文章目录
ISIS收敛特性
ISIS自带属性,无需配置
- 快速收敛
- 增量最短路径优先算法I-SPF
只对受影响的节点进行路由计算
只第一次计算全部节点 - 部分路由计算PRC
- 增量最短路径优先算法I-SPF
PRC的原理与I-SPF相同,都是只对发生变化的路由进行重新计算。不同的是,PRC不需要计算节点路径,而是根据I-SPF算出来的SPT来更新路由。在路由计算中,叶子代表路由,节点则代表路由器。如果I-SPF计算后的SPT改变,PRC会只处理那个变化的节点上的所有叶子;如果经过I-SPF计算后的SPT并没有变化,则PRC只处理变化的叶子信息。比如一个节点使能一个IS-IS接口,则整个网络拓扑的SPT是不变的,这时PRC只更新这个节点的接口路由,从而节省CPU占用率。
ISIS的智能定时器
-
当网络变化比较频繁时,IS-IS会频繁的进行SPF计算。频繁的SPF计算会消耗系统大量的CPU资源,从而影响其他业务的运行。配置智能定时器的优势在于当刚开始进行SPF计算时,两次计算的间隔时间较小,保证IS-IS路由的收敛速度。之后随着整个IS-IS网络的拓扑趋于稳定时,就可以适当的延长两次SPF计算的间隔时间,从而减少不必要的资源消耗
-
分为SPF计算智能定时器和LSP生成智能定时器
-
当网络变化频繁时,智能定时器的间隔时间会自动延长
LSP生成智能定时器:为了避免LSP频繁振荡对网络带来的冲击,LSP的生成存在一个最小间隔的限制,即同一个LSP在最小间隔内不允许重复生成,一般缺省(没有使能SPF智能定时期)最小时间间隔为5秒,作了这种限制后,路由收敛速度受到较大影响IS-IS中,LSDB发生变化时需要进行路由计算,但频繁的路由计算会占用大量的系统资源,导致系统性能下降。延迟SPF计算可以在一定程度上提高路由计算的效率。另一方面,如果路由计算的延迟时间过长,则会减慢路路由的收敛速度
timer spf max-interval [ init-interval [ incr-interval ] ]
初次进行SPF计算的延迟时间为init-interval;第二次进行SPF计算的延迟时间为incr-interval。随后,每变化一次,SPF计算的延迟时间增大为前一次的两倍,直到max-interval
LSP 快速扩散
- 由于LSP数量比较庞大,通常为了减轻大量LSP一起发送时对网络设备带来的冲击,一般IS-IS都是采用周期性分批扩散LSP的方法(缺省情况下,接口上发送LSP报文的最小间隔时间是50毫秒,每次发送LSP报文的最大数目是10)
- 正常情况下,当IS-IS收到其它设备发来的LSP时,如果此LSP比本地LSDB中相应的LSP要新,则更新LSDB中的LSP,并用一个定时器定期将LSDB内已更新的LSP扩散出去。 LSP快速扩散特性改进了这种方式,使能了此特性的设备收到一个或多个较新的LSP时,在路由计算之前,先将小于指定数目的LSP扩散出去,加快LSDB的同步过程。这种方式在很大程度上可以提高整个网络的收敛速度
每个接口最大发送6个LSP,最大发送间隔为100毫秒
[Huawei] isis 1
[Huawei-isis-1] flash-flood 6 max-timer-interval 100
IS-IS扩展特性—IS-IS认证
认证分类
-
接口认证
只对Level-1和Level-2的Hello 报文进行认证interface GigabitEthernet0/0/1
isis authentication-mode md5 plain huawei -
区域认证
对Level-1的SNP和LSP报文进行认证isis 1
is-level level-1
network-entity 49.0123.0000.0000.1111.00
area-authentication-mode md5 plain huawei -
路由域认证
对Level-2的SNP和LSP报文进行认证isis 1
is-level level-2
network-entity 49.4444.0000.0000.4444.00
domain-authentication-mode md5 plain huawei
认证方式
Null
明文
MD5
ospf的认证是在ospf头部携带,也是3中认证方式
ISIS wide metric
-
OSPF与ISIS协议都被扩展以便能够携带MPLS TE接口参数;对于Is-Is协议来说,使用以下两种新的TLV
扩展的IS可达性(类型22)
扩展的IP可达性(类型135[R4-GigabitEthernet0/0/0]isis cost ?
