集成ISIS(原始的isis经过改进,可以 兼容IP协议 )
IS-IS是ISO定义的OSI协议栈中无连接网络服务CLNS (Connectionless Network Service)的一部分,用于动态路由数据包。
CLNS由以下三个协议构成:
CLNP:类似于TCP/IP中的IP协议。IP协议为TCP/IP传输层服务。CLNP为OSI传输层服务。
IS-IS: 中间系统(路由器)间的路由协议,类似于IP中的OSPF
ES-IS:主机系统与中间系统间的协议,就象IP中的ARP,IGMP(RD)等。
扁平化的层次结构
ISIS和OSPF共同特征
维护一个链路状态数据库,当然是基于Dijkstra算法
都利用Hello包形成和维护邻居关系
使用区域的概念来构成层次化的拓扑结构
都提供在区域之间提供地址汇总的能力
无类路由协议
都选取一个指定路由器来描述广播性网路
认证能力
邻居关系建立:
邻居关系建立主要是通过HELLO包交互并协商各种参数,包括电路类型(level-1/level-2),Hold time,网络类型,支持协议,区域号,系统ID,PDU长度,接口IP等。
链路信息交换:
与OSPF不同,ISIS交互链路状态的基本载体不是LSA(link state advertisement),而是LSP(link state PDU);交互的过程没有OSPF协议那样经历了多个阶段,主要是通过CSNP和PSNP两种协议报文来同步,请求以及确认链路状态信息(承载的是链路状态信息摘要),而链路状态信息的详细拓扑和路由信息是由LSP报文传递。
路由计算:
SPF计算和OSPF基本一样的,但ISIS算法分离了拓扑结构和IP网段,加快了网络收敛速度。
NSAP( Network Service Access Point )是OSI 协议中用于定位资源的地址
相当于OSI的网络层协议CLNP的地址(类似IP地址的概念)
一个NSAP地址最长是20个字节,最少8个字节
Area Address(Area ID)由IDP和DSP中的High Order DSP组成,既能够标识路由域,也能够标识路由域中的区域。因此,它们一起被称为区域地址,相当于OSPF中的区域编号。同一Level-1区域内的所有路由器必须具有相同的区域地址,Level-2区域内的路由器可以具有不同的区域地址。
System ID用来在区域内唯一标识主机或路由器。在设备的实现中,它的长度固定为48bit(6字节)。一边情况下,我们采用设备的router-id转换为System ID。
SEL的作用类似IP中的“协议标识符”,不同的传输协议对应不同的SEL。在IP上SEL均为00。
NET
网络实体名称NET指的是设备本身的网络层信息,可以看作是一类特殊的NSAP(SEL=00),NET的长度与NSAP 的相同,最多为20个字节,最少为8个字节。在路由器上配置IS-IS 时,只需要考虑NET即可,NSAP可不必去关注。
在配置IS-IS过程中,NET最多也只能配3个。在配置多个NET时,必须保证它们的System ID都相同。
NET地址有三部分组成(area ID)+(system iD)+SEL(00) 最少8个字节最长是20
isis 1
network-entity 49.0123.1111.1111.1111.00 配置 设备的NET地址
is-name AR1 配置 设备 的名称(可以不配)
interface GigabitEthernet0/0/0
ip address 172.16.10.1 255.255.255.0
isis enable 1 将接口宣告进ISIS进程
dis isis peer 查看ISIS的邻居
dis isis lsdb 查看ISIS的数据库
dis isis lsdb
[AR3]dis isis int 查看哪 些接口宣告进ISIS进程
一个中间系统(路由器)至少有一个NET(最多可有3个)
同一AREA的中间系统必须有相同的AREA ID
每个中间系统在一个AREA中必须有一个唯一的System ID
一个domain中的两个Level-2中间系统不能有相同的System ID
