基础知识
中间系统到中间系IS-IS属于内部网关协议IGP,一种链路状态路由协议,直连设备之间通过发送Hello报文发现彼此,然后建立邻接关系,交互链路状态信息的。
IS-IS设备的分类
level-1设备:主要负责区域内的路由,只与同一个区域的level-1、level-1-2设备形成邻居关系,处于不同区域的level-1设备不能形成邻居关系,level-1设备只负责维护level-1的链路状态数据LSDB,该LSDB包含本区域的路由信息,到本区域外的报文发送给最近的level-1-2设备去转发。
level-2设备:可以和相同区域的Level-2或者Level-1-2路由器建立Level-2邻接关系,也可以和不同区域的Level-2或者Level-1-2建立Level-2邻接关系,维护Level-2数据库。该LSDB包含区域间的路由信息。
level-1-2设备(路由器默认的类型):同时属于Level-1和Level-2的路由器称为Level-1-2路由器,它可以与同一区域的Level-1和Level-1-2路由器形成Level-1邻居关系,也可以与其他区域的Level-2和Level-1-2路由器形成Level-2的邻居关系。Level-1路由器必须通过Level-1-2路由器才能连接至其他区域。
能同时创建level-1和level-2的LSDB,Level-1的LSDB用于区域内路由,Level-2的LSDB用于区域间路由。
为支持大规模的路由网段,IS-IS在自治系统内采用骨干区域两级的分层结构,也就是一般来说将level-1设备部署在非骨干区域,level-2、level-1-2设备部署在骨干区域,而每个非骨干区域都需要通过level-1-2设备去连接到骨干区域。
支持的网络类型
点对点网络(P2P)
广播网络(MA/broadcast)
更改网络类型:在PPP链路中,P2P网络类型是无法更改为MA的,只有在MA网络中能够修改为P2P。
IS-IS的地址结构
由IDP、DSP组成,IDP和DSP的长度都是可变的。
1、由ISO规定的IDP相当于IP地址中的主网络号,由AFI、IDI两部分组成。
AFI表示地址分配机构和地址格式
IDI用来标识域。
2、DSP相当于IP地址中子网号和主机地址,由High Order DSP、Sytem ID、SEL三部分组成。
High Order DSP:分割区域
System ID:区分主机
SEL:指示服务类型
NET标识符:网络实体标识。NSAP地址使用NET去表示一个地址结构。NET地址最大字节数20B。在路由器上配置IS-IS时,只需要考虑NET即可,NSAP可不必去关注。
NET网络实体名称,是OSI协议栈中设备的网络层信息,主要用于路由计算;
由区域地址(Area ID)和System ID组成;
可看做是特殊的NSAP(SEL为00的NSAP)
System ID:(6B=48bit),唯一(相当于OSPF Router ID)
使用设备的接口地址
在路由器中如果有配置Loopback接口地址,可以使用Loopback接口作为System ID,将一个Loopback接口地址192.1.1.1用于System ID,在IP地址中进行补0,如果IP中的一个字节不足3位,在数字前面补0,补足3位,192.001.001.001,将此补足0的地址转换成System ID使用,1920.0100.1001。
SEL:1B,表示服务协议标识,IP就为00。
Isis配置
isis 1 #进入ISIS进程
network-entity 49.0000.0001.1920.0100.1001.00 #配置NET地址
49.0000.0001:Area ID
1920.0100.1001:system ID
00:表示IP服务标识
在接口下使能ISIS功能,如果在配置进程时,不配置其他ID,默认为1,在接口下可以直接回车。
ISIS的ATT置位实验
Level-1设备对于收到ATT位置为1的LSP报文,会生成一条目的地为发送该LSP的Level-1-2设备地址的缺省路由。
下面实验中AR1是level-1设备,它只维护level-1的LSDB,AR1的LSDB中有属于同一个区域的AR2、AR3以及自身的产生的level-1 LSP,AR1会根据LSDB中的level-1 LSP计算出 area 49.0001内的拓扑,以及到达区域内各个网段的路由信息。而AR2、AR3作为area 49.0001内的level-1-2设备。它们都会向该区域(area 49.0001)下发level-1 LSP中设置ATT标志位,用于向区域内的level-1设备AR1宣布可以通过自己到达其他区域。而AR1作为level-1设备会根据ATT标志位,计算出指向AR2、AR3的默认路由。
下面实验实操详细分析,通过设置ATT位控制缺省路由生成。
根据实验拓扑中的命令,配置好基础配置,IP地址、ISIS路由协议、静态路由等等。然后在AR4上用ping命令测试去往AR5的环回口地址,结果如下:可以ping通,默认路由配置成功。
在AR1上使用相关命令查看所需的信息。
在该实验中AR2、AR3是Level-1-2设备,AR1是level-1设备且分别与同一个区域的level-1-2设备(AR2、AR3)建立isis邻居关系,如下图中display isis peer命令所示信息。
AR2、AR3是level-1-2设备都有ATT位置为1。那么AR1为level-1设备会收到来自AR2、AR3的ATT位置为1的LSP报文,由此产生两条负载缺省路由。
有两条缺省路由出现,AR1能通过指向AR2或AR3的默认路由到达区域外部,而且AR1距离AR2和AR3的cost值都为10,假如AR2连接了外部路由,那么AR1访问该外部区域发送数据包时,有可能选择AR3这条路径出去,这时候就会出现次优路径了。
这时候可以通过控制ATT标志位来控制AR1产生缺省路由。