INTEGER<1-16777214> Cost value—默认为1-63。该值为改过metric style之后的值
具体配置如下
isis 1
is-level level-2
cost-style wide //ISIS开销值改为宽度量值
注意:isis要想使用tag标签,必须为宽度量值,否则不生效
IS-IS扩展特性—IS-IS LSP分片扩展
- LSP分片扩展
使IS-IS路由器生成更多的LSP分片,用来携带更多的IS-IS信息
IS-IS管理特性—IS-IS管理标记(Tag)
-
管理标记
- 管理标记特性允许在IS-IS域中通过管理标记对IP地址前缀进行控制,可以达到简化管理。其用途包括控制不同级别和不同区域间的路由引入,以及在同一路由器上运行的IS-IS多实例(即我们说的Tag)
- 使能管理标记时,必须使能IS-IS wide metric属性
R4:
isis 1
cost-style wide
network-entity 49.4444.0000.0000.4444.00
interface LoopBack0
ip address 44.1.1.1 255.255.255.0
isis enable 1
isis tag-value 666
综合实验
1、R1、R2和R3是Level-1路由器,R6是Level-2路由器
2、通告相关接口
3、R4和R6、R5和R6之间不能有DIS选举,建立可靠的邻居;
4、R1、R2和R3共享网络中,要求R3为DIS,需在R1和R2上配置,且优先级设置尽量小但仍可以参与DIS选举
5、实现不同区域间的相互访问,且要求如下
- R6需引入10.0.X.0/24网段,并标记为100;
- 要求区域47.0001能够通过R4学到10.0.X.0/24网段明细,且必须保持这些路由的标记为100
6、R2只允许通过缺省路由访问区域47.0002的网络。不能使用ACL和前缀列表。
7、增强网络安全性,要求如下
- 区域47.0001的所有路由器发送的LSP和SNP需要进行认证,认证类型为MD5,密码为Huawei;
- Level-2路由器发送的IIH需要进行认证,认证类型为MD5,密码为Huawei。
基础配置见如图下方配置,题目要求配置如下
解答:
1、R1,R2,R3的isis层级为level-1,R6为level-2,R4和R5为level-1-2路由器
2、使能接口isis enable
3、R4和R6、R5和R6之间使用p2p网络类型,无dis,p2p使用3-way握手
[AR4-GigabitEthernet0/0/0]isis circuit-type p2p
[AR4-GigabitEthernet0/0/0]isis ppp-negotiation 3-way only
[AR5-GigabitEthernet0/0/0]isis circuit-type p2p
[AR5-GigabitEthernet0/0/0]isis ppp-negotiation 3-way only
[AR6-GigabitEthernet0/0/0]isis circuit-type p2p
[AR6-GigabitEthernet0/0/0]isis ppp-negotiation 3-way only
[AR6-GigabitEthernet0/0/1]isis circuit-type p2p
[AR6-GigabitEthernet0/0/1]isis ppp-negotiation 3-way only
4、设置R1和R2的优先级为0,比较优先级,越高越优,默认64,最高127,isis优先级为0任然参与选举。
[AR1-GigabitEthernet0/0/0]isis dis-priority 0
[AR2-GigabitEthernet0/0/0]isis dis-priority 0
[AR2-GigabitEthernet0/0/0]display isis lsdb
Database information for ISIS(1)
--------------------------------
Level-1 Link State Database
LSPID Seq Num Checksum Holdtime Length ATT/P/OL
-------------------------------------------------------------------------------
1111.1111.1111.00-00 0x00000005 0x37de 1168 86 0/0/0
2222.2222.2222.00-00* 0x00000005 0x7f27 1169 86 0/0/0
2222.2222.2222.01-00* 0x00000002 0x8f9f 0 (1169) 27 0/0/0 //老化掉了,holdtime=0
3333.3333.3333.00-00 0x00000007 0x1e80 1168 140 0/0/0
3333.3333.3333.01-00 0x00000001 0x1a51 1168 66 0/0/0 //为dis
4444.4444.4444.00-00 0x00000008 0x57f0 937 102 1/0/0
5555.5555.5555.00-00 0x00000008 0x328f 926 102 1/0/0
Total LSP(s): 7
*(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended),
ATT-Attached, P-Partition, OL-Overload
5、不同区域互访需要配置isis路由渗透,标记为100需要配置管理标记tag,
[AR6]acl 2001
[AR6-acl-basic-2001]rule permit source 10.0.0.0 0.0.3.255
[AR6-acl-basic-2001]q
[AR6]route-policy Import-dir permit node 10
Info: New Sequence of this List.
