ISIS
ISIS简介
ISIS(Intermediate System-to-Intermediate System,中间系统到中间系统)
支持无连接网络协议CLNP(ConnectionLess Network Protocol)和IP协议,使用SPF算法
工作在数据链路层
通过增加附加系统ID,可以配置50个虚拟系统,每个系统可以分256个片(比OSPF承载更多路由条目)
ISIS的地址结构
AFI 表示地址分配机构和地址格式
IDI 用来标识域
HODSP 用来分割区域
System ID 用来 区分主机
SEL 指示服务类型(当传输协议是IP时,是00)
System ID由Router ID转换而来
192.10.1.1 – 192.010.001.001 – 1920.1000.1001
当NSAP的SEL为00时是NET地址(设备本身的网络层信息)
一个 IS-IS 进程下最多 可最多配置 3 个NET地址,它们的System ID必须相同
ISIS的区域划分
ISIS的路由器类型分为:
1、level-1路由器
组播MAC地址 0180-c200-0014
负责区域内的路由,只与同一区域的level-1和level-1-2形成邻居关系
只维护level-1的LSDB,当有去往区域外的报文,则转发给最近的level-1-2路由器
level-1路由器当收到level-1-2路由器的ATT置位1的LSP的时候会生成一条下一条指向level-1-2路由器的缺省路由
2、level-2路由器
组播MAC地址 0180-c200-0015
负责区域间的路由,与level-2和level-1-2形成邻居关系,路由域中的level-2级别的路由器必须是连续的,以保证骨干网的连续性,只有level-2的路由器才能直接与区域外的路由器交互数据报文或路由信息
3、level-1-2路由器
同时属于level-1和同时属于level-2的路由器,可以与同区域的level-1和level-1-2形成level-1的邻居关系,也可以与level-2和level-1-2的路由器形成level-2的邻居关系。
level-1的路由器必须通过level-1-2路由器才能连接到其他区域
level-1的路由的优先级大于level-2的路由优于level1-2的up down
ISIS的网络类型
P2P :
不选举DIS,会有重传时间,只在建立邻接的时候发送一次CSNP
MTU不能小于1497
IIH字段多了Local Circuit ID
广播:
选举DIS,不会有重传时间,每隔10s发送一次CSNP
MTU不能小于1500
IIH字段多了Priority 和 LAN ID
对于NBMA(Non-Broadcast Multi-Access)网络,需对其配置子接口,并注意 子接口类型应配置为P2P。
ISIS的邻居关系建立
发送ISIS的hello报文 IIH(isis-hello)报文
点到点链路上(p2p)
分为两次握手和三次握手
两次握手当收到对端的IIH就立马进入UP状态,没有确认机制,可能会出现单通
三次握手会确认对端传来的IIH中的邻居列表是否有自己,如果没有自己就进入initialized,如果有自己就进入UP
在广播链路上(broadcast)
只有三次握手会确认对端传来的IIH中的邻居列表是否有自己,如果没有自己就进入initialized,如果有自己就进入UP
建立邻居之后会选举DIS
ISIS的DIS选举
DIS是指指定中间系统(Designated IS)
DIS用来创建和更新伪节点,只会在广播网络中选举
优先级范围0-127 缺省64 优先级值越大越优先
优先级0会参与选举
DIS在建立完邻居后,在2个hello报文的时间(20s)后选举DIS
如果Hello时间(10/3s)DIS没有发送hello报文 ,则重新选DIS
所有路由器相互都是邻接关系
在level-1 和level-2中都会选举一个DIS
可以为不同级别的DIS设置不同的优先级
DIS的hello时间是10/3s,dead时间是10s,非DIS路由器的hello时间是10s,dead时间是30s
当有新的路由器加入,优先级更高,则会选举为新的DIS,优先级相同MAC地址越大越优
DIS会被抢占的原因是DIS的hello时间是10/3s,dead时间是10s,当DIS dead后非DIS路由器的hello报文刚好发布,可以无缝选举DIS
ISIS的路由器之间都是邻接关系(会同步LSDB)
ISIS的伪节点
用来模拟广播网络的一个虚拟节点,负责生成伪节点的LSP,描述这个网络上有哪些路由器
伪节点是用来使路由器产生的LSP长度变小,发生拓扑变化,需要更新的LSP也会变少,减少SPF的资源消耗
ISIS的报文类型
分为SNP和LSP
LSP PDU(Link State Protocol PDU)交换链路状态信息
