Datacom-HCIP-10 IS-IS原理与配置

目录

• IS-IS的基本概念
  • IS-IS概述
  • NSAP
  • NET
  • NET的配置举例
  • IS-IS和OSPF区域划分的区别
  • IS-IS路由器的分类
    • Level-1路由器
    • Level-2路由器
    • Level-1-2路由器
  • IS-IS支持的网络类型
  • IS-IS开销值
  • IS-IS报文格式
  • IS-IS通用头部详解
  • IS-IS报文类型概述
  • IS-IS常见的TLV
• IS-IS工作原理
  • 邻接关系建立
    • IS-IS邻接关系建立原则
    • IIH
    • 广播网络中的邻接关系建立过程
    • DIS与伪节点
    • 点到点网络中的邻接关系建立过程
  • 链路状态数据库同步
    • LSP
    • IS-IS的LSDB
    • 查看非伪节点的LSP
    • 查看伪节点LSP
    • CSNP
    • 广播网络中LSP的同步过程
    • 点到点网络中LSP的同步过程
    • LSP的处理机制
  • 路由计算
    • Level-1路由器的路由计算
    • 路由渗透
    • Level-1-2路由器的路由计算
    • Level-2路由器的路由计算
• IS-IS的基本配置
  • IS-IS协议的基本配置
  • 案例：IS-IS配置
  • 路由渗透配置
  • IS-IS认证的分类
  • IS-IS认证详解
  • IS-IS认证的配置

IS-IS（Intermediate System to Intermediate System，中间系统到中间系统）是ISO （International Organization for Standardization，国际标准化组织）为它的CLNP（ConnectionLessNetwork Protocol，无连接网络协议）设计的一种动态路由协议。
随着TCP/IP协议的流行，为了提供对IP路由的支持，IETF在RFC1195中对IS-IS进行了扩充和修改，使它能够同时应用在TCP/IP和OSI（Open System Interconnect，开放式系统互联）环境中，我们将扩展后的IS-IS称为集成IS-IS。
本W文主要介绍集成IS-IS的基本概念、工作原理以及配置方法。

IS-IS的基本概念

IS-IS概述

S-IS是ISO定义的OSI协议栈中的CLNS（ConnectionLess Network Service，无连接网络服务）的一部分。

NSAP

NSAP（Network Service Access Point，网络服务访问点）是OSI协议栈中用于定位资源的地址，主要用于提供网络层和上层应用之间的接口。NSAP包括IDP及DSP，如下图所示：

IDP（Initial Domian Part）相当于IP地址中的主网络号。它是由ISO规定，并由AFI（Authority and FormatIdentifier）与IDI（Initial Domain Identifier）两部分组成。AFI表示地址分配机构和地址格式，IDI用来标识域。
DSP（Domian Specific Part）相当于IP地址中的子网号和主机地址。它由High Order DSP、System ID和SEL三个部分组成。High Order DSP用来分割区域，System ID用来区分主机，SEL（NSAP Selector）用来指示服务类型。

NET

NET（Network Entity Title，网络实体名称）是OSI协议栈中设备的网络层信息，主要用于路由计算，由区域地址（Area ID）和System ID组成，可以看作是特殊的NSAP（SEL为00的NSAP）。
NET的长度与NSAP的相同，最长为20Byte，最短为8Byte。
在IP网络中运行IS-IS时，只需配置NET，根据NET地址设备可以获取到Area ID以及System ID。

NET的配置举例

每台运行IS-IS的网络设备至少需拥有一个NET，当然，一台设备也可以同时配置多个NET，但是这些NET的System ID必须相同。
在华为的网络设备上，System ID的长度总是固定的6Byte。在一个IS-IS路由域中，设备的SystemID必须唯一，为了便于管理，一般根据Router ID配置System ID。

