目录
ISIS域间路由
ISIS如何划分区域级别
ISIS的物理区域和逻辑区域不同,即物理上看不出是否是骨干区域和非骨干区域(无法通过Area ID来区分区域是否为骨干区域、非骨干区域),需要自己去判断。
如何判断设备的接口是在骨干区域还是非骨干区域
由L2邻居连接起来的区域为骨干区域,由L1邻居连接起来的区域为非骨干区域
所以可知:骨干区域内可以有多个不同的Area ID
注意
L2的邻居关系一定要连续,保证骨干区域的连续性
L1/L2路由器一定要和L1路由器在同一区域
ISIS协议的区域边界在整个Router,OSPF的区域边界在Router的接口上
ISIS配置的区域ID是以整个设备为单位的(即一台设备只可以运行在一个区域)
OSPF配置的区域ID是以端口为单位的 (即一台设备可以运行在多个区域)
区域间路由如何互通
非骨干到骨干
默认情况下:
L1/2路由器不会将L2的路由泄露到L1区域(即每个L1的区域默认为完全末节区域)
而是通过ATT 骨干区域连接符使得L1区域内设别产生缺省路由实现路由互通(具体过程如下)
- L1/2路由器在自己的L1 LSP中,将ATT 置1,用于描述自身连接着的骨干区域
- L1的路由器根据ATT-1的标识,产生一条去往L1/2路由器的缺省路由(如果从多个L1/2路由器收到ATT置位,则会产生一条去往最近的L1/2路由器的缺省路由)
- 可以通过路由泄露实现,将L2区域路由重发布到L1
默认情况下:
L1/2路由器将自身在L1内的路由以一条实LSP的形式在骨干区域进行泛洪
(L1/L2将自身L1内的路由都认为是自身直连的路由发送到骨干区域)
ISIS认证
根据对何种报文做认证分类
接口认证: 对L1和L2的Hello报文进行认证
区域认证: 对L1的CSNP、PSNP、LSP报文进行认证
路由域认证:对L2的CSNP、PSNP、LSP报文进行认证
根据对报文的认证方式分类
不认证
简单认证: 密码为明文,加入到报文中
MD5认证: 密码进行MD5算法加密后,加入到报文中
Keychian认证: 定期修改报文的认证和加密算法
HMAC-SHA256认证:将密码进行HMAC-SHA256算法后,加入到报文中
如果本端端配置了认证,但是密码丢失;如何保证在不重置密码的情况下保证邻居建立成功
可以在对端和本端配置开启认证,但是不识别此认证字段
华为设备配置:isis authentication-mode md5 cipher admin@123 send-only
配置认证时携带send-only参数,表示只加载ISIS的认证字段,但是不对此字段的嫩容进行认证
影响ISIS建立邻居的因素
1、区域
L1的路由器只能建立L1的邻居关系
2、路由器级别
L1只能和L1、L1-2建立,L2只能和L2、L1-2建立,L1-2可以和L1-2、L1、L2建立
3、System-id
必须不一致,唯一标识一台ISIS路由器,具有唯一性
4、同一子网下,掩码可以不一致
由于Hello不携带掩码,携带IP,路由器用收到的IP与本地接口的掩码进行与运算,判断是否为同一子网
5、MTU
以太网接口MTU值小于ISIS-LSP报文的max size+3字节(3字节为ISIS的报文头长度)会影响邻居建立
P2P接口MTU值小于ISIS-LSP的报文长度会影响邻居建立
默认情况下,MA的MTU不小于1500,P2P不能小于1497
6、网络接口类型
由于MA和P2P建立邻居所需的TLV不一致(TLV6和TLV240)
所以网络接口类型不一致无法建立邻居
7、认证方式
认证的类型和密钥要一致
8、3次握手情况
三次握手(兼容二次握手)和三次握手only(不兼容三次握手)可以建立邻居关系
P2P的两次握手和三次握手之间可以建立邻居关系(3次握手兼容2次握手)
P2P的两次握手和三次握手Only(只支持3次握手,不兼容二次握手)不会建立邻居
会导致一边Up,一边Down
9、Cost-type开销类型
不同的Cost-type可以建立邻居但是无法传递路由
Narrow的TLV为2,128,130
Wide的TLV为22,135