IS-IS中间系统-中间系统
ISIS概述
IS-IS中间系统-中间系统(Intermediate System-Intermediate System) IS-IS是ISO定义的OSI协议栈中无连接网络服务CLNS (Connectionless Network Service)的一部分,用于动态路由数据包。 CLNS由以下三个协议构成: CLNP:类似于TCP/IP中的IP协议。IP协议为TCP/IP传输层服务。CLNP为OSI传输层服务。 IS-IS:中间系统(路由器)间的路由协议,类似于IP中的OSPF ES-IS:主机系统与中间系统间的协议,就象IP中的ARP,IGMP(RD)等。 IS中间系统=tcp/ip中的路由器 IS-IS的意思是标识中间系统到中间系统,是为ISO无连接网络协议(ISO’s connectionless network protocol , CLNP)设计的路由选择协议 ISIS协议的时间和OSPF发布的时间基本同一时期,稍早或者稍迟一点,都基于链路状态并使用最短路径优先算法进行路由计算的一种IGP协议 本意是支持从TCP/IP协议栈向OSI的转换,但是前者却成为了实际的工业标准,而ISIS现在更多的作为服务应用商网络的IGP的层面(华为设备优先级15) 为了提供对IP的路由支持,IETF在RFC1195中对IS-IS进行了扩充和修改,使它能够同时应用在TCP/IP和OSI环境中,修订后的IS-IS协议被称为集成化的IS-IS。由于IS-IS的简便性及扩展性强的特点,目前在大型ISP的网络中被广泛地部署。 ospf的主要运用场景是园区网(不是全部的企业网,因为现在的企业网友各种VPN) ISIS的主要运用场景的骨干网 Internet 工程任务组IETF在RFC1195中定义了“用OSI ISIS实现在TCP/IP和OSI双重环境下的路由选择”,也就是“集成的ISIS”或者“双重ISIS”。 集成的ISIS可以支持纯CLNP网络或者纯IP网络,或者同时运行CLNP和IP的双重网络。 当前的ISIS规范中把网络节点叫做中间系统,其他协议比如OSPF把节点叫做路由器。 没有NET地址ISIS无法运行 该地址包含了区域ID和系统ID,而它本质上是一个ISO地址 最后的SEL等同于TCP的端口号,永远的作为00出现 OSPF和ISIS的共同特征 1.维护一个链路状态数据库,基于dijkstra算法 2.都利用hello包形成和维护邻居关系 3.使用区域的概念来构成层次化的拓扑结构 4.都提供在区域之间提供汇总的能力 5.无类路由协议 6.都选取一个指定路由器来描述广播性网络 7.认证能力
NSAP、NET地址、level-1/2、ISIS报文
NSAP、NET地址、level-1/2、ISIS报文 ---------------------------------NSAP、NET地址------------------------------------ NSAP(network service access point)是OSI协议中用于定位资源的地址 NSAP由IDP、DSP两部分组成:IDP、DSP都是可变长的, IDP由AFI、IDI连部分组成 DSP由High Order DSP、System ID、SEL三部分组成 NASP总长度最多20字节,最少8字节: NSAP最少为8个字节 :AFI1字节+system ID6字节+SEL1字节 但对于IP应用程序而已,NASP地址至少10字节:AFI1字节+(实际区域信息最少2字节)+system ID6字节+SEL1字节 NET是一类特殊的NSAP地址(SEL=00) 在路由器上配置IS-IS时,只需要考虑NET即可 NET地址示例:49.0001.1111.1111.1111.00。 area id:49.0001,system id:1111.1111.1111,SEL:00 AFI=49的地址为OSI协议的私有地址 在路由器上配置的NET地址则由三部分组成:Area ID、System ID、SEL 其中Area ID由AFI、IDI、High Order DSP三部分构成 一个中间系统(路由器)至少有一个NET(最多可有254个) 一台设备上的多个net地址的systemID必须一样 同个区域内,不同设备的system ID必须不一样 同一AREA的中间系统必须有相同的AREA ID 每个中间系统在一个AREA中必须有一个唯一的System ID 一个domain中的两个Level-2中间系统不能有相同的System ID ---------------------------------level-1/2------------------------------------ 将Level-1路由器部署在非骨干区域,Level-2路由器和Level-1-2路由器部署在骨干区域。