LSP、Level-2 LSP
SNP:通过描述全部或部分链路数据库中的LSP来同步各LSDB,从而维护LSDB的完整与同步。SNP包括CSNP和PSNP,进一步又可分为Level-1 CSNP、 Level-2 CSNP、 Level-1 PSNP和Level-2 PSNP
9.IS-IS常见的TLV
TLV的含义是:类型(TYPE),长度(LENGTH),值(VALUE)。实际上是一个数据结构,这个结构包含了这三个字段
使用TLV结构构建报文的好处是灵活性和扩展性好。采用TLV使得报文的整体结构固定,增加新特性只需要增加新TLV即可,不需要改变整个报文的整体结构
| TLV Type | 名称 | PDU类型 |
|---|---|---|
| 1 | Area Addresses 区域地址 | IIH、 LSP |
| 2 | IS Neighbors(LSP) 中间系统邻接 | LSP |
| 4 | Partition Designated Level2 IS 区域分段指定L2中间系统 | L2 LSP |
| 6 | IS Neighbors(MAC Address) 中间系统邻接 | LAN IIH |
| 7 | IS Neighbors(SNPA Address) 中间系统邻接 | LAN IIH |
| 8 | Padding 填充 | IIH |
| 9 | LSP Entries LSP条目 | SNP |
| 10 | Authentication Information 验证信息 | IIH、 LSP、 SNP |
| 128 | IP Internal Reachability Information IP内部可达性信息 | LSP |
| 129 | Protocols Supported 支持的协议 | IIH、 LSP |
| 130 | IP External Reachability Information IP外部可达性信息 | LSP |
| 131 | Inter-Domain Routing Protocol Information 域间路由选择协议信息 | L2 LSP |
| 132 | IP Interface Address IP接口地址 | IIH、 LSP |
二:IS-IS工作原理
1.邻接关系建立
IS-IS按如下原则建立邻接关系:
只有同一层次的相邻路由器才有可能成为邻接
对于Level-1路由器来说,Area ID必须一致
链路两端IS-IS接口的网络类型必须一致
链路两端IS-IS接口的地址必须处于同一网段(默认情况下)
由于IS-IS是直接运行在数据链路层上的协议,并且最早设计是给CLNP使用的,IS-IS邻接关系的形成与IP地址无关。但在实际的部署中,在IP网络上运行IS-IS时,需要检查对方的IP地址的。如果接口配置了从IP,那么只要双方有某个IP(主IP或者从IP)在同一网段,就能建立邻接,不一定要主IP相同
注意:
通过将以太网接口模拟成点到点接口,可以建立点到点链路邻接关系
当链路两端IS-IS接口的地址不在同一网段时,如果配置接口对接收的Hello报文不作IP地址检查,也可以建立邻接关系
一般情况下,一个接口只需配置一个主IP地址,但在有些特殊情况下需要配置从IP地址。比如,一台路由器通过一个接口连接了一个物理网络,但该物理网络的计算机分别属于2个不同的网络,为了使路由器与物理网络中的所有计算机通信,就需要在该接口上配置一个主IP地址和一个从IP地址。路由器的每个三层接口可以配置多个IP地址,其中一个为主IP地址,其余为从IP地址,每个三层接口最多可配置31个从IP地址
IIH
IIH报文用于建立和维持邻接关系,广播网络中的Level-1 IS-IS路由器使用Level-1 LAN IIH;广播网络中的Level-2 IS-IS路由器使用Level-2 LAN IIH;点到点网络中则使用P2P IIH
Reserved/Circuit Type:表示路由器的类型(01表示L1,10表示L2,11表示L1/L2)
Source ID :发出Hello报文的路由器的System ID
Holding Time : 保持时间。在此时间内如果没有收到邻接发来的Hello报文,则中止已建立的邻接关系
Priority :选举DIS的优先级,取值范围为0~127。数值越大,优先级越高。该字段只在广播网中的Hello消息(LAN IIH消息)携带;点到点网络的Hello消息(P2P IIH消息)没有此字段,也没有此字段之前的R保留位
LAN ID : 包括DIS的System ID和伪节点ID。该字段只在广播网中的Hello消息(LAN IIH消息)携带;点到点网络的Hello消息(P2P IIH消息)没有此字段
Local Circuit ID :本地链路ID。该字段只在点到点网络的Hello消息(P2P IIH消息)携带;广播网中的Hello消息(LAN IIH消息)没有此字段
广播网络中的邻接关系建立过程