IS-IS和OSPF区域划分的区别

IS-IS在自治系统内采用骨干区域与非骨干区域两级的分层结构：
Level-1路由器部署在非骨干区域。
Level-2路由器和Level-1-2路由器部署在骨干区域。
每一个非骨干区域都通过Level-1-2路由器与骨干区域相连。

如图所示，整个骨干区域不仅包括
Area49.0002中的所有路由器，还包括其它区域的Level2和Level-1-2路由器。

IS-IS路由器的分类

Level-1路由器

Level-1路由器（例如图中的R1）是一种IS-IS区域内部路由器，它只与属于同一区域的Level-1和Level-1-2路由器形成邻接关系，这种邻接关系称为Level-1邻接关系。Level-1路由器无法与Level-2路由器建立邻接关系。
Level-1路由器只负责维护Level-1的链路状态数据库LSDB，该LSDB只包含本区域的路由信息。值得一提的是，Level-1路由器必须通过Level-1-2路由器接入IS-IS骨干区域从而访问其他区域。

Level-2路由器

Level-2路由器（例如图中的R4、R5、R6、R7）是IS-IS骨干路由器，它可以与同一或者不同区域的Level-2路由器或者Level-1-2路由器形成邻接关系。Level-2路由器维护一个Level-2的LSDB，该LSDB包含整个IS-IS域的所有路由信息。
所有Level-2级别（即形成Level-2邻接关系）的路由器组成路由域的骨干网，负责在不同区域间通信。路由域中Level-2级别的路由器必须是物理连续的，以保证骨干网的连续性。

Level-1-2路由器

Level-1-2路由器与OSPF中的ABR非常相似，它也是IS-IS骨干网络的组成部分。
Level-1-2路由器维护两个LSDB，Level-1的LSDB用于区域内路由，Level-2的LSDB用于区域间路由。
同时属于Level-1和Level-2的路由器称为Level-1-2路由器（例如图中的R2和R3），它可以与同一区域的Level-1和Level-1-2路由器形成Level-1邻接关系，也可以与其他区域的Level-2和Level-1-2路由器形成Level-2的邻接关系。

IS-IS支持的网络类型

IS-IS会自动根据接口的数据链路层封装决定该接口的缺省网络类型， IS-IS支持两种类型的网络：
广播（Broadcast）： 如Ethernet。
点到点（P2P）： 如PPP、 HDLC等。

IS-IS开销值

IS-IS使用Cost（开销）作为路由度量值，Cost值越小，则路径越优。IS-IS链路的Cost与设备的接口有关，与OSPF类似，每一个激活了IS-IS的接口都会维护接口Cost。然而与OSPF不同的是，IS-IS接口的Cost在缺省情况下并不与接口带宽相关（在实际部署时，IS-IS也支持根据带宽调整Cost值），无论接口带宽多大，缺省时Cost为10。
一条IS-IS路径的Cost等于本路由器到达目标网段沿途的所有链路的Cost总和。
IS-IS有三种方式来确定接口的开销，按照优先级由高到低分别是：
接口开销：为单个接口设置开销。
全局开销：为所有接口设置开销。
自动计算开销：根据接口带宽自动计算开销。

IS-IS报文格式

IS-IS报文是直接封装在数据链路层的帧结构中的。
PDU（Protocol Data Unit，协议数据单元）可以分为两个部分，报文头（IS-IS Header）和变长字段部分（Variable Length Fields ）。
其中IS-IS Header又可分为通用头部（PDU Common Header）和专用头部（PDU Specific Header）。对于所有PDU来说，通用报头都是相同的，但专用报头根据PDU类型不同而有所差别。

IS-IS通用头部详解

重要字段解释：
Intradomain Routing Protocol Discriminator：域内路由选择协议鉴别符，固定为0x83。
Length Indicator：IS-IS头部的长度（包括通用头部和专用头部），以Byte为单位。
Version/Protocol ID Extension：版本/协议标识扩展，固定为0x01。
System ID Length：NSAP地址或NET中System ID区域的长度。值为0时，表示System ID区域的长度为6Byte。
R（Reserved）：保留，固定为0。
Version：固定为0x01。
Max.Areas：支持的最大区域个数。设置为1～254的整数，表示该IS-IS进程实际所允许的最大区域地址数；设置为0，表示该IS-IS进程最大只支持3个区域地址数。

