嘘~ 正在从服务器偷取页面 . . .

IS-IS基本配置介绍


本篇我们主要来介绍一下IS-IS协议以及在华为路由器中对IS-IS的基本配置工作。首先我们来简单介绍一
下IS-IS。IS-IS是一种基于SPF算法的链路状态协议,同时IS-IS也是一种内部网关协议。IS-IS是ISO定
义的OSI协议栈中无连接网络服务CLNS (Connectionless Network Service)的一部分,用于动态路由
数包。
CLNS由以下三个协议构成:
● CLNP:类似于TCP/IP中的IP协议。IP协议为TCP/IP传输层服务。CLNP为OSI传输层服务。
● IS-IS: 中间系统(路由器)间的路由协议,类似于IP中的OSPF
● ES-IS:主机系统与中间系统间的协议,就象IP中的ARP,IGMP(RD)等。

IS-IS与OSPF的共同点:

● 维护一个链路状态数据库,基于Dijkstra算法
● 都利用Hello包形成和维护邻居关系
● 使用区域的概念来构成层次化的拓扑结构
● 都提供在区域之间提供地址汇总的能力
● 无类路由协议
● 都选取一个指定路由器来描述广播性网路
● 都支持认证

IS-IS地址

IS-IS地址由IDP和DSP组成。IDP和DSP的长度都是可变的,NSAP总长最多是20个字节,最少8个字节。在
ISIS协议中,一台设备可以配置多个NET地址,各个地址的area ID可以不一样,但system ID必须保持一
致。
● NSAP:Network Service Access Point (网络层地址+服务端口号)
● NET:Network Entity Title (特殊NSAP,最后一个字节为0)

简化的NSAP格式:Area Address由AFI(权限格式标识符),IDI还有DSP的一部分组成,用来标识了组织
结构(请忘记这些复杂的东西吧,我们需要记住area ID)。System ID必须在整个区域和主干(Level2)
上保持唯一,用来唯一标识主机或路由器。System ID为6个字节。NSEL(NSAP-Selector)NSAP标识,用
来指示选定的服务,相当于TCP/IP地址中的端口号,对NET地址来讲,是00。AFI=49的地址为OSI协议的私
有地址,类比TCP/IP?中的10.0.0.0等。

一个中间系统(路由器)至少有一个NET(最多可有254个),同一AREA的中间系统必须有相同的Area ID,
每个中间系统在一个Area中必须有一个唯一的System ID。一个domain中的两 Level-2中间系统不能有相
同的System ID。NSAP至少为8个字节,最多为20个字节。对于ip应用程序而言,1字节定义AFI(标识二进
制DSP语法的地址域),最少2字节定义实际区域信息,6字节定义系统ID和1字节的NSEL,故NSAP地址最少
为10字节。

ISIS的邻接关系:

● Level-1:Area ID 一样可以建立level 1的邻接关系
● Level-2:Area ID 一样或者不一样都可以建立level-2的邻接关系
● Level-1-2(默认的),Area ID一样即可以建立level-1,也可以建立level-2的邻接关系

Level-1路由器:
Level-1路由器负责区域内的路由,它只与属于同一区域的Level-1和Level-1-2路由器形成邻居关系,属
于不同区域的Level-1路由器不能形成邻居关系。Level-1路由器只负责维护Level-1的链路状态数据库
LSDB,该LSDB包含本区域的路由信息。到本区域外的报文转发给最近的Level-1-2路由器。Level-1路由器
必须通过Level-1-2路由器才能连接至其他区域。

Level-2路由器:
路由器负责区域间的路由,它可以与同一或者不同区域的Level-2路由器或者其它区域的Level-1-2路由器
形成邻居关系。Level-2路由器维护一个Level-2的LSDB,该LSDB包含IS-IS区域的所有路由信息。所有
Level-2级别(即形成Level-2邻居关系)的路由器组成路由域的骨干网,负责在不同区域间通信。路由
域中Level-2级别的路由器必须是物理连续的,以保证骨干网的连性。

Level-1-2路由器:
同时属于Level-1和Level-2的路由器称为Level-1-2路由器,它可以与同一区域的Level-1和Level-1-2
路由器形成Level-1邻居关系,也可以与其他区域的Level-2和Level-1-2路由器形成Level-2的邻居关系
。Level-1路由器必须通过Level-1-2路由器才能连接至其他区域。Level-1-2路由器维护两个LSDB,
Level-1的LSDB 用于区域内路由,Level-2的LSDB用于区域间路由。

ISIS的报文类型:

● IIS:hello报文,10秒发送一次,hold-timer:30。在MA网络中,HELLO报文会通过填充PDU的形式检
查MTU值,所有的hello报文都会填充,可以通过命令修改不填充。在P2P网络中,第一个hello报文会填充
pdu,后续不会填充。
● SNP:协议数据单元
● CSNP:全部序列号协议数据单元(类似于OSPF的DBD报文)

ISIS中DIS的选举:

1、DIS选举首先比较优先级,默认优先级为64,范围是0- 127,在ISIS中优先级为0仍然参于选举,只是
具有最低的选举权限,127最高
2、如果优先级相同,会比较接口的MAC地址,越大越有可能成为DIS
3、在ISIS中所有的设备都会建立邻接关系,不但于DIS之间建立邻接关系,非DIS之间也会建立邻接关系
4、优先级为0的路由器也参与DIS的选举,且DIS选举支持抢占。
5、IS-IS中DIS发送Hello时间间隔为10/3秒,而其他非DIS路由器发送Hello间隔为10秒。

ISIS的认证:
● 对于区域和路由域认证,可以设置为SNP和LSP分开认证
● 本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都进行认证检查。
● 本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文携带认证TLV,但
不对收到的SNP报文进行检查。
● 本地发送的LSP 报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文不携带认证TLV,
也不对收到的SNP报文进行认证检查。
● 本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都不进行认证检查。

前面我们对IS-IS进行简单的介绍,接下来我们以下面的拓扑为例,配置要求如下:
1、R5 OSPF引入直连网段,初始Cost为10。
2、R2 OSPF与IS-IS互相引入。
3、R2环回口使用OSPF宣告。
4、R3环回口使用IS-IS宣告。
5、R3 OSPF与IS-IS互相引入。
6、R2/R3/R4配置为IS-IS的Level-2区域,使用路由域认证。
7、R4/R6配置为IS-IS的Level-1区域,使用区域认证。
8、R6 ISIS引入直连网段,初始Cost为10。
9、要求配置完成后,PC1能Ping通PC2,如果不能Ping通,找出原因。

地址规划:
● LoopBack0
R1:1.1.1.1/32
R2:2.2.2.2/32
R3:3.3.3.3/32
R4:4.4.4.4/32
R5:5.5.5.5/32
R6:6.6.6.6/32

● NET地址
R2:10.0001.0000.0000.2001.00
R3:10.0001.0000.0000.3001.00
R4:10.0002.0000.0000.4001.00
R6:10.0002.0000.0000.6001.00

配置IS-IS部分

1、首先我们在R2/R3/R4/R6上配置IS-IS,假设所有路由器的接口IP地址已经配置完毕,将R2与R3配
置为Level-2路由器,并使用路由域认证。同时在相应接口使能IS-IS。
R2:
isis 1
is-level level-2
cost-style wide
network-entity 10.0001.0000.0000.2001.00
domain-authentication-mode md5 cipher huawei123
int g0/0/1
isis enable

R3:
isis 1
is-level level-2
cost-style wide
network-entity 10.0001.0000.0000.3001.00
domain-authentication-mode md5 cipher huawei123
int g0/0/1
isis enable

2、将R4配置为Level-1-2路由器,由于R4同时连接Level-2区域和Level-1区域,所以要同时配置路
由域认证和区域认证。同时在相应接口使能IS-IS。
isis 1
cost-style wide
network-entity 10.0002.0000.0000.4001.00
area-authentication-mode md5 cipher huawei123
domain-authentication-mode md5 cipher huawei123
int g0/0/0
isis enable
int g0/0/1
isis enable
int g0/0/2
isis enable

3、将R6配置为Level-1路由器,并使用区域认证。同时在相应接口使能IS-IS。
isis 1
is-level level-1
cost-style wide
network-entity 10.0002.0000.0000.6001.00
area-authentication-mode md5 cipher huawei123
4、在R6上配置IS-IS引入直连路由,这里我们将连接PC2的网段引入IS-IS。
isis 1
import-route direct cost 10 level-1

5、在R3上将R3的环回口通过IS-IS宣告。
int lo0
isis enable

6、这里我们假设OSPF部分已经配置完成,由于OSPF的配置在本站已经有多篇文章进行介绍,所以这里就
不再进行演示。

7、在R2和R3上配置OSPF与IS-IS相互引入。
ospf 1
import-route isis 1
isis 1
import-route ospf 1

验证配置

1、我们要求PC1与PC2之间能够互相Ping通,但是从验证结果来看,如下图PC1无法Ping通PC2。经过进一
步验证,此时PC1只能ping通R5的两个接口IP,无法ping通其它所有IP。

2、检查R1路由表,发现在R1上到达PC1的地址指向R2。

3、检查R2路由表,发现在R1上到达PC1的地址指向R4。

4、检查R4路由表,发现在R1上到达PC1的地址指向R3。

5、检查R3路由表,发现在R1上到达PC1的地址指向R1。

6、通过以上检查,可以发现这里存在路由环路,导致PC1发现的数据包无法到达PC2。为解决这个问题,我们
通过在R5上将引入的直连路由设置为Type-1。默认引入类型为Type-2

7、在R5上将OSPF引入的直连路由类型设置为Type-1。
ospf 1
import-route direct cost 10 type 1

8、修改完成后,可以看到到PC1的路由类型变为Type-1。

9、修改完成后,再次从PC1 ping PC2,确认网络可达。


文章作者: kclouder
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 kclouder !
  目录