两台运行IS-IS的路由器在交互协议报文实现路由功能之前必须首先建立邻接关系。在不同类型的网络上,IS-IS的邻接建立方式并不相同。在广播网络中,使用三次握手建立邻接关系
R1及R2通过千兆以太接口互联,这两台直连的Level-1路由器建立邻接关系的过程如下:
在Down状态下,R1组播发送Level-1 LAN IIH,此报文中邻接列表为空
R2收到此报文后,将邻接状态标识为Initial。然后,R2再向R1回复Level-1 LAN IIH ,此报文中标识R1为R2的邻接
R1收到此报文后,将自己与R2的邻接状态标识为Up。然后R1再向R2发送一个标识R2为R1邻接的Level-1 LAN IIH
R2收到此报文后,将自己与R1的邻接状态标识为Up。这样,两个路由器成功建立了邻接关系
广播网络中需要选举DIS,在邻接关系建立后,路由器会等待两个Hello报文间隔,再进行DIS的选举
注意:
Level-1 IIH和Level-2 IIH发送的组播地址分别为01-80-C2-00-00-14、01-80-C2-00-00-15
Down:邻接关系的初始状态
Initial:收到IIH,但是报文中的邻接列表未包含路由器自身的System ID
UP:收到IIS,且邻接列表中包含路由器自身的System ID
DIS与伪节点
在广播网络中,IS-IS需要在所有的路由器中选举一个路由器作为DIS(Designated Intermediate System)
DIS用来创建和更新伪节点(Pseudonodes),并负责生成伪节点的LSP,用来描述这个网络上有哪些网络设备。伪节点是用来模拟广播网络的一个虚拟节点,并非真实的路由器。在IS-IS中,伪节点用DIS的System ID和Circuit ID(非0值)标识
IS-IS中的DIS与OSPF中的DR
Level-1和Level-2的DIS是分别选举的,用户可以为不同级别的DIS选举设置不同的优先级
DIS的选举规则如下:
DIS优先级数值最大的被选为DIS
如果优先级数值最大的路由器有多台,则其中MAC地址最大的路由器会成为DIS
DIS发送Hello PDU的时间间隔是普通路由器的1/3,这样可以确保DIS出现故障时能够被更快速地被发现
IS-IS中DIS与OSPF协议中DR(Designated Router)的区别:
在IS-IS广播网中,优先级为0的路由器也参与DIS的选举,而在OSPF中优先级为0的路由器则不参与DR的选举
在IS-IS广播网中,当有新的路由器加入,并符合成为DIS的条件时,这个路由器会被选中成为新的DIS,原有的伪节点被删除。此更改会引起一组新的LSP泛洪。而在OSPF中,当一台新路由器加入后,即使它的DR优先级值最大,也不会立即成为该网段中的DR
在IS-IS广播网中,同一网段上的同一级别的路由器之间都会形成邻接关系,包括所有的非DIS路由器之间也会形成邻接关系。而在OSPF中,路由器只与DR和BDR建立邻接关系
点到点网络中的邻接关系建立过程
点到点网络中,邻接关系的建立使用两次握手方式:只要路由器收到对端发来的Hello报文,就单方面宣布邻接为Up状态,建立邻接关系
两次握手机制存在明显的缺陷,华为设备在点到点网络中使用IS-IS时,默认使用三次握手建立邻接关系。此方式通过三次发送P2P IIH最终建立起邻接关系
2.链路状态数据库同步
LSP
IS-IS链路状态报文LSP用于交换链路状态信息。LSP分为两种:Level–1 LSP和Level–2 LSP。Level–1 LSP由Level-1路由器传送,Level–2 LSP由Level-2路由器传送,Level-1-2路由器则可传送以上两种LSP
Remaining Lifetime : LSP的生存时间,以秒为单位
LSP ID:由三部分组成,System ID、伪节点ID和LSP分片后的编号
Sequence Number: LSP的序列号。在路由器启动时所发送的第一个LSP报文中的序列号为1,以后当需要生成新的LSP时,新LSP的序列号在前一个LSP序列号的基础上加1。更高的序列号意味着更新的LS
Checksum : LSP的校验和
ATT(Attachment):由Level-1-2路由器产生,用来指明始发路由器是否与其它区域相连。虽然此标志位也存在于Level-1和Level-2的LSP中,但实际上此字段只和Level-1-2路由器始发的L1 LSP有关
OL(LSDB Overload,1bit):过载标志位。设置了过载标志位的LSP虽然还会在网络中扩散,但是在计算通过超载路由器的路由时不会被采用。即对路由器设置过载位后,其它路由器在进行SPF计算时不会考虑这台路由器。当路由器内存不足时,系统自动在发送的LSP报文中设置过载标志位
IS Type(2bit):生成LSP的路由器的类型。用来指明是Level-1还是Level-2路由器(01表示Level-1,11表示Level-2)
IS-IS的LSDB
伪节点ID:当该参数不为零时,表示该LSP为伪节点生成
分片号:当IS-IS要发布的链路状态协议数据报文PDU(Protocol Data Unit)中的信息量太大时,IS-IS路由器将会生成多个LSP分片,用来携带更多的IS-IS信息。分片号用来区分不同的LSP分片
