IS-IS中间系统-中间系统

ISIS概述

复制代码
IS-IS中间系统-中间系统(Intermediate System-Intermediate System)
    IS-IS是ISO定义的OSI协议栈中无连接网络服务CLNS (Connectionless Network Service)的一部分,用于动态路由数据包。
CLNS由以下三个协议构成:
    CLNP:类似于TCP/IP中的IP协议。IP协议为TCP/IP传输层服务。CLNP为OSI传输层服务。
    IS-IS:中间系统(路由器)间的路由协议,类似于IP中的OSPF 
    ES-IS:主机系统与中间系统间的协议,就象IP中的ARP,IGMP(RD)等。

IS中间系统=tcp/ip中的路由器



IS-IS的意思是标识中间系统到中间系统,是为ISO无连接网络协议(ISO’s connectionless network protocol , CLNP)设计的路由选择协议
ISIS协议的时间和OSPF发布的时间基本同一时期,稍早或者稍迟一点,都基于链路状态并使用最短路径优先算法进行路由计算的一种IGP协议
本意是支持从TCP/IP协议栈向OSI的转换,但是前者却成为了实际的工业标准,而ISIS现在更多的作为服务应用商网络的IGP的层面(华为设备优先级15)
为了提供对IP的路由支持,IETF在RFC1195中对IS-IS进行了扩充和修改,使它能够同时应用在TCP/IP和OSI环境中,修订后的IS-IS协议被称为集成化的IS-IS。由于IS-IS的简便性及扩展性强的特点,目前在大型ISP的网络中被广泛地部署。
ospf的主要运用场景是园区网(不是全部的企业网,因为现在的企业网友各种VPN)
ISIS的主要运用场景的骨干网



Internet 工程任务组IETF在RFC1195中定义了“用OSI ISIS实现在TCP/IP和OSI双重环境下的路由选择”,也就是“集成的ISIS”或者“双重ISIS”。
集成的ISIS可以支持纯CLNP网络或者纯IP网络,或者同时运行CLNP和IP的双重网络。
当前的ISIS规范中把网络节点叫做中间系统,其他协议比如OSPF把节点叫做路由器。 
没有NET地址ISIS无法运行
该地址包含了区域ID和系统ID,而它本质上是一个ISO地址
最后的SEL等同于TCP的端口号,永远的作为00出现





OSPF和ISIS的共同特征
1.维护一个链路状态数据库,基于dijkstra算法
2.都利用hello包形成和维护邻居关系
3.使用区域的概念来构成层次化的拓扑结构
4.都提供在区域之间提供汇总的能力
5.无类路由协议
6.都选取一个指定路由器来描述广播性网络
7.认证能力
ISIS概述
复制代码

NSAP、NET地址、level-1/2、ISIS报文

复制代码
NSAP、NET地址、level-1/2、ISIS报文
---------------------------------NSAP、NET地址------------------------------------
NSAP(network service access point)是OSI协议中用于定位资源的地址
NSAP由IDP、DSP两部分组成:IDP、DSP都是可变长的,
    IDP由AFI、IDI连部分组成
    DSP由High Order DSP、System ID、SEL三部分组成
NASP总长度最多20字节,最少8字节:
NSAP最少为8个字节 :AFI1字节+system ID6字节+SEL1字节
但对于IP应用程序而已,NASP地址至少10字节:AFI1字节+(实际区域信息最少2字节)+system ID6字节+SEL1字节

NET是一类特殊的NSAP地址(SEL=00)
    在路由器上配置IS-IS时,只需要考虑NET即可
NET地址示例:49.0001.1111.1111.1111.00。
    area id:49.0001,system id:1111.1111.1111,SEL:00
AFI=49的地址为OSI协议的私有地址

在路由器上配置的NET地址则由三部分组成:Area ID、System ID、SEL
    其中Area ID由AFI、IDI、High Order DSP三部分构成


一个中间系统(路由器)至少有一个NET(最多可有254个)
一台设备上的多个net地址的systemID必须一样
同个区域内,不同设备的system ID必须不一样
同一AREA的中间系统必须有相同的AREA ID
每个中间系统在一个AREA中必须有一个唯一的System ID
一个domain中的两个Level-2中间系统不能有相同的System ID