[AR6-route-policy]if-match acl 2001
[AR6-route-policy]isis
[AR6-isis-1]import-route direct route-policy Import-dir level-2 tag 100 //引入直连到level-2,标记tag为100
在6个路由器上均执行如下命令
[AR6-isis-1]cost-style wide //不执行此命令,会没有
tag标签
要求区域47.0001能够通过R4学到10.0.X.0/24网段明细,且必须保持这些路由的标记为100
[AR4-isis-1]import-route isis level-2 into level-1 filter-policy route-policy Import-tag
Warning: The configuration is successful. Configure the specified policy/ACL to validate the configuration.
[AR4]route-policy Import-tag permit node 10
Info: New Sequence of this List.
[AR4-route-policy]if-match tag 100
[AR3-isis-1]dis ip routing-table protocol isis verbose | inc 10
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 11 Routes : 12
Preference: 15 Cost: 10
Preference: 15 Cost: 10
Preference: 15 Cost: 10
Preference: 15 Cost: 10
Preference: 15 Cost: 10
Preference: 15 Cost: 10
Destination: 10.0.0.0/24
Tag: 100 Priority: low
Destination: 10.0.1.0/24
Tag: 100 Priority: low
Destination: 10.0.2.0/24
Tag: 100 Priority: low
Destination: 10.0.3.0/24
Tag: 100 Priority: low
[AR3-isis-1]
6、R2只允许通过缺省路由访问区域47.0002的网络。不能使用ACL和前缀列表。
[AR2]route-policy Dent-tag deny node 10
Info: New Sequence of this List.
[AR2-route-policy]if-match tag 100
[AR2-route-policy]q
[AR2]route-policy Dent-tag permit node 20
Info: New Sequence of this List.
[AR2-route-policy]isis
[AR2-isis-1]filter-policy route-policy Dent-tag import
[AR2-isis-1]display isis route
Route information for ISIS(1)
-----------------------------
ISIS(1) Level-1 Forwarding Table
--------------------------------
IPV4 Destination IntCost ExtCost ExitInterface NextHop Flags
-------------------------------------------------------------------------------
0.0.0.0/0 20 NULL GE0/0/0 192.168.1.3 A/-/-/-
10.0.0.0/24 30 NULL GE0/0/0 192.168.1.3 -/-/-/U
3.3.3.3/32 10 NULL GE0/0/0 192.168.1.3 A/-/-/-
192.168.1.0/24 10 NULL GE0/0/0 Direct D/-/L/-
10.0.3.0/24 30 NULL GE0/0/0 192.168.1.3 -/-/-/U
2.2.2.2/32 0 NULL Loop0 Direct D/-/L/-
10.0.2.0/24 30 NULL GE0/0/0 192.168.1.3 -/-/-/U
5.5.5.5/32 20 NULL GE0/0/0 192.168.1.3 A/-/-/-
1.1.1.1/32 10 NULL GE0/0/0 192.168.1.1 A/-/-/-
10.0.1.0/24 30 NULL GE0/0/0 192.168.1.3 -/-/-/U
34.1.1.0/24 20 NULL GE0/0/0 192.168.1.3 A/-/-/-
35.1.1.0/24 20 NULL GE0/0/0 192.168.1.3 A/-/-/-
46.1.1.0/24 30 NULL GE0/0/0 192.168.1.3 A/-/-/-
56.1.1.0/24 30 NULL GE0/0/0 192.168.1.3 A/-/-/-
4.4.4.4/32 20 NULL GE0/0/0 192.168.1.3 A/-/-/-
Flags: D-Direct, A-Added to URT, L-Advertised in LSPs, S-IGP Shortcut,
U-Up/Down Bit Set
[AR2-isis-1]dis ip r
[AR2-isis-1]dis ip rou
[AR2-isis-1]dis ip routing-table p isis