IS-IS报文类型概述

IS-IS的PDU有4种类型：IIH(IS-IS Hello)，LSP（ Link State PDU，链路状态报文），CSNP（Complete Sequence Number PDU，全序列号报文），PSNP（Partial Sequence Number PDU，部分序列号报文）。
IIH：用于建立和维持邻接关系， 广播网络中的Level-1 IS-IS路由器使用Level-1 LAN IIH； 广播网络中的Level-2 IS-IS路由器使用Level-2 LAN IIH； 点到点网络中则使用P2P IIH。
LSP：用于交换链路状态信息。LSP分为两种，Level-1 LSP、Level-2 LSP。
SNP：通过描述全部或部分链路数据库中的LSP来同步各LSDB，从而维护LSDB的完整与同步。SNP包括CSNP和PSNP，进一步又可分为Level-1 CSNP、
Level-2 CSNP、 Level-1 PSNP和Level-2 PSNP。

IS-IS常见的TLV

TLV的含义是：类型（TYPE），长度（LENGTH），值（VALUE）。实际上是一个数据结构，这个结构包含了这三个字段。
使用TLV结构构建报文的好处是灵活性和扩展性好。采用TLV使得报文的整体结构固定，增加新特性只需要增加新TLV即可，不需要改变整个报文的整体结构。

IS-IS工作原理

邻接关系建立

IS-IS邻接关系建立原则

IS-IS按如下原则建立邻接关系：
只有同一层次的相邻路由器才有可能成为邻接。
对于Level-1路由器来说，Area ID必须一致。
链路两端IS-IS接口的网络类型必须一致。
链路两端IS-IS接口的地址必须处于同一网段（默认情况下）。
由于IS-IS是直接运行在数据链路层上的协议，并且最早设计是给CLNP使用的，IS-IS邻接关系的形成与IP地址无关。但在实际的部署中，在IP网络上运行IS-IS时，需要检查对方的IP地址的。如果接口配置了从IP，那么只要双方有某个IP（主IP或者从IP）在同一网段，就能建立邻接，不一定要主IP相同。

IIH

IIH报文用于建立和维持邻接关系，广播网络中的Level-1 IS-IS路由器使用Level-1 LAN IIH；广播网络中的Level-2 IS-IS路由器使用Level-2 LAN IIH；点到点网络中则使用P2P IIH。

Reserved/Circuit Type：表示路由器的类型（01表示L1，10表示L2，11表示L1/L2）。
Source ID ：发出Hello报文的路由器的System ID。
Holding Time ： 保持时间。在此时间内如果没有收到邻接发来的Hello报文，则中止已建立的邻接关系。
Priority ：选举DIS的优先级，取值范围为0～127。数值越大，优先级越高。该字段只在广播网中的Hello消息(LAN IIH消息)携带；点到点网络的Hello消息(P2P IIH消息)没有此字段，也没有此字段之前的R保留位。
LAN ID ： 包括DIS的System ID和伪节点ID。该字段只在广播网中的Hello消息(LAN IIH消息)携带；点到点网络的Hello消息(P2P IIH消息)没有此字段。Local Circuit ID ：本地链路ID。该字段只在点到点网络的Hello消息(P2P IIH消息)携带；广播网中的Hello消息(LAN IIH消息)没有此字段。

广播网络中的邻接关系建立过程

两台运行IS-IS的路由器在交互协议报文实现路由功能之前必须首先建立邻接关系。在不同类型的网络上，IS-IS的邻接建立方式并不相同。在广播网络中，使用三次握手建立邻接关系。