---------------------------------level-1/2------------------------------------

将Level-1路由器部署在非骨干区域,Level-2路由器和Level-1-2路由器部署在骨干区域。每一个非骨干区域都通过Level-1-2路由器与骨干区域相连
在OSPF中,每个链路只属于一个区域;而在IS-IS中,每个链路可以属于不同的区域;

在IS-IS中,单个区域没有物理的骨干与非骨干区域的概念;而在OSPF中,Area0被定义为骨干区域;
在IS-IS中,Level-1和Level-2级别的路由器分别采用SPF算法,分别生成最短路径树SPT;在OSPF中,只有在同一个区域内才使用SPF算法,区域之间的路由需要通过骨干区域来转发。


ISIS中设备默认是L1/L2级别
两个中间系统(路由器)建立的邻居关系
路由器1level级别            路由器2level级别            区域一致              区域不一致
L1                          L1                           L1邻居                 无
L1                          L2                           无                     无
L1                          L1/l2                        L1邻居                 无
L2                          L2                           L2邻居                 L2邻居
L1/L2                       L1/L2                        L1/l2邻居              L2邻居

---------------------------------ISIS报文------------------------------------
OSPF中,共5种报文:hello、DD、LSR、LSU、LSACK
ISIS中,共3大类报文,可细分为9种报文
IIH 即hello    
    1、L1 Hello
    2、L2 Hello   
    3、p2p Hello报文
LSP (OSPF的 LSA(LSU);LSP报文类似于OSPF的LSU报文)
    1、L1 LSP    
    2、L2 LSP
SNP 
    CSNP 类似于OSPF DBD    
        1、L1 CSNP   
        2、L2 CSNP
    PSNP 类似于OSPF   LSR   LSACK
        1、L2 PSNP    
        2、L2 PSNP

NSAP、NET地址、level-1/2、ISIS报文
NSAP、NET地址、level-1/2、ISIS报文
复制代码

 

ISIS邻居的建立、LSDB同步

复制代码
IS-IS支持的2种网络类型:
    点对点链路,如PPP、HDLC等
    广播链路,如Ethernet等
        在广播链路中,需要选举DIS(Designated IS 指定中间系统),功能:在广播网络实现更高效的数据库同步 
IS-IS支持的2种网络类型
复制代码
复制代码
isis邻居关系建立的要素(isis只有一种关系,叫邻居或邻接都可以)
(1)同一层次:只要路由器或接口下的层次不匹配都不能形成邻居关系
        [Huawei-isis-15]is-level level-1-2#配置该isis进程的层次
        [Huawei-Ethernet0/0/0]isis circuit-level level-1-2#配置该端口的层次
(2)同一区域:同一区域——可以建立L1和L2的邻居、不同区域——只能建立L2的邻居
(3)同一网段:华为默认要求两端接口必须属于同一网段才可以建立邻居(华为设备的特性,不同于其他厂商)
        [Huawei-Ethernet0/0/0]isis circuit-type p2p//华为设备在以太网接口下不能关闭同一网段的检测,只能把网络类型先切换为p2p(串口网络类型不能变为广播)
        [Huawei-Ethernet0/0/0]isis peer-ip-ignore//关闭同一网段的检测(WAN中有可能借用IP,因为公网IP地址紧张),模拟器不关闭不一定可以形成邻居
        #配置以上命令后,邻居可以正常建立,但ping包不通
        #即使是ppp链路,也要配置以上配置
(4)网络类型:p2p或广播
(5)认证也要匹配
(6)系统ID不能冲突






isis邻居关系的建立过程(isis只有一种关系,叫邻居或邻接都可以)
广播网络邻居建立---三次握手
1.网络初始化后,ISIS相互发送is-neighbour为空的IIH
2.ISIS路由器接收到IIH后,发现在报文中的is-neighbour中没有看到自己的MAC,端口状态转为init,将对端的MAC添加到IIH中并发送IIH
3.对端路由器收到IIH后,在报文中的is-neighbour中看到自己的MAC,端口状态直接UP,并将对端的MAC添加到IIH中并发送IIH
4.本端路由器收到IIH后,在报文中的is-neighbour中看到自己的MAC,端口状态直接UP

P2P网络邻居建立---三次握手
1.网络初始化后,ISIS相互发送IIH
2.ISIS路由器接收到IIH后,发现在报文没有看到自己的system-id,端口状态转为init,将对端的system-id添加到IIH中并发送IIH
3.对端路由器收到IIH后,在报文中看到自己的system-id,端口状态直接UP,并将对端的system-id添加到IIH中并发送IIH
4.本端路由器收到IIH后,在报文中看到自己的system-id,端口状态直接UP