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : ISIS
Destinations : 9 Routes : 9
ISIS routing table status : <Active>
Destinations : 9 Routes : 9
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 ISIS-L1 15 20 D 192.168.1.3 GigabitEthernet0/0/0
1.1.1.1/32 ISIS-L1 15 10 D 192.168.1.1 GigabitEthernet0/0/0
3.3.3.3/32 ISIS-L1 15 10 D 192.168.1.3 GigabitEthernet0/0/0
4.4.4.4/32 ISIS-L1 15 20 D 192.168.1.3 GigabitEthernet0/0/0
5.5.5.5/32 ISIS-L1 15 20 D 192.168.1.3 GigabitEthernet0/0/0
34.1.1.0/24 ISIS-L1 15 20 D 192.168.1.3 GigabitEthernet0/0/0
35.1.1.0/24 ISIS-L1 15 20 D 192.168.1.3 GigabitEthernet0/0/0
46.1.1.0/24 ISIS-L1 15 30 D 192.168.1.3 GigabitEthernet0/0/0
56.1.1.0/24 ISIS-L1 15 30 D 192.168.1.3 GigabitEthernet0/0/0
ISIS routing table status : <Inactive>
Destinations : 0 Routes : 0
isis路由表有10网段,但是在isis中进行了过滤,所以在ip 的路由表中没有10网段的路由
7、
- 区域47.0001的所有路由器发送的LSP和SNP需要进行认证,认证类型为MD5,密码为Huawei,即level-1的区域认证方式
- Level-2路由器发送的IIH需要进行认证,认证类型为MD5,密码为Huawei,即接口认证方式
在AR1,AR2,AR3,AR4,AR5上执行如下命令
[AR1-isis-1]area-authentication-mode md5 cipher Huawei
在AR4的g0/0/0,AR5的g0/0/0,AR6的g0/0/0和g0/0/1上执行如下命令
[AR4-GigabitEthernet0/0/0]isis authentication-mode md5 cipher Huawei
8、其它
在Ar4上对10网段做汇总
[AR4-isis-1]summary 10.0.0.0 255.255.248.0 level-1 tag 100 //在Ar4上做汇总,通过AR4发给AR3的10网段为汇总后的地址,且携带一个汇总后的tag值100
[AR3-isis-1]dis isis route
Route information for ISIS(1)
-----------------------------
ISIS(1) Level-1 Forwarding Table
--------------------------------
IPV4 Destination IntCost ExtCost ExitInterface NextHop Flags
-------------------------------------------------------------------------------
0.0.0.0/0 10 NULL S1/0/0 34.1.1.4 A/-/-/-
S1/0/1 35.1.1.5
//AR4和AR5两个level-1-2路由器在level-1区域报文ATT=1,由于到两个level-1-2路由器开销值相等,AR3生成了两个默认路由
10.0.0.0/21 20 NULL S1/0/0 34.1.1.4 A/-/-/U //汇总后
3.3.3.3/32 0 NULL Loop0 Direct D/-/L/-
192.168.1.0/24 10 NULL GE0/0/0 Direct D/-/L/-
2.2.2.2/32 10 NULL GE0/0/0 192.168.1.2 A/-/-/-
5.5.5.5/32 10 NULL S1/0/1 35.1.1.5 A/-/-/-
1.1.1.1/32 10 NULL GE0/0/0 192.168.1.1 A/-/-/-
34.1.1.0/24 10 NULL S1/0/0 Direct D/-/L/-
35.1.1.0/24 10 NULL S1/0/1 Direct D/-/L/-
46.1.1.0/24 20 NULL S1/0/0 34.1.1.4 A/-/-/-
56.1.1.0/24 20 NULL S1/0/1 35.1.1.5 A/-/-/-
4.4.4.4/32 10 NULL S1/0/0 34.1.1.4 A/-/-/-
Flags: D-Direct, A-Added to URT, L-Advertised in LSPs, S-IGP Shortcut,
U-Up/Down Bit Set
如果想实现AR3访问10网段时走AR4,其它地址走默认路由
[AR3-isis-1]nexthop 35.1.1.5 weight 1 //更改权重值
Aug 1 2020 14:24:48-08:00 AR3 %%01RM/4/IPV4_DEFT_RT_CHG(l)[4]:IPV4 default Route is changed. (ChangeType=Delete, InstanceId=0, Protocol=ISIS, ExitIf=Serial1/0/0, Nexthop=34.1.1.4, Neighbour=0.0.0.0, Preference=251658240, Label=NULL, Metric=167772160)