NSAP至少为8个字节,最多为20个字节
对于ip应用程序而言,1字节定义AFI(标识二进制DSP语法的地址域),最少2字节定义实际区域信息,6字节定义系统ID和1字节的NSEL,故NSAP地址最少为8字节。
IS-IS整体架构
将Level-1路由器部署在非骨干区域,Level-2路由器和Level-1-2路由器部署在骨干区域。每一个非骨干区域都通过Level-1-2路由器与骨干区域相连
在OSPF中,每个链路只属于一个区域;而在IS-IS中,每个链路可以属于不同的区域;
在IS-IS中,单个区域没有物理的骨干与非骨干区域的概念;而在OSPF中,Area0被定义为骨干区域;
在IS-IS中,Level-1和Level-2级别的路由器分别采用SPF算法,分别生成最短路径树SPT;在OSPF中,只有在同一个区域内才使用SPF算法,区域之间的路由需要通过骨干区域来转发。
[AR2-isis-1]is-level ? 修改ISIS的级别
level-1 Level-1
level-1-2 Level-1-2
level-2 Level-2
interface GigabitEthernet0/0/0
isis circuit-level level-1 在接口下修改设备接口的level级别
isis的接口级别优先于进程级别
路由器分类:
1.L1路由器 —只能创建L1的LSDB 始终如一
只能与属于同一个区域的L1和L1-2的路由器建立邻居邻居
L1和L1 或者 L1-2形成L1的邻居关系
L1区域的路由器不能学到L2区域的路由明细信息
2.L2路由器 —只能创建L2的LSDB
可以和同一个区域的L2或者L1-2的路由器建立邻居关系
可以和不同区域的L2或者L1-2的路由器建立邻居关系
L2的路由器只维护L2的LSDB,该LSDB包含ISIS区域的所有路由信息
L2负责不同区域间通信
L2的区域的所有路由器组成骨干区域,所有的L2路由器必须是连续
L2区域的路由器 能学到L1区域的路由明细信息
3.L-1-2路由器 —能创建L1及L2的LSDB
可以和同一个区域的L1和L1-2的路由器建立邻居关系
也可以和不同区域的L2或者L1-2的路由器建立邻居关系
L1路由器必须通过L1-2的路由器才能连接其他区域
维持两个LSDB,维持L1的区域内的LSDB ,维持L2的区域间的LSDB
Level 1邻居 的建立
区域号必须一致(Area ID)
Level 1 Level 1 可以 建
Level 1 Level 1/2 可以
Level 1 Level 2 不可以
Level 2
不比较区域 号(Area ID)
L2 Level 2 可以 建立
l2 Level 1/2 可以
level 1 Level 2 不可以
如果区域号一致,默认两台设备 会建立 什么 邻居 既有level 1 也有level 2
如果区域 不一致,默认 只有level 2
ISIS在设计 的时候Level 2的邻居 不能分割
Level-1-2路由器同时属于Level-1和Level-2的路由器称为Level-1-2路由器,它可以与同一区域的Level-1和Level-1-2路由器形成Level-1邻居关系,也可以与其他区域的Level-2和Level-1-2路由器形成Level-2的邻居关系。
Level-1路由器必须通过Level-1-2路由器才能连接至其他区域。
Level-1-2路由器维护两个LSDB,Level-1的LSDB 用于区域内路由,Level-2的LSDB用于区域间路由。
Level-2路由器
路由器负责区域间的路由,它可以与同一或者不同区域的Level-2路由器或者其它区域的Level-1-2路由器形成邻居关系。
Level-2路由器维护一个Level-2的LSDB,该LSDB包含IS-IS区域的所有路由信息。
所有Level-2级别(即形成Level-2邻居关系)的路由器组成路由域的骨干网,负责在不同区域间通信。路由域中Level-2级别的路由器必须是物理连续的,以保证骨干网的连续性。
在ISIS中不存在虚链路
IS-IS 建立邻居的条件:
1.非同一个子网,掩码长度不一样,不能建立邻居。