查看非伪节点的LSP
<R1> display isis lsdb 0100.0000.1001.00-00 verbose
Database information for ISIS(1)
Level-1 Link State Database
LSPID Seq Num Checksum Holdtime Length ATT/P/OL
--------------------------------------------------------------------------------------------------
0100.0000.1001.00-00* 0x0000000e 0x9a75 1072 113 0/0/0
SOURCE 0100.0000.1001.00
NLPID IPV4
AREA ADDR 49.0123
INTF ADDR 10.1.12.1 //描述接口信息
INTF ADDR 10.1.13.1
NBR ID 0100.0000.1001.01 COST: 10 //描述邻接关系
NBR ID 0100.0000.3003.01 COST: 10
IP-Internal 10.1.12.0 255.255.255.0 COST: 10
IP-Internal 10.1.13.0 255.255.255.0 COST: 10 //描述路由信息
IP-Internal 1.1.1.0 255.255.255.0 COST: 10
Total LSP(s): 1
AREA ADDR:该LSP来源的区域号
INTF ADDR:该LSP中描述的接口地址
NBR ID:该LSP中描述的邻接信息
IP-Internal:该LSP中描述的网段信息
查看伪节点LSP
Database information for ISIS(1)
Level-1 Link State Database
LSPID Seq Num Checksum Holdtime Length ATT/P/OL
----------------------------------------------------------------------------------------------------
0100.0000.1001.01-00* 0x00000009 0xca36 431 55 0/0/0
SOURCE 0100.0000.1001.01
NLPID IPV4
NBR ID 0100.0000.1001.00 COST: 0 //描述该广播网络中所有IS-IS路由器
NBR ID 0100.0000.2002.00 COST: 0 //伪节点到达其他路由器的Cost值为0
Total LSP(s): 1
*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended),
ATT-Attached, P-Partition, OL-Overload
注意:
在伪节点LSP中,只包含邻接信息而不包含路由信息
CSNP
CSNP包含该设备LSDB中所有的LSP摘要,路由器通过交互 CSNP来判断是否需要同步LSDB
在广播网络上,CSNP由DIS定期发送(缺省的发送周期为10秒)
在点到点网络上,CSNP只在第一次建立邻接关系时发送
Source ID:发出CSNP报文的路由器的System ID
Start LSP:CSNP报文中第一个LSP的ID值
End LSP ID:CSNP报文中最后一个LSP的ID值
PSNP
PSNP只包含部分LSP的摘要信息(与CSNP不同):
当发现LSDB不同步时,PSNP来请求邻居发送新的LSP
在点到的网络中,当收到LSP时,使用PSNP对收到的LSP进行确认
Source ID:发出PSNP报文的路由器的System ID
广播网络中LSP的同步过程
新加入的路由器R3首先发送IIH报文,与该广播域中的路由器建立邻接关系。建立邻接关系之后,R3等待LSP刷新定时器超时,然后将自己的LSP发往组播地址(Level-1:01-80-C2-00-00-14;Level-2:01-80-C2-00-00-15)。这样网络上所有的邻接都将收到该LSP
该网段中的DIS会把收到R3的LSP加入到LSDB中,并等待CSNP报文定时器超时并发送CSNP报文
R3收到DIS发来的CSNP报文,对比自己的LSDB数据库,然后向DIS发送PSNP报文请求自己没有的LSP
DIS收到该PSNP报文请求后向R3发送对应的LSP进行LSDB的同步
点到点网络中LSP的同步过程
R1先与R2建立邻接关系
建立邻接关系之后,R1与R2会先发送CSNP给对端设备。如果对端的LSDB与CSNP没有同步,则发送PSNP请求索取相应的LSP
假设R2向R1索取相应的LSP
R1发送R2请求的LSP的同时启动LSP重传定时器,并等待R2发送的PSNP作为收到LSP的确认
如果在接口LSP重传定时器超时后,R1没有收到R2发送的PSNP报文作为应答