每一个非骨干区域都通过Level-1-2路由器与骨干区域相连 在OSPF中,每个链路只属于一个区域;而在IS-IS中,每个链路可以属于不同的区域; 在IS-IS中,单个区域没有物理的骨干与非骨干区域的概念;而在OSPF中,Area0被定义为骨干区域; 在IS-IS中,Level-1和Level-2级别的路由器分别采用SPF算法,分别生成最短路径树SPT;在OSPF中,只有在同一个区域内才使用SPF算法,区域之间的路由需要通过骨干区域来转发。 ISIS中设备默认是L1/L2级别 两个中间系统(路由器)建立的邻居关系 路由器1level级别 路由器2level级别 区域一致 区域不一致 L1 L1 L1邻居 无 L1 L2 无 无 L1 L1/l2 L1邻居 无 L2 L2 L2邻居 L2邻居 L1/L2 L1/L2 L1/l2邻居 L2邻居 ---------------------------------ISIS报文------------------------------------ OSPF中,共5种报文:hello、DD、LSR、LSU、LSACK ISIS中,共3大类报文,可细分为9种报文 IIH 即hello 1、L1 Hello 2、L2 Hello 3、p2p Hello报文 LSP (OSPF的 LSA(LSU);LSP报文类似于OSPF的LSU报文) 1、L1 LSP 2、L2 LSP SNP CSNP 类似于OSPF DBD 1、L1 CSNP 2、L2 CSNP PSNP 类似于OSPF LSR LSACK 1、L2 PSNP 2、L2 PSNP NSAP、NET地址、level-1/2、ISIS报文
ISIS邻居的建立、LSDB同步
IS-IS支持的2种网络类型:
点对点链路,如PPP、HDLC等
广播链路,如Ethernet等
在广播链路中,需要选举DIS(Designated IS 指定中间系统),功能:在广播网络实现更高效的数据库同步
isis邻居关系建立的要素(isis只有一种关系,叫邻居或邻接都可以) (1)同一层次:只要路由器或接口下的层次不匹配都不能形成邻居关系 [Huawei-isis-15]is-level level-1-2#配置该isis进程的层次 [Huawei-Ethernet0/0/0]isis circuit-level level-1-2#配置该端口的层次 (2)同一区域:同一区域——可以建立L1和L2的邻居、不同区域——只能建立L2的邻居 (3)同一网段:华为默认要求两端接口必须属于同一网段才可以建立邻居(华为设备的特性,不同于其他厂商) [Huawei-Ethernet0/0/0]isis circuit-type p2p//华为设备在以太网接口下不能关闭同一网段的检测,只能把网络类型先切换为p2p(串口网络类型不能变为广播) [Huawei-Ethernet0/0/0]isis peer-ip-ignore//关闭同一网段的检测(WAN中有可能借用IP,因为公网IP地址紧张),模拟器不关闭不一定可以形成邻居 #配置以上命令后,邻居可以正常建立,但ping包不通 #即使是ppp链路,也要配置以上配置 (4)网络类型:p2p或广播 (5)认证也要匹配 (6)系统ID不能冲突 isis邻居关系的建立过程(isis只有一种关系,叫邻居或邻接都可以) 广播网络邻居建立---三次握手 1.网络初始化后,ISIS相互发送is-neighbour为空的IIH 2.ISIS路由器接收到IIH后,发现在报文中的is-neighbour中没有看到自己的MAC,端口状态转为init,将对端的MAC添加到IIH中并发送IIH 3.对端路由器收到IIH后,在报文中的is-neighbour中看到自己的MAC,端口状态直接UP,并将对端的MAC添加到IIH中并发送IIH 4.本端路由器收到IIH后,在报文中的is-neighbour中看到自己的MAC,端口状态直接UP P2P网络邻居建立---三次握手 1.