[AR3-isis-1]dis isis route
Route information for ISIS(1)
-----------------------------
ISIS(1) Level-1 Forwarding Table
--------------------------------
IPV4 Destination IntCost ExtCost ExitInterface NextHop Flags
-------------------------------------------------------------------------------
0.0.0.0/0 10 NULL S1/0/1 35.1.1.5 A/-/-/-
10.0.0.0/21 20 NULL S1/0/0 34.1.1.4 A/-/-/U
3.3.3.3/32 0 NULL Loop0 Direct D/-/L/-
192.168.1.0/24 10 NULL GE0/0/0 Direct D/-/L/-
2.2.2.2/32 10 NULL GE0/0/0 192.168.1.2 A/-/-/-
5.5.5.5/32 10 NULL S1/0/1 35.1.1.5 A/-/-/-
1.1.1.1/32 10 NULL GE0/0/0 192.168.1.1 A/-/-/-
34.1.1.0/24 10 NULL S1/0/0 Direct D/-/L/-
35.1.1.0/24 10 NULL S1/0/1 Direct D/-/L/-
46.1.1.0/24 20 NULL S1/0/0 34.1.1.4 A/-/-/-
56.1.1.0/24 20 NULL S1/0/1 35.1.1.5 A/-/-/-
4.4.4.4/32 10 NULL S1/0/0 34.1.1.4 A/-/-/-
Flags: D-Direct, A-Added to URT, L-Advertised in LSPs, S-IGP Shortcut,
U-Up/Down Bit Set
[AR3-isis-1]dis ip routing-table protocol isis
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : ISIS
Destinations : 8 Routes : 8
ISIS routing table status : <Active>
Destinations : 8 Routes : 8
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 ISIS-L1 15 10 D 35.1.1.5 Serial1/0/1
1.1.1.1/32 ISIS-L1 15 10 D 192.168.1.1 GigabitEthernet0/0/0
2.2.2.2/32 ISIS-L1 15 10 D 192.168.1.2 GigabitEthernet0/0/0
4.4.4.4/32 ISIS-L1 15 10 D 34.1.1.4 Serial1/0/0
5.5.5.5/32 ISIS-L1 15 10 D 35.1.1.5 Serial1/0/1
10.0.0.0/21 ISIS-L1 15 20 D 34.1.1.4 Serial1/0/0
46.1.1.0/24 ISIS-L1 15 20 D 34.1.1.4 Serial1/0/0
56.1.1.0/24 ISIS-L1 15 20 D 35.1.1.5 Serial1/0/1
ISIS routing table status : <Inactive>
Destinations : 0 Routes : 0
上图中的配置ip,通告相关接口配置如下
<AR1>dis current configuration isis
[V200R003C00]
#
isis 1 //配置ISIS进程号为1
is-level level-1 //level层级为level-1,不更改的话默认为level-1-2
network-entity 47.0001.1111.1111.1111.00
#
return
<AR1>dis current-configuration interface
[V200R003C00]
#
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
isis enable 1
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
isis enable 1
#
return
------------------------------------------------------------------------
<AR2>dis current configuration isis
[V200R003C00]
#
isis 1
is-level level-1
network-entity 47.0001.2222.2222.2222.00
#
return
<AR2>dis current-configuration interface
[V200R003C00]
#
interface GigabitEthernet0/0/0
ip address 192.168.1.2 255.255.255.0
isis enable 1
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
isis enable 1
#
return