则R1重新发送该LSP
R2收到LSP后,发送PSNP进行确认
LSP的处理机制
IS-IS通过交互LSP实现链路状态数据库同步,路由器收到LSP后,按照以下原则处理:
若收到的LSP比本地LSP的更优,或者本地没有收到的LSP:
在广播网络中:将其加入数据库,并组播发送新的LSP
在点到点网络中:将其加入数据库,并发送PSNP报文来确认收到此LSP,之后将这新的LSP发送给除了发送该LSP的邻居以外的邻居
若收到的LSP和本地LSP无法比较出优劣,则不处理该LSP
LSP产生的原因,IS-IS路由域内的所有路由器都会产生LSP,以下事件会触发一个新的LSP:
邻接Up或Down
IS-IS相关接口Up或Down
引入的IP路由发生变化
区域间的IP路由发生变化
接口被赋了新的metric值
周期性更新(刷新间隔15min)
三:IS-IS的基本配置
1.IS-IS协议的基本配置
2.IS-IS配置
组网需求
如图所示,现网中有5台路由器。用户希望在这5台路由器实现网络互联,并且因为R1性能相对较低,所以还要使这台路由器处理相对较少的数据信息。同时用户希望R1可以选择最优路径访问192.168.10.0/24和192.168.20.0/24网段。
配置思路
在各路由器上配置IS-IS基本功能,实现网络互联。其中,配置R1为Level-1路由器,可以使这台路由器维护相对少量的数据信息。同时,配置R2和R3为Level-1/2路由器与R4和R5这两台Level-2路由器互联
R1:R1的路由器等级需要设置为Level1
[R1] isis 1
[R1-isis-1] is-level level-1
[R1-isis-1] network-entity 49.0001.0010.0100.1001.00
[R1-isis-1] quit
[R1] interface gigabitethernet 0/0/0
[R1-GigabitEthernet0/0/0] isis enable 1
[R1-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R1-GigabitEthernet0/0/1] isis enable 1
R2和R3:R2、R3的路由器等级需要设置为Level1/2
[R2] isis 1
[R2-isis-1] is-level level-1-2
[R2-isis-1] network-entity 49.0001.0020.0200.2002.00
[R2-isis-1] quit
[R2] interface gigabitethernet 0/0/0
[R2-GigabitEthernet0/0/0] isis enable 1
[R2-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R2-GigabitEthernet0/0/1] isis enable 1
[R3] isis 1
[R3-isis-1] is-level level-1-2
[R3-isis-1] network-entity 49.0001.0030.0300.3003.00
[R3-isis-1] quit
[R3] interface gigabitethernet 0/0/0
[R3-GigabitEthernet0/0/0] isis enable 1
[R3-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R3-GigabitEthernet0/0/1] isis enable 1
R4和R5:R4、R5的路由器等级需要设置为Level2
[R4] isis 1
[R4-isis-1] is-level level-2
[R4-isis-1] network-entity 49.0002.0040.0400.4004.00
[R4-isis-1] quit
[R4] interface gigabitethernet 0/0/0
[R4-GigabitEthernet0/0/0] isis enable 1
[R4-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R4-GigabitEthernet0/0/1] isis enable 1
[R4-GigabitEthernet0/0/1] interface gigabitethernet 0/0/2
[R4-GigabitEthernet0/0/2] isis enable 1
[R5] isis 1
[R5-isis-1] is-level level-2
[R5-isis-1] network-entity 49.0002.0050.0500.5005.00
[R5-isis-1] quit
[R5] interface gigabitethernet 0/0/0
[R5-GigabitEthernet0/0/0] isis enable 1