通过ATT位来控制缺省路由的生成
配置level-1设备不将缺省路由下发到路由表中,有两种方式可以实现。
1、在level-1-2设备上isis协议进程下使用attached-bit advertise never命令,使得level-1-2设备不发布ATT标志位的LSP。
在此实验中在AR2上将ATT位置为0,配置如下。
| [AR2] isis |
现在在AR1上再次查看LSDB与isis路由信息。
AR2设备就不会下发ATT位置为1的LSP。可以看到AR1收到AR3发布的ATT位置为1的LSP,生成一条下一跳是AR3的缺省路由。
2、在与level-1-2设备相连的level-1设备上的isis协议进程1下使用 attached-bit avoid-learning 命令。该方式一般适用于需要针对指定设备配置的情况。
| [AR1] isis [AR1-isis-1] attached-bit avoid-learning |
再次在AR1上查看ISIS 的LSDB与isis路由信息。如下所示:
配置ISIS路由负载分担
取消ATT位配置命令。然后去AR4上配置下发缺省路由。
| [AR1] isis [AR2] isis [AR4] isis |
去在AR1上查看有两条缺省路由。
再看看AR3的isis路由信息。
通过配置等价路由的优先级,做路由负载分担。缺省情况,配置isis等价路由的优先级,值越小,优先级越高。
| [AR1] isis [AR1-isis-1] nexthop 10.1.12.2 weight 1 [AR1-isis-1] nexthop 10.1.13.3 weight 2 [AR1-isis-1] quit [AR1] |
再次在AR1上查看路由信息,优先选择下一跳为AR2的缺省路由通向外网。
路由渗透
缺省情况下,level-1-2设备不会将到达其他区域的路由通告到本level-1区域中。也就是说在此实验中,level-1-2设备AR2、AR3都不会发布到达其他区域的路由·到本level-1设备AR1区域中。
可以通过路由渗透,将区域间路由通过level-1-2设备传递到level-1区域,这时level-1设备AR1设备就可以学习到其他区域的详细路由,从而计算出最优路径。
在前面实验拓扑上重新调整了一下,更直观的显示导致出现次优路径的情况,实验拓扑如下:
还是在原来基础上,AR1、AR2的基础配置不变,AR3、AR4、AR5的相关基础配置如拓扑图中一样。
接着前面实验基础上,在AR1上取消设置优先级的配置,取消AR4下发路由配置,然后重新引入直连路由,配置如下:
| [AR1] isis [AR4] isis |
| [AR4] isis [AR5] isis |
查看AR1的isis路由信息,有两条缺省路由,负载出去的,无法保证路径的优先选择,例如这时AR1去访问区域area 49.0002的4.4.4.4/32网段,它有可能会选择下一跳为10.1.13.3的缺省路由,这就会导致次优路由的出现。
看看level-1-2设备的LSDB与isis路由信息,以AR2为例。
这时候做路由渗透。缺省情况下,level-1-2设备不会将到达其他区域的路由通告本level-1区域中,在level-1-2设备上做路由渗透,可以将区域间路由通过level-1-2设备传递到level-1区域,这时level-1设备就可以学习到其他区域的详细路由,计算出最优路径。
| [AR2] isis [AR3] isis |
配置 IS-IS认证实验
通常情况下,IS-IS不对发送的IS-IS报文封装认证信息,也不对收到的报文做认证检查。当有恶意报文对网络进行攻击时,可能会导致整个网络的信息被窃取,因此,需要配置IS-IS认证提高网络的安全性。
1、做接口认证情况下,可以丢弃和接口认证命令设定的接口验证密码不符的Hello报文,同时也会以指定的方式在本节点发送的所有Hello报文中添加所设定的接口验证密码,以确认邻居的有效性和正确性。
2、区域认证会将认证密码封装在Level-1区域的IS-IS报文中,只有通过认证的报文才会被接收。因此,当需要对Level-1区域进行认证时,需要配置IS-IS区域认证。
3、路由域认证是将认证密码封装在Level-2区域的IS-IS报文中,只有通过认证的报文才会被接收。因此,当需要对Level-2区域进行认证时,需要配置IS-IS路由域认证。
区域49.0001内设备之间使用接口认证,认证方式MD5,密码为admin。配置如下:
| [AR1] interface GigabitEthernet 0/0/1 [AR1] interface GigabitEthernet 0/0/2 [AR2] interface GigabitEthernet 0/0/1 [AR3] interface GigabitEthernet 0/0/2 |
做区域认证,只有在Level-1或Level-1-2路由器上配置有效。认证方式MD5,密码为admin。无论是否通过区域验证,都不会影响到Level-1邻居关系的建立。配置如下:
| [AR1] isis [AR2] isis [AR3] isis |
做路由域认证,只有在Level-2或Level-1-2路由器上配置有效,
两个区域之间做路由认证。配置如下:
| [AR2] isis [AR3] isis [A4-isis-1] domain-authentication-mode md5 admin [AR5-isis-1] domain-authentication-mode md5 admin 重置isis进程 <AR5>reset isis all |
邻居建立成功。
学习中做的笔记,若有问题可以指导一下或者相互交流。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