网络初始化后,ISIS相互发送IIH 2.ISIS路由器接收到IIH后,发现在报文没有看到自己的system-id,端口状态转为init,将对端的system-id添加到IIH中并发送IIH 3.对端路由器收到IIH后,在报文中看到自己的system-id,端口状态直接UP,并将对端的system-id添加到IIH中并发送IIH 4.本端路由器收到IIH后,在报文中看到自己的system-id,端口状态直接UP P2P网络邻居建立---两次握手:只要收到对端发来IIH,即单方面邻居UP(所以存在单通风险) P2P网络中,默认华为支持三次握手,兼容二次握手;可以通过命令修改 [Huawei-Serial0/0/0]isis ppp-negotiation 3-way#默认为这种协商方式 [Huawei-Serial0/0/0]isis ppp-negotiation 3-way only //只能进行三次握手建邻居,否则三次不行就进行二次握手也能接受
-------------------------广播网络环境下DIS的作用及选举---------------------------- DIS发送IIH的间隔为10/3秒;而非DIS发送IIH的间隔为10秒 DIS的作用: DIS周期性发送CSNP(目的为组播mac的报文),确保MA网络LSDB同步(ISIS中没有DIS一样也可能做到LSDB同步:邻居建立后,即发送PSNP报文到组播地址,) DIS不需要备份,同时支持抢占: 1.三秒钟即可以感应到DIS故障,重新选举DIS 2.所有设备之间都是邻居关系,所有设备通过组播报文学习到LSDB数据 3.DIS发送的CSNP报文确保LSDB的同步,并不涉及LSP的交互 OSFP中DR的作用是减少邻接关系,因为dd报文是单播报文,所以DR就很重要,也是需要相对稳定,不支持抢占;同时又备份(BDR) 广播网络环境下DIS的选举(level-1,level-2的DIS是分别选举的,且支持抢占,选举时间为2个IIH报文间隔): 1.比较优先级(0-127,默认64,0也可以参选) 2.比价mac地址,大的优先 -------------------------广播网络环境下DIS LSDB同步交互过程---------------------------- 广播网络新加入路由器与DIS LSDB同步交互过程(重点) 1.新路由器加入到广播网络中,并与其他路由器建立了邻居关系后,会将关于自己的LSP报文发往组播MAC地址(没有确认机制)。邻居若有收到LSP,则添加到自己的LSDB中 2.DIS每隔10秒钟发送CSNP报文(LSP头部,相当于DBD)进行网络内的LSDB同步;新路由器接收CSNP报文,对比自己的LSDB,然后发送PSNP请求自己没有的LSP (若发现CSNP中没有自己的LSP,应该也会重发LSP报文到组播地址的吧。。。) 3.DIS收到PSNP报文后,发送对应的LSP报文进行LSDB同步 -------------------------广播网络环境下DIS LSDB更新过程---------------------------- 广播网络DIS的LSDB更新过程: 1.DIS收到LSP,若LSDB中无该LSP,则加入LSDB,并组播新数据库内容 2.若收到的LSP序列号大于本地序列号,则替换为新LSP,并组播更新数据库内容;若收到的lsp序列号小于本地LSP序列号,则向入段接口发送本地LSP报文 3.若序列号相等,则比较Remaining Lifetime(剩余生存时间)。若收到的LSP的Remaining Lifetime小于本地LSPDE Remaining Lifetime,就替换为新报文,并广播(不是组播?)新数据库内容;若收到的LSP的Remaining Lifetime大于本地LSP的Remaining Lifetime,则向入端接口发送本地LSP报文 4.若序列号和Remaining Lifetime都相等,则比较Checksum。若收到的LSP的Checksum大于本地LSP的Checksum,就替换为新新报文,并广播(不是组播?)新数据库内容;若收到的LSP的Checksum小于于本地LSP的Checksum,则向入端接口发送本地LSP报文 5.若两个序列号、Remaining Lifetime、Checksum都相等,则不转发该报文 Remaining Lifetime为什么选择小的?如何理解?