[R5-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R5-GigabitEthernet0/0/1] isis enable 1
[R5-GigabitEthernet0/0/1] interface gigabitethernet 0/0/2
[R5-GigabitEthernet0/0/2] isis enable 1
配置验证 (查看设备的IS-IS邻接表)
R4路由器建立Level-2的邻接关系:
<R4> display isis peer
Peer information for ISIS(1)
System Id Interface Circuit Id State HoldTime Type PRI
0020.0200.2002 GE0/0/0 0040.0400.4004.01 Up 25s L2 64
0050.0500.5005 GE0/0/1 0050.0500.5005.01 Up 13s L2 64
R1路由器建立Level-1的邻接关系:
<R1> display isis peer
Peer information for ISIS(1)
System Id Interface Circuit Id State HoldTime Type PRI
0020.0200.2002 GE0/0/0 0010.0100.1001.01 Up 29s L1 64
0030.0300.3003 GE0/0/1 0030.0300.3003.01 Up 9s L1 64
System Id字段:描述邻接的系统ID
Interface字段:描述通过该路由器哪个端口与邻接建立邻接关系
Type:描述与该邻接的邻接关系类型
PRI:描述该邻接对应端口的DIS优先级
配置验证 (查看设备的IS-IS路由表)
<R1> display isis route
Route information for ISIS(1)
ISIS(1) Level-1 Forwarding Table
IPV4 Destination IntCost ExtCost ExitInterface NextHop
0.0.0.0/0 10 NULL GE0/0/0 10.1.12.2
GE0/0/1 10.1.13.3
10.1.24.0/24 20 NULL GE0/0/0 10.1.12.2
10.1.13.0/24 10 NULL GE0/0/1 Direct
10.1.12.0/24 10 NULL GE0/0/0 Direct
10.1.35.0/24 20 NULL GE0/0/1 10.1.13.3
R1路由表中存在区域内的明细路由以及两条等价的默认路由
**配置验证 (查看设备的IS-IS路由表) **
<R3>display isis route
Route information for ISIS(1)
-----------------------------
ISIS(1) Level-1 Forwarding Table
--------------------------------
IPV4 Destination IntCost ExtCost ExitInterface NextHop Flags
-------------------------------------------------------------------------------
0.0.0.0/0 20 NULL
10.1.24.0/24 30 NULL GE0/0/0 10.1.13.1 A/-/L/-
10.1.13.0/24 10 NULL GE0/0/0 Direct D/-/L/-
10.1.12.0/24 20 NULL GE0/0/0 10.1.13.1 A/-/L/-
10.1.35.0/24 10 NULL GE0/0/1 Direct D/-/L/-
Flags: D-Direct, A-Added to URT, L-Advertised in LSPs, S-IGP Shortcut,
U-Up/Down Bit Set
……
……
ISIS(1) Level-2 Forwarding Table
--------------------------------
IPV4 Destination IntCost ExtCost ExitInterface NextHop Flags
-------------------------------------------------------------------------------
10.1.24.0/24 30 NULL
10.1.13.0/24 10 NULL GE0/0/0 Direct D/-/L/-
10.1.12.0/24 40 NULL
192.168.20.0/24 20 NULL GE0/0/1 10.1.35.5 A/-/-/-
10.1.45.0/24 20 NULL GE0/0/1 10.1.35.5 A/-/-/-