通常情况下,IS-IS会对收到的Hello报文进行IP地址检查,只有这个地址和本地接收报文的接口地址在同一网段时,才会建立邻居。但当两端接口IP地址不在同一网段,如果均配置了isis peer-ip-ignore命令,就会忽略对对端IP地址的检查,此时链路两端的IS-IS接口间可以建立正常的邻居关系。路由表中有这两个不同网段的路由,但是不能互相PING通。
对于广播类型的接口,需要先在接口视图下配置isis circuit-type p2p命令后,才可配置isis peer-ip-ignore命令。
P2P类型的接口可直接配置isis peer-ip-ignore命令。
2.直连的路由器,system id不能相同
3.错误的区域ID设计
L1–才会关注区域ID
4.静默端口 silent-interface
interface GigabitEthernet0/0/1
isis silent
既不接收也不发送hello报文,
一般配置在连接PC端的接口,不会影响路由的通告
不要配置在路由器相连的接口
5.认证
6.直连的路由器接口网络类型一定要一致
7.以太网链路中MTU值一致
ISIS的报文:
HELLO: Level -1 hello 报文
level -2 hello 报文
p2p hello报文
LSP:类似lsU
l1 LSP
L2 LSP
SNP CSNP 类似 OSPF DBD
L1 CSNP L2 CSNP
PSNP 类似LSR LSACK(P2P)
L1 PSNP L2PSNP
L1 LAN IIH
Mac:0180-c200-0014 组播地址
L2 LAN IIH
Mac:0180-c200-0015 组播地址
IS-IS目前只支持点对点和广播网络类型。
[AR1]dis isis lsdb level-2 is-name AR3.01 verbose
DIS的选举:
首先比较优先级越大越优,默认64 范围 0-127
如果优先级相同比较MAC地址
优先级为的的设备 也可以被选举成DIS
DIS支持抢占
DIS的作用:在广播网络中做为一种确认机制
保证数据库的同步
interface GigabitEthernet0/0/0
isis dis-priority 127 配置接口的isis优先级最高,让它成为DIS
DIS
在广播网络中,IS-IS需要在所有的路由器中选举一个路由器作为DIS
Level-1和Level-2的DIS是分别选举的。
DIS优先级数值最大的被选为DIS。如果优先级数值最大的路由器有多台,则其中MAC地址最大的路由器会被选中。 (默认64,0到127之间)
用户可以为不同级别的DIS选举设置不同的优先级。
优先级为0的路由器也参与DIS的选举,且DIS选举支持抢占。
同一网段上的同一级别的路由器之间都会形成邻接关系,包括所有的非DIS路由器之间也会形成邻接关系,但LSDB的同步仍然依靠DIS来保证。
DIS用来创建和更新伪节点,并负责生成伪节点的链路状态协议数据单元LSP,用来描述这个网络上有哪些网络设备
IS-IS中DIS发送Hello时间间隔为10/3秒,而其他非DIS路由器发送Hello间隔为10秒。
同步LSDB的过程:
- P2P网络CSNP报文只发送一次,邻居建立之后立即发送
MA网络CSNP报文只有DIS组播发送,默认为10s
2.LSDB更新过程的比较:
2.1.比较序列号,序列号越大越新
2.2.如果序列号相同,则比较remainning-lifetime,remainning-lifetime越小越优
2.3.如果序列号和remainning-lifetime相,则比较checksum,checksum越大越优先
ISIS 特性:
路由渗透:
L1区域的设备默认学不到L2区域的明细路由的, L1区域去往L2区域的路由,必须经过L-1-2的路由器,由L-1-2的路由器下发的默认路由访问外部网络
L2区域的路由器可以学习到L1区域设备的明细路由
为了避免次优路由,需要在L-1-2的路由器手工将L2层级的路由渗透到Level1层级
[R2-isis-1]import-route isis level-2 into level-1 ?