实节点LSP
虚节点LSP(只在广播链路存在)
SNP PDU(Sequence Number PDU)同步LSDB
SNP分为CSNP和PSNP
CSNP 类似于DD,周期发送 包括LSDB中所有LSP的摘要信息,从而可以在相邻路由器间保持LSDB的同步
PSNP 类似于LSR LSACK,包含部分LSDB中的LSP摘要信息,能够对LSP进行请求和确认
ISIS的LSPD同步
在点到点链路上
1、建立完邻居后R1和R2互相发送CSNP
2、如果和对端的LSDB没同步,则发送PSNP请求对方的LSP
3、如果R2向R1请求LSP,R1发送R2请求的LSP后启动LSP重传定时器(5s),并等待R2发送的PSNP作为收到LSP的确认
4、如果在接口LSP重传定时器超时后,还没收到R2的PSNP确认,则重新发送该LSP,直至收到PSNP报文
在广播链路上
1、建立邻居关系后,新进的路由器会将自己的LSP发往组播地址(level-1——0180-c200-0014;level-2——0180-c200-0015)
2、DIS接收到新路由器的LSP会加到自己的LSDB中,然后每隔10s发送CSNP
3、新路由器收到DIS发的CSNP报文对比自己的LSDB数据库,然后向DIS发送PSNP报文请求自己没有的LSP
4、DIS收到该PSNP请求后向新路由器发送对应的LSP进行同步(这里没有重传定时器)
ISIS路由计算的开销方式
Narrow(窄度量) 默认开销10 可手工配置0~63
不能携带tag
IP Internal Reachability TLV(128TLV):用来携带域内的路由。
IP External Reachability TLV(130TLV):用来携带域外的路由信息。
IS Neighbors TLV(2TLV):用来携带邻居信息。
Wide (宽度量)默认开销10 可手工配置2^24
能携带tag支持sub TLV
Extended IP Reachability TLV(135TLV):用来替换原有的 IP reachability TLV,携带路由信息
IS Extended Neighbors TLV(22TLV):用来携带邻居信息。
这两个模式的路由器不可以互通
ISIS的报文头部
域内路由协议鉴别符: ISIS的网络层标识,值为0x83
报文头部长度
版本或协议号扩展名
SystemID length:标识System ID的长度
PDU type:标识PDU类型
Version:固定1
MAX.Areas:最多区域地址。默认为0,最大3
ISIS的LSP报文
PDU长度
剩余时间:从1200s开始,LSP每900s泛洪一次,0为老化不可用,如果要删除一条LSP则将剩余时间置0
序列号:4字节,越大越优
校验和:越大越优
序列号从1开始总体4字节,序列号越高越新
P:仅与L2 LSP有关,表示路由器是否支持自动修复区域分割。
ATT:由Level-1-2路由器产生,只有level-1-2和level-2的area id不同时才会发给level-1,用来指明始发路由器是否与其它区域相连。
OL:超载标志,置位1则其他路由器在进行SPF计算时不会使用这台路由器做转发,只计算该节点上的直连路由
LSP-ID:SYS id + 伪节点标示 + 分片标识;
System ID:表示产生LSP的路由器
伪节点标识:00表示实点LSP,非00表示伪节点LSP
分片:假如一个LSP承载不了所有LSP内容则不为0
ISIS外部引入路由
level-1和level-2都支持外部引入路由
默认是从level-2的方式引入的,路由cost值=指定引入路由的开销值+64
ISIS的LSP产生的原因
1、邻居UP\Down
2、ISIS相关的接口UP\Down
3、引入IP路由发生变化
4、区域间的IP路由发生变化
5、接口的metric变化
6、周期更新
ISIS的LSP新旧比较
收到的LSP比自己的LSP优先则将该LSP更新进自己的LSDB,并回复PSNP确认,否则向对端发送本地的LSP
LSP序列号越大越优
Remaining Lifetime越小越优
校验和越大越优
如果全都相同则不转发该报文
ISIS的序列号满了
当前序列号增加到最大值,并且有新的LSP实例生成,路由器必须首先把数据库中老的LSP都刷新掉
实现的方式是通过设置LSP的剩余时间为0,并且泛洪给所有邻居,当所有邻居确认这个提前老化的LSP时,泛洪具有初始序列号的新的LSP实例
ISIS路由渗透
因为level-1不知道去往level-2的路由以及开销,所以会发送给最近的level-1-2路由器
缺省情况下level-1-2路由器并不吧自己已有的level-2路由通报给level-1区域
level-1-2路由器使用ACL、路由策略、Tag标记等方式将符合条件的level-2路由筛选出来,发给自己所在的level-1区域