P2P网络邻居建立---两次握手:只要收到对端发来IIH,即单方面邻居UP(所以存在单通风险)

P2P网络中,默认华为支持三次握手,兼容二次握手;可以通过命令修改
    [Huawei-Serial0/0/0]isis ppp-negotiation 3-way#默认为这种协商方式
    [Huawei-Serial0/0/0]isis ppp-negotiation 3-way only //只能进行三次握手建邻居,否则三次不行就进行二次握手也能接受
ISIS 邻居的建立
复制代码

 

复制代码
-------------------------广播网络环境下DIS的作用及选举----------------------------
    
DIS发送IIH的间隔为10/3秒;而非DIS发送IIH的间隔为10秒
DIS的作用:
    DIS周期性发送CSNP(目的为组播mac的报文),确保MA网络LSDB同步(ISIS中没有DIS一样也可能做到LSDB同步:邻居建立后,即发送PSNP报文到组播地址,)
DIS不需要备份,同时支持抢占:
    1.三秒钟即可以感应到DIS故障,重新选举DIS
    2.所有设备之间都是邻居关系,所有设备通过组播报文学习到LSDB数据
    3.DIS发送的CSNP报文确保LSDB的同步,并不涉及LSP的交互
    
OSFP中DR的作用是减少邻接关系,因为dd报文是单播报文,所以DR就很重要,也是需要相对稳定,不支持抢占;同时又备份(BDR)



广播网络环境下DIS的选举(level-1,level-2的DIS是分别选举的,且支持抢占,选举时间为2个IIH报文间隔):
1.比较优先级(0-127,默认64,0也可以参选)
2.比价mac地址,大的优先


-------------------------广播网络环境下DIS LSDB同步交互过程----------------------------


广播网络新加入路由器与DIS LSDB同步交互过程(重点)
    1.新路由器加入到广播网络中,并与其他路由器建立了邻居关系后,会将关于自己的LSP报文发往组播MAC地址(没有确认机制)。邻居若有收到LSP,则添加到自己的LSDB中
    2.DIS每隔10秒钟发送CSNP报文(LSP头部,相当于DBD)进行网络内的LSDB同步;新路由器接收CSNP报文,对比自己的LSDB,然后发送PSNP请求自己没有的LSP
(若发现CSNP中没有自己的LSP,应该也会重发LSP报文到组播地址的吧。。。)
    3.DIS收到PSNP报文后,发送对应的LSP报文进行LSDB同步

-------------------------广播网络环境下DIS LSDB更新过程----------------------------

广播网络DIS的LSDB更新过程:
    1.DIS收到LSP,若LSDB中无该LSP,则加入LSDB,并组播新数据库内容
    2.若收到的LSP序列号大于本地序列号,则替换为新LSP,并组播更新数据库内容;若收到的lsp序列号小于本地LSP序列号,则向入段接口发送本地LSP报文
    3.若序列号相等,则比较Remaining Lifetime(剩余生存时间)。若收到的LSP的Remaining Lifetime小于本地LSPDE Remaining Lifetime,就替换为新报文,并广播(不是组播?)新数据库内容;若收到的LSP的Remaining Lifetime大于本地LSP的Remaining Lifetime,则向入端接口发送本地LSP报文
    4.若序列号和Remaining Lifetime都相等,则比较Checksum。若收到的LSP的Checksum大于本地LSP的Checksum,就替换为新新报文,并广播(不是组播?)新数据库内容;若收到的LSP的Checksum小于于本地LSP的Checksum,则向入端接口发送本地LSP报文
    5.若两个序列号、Remaining Lifetime、Checksum都相等,则不转发该报文

Remaining Lifetime为什么选择小的?如何理解?
广播网络环境的LSDB同步
复制代码
复制代码
-------------------------P2P网络环境下LSDB同步交互过程----------------------------


P2P网络环境的LSP的交互过程(即LSDB同步过程)
    1.两端邻居一旦建立,相互首先发CSNP菜单包  //P2P网络中CSNP只是在邻居建立伊始发送一次,以后如果有路由变动只会发增量的PSNP,这与广播网络不同。
    2.若对端的LSDB与CSNP没有同步,则发送PSNP请求响应的LSP
    3.本地回复详细的LSP,同时启动LSP重传定时器,并等待对端发送的PSNP作为收到LSP的确认。
    4.对方再次发送PSNP确认
    5.若LSP重传定时器超时,本地则重传LSP报文直到收到PSNP报文为止。