192.168.10.0/24 30 NULL GE0/0/1 10.1.35.5 A/-/-/-
10.1.35.0/24 10 NULL GE0/0/1 Direct D/-/L/-
Flags: D-Direct, A-Added to URT, L-Advertised in LSPs, S-IGP Shortcut,
U-Up/Down Bit Set
R3作为Level-1-2路由器,路由表中存在Level-1及Level-2路由
路由渗透配置
R2:
[R2] ip ip-prefix 1 permit 192.168.10.0 24
[R2] isis 1
[R2-isis-1] import-route isis level-2 into level-1 filter-policy ip-prefix 1
R3:
[R3] ip ip-prefix 1 permit 192.168.20.0 24
[R3] isis 1
[R3-isis-1] import-route isis level-2 into level-1 filter-policy ip-prefix 1
路由渗透验证
通过查看R1的路由表,我们可以看到新增了两条明细路由192.168.10.0/24以及192.168.20.0/24,两条路由的开销值均为30,当有数据包经由R1到达这两个网段时,不会产生次优路径
<R1> display ip routing-table protocol isis
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : ISIS
Destinations : 5 Routes : 6
ISIS routing table status : <Active>
Destinations : 5 Routes : 6
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 ISIS-L1 15 10 D 10.1.12.2 GigabitEthernet0/0/0
ISIS-L1 15 10 D 10.1.13.3 GigabitEthernet0/0/1
192.168.10.0/2 ISIS-L1 15 30 D 10.1.12.2 GigabitEthernet0/0/0
192.168.20.0/2 ISIS-L1 15 30 D 10.1.13.3 GigabitEthernet0/0/1
10.1.24.0/24 ISIS-L1 15 20 D 10.1.12.2 GigabitEthernet0/0/0
10.1.35.0/24 ISIS-L1 15 20 D 10.1.13.3 GigabitEthernet0/0/1
3.IS-IS认证的分类
IS-IS认证是基于网络安全性的要求而实现的一种认证手段,通过在IS-IS报文中增加认证字段对报文进行认证。当本地路由器接收到远端路由器发送过来的IS-IS报文,如果发现认证密码不匹配,则将收到的报文进行丢弃,达到自我保护的目的
根据报文的种类,认证可以分为以下三类:
接口认证:在接口视图下配置,对Level-1和Level-2的Hello报文进行认证
区域认证:在IS-IS进程视图下配置,对Level-1的CSNP、PSNP和LSP报文进行认证
路由域认证:在IS-IS进程视图下配置,对Level-2的CSNP、PSNP和LSP报文进行认证
根据报文的认证方式,可以分为以下四类:
简单认证:将配置的密码直接加入报文中,这种加密方式安全性较其他两种方式低
MD5认证:通过将配置的密码进行MD5算法加密之后再加入报文中,提高密码的安全性
Keychian认证:通过配置随时间变化的密码链表来进一步提升网络的安全性
HMAC-SHA256认证:通过将配置的密码进行HMAC-SHA256算法加密之后再加入报文中,提高密码的安全性
4.IS-IS认证详解
接口认证
Hello报文使用的认证密码保存在接口下,发送带认证TLV的认证报文,互相连接的路由器接口必须配置相同的口令
区域认证
区域内的每一台L1路由器都必须使用相同的认证模式和具有共同的钥匙串
路由域认证
IS-IS域内的每一台L2和L1/L2类型的路由器都必须使用相同模式的认证,并使用共同的钥匙串
对于区域和路由域认证,可以设置为SNP和LSP分开认证
本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都进行认证检查
本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文携带认证TLV,但不对收到的SNP报文进行检查
本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文不携带认证TLV,也不对收到的SNP报文进行认证检查
本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都不进行认证检查
5.IS-IS认证的配置