-------------------------P2P网络环境下LSDB同步交互过程---------------------------- P2P网络环境的LSP的交互过程(即LSDB同步过程) 1.两端邻居一旦建立,相互首先发CSNP菜单包 //P2P网络中CSNP只是在邻居建立伊始发送一次,以后如果有路由变动只会发增量的PSNP,这与广播网络不同。 2.若对端的LSDB与CSNP没有同步,则发送PSNP请求响应的LSP 3.本地回复详细的LSP,同时启动LSP重传定时器,并等待对端发送的PSNP作为收到LSP的确认。 4.对方再次发送PSNP确认 5.若LSP重传定时器超时,本地则重传LSP报文直到收到PSNP报文为止。 -------------------------P2P网络环境下LSDB更新过程---------------------------- 在P2P链路中设备的LSDB 更新过程如下 1.若收到的LSP比本地的序列号更小,则直接给对方发送本地的LSP,然后等待对方给自己一个PSNP报文作为确认;若收到的LSP比本地的序列号更大,则将这个新的LSP 存入自己的LSDB,再通过一个PSNP 报文来确认收到此LSP,最后再将这个新LSP 发送给除了发送该LSP 的邻居以外的邻居。 2.若收到的LSP序列号和本地相同,则比较Remaining Lifetime,若收到LSP的Remaining Lifetime 小于本地LSP的Remaining Lifetime,则将收到的LSP存入LSDB中并发送PSNP报文来确认收到此LS,然后将该LSP发送给除了发送该LSP的邻居以外的邻居;若收到LSP的Remaining Lifetime大于本地LSP 的Remaining Lifetime,则直接给对方发送本地的LSP,然后等待对方给自己一个PSNP报文作为确认。 3.若收到的LSP和本地LSP的序列号和Remaining Lifetime都相同,则比较Checksum,若收到LSP的Checksum大于本地LSP的Remaining Lifetime,则将收到的LSP存入LSDB中并发送PSNP报文来确认收到此LSP,然后将该LSP发送给除了发送该LSP的邻居以外的邻居;若收到LSP的Checksum小于本地LSP的Remaining Lifetime,则直接给对方发送本地的LSP,然后等待对方给自己一个PSNP报文作为确认。 4.若收到的LSP和本地LSP的序列号、Remaining Lifetime和Checksum都相同,则不转发该报文。
组播mac:level-1:0180-C200-0014;level-2:0180-C200-0015 PSNP报文的作用 在MA网络中只是做为请求报文使用,相当于ospf中的LSR,请求具体的LSP(确保机制则是通过DIS周期性发送CSNP报文,注意,这不是确认机制) 在P2P网络中,PSNP的作用 1.用来请求所需的LSP。 相当于LSR 2.作为Ack应答以确认收到的LSP。 相当于LSack 广播网络中,DIS发送的CSNP报文确保LSDB的同步,并不涉及LSP的交互 P2P网络中,路由器发送CSNP报文后,会等待对端设备的PSNP报文作为确认;此后将不再发送CSNP报文 ISIS lsdb中的lsp 900秒更新一次,1200秒老化 Ospf 中的lsa 1800秒更新,3600秒老化 isis LSP分片 isis中增加了一个TLV的选项用于分片 isis使用pading把这个hello报文填充到最大(和MTU一样大)再发送,两端协商其中的最小值为MTU [Huawei-Ethernet0/0/0]isis small-hello //不要进行填充,以正常的字节发送hello,这样两端的MTU要自己控制,尽量要一致(低带宽链路or按流量收费的链路可以配置) LSP分片扩展:一个进程最多可产生256个LSP分片(1字节) 可以通过配置虚拟系统,最多配置50个,从而使得ISIS进程最多产生51*256个LSP分片 邻居关系建立: 邻居关系建立主要是通过HELLO包(IIH)交互并协商各种参数,包括电路类型(level-1/level-2),Hold time,网络类型,支持协议,区域号,系统ID,PDU长度,接口IP等。 链路信息交换: 与OSPF不同,ISIS交互链路状态的基本载体不是LSA(link state advertisement),而是LSP(link state PDU);交互的过程没有OSPF协议那样经历了多个阶段,主要是通过CSNP和PSNP两种协议报文来同步,请求以及确认链路状态信息(承载的是链路状态信息摘要),而链路状态信息的详细拓扑和路由信息是由LSP报文传递。 路由计算: SPF计算和OSPF基本一样的,但ISIS算法分离了拓扑结构和IP网段,加快了网络收敛速度。
ISIS特性