-------------------------P2P网络环境下LSDB更新过程----------------------------

在P2P链路中设备的LSDB 更新过程如下
    1.若收到的LSP比本地的序列号更小,则直接给对方发送本地的LSP,然后等待对方给自己一个PSNP报文作为确认;若收到的LSP比本地的序列号更大,则将这个新的LSP 存入自己的LSDB,再通过一个PSNP 报文来确认收到此LSP,最后再将这个新LSP 发送给除了发送该LSP 的邻居以外的邻居。
    2.若收到的LSP序列号和本地相同,则比较Remaining Lifetime,若收到LSP的Remaining Lifetime 小于本地LSP的Remaining Lifetime,则将收到的LSP存入LSDB中并发送PSNP报文来确认收到此LS,然后将该LSP发送给除了发送该LSP的邻居以外的邻居;若收到LSP的Remaining Lifetime大于本地LSP 的Remaining Lifetime,则直接给对方发送本地的LSP,然后等待对方给自己一个PSNP报文作为确认。
    3.若收到的LSP和本地LSP的序列号和Remaining Lifetime都相同,则比较Checksum,若收到LSP的Checksum大于本地LSP的Remaining Lifetime,则将收到的LSP存入LSDB中并发送PSNP报文来确认收到此LSP,然后将该LSP发送给除了发送该LSP的邻居以外的邻居;若收到LSP的Checksum小于本地LSP的Remaining Lifetime,则直接给对方发送本地的LSP,然后等待对方给自己一个PSNP报文作为确认。
    4.若收到的LSP和本地LSP的序列号、Remaining Lifetime和Checksum都相同,则不转发该报文。
P2P网络环境的LSDB同步
复制代码

 

复制代码
组播mac:level-1:0180-C200-0014;level-2:0180-C200-0015


PSNP报文的作用
在MA网络中只是做为请求报文使用,相当于ospf中的LSR,请求具体的LSP(确保机制则是通过DIS周期性发送CSNP报文,注意,这不是确认机制)
在P2P网络中,PSNP的作用
    1.用来请求所需的LSP。               相当于LSR
    2.作为Ack应答以确认收到的LSP。       相当于LSack


广播网络中,DIS发送的CSNP报文确保LSDB的同步,并不涉及LSP的交互
P2P网络中,路由器发送CSNP报文后,会等待对端设备的PSNP报文作为确认;此后将不再发送CSNP报文


ISIS lsdb中的lsp 900秒更新一次,1200秒老化
Ospf 中的lsa 1800秒更新,3600秒老化




isis LSP分片
isis中增加了一个TLV的选项用于分片
isis使用pading把这个hello报文填充到最大(和MTU一样大)再发送,两端协商其中的最小值为MTU
[Huawei-Ethernet0/0/0]isis small-hello //不要进行填充,以正常的字节发送hello,这样两端的MTU要自己控制,尽量要一致(低带宽链路or按流量收费的链路可以配置)

LSP分片扩展:一个进程最多可产生256个LSP分片(1字节)
可以通过配置虚拟系统,最多配置50个,从而使得ISIS进程最多产生51*256个LSP分片




邻居关系建立:
    邻居关系建立主要是通过HELLO包(IIH)交互并协商各种参数,包括电路类型(level-1/level-2),Hold time,网络类型,支持协议,区域号,系统ID,PDU长度,接口IP等。
链路信息交换:
    与OSPF不同,ISIS交互链路状态的基本载体不是LSA(link state advertisement),而是LSP(link state PDU);交互的过程没有OSPF协议那样经历了多个阶段,主要是通过CSNP和PSNP两种协议报文来同步,请求以及确认链路状态信息(承载的是链路状态信息摘要),而链路状态信息的详细拓扑和路由信息是由LSP报文传递。
路由计算:
    SPF计算和OSPF基本一样的,但ISIS算法分离了拓扑结构和IP网段,加快了网络收敛速度。
组播mac、PSNP报文、LSP分片等等
复制代码

 