R1及R2通过千兆以太接口互联,这两台直连的Level-1路由器建
立邻接关系的过程如下:

1. 在Down状态下,R1组播发送Level-1 LAN IIH,此报文中邻接列表为空。
2. R2收到此报文后,将邻接状态标识为Initial。然后,R2再向R1回复Level-1 LAN IIH,此报文中标识R1为R2的邻接。
3. R1收到此报文后,将自己与R2的邻接状态标识为Up。然后R1再向R2发送一个标识R2为R1邻接的Level-1 LAN IIH。
4. R2收到此报文后,将自己与R1的邻接状态标识为Up。这样,两个路由器成功建立了邻接关系。
5. 广播网络中需要选举DIS,在邻接关系建立后,路由器会等待两个Hello报文间隔,再进行DIS的选举。

DIS与伪节点

在广播网络中，IS-IS需要在所有的路由器中选举一个路由器作为DIS（Designated IntermediateSystem）。
DIS用来创建和更新伪节点（Pseudonodes），并负责生成伪节点的LSP，用来描述这个网络上有哪些网络设备。伪节点是用来模拟广播网络的一个虚拟节点，并非真实的路由器。在IS-IS中，伪节点用DIS的System ID和Circuit ID（非0值）标识。

IS-IS中的DIS与OSPF中的DR
Level-1和Level-2的DIS是分别选举的，用户可以为不同级别的DIS选举设置不同的优先级。
DIS的选举规则如下：
DIS优先级数值最大的被选为DIS。
如果优先级数值最大的路由器有多台，则其中MAC地址最大的路由器会成为DIS。
DIS发送Hello PDU的时间间隔是普通路由器的1/3，这样可以确保DIS出现故障时能够被更快速地被发现。
IS-IS中DIS与OSPF协议中DR（Designated Router）的区别：
在IS-IS广播网中，优先级为0的路由器也参与DIS的选举，而在OSPF中优先级为0的路由器则不参与DR的选举。
在IS-IS广播网中，当有新的路由器加入，并符合成为DIS的条件时，这个路由器会被选中成为新的DIS，原有的伪节点被删除。此更改会引起一组新的LSP泛洪。而在OSPF中，当一台新路由器加入后，即使它的DR优先级值最大，也不会立即成为该网段中的DR。
在IS-IS广播网中，同一网段上的同一级别的路由器之间都会形成邻接关系，包括所有的非DIS路由器之间也会形成邻接关系。而在OSPF中，路由器只与DR和BDR建立邻接关系。

点到点网络中的邻接关系建立过程

点到点网络中，邻接关系的建立使用两次握手方式：只要路由器收到对端发的Hello报文，就单方面宣布邻接为Up状态，建立邻接关系。
两次握手机制存在明显的缺陷，华为设备在点到点网络中使用IS-IS时，默认使用三次握手建立邻接关系。此方式通过三次发送P2P IIH最终建立起邻接关系。

链路状态数据库同步

LSP

IS-IS链路状态报文LSP用于交换链路状态信息。LSP分为两种：Level–1 LSP和Level–2 LSP。Level–1 LSP由Level-1路由器传送，Level–2 LSP由Level-2路由器传送，Level-1-2路由器则可传送以上两种LSP。
两类LSP有相同的报文格式。

IS-IS的LSDB

查看非伪节点的LSP

查看伪节点LSP

CSNP

CSNP包含该设备LSDB中所有的LSP摘要，路由器通过交互 CSNP来判断是否需要同步LSDB。
在广播网络上，CSNP由DIS定期发送（缺省的发送周期为10秒）。
在点到点网络上，CSNP只在第一次建立邻接关系时发送。

PSNP
PSNP只包含部分LSP的摘要信息（与CSNP不同）：
当发现LSDB不同步时，PSNP来请求邻居发送新的LSP。
在点到的网络中，当收到LSP时，使用PSNP对收到的LSP进行确认。