filter-policy Set route filtering policy //匹配的路由才会下发
tag Specify the value of the tag //TAG,isis的管理TAG
路由过载:
虽然设置了过载标志位的LSP会在网络中扩散,但是在计算通过超载路由器的路由时不会被采用。即,对路由器设置过载位后,其它路由器在进行SPF计算时不会考虑这台路由器。但该路由器的直连路由不会被忽略。
R3:
isis 1
set-overload //设置过载位
ISIS 防环机制 —UP/DOWN 位
ISIS在引入区域间路由的时候容易引发环路,它通过UP/DOWN比特来防环
L2进入L1,down置位,就不在允许这些路由通过其他的L1/L2再引入回L2区域
L1进入L2,UP置位,就不在允许这些路由通过其他的L1/L2再引入回L1区域
广播网络中邻居关系的建立
以两台L2路由器在广播链路上建立邻居关系为例
R1组播发送Level-2 LAN IIH(组播MAC:01-80-C2-00-00-15),此报文中无邻居标识(MAC)。
R2收到此报文后,将自己和R1的邻居状态标识为Initial。然后,R2再组播向R1回复Level-2 LAN IIH,此报文中标识R1为R2的邻居。
R1收到此报文后,将自己与R2的邻居状态标识为Up。然后R1再组播向R2发送一个标识R2为R1邻居的Level-2 LAN IIH。
R2收到此报文后,将自己与R1的邻居状态标识为Up。这样,两个路由器成功建立了邻居关系。
P2P邻居关系的建立
1、三次握手邻居的广播邻居的建立,Neighbour中携带的不是MAC地址,是system ID
2、两次握手
interface GigabitEthernet0/0/0
isis enable 1
isis circuit-type p2p 修改ISIS接口的类型
isis ppp-negotiation 3-way only 配置握手机制
认证分类
接口认证
只对Level-1和Level-2的Hello 报文进行认证
区域认证
对Level-1的SNP和LSP报文进行认证
路由域认证
对Level-2的SNP和LSP报文进行认证
认证方式
Null
明文
MD5
interface GigabitEthernet0/0/0
ip address 78.1.1.8 255.255.255.0
isis enable 1
isis authentication-mode simple cipher 配置接口认证,如果后边附加了send-only,发送时携带,收到 是不接收
area-authentication-mode命令用来设置IS-IS区域按照预定的方式和密码验证收到的Level-1路由信息报文(LSP和SNP),并为发送的Level-1报文加上认证信息
isis 1
is-level level-1
network-entity 49.0004.7777.7777.7777.00
area-authentication-mode simple plain Huawei 配置Aarea的认证,区域认证不会影响邻居的建立 ,只是会对SNP LSP做认证,Level 1路由会受影响
IS-IS的开销类型可以配置为以下5种模式:
narrow:接收和发送开销值类型为narrow的报文。(默认)
narrow-compatible:可以接收开销值类型为narrow和wide的报文,但却只发送narrow的报文。
compatible:可以接收或发送开销值类型为narrow和wide的报文。
wide-compatible:可以接收开销值类型为narrow和wide的报文,但却只发送wide的报文。
wide:接收或发送开销值类型为wide的报文。
如果一端配置是narrow,另一端配置为wide或者wide-compatible,则两端不能互通。
如果一端配置是narrow-compatible,另一端配置为wide,则两端不能互通。
配置IS-IS开销类型:
isis 100
cost-style narrow
配置IS-IS接口的开销:
int g0/0/0
isis cost 5 level-2
OSPF与ISIS协议都被扩展以便能够携带MPLS TE接口参数;对于Is-Is协议来说,使用以下两种新的TLV:
扩展的IS可达性(类型22);
扩展的IP可达性(类型135)
管理标记值与某些属性相关联。当cost-sytle为wide、wide-compatible或compatible时,如果发布可达的IP地址前缀具有该属性,IS-IS会将管理标记加入到该前缀的IP可达信息TLV中。这样,管理标记就会随着前缀发布到整个路由域。
FRR快速重路由
isis 1
network-entity 49.1234.1111.1111.1111.00
frr
loop-free-alternate level-1
loop-free-alternate level-2
GR 优雅重启动
isis 1
graceful-restart 配置优雅重启
下发默认路由
isis 1
network-entity 49.1234.5555.5555.5555.00
default-route-advertise match default
nexthop命令用来配置等价路由的优先级。
weight weight value 指定下一跳权重。value越小则优先级越高。
isis 1
nexthop 55.1.1.1 weight ?
INTEGER<1-254> Nexthop weight value
汇总路由
isis的汇总可以在L1/L2设备完成
聚合的时候如果不加任何参数:
把L2路由引入到L1区域,同时做汇总,需要添加level-1 参数
把L1路由更新到L2区域,同时做汇总,没有加任何参数,成功
[R2-isis-1]summary 20.0.0.0 255.0.0.0 level-1 //把L2路由聚合到L1
[R4-isis-1]summary 1.1.0.0 255.255.0.0 //把L1的路由聚合到L2
特性
1.管理标记
interface LoopBack0
isis tag-value 666
使用circuit default-tag命令设置的接口的管理标记值为全局管理标记值。全局管理标记值的优先级低于isis tag-value命令在具体接口下配置的tag值的优先级。
扫一扫
1372
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