ISIS特性

复制代码
ATT位、路由渗透、OL位
-------------------------ATT位----------------------------
Level-1的路由默认会进入Level-2区域(即level-2的路由器有去往level-1区域的明细路由)
Level-2的路由默认不会引入level-1;默认情况,L1/2设备通告的LSP的ATT位会置1,收到该LSP报文的L1设备会生成一条默认路由指向L1/2设备
    [Huawei-isis-15]attached-bit advertise always 
    [Huawei-isis-15]attached-bit advertise never #看起来这条会使L1/L2的路由器发送的LSP的ATT位置0
    [Huawei-isis-15]attached-bit avoid-learning #用来控制ISIS不因为ATT比特位下发缺省路由到路由表。即这条配置本地有效,本地路由表将不会加载该缺省路由


-------------------------ISIS路由渗透----------------------------

level-1层级的区域默认是通过默认路由到达level-2骨干区域的,而默认路由是指向level-1-2路由器
    若level-1区域内有多个level-1-2路由器,而区域内的路由器只会根据区域内的SPF算法选择出口路径。因为不知道level-1-2路由器的端口开销值,所以可以造成次优路径。
[Huawei-isis-15]import isis level-2 into level-1
引入的时候应该执行过滤,不能把所有L2路由都引入进来,否则不如直接把R1、R2变为L2的,直接学习到所有的L2明细,当然这样LSDB的体积会比较大
    注意:L2的路由器会有全网的路由条目
    (根据以上语句,所谓路由渗透就是路由引入,并不会把level-2的LSDB引入)

-------------------------OL位----------------------------

isis路由过载——过载位
    路由器繁忙或优化选路时,可以发送一个isis报文(其中OL过载位置位为1),这样除了自己直连的网段,其他路由都不会计算它为通过路径
    注意:如果上面链路断了,流量也不会从下面走去往R3,因为根本就不参与计算,所以不是一种主备的方式,因此设置过载位应当谨慎
overload过载位对过路路由生效(实验没做出现象。。。。)

[Huawei-isis-15]set-overload 
[Huawei-isis-15]set-overload on-startup 60 #设置过载位时,可以加入可以使用条件进行限制,比如:仅设备重启后的5分钟内设置OL位。
ATT位、路由渗透、OL位
复制代码
复制代码
-------------------------isis收敛特性----------------------------

I-SPF(部分SPF算法):计算节点、路由器、树干
PRC(部分路由计算):计算路由、树叶

SPF计算的定时器在网络变化频繁时会自动的延长一段时间,否则总是启动SPF计算CPU资源消耗太大,有一个默认的值


第一次全部路由器肯定运行的是full-SPF算法,
I-SPF SPF部分重计算----只对受影响的节点进行路由计算;只第一次计算全部节点

PRC的原理与I-SPF相同,都是只对发生变化的路由进行重新计算。不同的是,PRC不需要计算节点路径,而是根据I-SPF算出来的SPT来更新路由。在路由计算中,叶子代表路由,节点则代表路由器。如果I-SPF计算后的SPT改变,PRC会只处理那个变化的节点上的所有叶子;如果经过I-SPF计算后的SPT并没有变化,则PRC只处理变化的叶子信息。比如一个节点使能一个IS-IS接口,则整个网络拓扑的SPT是不变的,这时PRC只更新这个节点的接口路由,从而节省CPU占用率。



ospf、ISIS都有用到I-SPF算法的:
    1.骨干发生变化,则运行full-SPF算法(ospf中,骨干就是1类LSA中的p2p,transnit,这些在SPF计算时,用来绘制骨干的信息;ISIS中,骨干则是NET地址,其他路由都是叶子,挂在ISIS的骨干上面)
    2.若只是叶子发生变化,则使用I-SPF算法
    
    
OSPF、ISIS哪个协议运行full-SPF算法更多呢?OSPF更多,因为OSPF的路由器,只要1类2类LSA发生变化,就需要全部计算;而ISIS无IP概念,所有的路由都是叶子,只要NET不变,就不需要全部计算


部分路由计算PRC(根据I-SPF算出来的SPT来更新路由):
    1.节点发生变化(骨干发生变化),则计算变化的节点上面的素有叶子路由
    2.叶子发生变化,则只计算叶子路由

-------------------------ISIS的智能定时器----------------------------


当网络变化比较频繁时,IS-IS会频繁的进行SPF计算。频繁的SPF计算会消耗系统大量的CPU资源,从而影响其他业务的运行。配置智能定时器的优势在于当刚开始进行SPF计算时,两次计算的间隔时间较小,保证IS-IS路由的收敛速度。之后随着整个IS-IS网络的拓扑趋于稳定时,就可以适当的延长两次SPF计算的间隔时间,从而减少不必要的资源消耗
分为SPF计算智能定时器和LSP生成智能定时器
isis收敛特性、智能定时器
复制代码