ATT位、路由渗透、OL位 -------------------------ATT位---------------------------- Level-1的路由默认会进入Level-2区域(即level-2的路由器有去往level-1区域的明细路由) Level-2的路由默认不会引入level-1;默认情况,L1/2设备通告的LSP的ATT位会置1,收到该LSP报文的L1设备会生成一条默认路由指向L1/2设备 [Huawei-isis-15]attached-bit advertise always [Huawei-isis-15]attached-bit advertise never #看起来这条会使L1/L2的路由器发送的LSP的ATT位置0 [Huawei-isis-15]attached-bit avoid-learning #用来控制ISIS不因为ATT比特位下发缺省路由到路由表。即这条配置本地有效,本地路由表将不会加载该缺省路由 -------------------------ISIS路由渗透---------------------------- level-1层级的区域默认是通过默认路由到达level-2骨干区域的,而默认路由是指向level-1-2路由器 若level-1区域内有多个level-1-2路由器,而区域内的路由器只会根据区域内的SPF算法选择出口路径。因为不知道level-1-2路由器的端口开销值,所以可以造成次优路径。 [Huawei-isis-15]import isis level-2 into level-1 引入的时候应该执行过滤,不能把所有L2路由都引入进来,否则不如直接把R1、R2变为L2的,直接学习到所有的L2明细,当然这样LSDB的体积会比较大 注意:L2的路由器会有全网的路由条目 (根据以上语句,所谓路由渗透就是路由引入,并不会把level-2的LSDB引入) -------------------------OL位---------------------------- isis路由过载——过载位 路由器繁忙或优化选路时,可以发送一个isis报文(其中OL过载位置位为1),这样除了自己直连的网段,其他路由都不会计算它为通过路径 注意:如果上面链路断了,流量也不会从下面走去往R3,因为根本就不参与计算,所以不是一种主备的方式,因此设置过载位应当谨慎 overload过载位对过路路由生效(实验没做出现象。。。。) [Huawei-isis-15]set-overload [Huawei-isis-15]set-overload on-startup 60 #设置过载位时,可以加入可以使用条件进行限制,比如:仅设备重启后的5分钟内设置OL位。
-------------------------isis收敛特性---------------------------- I-SPF(部分SPF算法):计算节点、路由器、树干 PRC(部分路由计算):计算路由、树叶 SPF计算的定时器在网络变化频繁时会自动的延长一段时间,否则总是启动SPF计算CPU资源消耗太大,有一个默认的值 第一次全部路由器肯定运行的是full-SPF算法, I-SPF SPF部分重计算----只对受影响的节点进行路由计算;只第一次计算全部节点 PRC的原理与I-SPF相同,都是只对发生变化的路由进行重新计算。不同的是,PRC不需要计算节点路径,而是根据I-SPF算出来的SPT来更新路由。在路由计算中,叶子代表路由,节点则代表路由器。如果I-SPF计算后的SPT改变,PRC会只处理那个变化的节点上的所有叶子;如果经过I-SPF计算后的SPT并没有变化,则PRC只处理变化的叶子信息。比如一个节点使能一个IS-IS接口,则整个网络拓扑的SPT是不变的,这时PRC只更新这个节点的接口路由,从而节省CPU占用率。 ospf、ISIS都有用到I-SPF算法的: 1.骨干发生变化,则运行full-SPF算法(ospf中,骨干就是1类LSA中的p2p,transnit,这些在SPF计算时,用来绘制骨干的信息;ISIS中,骨干则是NET地址,其他路由都是叶子,挂在ISIS的骨干上面) 2.若只是叶子发生变化,则使用I-SPF算法 OSPF、ISIS哪个协议运行full-SPF算法更多呢?OSPF更多,因为OSPF的路由器,只要1类2类LSA发生变化,就需要全部计算;而ISIS无IP概念,所有的路由都是叶子,只要NET不变,就不需要全部计算 部分路由计算PRC(根据I-SPF算出来的SPT来更新路由): 1.节点发生变化(骨干发生变化),则计算变化的节点上面的素有叶子路由 2.叶子发生变化,则只计算叶子路由 -------------------------ISIS的智能定时器---------------------------- 当网络变化比较频繁时,IS-IS会频繁的进行SPF计算。频繁的SPF计算会消耗系统大量的CPU资源,从而影响其他业务的运行。配置智能定时器的优势在于当刚开始进行SPF计算时,两次计算的间隔时间较小,保证IS-IS路由的收敛速度。之后随着整个IS-IS网络的拓扑趋于稳定时,就可以适当的延长两次SPF计算的间隔时间,从而减少不必要的资源消耗 分为SPF计算智能定时器和LSP生成智能定时器