广播网络中LSP的同步过程

广播网络中新加入路由器与DIS同步LSDB数据库的过程：

1. 新加入的路由器R3首先发送IIH报文，与该广播域中的路由器建立邻接关系。建立邻接关系之后，R3等待LSP刷新定时器超时，然后将自己的LSP发往组播地址（Level-1：01-80-C2-00-00-14；Level-2：01-80-C2-00-00-15）。这样网络上所有的邻接都将收到该LSP。
2. 该网段中的DIS会把收到R3的LSP加入到LSDB中，并等待CSNP报文定时器超时并发送CSNP报文。
3. R3收到DIS发来的CSNP报文，对比自己的LSDB数据库，然后向DIS发送PSNP报文请求自己没有的LSP。
4. DIS收到该PSNP报文请求后向R3发送对应的LSP进行LSDB的同步。

点到点网络中LSP的同步过程

R1先与R2建立邻接关系。
建立邻接关系之后，R1与R2会先发送CSNP给对端设备。如果对端的LSDB与CSNP没有同步，则发送PSNP请求索取相应的LSP。
假设R2向R1索取相应的LSP。

1. R1发送R2请求的LSP的同时启动LSP重传定时器，并等待R2发送的PSNP作为收到LSP的确认。
2. 如果在接口LSP重传定时器超时后，R1没有收到R2发送的PSNP报文作为应答。
3. 则R1重新发送该LSP。
4. R2收到LSP后，发送PSNP进行确认。

LSP的处理机制

IS-IS通过交互LSP实现链路状态数据库同步，路由器收到LSP后，按照以下原则处理：
若收到的LSP比本地LSP的更优，或者本地没有收到的LSP：
在广播网络中：将其加入数据库，并组播发送新的LSP。
在点到点网络中：将其加入数据库，并发送PSNP报文来确认收到此LSP，之后将这新的LSP发送给除了发送该LSP的邻居以外的邻居。
若收到的LSP和本地LSP无法比较出优劣，则不处理该LSP。

路由计算

Level-1路由器的路由计算

R1是Level-1路由器，只维护Level-1 LSDB，该LSDB中包含同属一个区域的R2及R3以及R1自己产生的Level-1 LSP。
R1根据LSDB中的Level-1 LSP计算出Area 49.0001内的拓扑，以及到达区域内各个网段的路由信息。
R2及R3作为Area 49.0001内的Level-1-2路由器，会在它们向该区域下发的Level-1 LSP中设置ATT标志位，用于向区域内的Level-1路由器宣布可以通过自己到达其他区域。 R1作为Level-1路由器，会根据该ATT标志位，计算出指向R2或R3的默认路由。

Level-1路由器的次优路径的问题
缺省时， R1只能通过指向R2或R3的默认路由到达区域外部，但是R1距离R2和R3路由器的Cost值相等，那么当R1发送数据包到192.168.20.0/24时，就有可能选择路径2，导致出现次优路径。

路由渗透

缺省情况下，Level-1-2路由器不会将到达其他区域的路由通告本Level-1区域中。
通过路由渗透，可以将区域间路由通过Leve-1-2路由器传递到Level-1区域，此时Leve-1路由器可以学习到其他区域的详细路由，从而计算出最优路径。

Level-1-2路由器的路由计算

R2及R3都维护Level-1 LSDB，它们能够通过这些LSDB中的LSP计算出Area 49.0001的路由。
R2及R3都维护Level-2 LSDB，它们能够通过这些LSDB中的LSP计算出Area 49.0002的路由。
R2及R3将到达Area 49.0001的路由以Level-2 LSP的形式发送到Area 49.0002。