 

复制代码
isis认证
认证分类共3种:
    接口认证:只对level-1和level-2的hello报文进行认证
    区域认证:对level-1的SNP和LSP报文进行认证
    路由域认证:对level-2的SNP和LSP报文进行认证
认证方式共3种:Null、明文、MD5


认证的配置
接口认证:仅对level-1和level-2的hello包进行认证
    [Huawei-Ethernet0/0/1]isis authentication-mode simple 66666#接口认证,明文密码
    [Huawei-Ethernet0/0/1]isis authentication-mode md5 77777#接口认证,MD5加密

区域认证:对level-1的SNP和LSP报文进行认证
    [Huawei-isis-15]area-authentication-mode simple 6666 #区域认证,明文密码
    [Huawei-isis-15]area-authentication-mode md5 5555#区域认证,MD5加密

路由域认证:对level-2的SNP和LSP报文进行认证
    [Huawei-isis-15]domain-authentication-mode simple 66666    #路由域认证,明文密码
    [Huawei-isis-15]domain-authentication-mode md5 77777#路由域认证,MD5加密



接口认证:如果配置了接口认证,认证字段在hello报文中携带,如果不匹配,邻居down,也没有路由(level 1,level 2)
区域认证:如果配置了区域认证,认证字段是在Level 1的snp ,lsp携带,如果一不匹配,邻居不受影响,只是没有Level 1的路由
domain认证:认证字段是Level 2的snp,lsp携带,如果不匹配, 邻居不受影响,level 路由也没有影响,只是没有level 2的路由

正常匹配就上面3种情况,但是每种认证添加了send-only的话,情况会不一样。。需要另外了解。。。

说明:对于区域和路由域认证,可以设置为SNP和LSP分开认证。
    本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都进行认证检查。
    本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文携带认证TLV,但不对收到的SNP报文进行检查。
    本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文不携带认证TLV,也不对收到的SNP报文进行认证检查。
    本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都不进行认证检查
ISIS 认证
复制代码
复制代码
宽窄度量值、TAG、nexthop、summary

-------------------------宽窄度量值类型----------------------------

ISIS cost计算方式有2种:narrow、wide
isis
 cost-style wide  //使用广义的cost(广义cost才支持路由tag),默认为narrow

narrow的cost的取值范围:0-63,不支持路由tag
wide的cost的取值范围:0-2^30,支持路由tag,一般都改为wide


默认不管是wide或narrow的cost方式,接口cost都为10,计算不公平
    [Huawei-isis-15]auto-cost enable //使能isis根据带宽自动计算接口开销的功能,默认关闭
    [Huawei-isis-15]cost-style wide
当cost类型为narrow时,auto-cost的计算时查表的,即每个范围带宽都对应着一个cost值
当cost类型为wide时,参考带宽默认为100M
    [Huawei-isis-15]bandwidth-reference 1000#参考带宽默认为100M
    [Huawei]dis isis interface verbose //查看接口计算出来的cost
    
    [Huawei-Ethernet0/0/1]isis cost 50直接修改cost值


narrow类型下使用的TLV:
128号TLV(IP Internal Reachability TLV):用来携带路由域内的IS-IS路由信息。
130号TLV(IP External Reachability TLV):用来携带路由域外的IS-IS路由信息。
2号TLV(IS Neighbors TLV):用来携带邻居信息。


wide类型下使用的TLV:
135号TLV(Extended IP Reachability TLV):用来替换原有的IP reachability TLV,携带IS-IS路由信息,它扩展了路由开销值的范围,并可以携带sub TLV。
22号TLV(IS Extended Neighbors TLV):用来携带邻居信息。

-------------------------TAG----------------------------

使能管理标记时,必须使能IS-IS wide metric属性

路由TAG
1.可以在路由引入时打上TAG   
    方式一:[Huawei-isis-15]import direct tag 11111#有效
    方式二:[Huawei-isis-15]import direct route-policy aaaaa#在路由策略中打tag;测试有效
            route-policy aaaaa permit node 10
             if-match acl 2001
             apply tag 2222

2.在端口上配置[Huawei-Ethernet0/0/0]isis tag-value 1111111#测试无效????????
    经测试,无论是isis的路由,还是引入的路由;无论是接收到的路由,还是发出去的路由,均未生效???
    