ISIS的智能定时器
1、spf-slice-size 设置ISIS每次路由计算的最大持续时间
2、timer lsp-generation 设置产生LSP的延迟时间
3、timer lsp-max-age 来设置当前 IS-IS 进程生成的 LSP 的最大有效时间(缺省情况下,LSP 的最大有效时间为 1200 秒,当减少到0后,再过60s删除)
4、timer lsp-refresh 来设置 LSP 刷新周期
5、timer spf 命令用来设置 SPF 路由计算的延迟时间
如果没有指定 Level,则同时设置 Level-1 和 Level-2。
ISIS认证
区域认证 对 Level-1 的 CSNP、PSNP 和 LSP 报文进行认证。
路由器认证 对 Level-2 的 CSNP、PSNP 和 LSP 报文进行认证。
接口认证 对 Level-1 和 Level-2 的 Hello 报文进行认证(明文 MD5 Keychian)
认证TLV的类型是10
type字段
0:保留的类型
1:明文认证
54:MD5认证
255:路由域私有认证
ISIS的撤销路由
内部撤销:发送更高序列号的LSA,不包含要撤销的路由时,算路由撤销
外部撤销:将LSA的剩余时间置0(这时不可用,60s后LSA会被从数据库中删除)
ISIS的防环机制
1、缺省level-1区域的路由到了level-2区域后不会再泄露回level-1区域
2、level-2泄露到level-1的的路由,此时level-1-2路由器会将该路由的U/D置位传给level-1区域,当本level-1区域的其他level-1-2路由器不会使用这条U/D置位的路由(只有当level-1-2路由器失去了所有的level-2的邻居,才可以使用U/D置位的LSP)
ISIS的TLV
协议扩展字段,也成CLV,由Code、Length、Value组成,增强了协议的扩展性,当需要扩展协议的功能时,只需要定义新的TLV就可以,提高了ISIS的可扩展性。
TLV1:Area ID
TLV2:邻居信息narrow
TLV6:MA网络中描述邻居MAC
TLV8:padding
TLV10:认证
TLV22:描述邻居信息wide
TLV24:告知其他路由器此虚拟系统和自己的关系(分片)
TLV128:内部路由narrow
TLV130:外部路由narrow
TLV132:接口IP
TLV135:路由信息wide
TLV140:p2p网络中描述邻居状态
ISIS的高级特性
ISIS快速收敛
- 1、故障检测
可以将IIH的发送间隔改小,可以缩短检测时间
使用光口以太做链路检测收敛速度比较快,为毫秒级
使用BFD为毫秒级,对接口类型没有依赖性 - 2、生成LSP的间隔时间(时间过长导致网络的收敛速度慢)
使用智能定时器,根据路由信息的变化频率调整间隔时间 - 3、加快泛洪LSP的时间
原本使用定时器,定时将LSDB的LSP扩散出去,开启快速收敛在路由计算之前,先将小于指定数目的LSP扩散出去,加快LSDB的同步过程。 - 4、加快SPF的计算时间
使用智能定时器缩短SPF的计算时间,如果网络变化的频繁,就增加时间间隔 - 5、改进SPF的计算方式
使用I-SPF(增量路由计算)和PRC
只对变化的一部分拓扑进行计算,而不是对全部拓扑重新计算。 - 6、在ISIS视图下使用
flash-flood
ISIS 管理标记
- 可以给两台不同区域的ISIS路由器使能了IS-IS的接口配置相同的管理标记值tag。然后在区域1的Level-1-2路由器做从Level-2到Level-1区域的路由渗透时,应用匹配指定的tag。这样就可以满足在与区域2通信时,仅与另一台ISIS设备进行通信。
ISIS LSP分片
- 在IS-IS中,每个系统ID都标识一个系统,通过增加附加系统ID,可以最多配置50个虚拟系统,每个系统都最多可生成256个LSP分片。从而使得IS-IS进程最多可生成13056个LSP分片。
- 使能分片扩展功能之后,如果存在由于报文装满而丢失的信息,系统会提醒重启IS-IS。重启之后,初始系统会尽最大能力装载路由信息,装不下的信息将放入虚拟系统的LSP中发送出去,并通过24号TLV来告知其他路由器此虚拟系统和自己的关系。
- 有两种模式运行LSP分片扩展特性
Mode-1:用于网络中的部分路由器不支持LSP分片扩展特性的情况。虚拟系统参与路由SPF计算,初始系统发布的LSP中携带了到每个虚拟系统的链路信息,兼容不支持分片扩展的老版本所做的一个过渡模式
Mode-2:用于网络中所有路由器都支持LSP分片扩展特性的情况。
路由渗透
ISIS协议中,level-1区域的路由会自动引入到level-2区域,但是level-2区域的路由不会自动引入到level-1区域,而作为level-1-2路由器的R3和R4会将发送到level-1区域的报文中ATT置位为1(表示该L1/L2可以通往外部),R1和R2收到置位的ATT=1时,会自动各自生成一条默认路由,指向最近的level-1-2路由器。