Level-2路由器的路由计算

R4及R5作为Level-2路由器，只会维护Level-2 LSDB，它们能够根据该LSDB计算出到达全网各个网段的路由。

IS-IS的基本配置

IS-IS协议的基本配置

1. 创建IS-IS进程,进入IS-IS进程
   [Huawei] isis [process-id ]
   参数process-id用来指定一个IS-IS进程。如果不指定参数process-id,则系统默认的进程为1。
2. 配置网络实体名称(NET)
   [Huawei-isis-1] network-entity net
   通常情况下,一个IS-IS进程下配置一个NET即可。当区域需要重新划分时,例如将多个区域合并,或者将一个区域划分为多个区域,这种情况下配置多个NET可以在重新配置时仍然能够保证路由的正确性。由于一个IS-IS进程中区域地址最多可配置3个,所以NET最多也只能配3个。在配置多个NET时,必须保证它们的System ID都相同。
3. 配置全局Level级别
   [Huawei-isis-1] is-level { level-1 | level-1-2 | level-2 }
   缺省情况下,设备的Level级别为level-1-2。
   在网络运行过程中,改变IS-IS设备的级别可能会导致IS-IS进程重启并可能会造成IS-IS邻居断连,建议用户在配置IS-IS时即完成设备级别的配置。
4. 进入接口视图
   [Huawei]interface interface-type interface-number
   参数interface-type为接口类型,参数interface-number为接口编号。
5. 在接口上使能IS-IS协议
   [Huawei-GigabitEthernet0/0/1] isis enable [ process-id ]
   配置该命令后,IS-IS将通过该接口建立邻居、扩散LSP报文。
6. 配置接口Level级别
   [Huawei-GigabitEthernet0/0/1] isis circuit-level [ level-1 | level-1-2 | level-2 ]
   缺省情况下,接口的Level级别为level-1-2。
   两台Level-1-2设备建立邻居关系时,缺省情况下,会分别建立Level-1和Level-2邻居关系。如果只希望建立Level-1或者Level-2的邻居关系,可以通过修改接口的Level级别实现。
7. 设置接口的网络类型为P2P
   [Huawei-GigabitEthernet0/0/1]isis circuit-type p2p
   缺省情况下,接口网络类型根据物理接口决定。
   使用该命令将广播网接口模拟成P2P接口时,接口发送Hello报文的间隔时间、宣告邻居失效前IS-IS没有收到的邻居Hello报文数目、点到点链路上LSP报文的重传间隔时间以及IS-IS各种认证均恢复为缺省配置,而DIS优先级、DIS名称、广播网络上发送CSNP报文的间隔时间等配置均失效。
8. 恢复接口的缺省网络类型
   [Huawei-GigabitEthernet0/0/1] undo isis circuit-type
   使用该命令恢复接口的缺省网络类型时,接口发送Hello报文的间隔时间、宣告邻居失效前IS-IS没有收到的邻居Hello报文数目、点到点链路上LSP报文的重传间隔时间、IS-IS各种认证、DIS优先级和广播网络上发送CSNP报文的间隔时间均恢复为缺省配置。
9. 修改接口的DIS优先级
   [Huawei-GigabitEthernet0/0/1] isis dis-priority priority [ level-1 | level-2 ]
   缺省情况下,IS-IS接口DIS优先级为64。
   该命令用来指定挑选对应层次DIS(Designated Intermediate System)时接口的优先级。

案例：IS-IS配置

组网需求
如图所示，现网中有5台路由器。用户希望在这5台路由器实现网络互联，并且因为R1性能相对较低，所以还要使这台路由器处理相对较少的数据信息。同时用户希望R1可以选择最优路径访问192.168.10.0/24和192.168.20.0/24网段。配置思路
在各路由器上配置IS-IS基本功能，实现网络互联。其中，配置R1为Level-1路由器，可以使这台路由器维护相对少量的数据信息。同时，配置R2和R3为Level-1/2路由器与R4和R5这两台Level-2路由器互联。

R1的配置如下：

[R1] isis 1
[R1-isis-1] is-level level-1
[R1-isis-1] network-entity 49.0010.0100.1001.00
[R1-isis-1] quit
[R1] interface gigabitethernet 0/0/0
[R1-GigabitEthernet0/0/0] isis enable 1
[R1-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R1-GigabitEthernet0/0/1] isis enable 1