注意:
    如果要使用tag来做策略,必须使用wide度量值
    tag经过路由重分发时会丢失,即在被import时,会丢失tag

-------------------------nexthop----------------------------

nexthop命令用来配置等价路由的优先级。
[Huawei-isis-15]nexthop 12.0.0.1 weight 1//越小越优,1-254,这种方式支持主备
[Huawei-isis-15]log-peer-change #实时看到isis的log,有的VRP默认开启,有的默认关闭

-------------------------summary----------------------------

[Huawei-isis-15]summary 22.22.22.0 255.255.255.0 generate_null0_route avoid-feed back 
#generate_null0_route 本地将会生成该条路由指向null0,用于防环的。
#avoid-feed back  防止汇总路由回馈回来

[Huawei-isis-15]summary 2.2.2.0 255.255.255.0 level-2#指定level-2的路由被汇总,如果没有指定Level级别,缺省为Level-2。 
这一点貌似和ospf不一样,ospf区域内LSDB是一样的,无法被汇总;而ISIS底层是基于链路的,路由汇总直接修改了本地的LSP,所以区域内的其他路由器也接收到了修改后的LSP(猜测)
宽窄度量值、TAG、nexthop、summary
复制代码

 

 配置ISIS及故障排除流程

 

复制代码
配置ISIS

isis 15 //进程号,1-65535,默认为1
 is-level level-2#修改路由器层级为level-2;默认为L1L2
 network-entity 49.0001.1111.1111.1111.00 #49.0001为区域号,1111.1111.1111为system ID,NET地址就是00
 
 import-route direct route-policy hahaha#将直连路由作为外部路由引入,引入时调用路由策略
 cost-style wide#修改开始值类型;邻居关系会重置,这样才能支持和识别到tag,现网中所有路由器都要进行此配置
 is-name AR1#别名,感觉没什么用


interface Ethernet0/0/0
 ip address 12.0.0.1 255.255.255.0
 isis enable 15#将接口宣告进ISIS进程号15
 isis tag-value 1111111
 isis circuit-level level-2#将端口配置为level-2,将只发送level-2的hello包(需要ISIS进程中配置的level层级支持);默认为level-1-2
 
 isis peer-ip-ignore#关闭同一网段的检测(WAN中有可能借用IP,因为公网IP地址紧张),模拟器不关闭可能可以形成邻居
 isis circuit-type p2p#华为设备在以太网接口下不能关闭同一网段的检测,只能把网络类型先切换为p2p
 
 isis dis-priority 0#修改竞选DIS的优先级;默认64,范围0-127


ISIS进程和端口上都可以配置层级,即修改leve-1,level-2,level-1-2
level-1的端口发送level-1的IIH(需要ISIS进程配置有level-1层级,ISIS进程若无level-1则不发送level-1的IIH);同理level-2,level-1-2
配置ISIS
复制代码
复制代码
ISIS常用命令
[Huawei]display isis peer 
[Huawei]display isis peer verbose 
[Huawei]dis isis interface


[Huawei]dis ip routing-table protocol isis//引入进来的那台路由器上可以看到tag值
[Huawei]dis isis route //引入进来的那台路由器上可以看到tag值
[Huawei]dis isis route verbose 
[Huawei]dis isis route 1.1.1.1 verbose 
[Huawei]dis isis lsdb 
[Huawei]dis isis lsdb verbose 

<Huawei>reset isis all
ISIS常用命令
复制代码
复制代码
ISIS LSDB解读:
level-1-2路由器有2个lsdb
2222.2222.2222.01-00*:2222.2222.2222为system id;此处01则表示为DIS(若非DIS则为00);00用于分片(若有分片,则可能有01,02,03,04,05等等);最后的*表示该条LSP是由自己产生的
ATT/P/OL:ATT位置1即表示了在该路由器做了路由渗透,会产生到level-2的默认路由;OL位即过载位,置1则表示不将该LSP加入到SPF计算中,即认为此路不通

复习时,建议使用命令查看详细的lsdb<Huawei>dis isis lsdb level-1 2222.2222.2222.01-00 verbose
[Huawei]dis isis lsdb 

                       Database information for ISIS(15)
                       ---------------------------------