isis认证 认证分类共3种: 接口认证:只对level-1和level-2的hello报文进行认证 区域认证:对level-1的SNP和LSP报文进行认证 路由域认证:对level-2的SNP和LSP报文进行认证 认证方式共3种:Null、明文、MD5 认证的配置 接口认证:仅对level-1和level-2的hello包进行认证 [Huawei-Ethernet0/0/1]isis authentication-mode simple 66666#接口认证,明文密码 [Huawei-Ethernet0/0/1]isis authentication-mode md5 77777#接口认证,MD5加密 区域认证:对level-1的SNP和LSP报文进行认证 [Huawei-isis-15]area-authentication-mode simple 6666 #区域认证,明文密码 [Huawei-isis-15]area-authentication-mode md5 5555#区域认证,MD5加密 路由域认证:对level-2的SNP和LSP报文进行认证 [Huawei-isis-15]domain-authentication-mode simple 66666 #路由域认证,明文密码 [Huawei-isis-15]domain-authentication-mode md5 77777#路由域认证,MD5加密 接口认证:如果配置了接口认证,认证字段在hello报文中携带,如果不匹配,邻居down,也没有路由(level 1,level 2) 区域认证:如果配置了区域认证,认证字段是在Level 1的snp ,lsp携带,如果一不匹配,邻居不受影响,只是没有Level 1的路由 domain认证:认证字段是Level 2的snp,lsp携带,如果不匹配, 邻居不受影响,level 路由也没有影响,只是没有level 2的路由 正常匹配就上面3种情况,但是每种认证添加了send-only的话,情况会不一样。。需要另外了解。。。 说明:对于区域和路由域认证,可以设置为SNP和LSP分开认证。 本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都进行认证检查。 本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文携带认证TLV,但不对收到的SNP报文进行检查。 本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文不携带认证TLV,也不对收到的SNP报文进行认证检查。 本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都不进行认证检查
宽窄度量值、TAG、nexthop、summary -------------------------宽窄度量值类型---------------------------- ISIS cost计算方式有2种:narrow、wide isis cost-style wide //使用广义的cost(广义cost才支持路由tag),默认为narrow narrow的cost的取值范围:0-63,不支持路由tag wide的cost的取值范围:0-2^30,支持路由tag,一般都改为wide 默认不管是wide或narrow的cost方式,接口cost都为10,计算不公平 [Huawei-isis-15]auto-cost enable //使能isis根据带宽自动计算接口开销的功能,默认关闭 [Huawei-isis-15]cost-style wide 当cost类型为narrow时,auto-cost的计算时查表的,即每个范围带宽都对应着一个cost值 当cost类型为wide时,参考带宽默认为100M [Huawei-isis-15]bandwidth-reference 1000#参考带宽默认为100M [Huawei]dis isis interface verbose //查看接口计算出来的cost [Huawei-Ethernet0/0/1]isis cost 50直接修改cost值 narrow类型下使用的TLV: 128号TLV(IP Internal Reachability TLV):用来携带路由域内的IS-IS路由信息。 130号TLV(IP External Reachability TLV):用来携带路由域外的IS-IS路由信息。 2号TLV(IS Neighbors TLV):用来携带邻居信息。 wide类型下使用的TLV: 135号TLV(Extended IP Reachability TLV):用来替换原有的IP reachability TLV,携带IS-IS路由信息,它扩展了路由开销值的范围,并可以携带sub TLV。 22号TLV(IS Extended Neighbors TLV):用来携带邻居信息。 -------------------------TAG---------------------------- 使能管理标记时,必须使能IS-IS wide metric属性 路由TAG 1.可以在路由引入时打上TAG 方式一:[Huawei-isis-15]import direct tag 11111#有效 方式二:[Huawei-isis-15]import direct route-policy aaaaa#在路由策略中打tag;测试有效 route-policy aaaaa permit node 10 if-match acl 2001 apply tag 2222 2.