------------------------------------------------------------------------
<AR3>dis current configuration isis
[V200R003C00]
#
isis 1
is-level level-1
network-entity 47.0001.3333.3333.3333.00
#
return
<AR3>dis current-configuration interface
[V200R003C00]
#
interface Serial1/0/0
link-protocol ppp
ip address 34.1.1.3 255.255.255.0
isis enable 1
#
interface Serial1/0/1
link-protocol ppp
ip address 35.1.1.3 255.255.255.0
isis enable 1
#
interface GigabitEthernet0/0/0
ip address 192.168.1.3 255.255.255.0
isis enable 1
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
isis enable 1
#
return
<AR3>
------------------------------------------------------------------------
<AR4>dis current configuration isis
[V200R003C00]
#
isis 1
network-entity 47.0001.4444.4444.4444.00
#
return
<AR4>dis current-configuration interface
[V200R003C00]
#
interface Serial1/0/0
link-protocol ppp
ip address 34.1.1.4 255.255.255.0
isis enable 1
#
interface Serial1/0/1
link-protocol ppp
#
interface GigabitEthernet0/0/0
ip address 46.1.1.4 255.255.255.0
isis enable 1
#
interface LoopBack0
ip address 4.4.4.4 255.255.255.255
isis enable 1
#
return
<AR4>
------------------------------------------------------------------------
<AR5>dis current configuration isis
[V200R003C00]
#
isis 1
network-entity 47.0001.5555.5555.5555.00
#
return
<AR5>dis current-configuration interface
[V200R003C00]
#
interface Serial1/0/0
link-protocol ppp
ip address 35.1.1.5 255.255.255.0
isis enable 1
#
interface Serial1/0/1
link-protocol ppp
#
interface GigabitEthernet0/0/0
ip address 56.1.1.5 255.255.255.0
isis enable 1
#
interface LoopBack0
ip address 5.5.5.5 255.255.255.255
isis enable 1
#
return
<AR5>
------------------------------------------------------------------------
<AR6>dis current configuration isis
[V200R003C00]
#
isis 1
is-level level-2
network-entity 47.0002.6666.6666.6666.00
#
return
<AR6>dis current-configuration interface
[V200R003C00]
#
interface GigabitEthernet0/0/0
ip address 46.1.1.6 255.255.255.0
isis enable 1
#
interface GigabitEthernet0/0/1
ip address 56.1.1.6 255.255.255.0
isis enable 1
#
interface LoopBack0
ip address 6.6.6.6 255.255.255.255
isis enable 1
#
interface LoopBack10
ip address 10.0.0.1 255.255.255.0
#
interface LoopBack11
ip address 10.0.1.1 255.255.255.0
#
interface LoopBack12
ip address 10.0.2.1 255.255.255.0
#
interface LoopBack13
ip address 10.0.3.1 255.255.255.0
#
return
<AR6>
故障排除思路
仅考虑ISIS
⚫ 检查接口是否在IS-IS中使能
⚫ 基本配置是否正确
⚫ 相应接口级别是否配置正确
⚫ 路由器区域是否相同
⚫ 相邻接口IP地址是否处于相同子网中
⚫ 系统ID是否重复
⚫ 是否开启了认证,认证配置是否正确
⚫ 接口是否发送标准Hello报文