但是会导致次优路由
解决办法:路由渗透,在level-1-2上让level-2的明细路由渗透到level-1,并且将UP/DOWN置位(是从高level通告下来的)防止环路
OSPF和ISIS的区别
基本点比较:
-
相同点:
均为IGP协议,且应用广泛;
均支持IP环境;
均采用分层设计和分区域设计。 -
不同点:
1、OSPF只支持IP网络,ISIS支持IP和CLNP网络
2、OSPF报文封装在IP,封装在89协议号中,ISIS直接封装在链路层数据帧中
3、OSPF基于接口划分区域,ISIS基于路由器划分区域
4、OSPF支持4种网络类型,ISIS只支持2种网络类型
5、OSPF定义area0为骨干区域,ISIS没有指定的骨干区域,而是由多台level-2和level-1-2路由器组成骨干区域
邻接关系:
- 相同点:
1、均通过Hello建立和维护邻居关系;
2、多点访问网络均选举DR/DIS。 - 不同点:
1、OSPF的邻接关系只有一种,ISIS的邻接关系可以是level-1也可以是level-2
2、OSPF的DR和ISIS的DIS(DIS支持抢占,优先级0也参与,没有备份的BDR)
3、OSPF的MA网络普通路由器只能和DR建立邻接关系,而ISIS所有的路由器都会建立邻接关系
4、OSPF建立邻居需要检查hello中的掩码、认证、hello/dead时间间隔、区域类型等信息,ISIS建立邻居用三次握手和二次握手
链路状态同步过程:
- 相同点:
1、均需形成统一的LSDB。 - 不同点:
1、OSPF的LSA种类很多,ISIS的LSP只有level-1和level-2,但是扩展性强,通过LSP携带的TLV扩展
2、OSPF的LSA生存周期从0开始递增(最大3600s),ISIS从最大开始递减(缺省1200s)
3、数据库同步过程不同
4、OSPF的域间和域外一次只能传输一个路由信息,ISIS可以传输多条路由信息
其他特点:
- 相同点:
1、均使用SPF算法计算路由;
2、无环路,收敛快,支持大规模网络部署。 - 不同点:
1、OSPF支持按需拨号链路,ISIS不支持
2、ISIS采用TLV结构,扩展性更好
3、OSPF 的接口开销根据接口带宽变化,ISIS 的接口开销值缺省相同
OSPF适合在运营商,ISIS适合在企业网
OSPF有很多类型的LSA,后台复杂,配置简单,适合中小规模环境复杂的企业网络
ISIS所产生的LSP更少,后台简单,配置复杂,适合专业人士
ISIS邻居关系建立不了的原因
1、路由器类型不一致(一台level-1 一台level-2)
2、区域ID不同(level-1的路由器必须区域ID相同)
3、互连接口不在同一子网(由于IIH不携带子网掩码,携带IP,路由器收到IP后与本地接口的掩码进行运算)
4、接口认证不一致
5、mtu不一致(在广播和P2P发送的IIH会按出接口的MTU填充,P2P建立邻居后不填充MTU)
6、System ID长度不一致(默认6字节)
7、max area不一样(最大区域地址默认是3个)
8、isis接口被静默
9、P2P中2-way不能和3-way建立邻居(但是3-way可以和2-way建立邻居)
不影响建立邻居的条件
cost-style不一致 (路由计算会有问题,但是能建立邻居)
hello时间不一致
ISIS为了适应IPv6新加的TLV
236号TLV定义路由信息前缀、度量值等信息来说明网络的可达性
232号TLV相当于“IP Interface Address” TLV,把32比特的IPv4地址换成了128比特的IPv6地址
还有新加了NLPID(网络层协议ID)Network Layer Protocol Identifier
如果ISIS支持IPv6,那么对外发布IPv6路由时必须携带NLPID值
ISIS ipv6 MT多拓扑
MT可以使IS-IS在一个路由域中维护多个拓扑
如果支持MT,IS-IS可以为IPv4和IPv6维护分离的拓扑
由于ISIS单拓扑必须每台路由器都要运行ipv6和ipv4不够灵活,不能用ipv4的区域来连接ipv6的区域,会导致丢失ipv6的流量
ipv6 enable topology ipv6
ISIS ipv4的组播地址转为ipv6组播地址
组播MAC地址前24位固定为0x01005E,第25位为0
组播MAC地址后23位为IPv4地址的后23位
由于IPv4的后28位只有23位被截取,所以可能会有2的5次方(32)个IPv4组播地址映射到同一个MAC地址上,就需要上层的过滤来实现
扫一扫
1101
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