                          Level-1 Link State Database

LSPID                 Seq Num      Checksum      Holdtime      Length  ATT/P/OL
-------------------------------------------------------------------------------
1111.1111.1111.00-00  0x00000004   0xae87        1184          86      0/0/0   
2222.2222.2222.00-00* 0x00000005   0xf7cd        1169          86      0/0/0   
2222.2222.2222.01-00* 0x00000001   0xdcb2        1169          55      0/0/0   

Total LSP(s): 3
    *(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), 
           ATT-Attached, P-Partition, OL-Overload


                          Level-2 Link State Database

LSPID                 Seq Num      Checksum      Holdtime      Length  ATT/P/OL
-------------------------------------------------------------------------------
1111.1111.1111.00-00  0x00000006   0xb5de        1188          98      0/0/0   
2222.2222.2222.00-00* 0x00000007   0xf334        1185          98      0/0/0   
2222.2222.2222.01-00* 0x00000001   0xdcb2        1169          55      0/0/0   

Total LSP(s): 3
    *(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), 
           ATT-Attached, P-Partition, OL-Overload
ISIS LSDB解读
复制代码
复制代码
ISIS故障排除流程
1.邻居是否正常建立(按isis邻居关系建立的要素进行排查)
2.验证区域认证、路由域认证是否正确
3.开销的类型也会影响到路由表的加载(isis邻居之间的开销值类型要相同或能识别,否则将无法正常加载路由表)
4.接口是否发送标准Hello报文-----这个并不理解。。。。
暂时就只想到这么多。。。


    (邻居建立要素同上,可删)
    isis邻居关系建立的要素(isis只有一种关系,叫邻居或邻接都可以)
    (1)同一层次:只要路由器或接口下的层次不匹配都不能形成邻居关系
            [Huawei-isis-15]is-level level-1-2#配置该isis进程的层次
            [Huawei-Ethernet0/0/0]isis circuit-level level-1-2#配置该端口的层次
    (2)同一区域:同一区域——可以建立L1和L2的邻居、不同区域——只能建立L2的邻居
    (3)同一网段:华为默认要求两端接口必须属于同一网段才可以建立邻居(华为设备的特性,不同于其他厂商)
            [Huawei-Ethernet0/0/0]isis circuit-type p2p//华为设备在以太网接口下不能关闭同一网段的检测,只能把网络类型先切换为p2p(串口网络类型不能变为广播)
            [Huawei-Ethernet0/0/0]isis peer-ip-ignore//关闭同一网段的检测(WAN中有可能借用IP,因为公网IP地址紧张),模拟器不关闭不一定可以形成邻居
            #配置以上命令后,邻居可以正常建立,但ping包不通
            #即使是ppp链路,也要配置以上配置
    (4)网络类型:p2p或广播
    (5)接口认证也要匹配
    (6)系统ID不能冲突
ISIS故障排除流程
复制代码

 

 案例需求解读

复制代码
案例一:
2台路由器的MA网络不能有DIS选举
    修改电路类型为P2P
优先级别尽量小,但仍可以参选DIS
    优先级配置为0

level-2路由器引入外部路由时,路由tag设置为100
    开销值类型改为wide,并在路由引入时进行TAG设置
level-1区域要求可以学习到level-2引入的外部路由,且tag为100
    -开销值类型修改为wide,并进行路由渗透(其实就是import么),同时配置tag

某台level-1路由器通过缺省路由访问level-2区域,且不能使用ACL和前缀列表
    因为上面做了路由渗透,所以level-1可以学习到level-2的明细路由
    在路由器本地ISIS进行配置filter-policy调用route-policy;route-policy匹配tag 100进行过滤
要求配置认证。。。。



案例二:
全网ISIS设备之间建立可靠的邻居关系
    广播网络默认为3次握手,P2P则支持3次握手和2次握手;强制修改P2P网络为3次握手only即可
题目不好描述
    route-policy的匹配条件可以是端口
    
    
    
案例三:
要求不好描述
    nexthop可以配置路由优先级,实现选路
要求能实时看到syslog
    ISIS进程配置log-peer-change
汇总路由并充分考虑避免环路的可能
    配置路由汇总时,带上generate_null0_route 和avoid-feedback
案例
复制代码

 

 

 

 

 

 

 

1111111111111111111111111

posted @   雲淡風輕333  阅读(1179)  评论(0编辑  收藏  举报
(评论功能已被禁用)
点击右上角即可分享
微信分享提示