在端口上配置[Huawei-Ethernet0/0/0]isis tag-value 1111111#测试无效???????? 经测试,无论是isis的路由,还是引入的路由;无论是接收到的路由,还是发出去的路由,均未生效??? 注意: 如果要使用tag来做策略,必须使用wide度量值 tag经过路由重分发时会丢失,即在被import时,会丢失tag -------------------------nexthop---------------------------- nexthop命令用来配置等价路由的优先级。 [Huawei-isis-15]nexthop 12.0.0.1 weight 1//越小越优,1-254,这种方式支持主备 [Huawei-isis-15]log-peer-change #实时看到isis的log,有的VRP默认开启,有的默认关闭 -------------------------summary---------------------------- [Huawei-isis-15]summary 22.22.22.0 255.255.255.0 generate_null0_route avoid-feed back #generate_null0_route 本地将会生成该条路由指向null0,用于防环的。 #avoid-feed back 防止汇总路由回馈回来 [Huawei-isis-15]summary 2.2.2.0 255.255.255.0 level-2#指定level-2的路由被汇总,如果没有指定Level级别,缺省为Level-2。 这一点貌似和ospf不一样,ospf区域内LSDB是一样的,无法被汇总;而ISIS底层是基于链路的,路由汇总直接修改了本地的LSP,所以区域内的其他路由器也接收到了修改后的LSP(猜测)
配置ISIS及故障排除流程
配置ISIS isis 15 //进程号,1-65535,默认为1 is-level level-2#修改路由器层级为level-2;默认为L1L2 network-entity 49.0001.1111.1111.1111.00 #49.0001为区域号,1111.1111.1111为system ID,NET地址就是00 import-route direct route-policy hahaha#将直连路由作为外部路由引入,引入时调用路由策略 cost-style wide#修改开始值类型;邻居关系会重置,这样才能支持和识别到tag,现网中所有路由器都要进行此配置 is-name AR1#别名,感觉没什么用 interface Ethernet0/0/0 ip address 12.0.0.1 255.255.255.0 isis enable 15#将接口宣告进ISIS进程号15 isis tag-value 1111111 isis circuit-level level-2#将端口配置为level-2,将只发送level-2的hello包(需要ISIS进程中配置的level层级支持);默认为level-1-2 isis peer-ip-ignore#关闭同一网段的检测(WAN中有可能借用IP,因为公网IP地址紧张),模拟器不关闭可能可以形成邻居 isis circuit-type p2p#华为设备在以太网接口下不能关闭同一网段的检测,只能把网络类型先切换为p2p isis dis-priority 0#修改竞选DIS的优先级;默认64,范围0-127 ISIS进程和端口上都可以配置层级,即修改leve-1,level-2,level-1-2 level-1的端口发送level-1的IIH(需要ISIS进程配置有level-1层级,ISIS进程若无level-1则不发送level-1的IIH);同理level-2,level-1-2
ISIS常用命令 [Huawei]display isis peer [Huawei]display isis peer verbose [Huawei]dis isis interface [Huawei]dis ip routing-table protocol isis//引入进来的那台路由器上可以看到tag值 [Huawei]dis isis route //引入进来的那台路由器上可以看到tag值 [Huawei]dis isis route verbose [Huawei]dis isis route 1.1.1.1 verbose [Huawei]dis isis lsdb [Huawei]dis isis lsdb verbose <Huawei>reset isis all
ISIS LSDB解读: level-1-2路由器有2个lsdb 2222.2222.2222.01-00*:2222.2222.2222为system id;此处01则表示为DIS(若非DIS则为00);00用于分片(若有分片,则可能有01,02,03,04,05等等);最后的*表示该条LSP是由自己产生的 ATT/P/OL:ATT位置1即表示了在该路由器做了路由渗透,会产生到level-2的默认路由;OL位即过载位,置1则表示不将该LSP加入到SPF计算中,即认为此路不通 复习时,建议使用命令查看详细的lsdb<Huawei>dis isis lsdb level-1 2222.2222.2222.01-00 verbose [Huawei]dis isis lsdb Database information for ISIS(15) --------------------------------- Level-1 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 1111.1111.1111.00-00 0x00000004 0xae87 1184 86 0/0/0 2222.2222.2222.00-00* 0x00000005 0xf7cd 1169 86 0/0/0 2222.2222.2222.01-00* 0x00000001 0xdcb2 1169 55 0/0/0 Total LSP(s): 3 *(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), ATT-Attached, P-Partition, OL-Overload Level-2 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 1111.1111.1111.00-00 0x00000006 0xb5de 1188 98 0/0/0 2222.2222.2222.00-00* 0x00000007 0xf334 1185 98 0/0/0 2222.2222.2222.01-00* 0x00000001 0xdcb2 1169 55 0/0/0 Total LSP(s): 3 *(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), ATT-Attached, P-Partition, OL-Overload
ISIS故障排除流程 1.邻居是否正常建立(按isis邻居关系建立的要素进行排查) 2.验证区域认证、路由域认证是否正确 3.开销的类型也会影响到路由表的加载(isis邻居之间的开销值类型要相同或能识别,否则将无法正常加载路由表) 4.接口是否发送标准Hello报文-----这个并不理解。。。。 暂时就只想到这么多。。。 (邻居建立要素同上,可删) isis邻居关系建立的要素(isis只有一种关系,叫邻居或邻接都可以) (1)同一层次:只要路由器或接口下的层次不匹配都不能形成邻居关系 [Huawei-isis-15]is-level level-1-2#配置该isis进程的层次 [Huawei-Ethernet0/0/0]isis circuit-level level-1-2#配置该端口的层次 (2)同一区域:同一区域——可以建立L1和L2的邻居、不同区域——只能建立L2的邻居 (3)同一网段:华为默认要求两端接口必须属于同一网段才可以建立邻居(华为设备的特性,不同于其他厂商) [Huawei-Ethernet0/0/0]isis circuit-type p2p//华为设备在以太网接口下不能关闭同一网段的检测,只能把网络类型先切换为p2p(串口网络类型不能变为广播) [Huawei-Ethernet0/0/0]isis peer-ip-ignore//关闭同一网段的检测(WAN中有可能借用IP,因为公网IP地址紧张),模拟器不关闭不一定可以形成邻居 #配置以上命令后,邻居可以正常建立,但ping包不通 #即使是ppp链路,也要配置以上配置 (4)网络类型:p2p或广播 (5)接口认证也要匹配 (6)系统ID不能冲突
案例需求解读
案例一: 2台路由器的MA网络不能有DIS选举 修改电路类型为P2P 优先级别尽量小,但仍可以参选DIS 优先级配置为0 level-2路由器引入外部路由时,路由tag设置为100 开销值类型改为wide,并在路由引入时进行TAG设置 level-1区域要求可以学习到level-2引入的外部路由,且tag为100 -开销值类型修改为wide,并进行路由渗透(其实就是import么),同时配置tag 某台level-1路由器通过缺省路由访问level-2区域,且不能使用ACL和前缀列表 因为上面做了路由渗透,所以level-1可以学习到level-2的明细路由 在路由器本地ISIS进行配置filter-policy调用route-policy;route-policy匹配tag 100进行过滤 要求配置认证。。。。 案例二: 全网ISIS设备之间建立可靠的邻居关系 广播网络默认为3次握手,P2P则支持3次握手和2次握手;强制修改P2P网络为3次握手only即可 题目不好描述 route-policy的匹配条件可以是端口 案例三: 要求不好描述 nexthop可以配置路由优先级,实现选路 要求能实时看到syslog ISIS进程配置log-peer-change 汇总路由并充分考虑避免环路的可能 配置路由汇总时,带上generate_null0_route 和avoid-feedback
1111111111111111111111111