R2的配置如下：

[R2] isis 1
[R2-isis-1] is-level level-1-2
[R2-isis-1] network-entity 49.0020.0200.2002.00
[R2-isis-1] quit
[R2] interface gigabitethernet 0/0/0
[R2-GigabitEthernet0/0/0] isis enable 1
[R2-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R2-GigabitEthernet0/0/1] isis enable 1

R1的路由器等级需要设置为Level1，R2、R3
的路由器等级需要设置为Level1/2。
R3的配置与R2相似，故不再重复展示。

R4的配置如下：

[R4] isis 1
[R4-isis-1] is-level level-2
[R4-isis-1] network-entity 49.0040.0400.4004.00
[R4-isis-1] quit
[R4] interface gigabitethernet 0/0/0
[R4-GigabitEthernet0/0/0] isis enable 1
[R4-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R4-GigabitEthernet0/0/1] isis enable 1
[R4-GigabitEthernet0/0/1] interface gigabitethernet 0/0/2
[R4-GigabitEthernet0/0/2] isis enable 1

R4、R5的路由器等级需要设置为Level2。
R5的配置与R4相似，故不再重复展示。

配置验证

路由渗透配置

路由渗透验证
通过查看R1的路由表，我们可以看到新增了两条明细路由192.168.10.0/24以及
192.168.20.0/24，两条路由的开销值均为30，当有数据包经由R1到达这两个网段时，不会产生次优路径。

IS-IS认证的分类

• IS-IS认证是基于网络安全性的要求而实现的一种认证手段，通过在IS-IS报文中增加认证字段对报文进行认证。当本地路由器接收到远端路由器发送过来的IS-IS报文，如果发现认证密码不匹配，则将收到的报文进行丢弃，达到自我保护的目的。
根据报文的种类，认证可以分为以下三类：
接口认证：在接口视图下配置，对Level-1和Level-2的Hello报文进行认证。
区域认证：在IS-IS进程视图下配置，对Level-1的CSNP、PSNP和LSP报文进行认证。
路由域认证：在IS-IS进程视图下配置，对Level-2的CSNP、PSNP和LSP报文进行认证。
根据报文的认证方式，可以分为以下四类：
简单认证：将配置的密码直接加入报文中，这种加密方式安全性较其他两种方式低。
MD5认证：通过将配置的密码进行MD5算法加密之后再加入报文中，提高密码的安全性。
Keychian认证：通过配置随时间变化的密码链表来进一步提升网络的安全性。
HMAC-SHA256认证：通过将配置的密码进行HMAC-SHA256算法加密之后再加入报文中，提高密码的安全性。

IS-IS认证详解

接口认证
Hello报文使用的认证密码保存在接口下，发送带认证TLV的认证报文，互相连接的路由器接口必须配置相同的口令。
区域认证
区域内的每一台L1路由器都必须使用相同的认证模式和具有共同的钥匙串。
路由域认证
IS-IS域内的每一台L2和L1/L2类型的路由器都必须使用相同模式的认证，并使用共同的钥匙串。
对于区域和路由域认证，可以设置为SNP和LSP分开认证。
本地发送的LSP报文和SNP报文都携带认证TLV，对收到的LSP报文和SNP报文都进行认证检查。
本地发送的LSP报文携带认证TLV，对收到的LSP报文进行认证检查；发送的SNP报文携带认证TLV，但不对收到的SNP报文进行检查。
本地发送的LSP报文携带认证TLV，对收到的LSP报文进行认证检查；发送的SNP报文不携带认证TLV，也不对收到的SNP报文进行认证检查。
本地发送的LSP报文和SNP报文都携带认证TLV，对收到的LSP报文和SNP报文都不进行认证检查。

IS-IS认证的配置

1. 配置IS-IS区域认证
   [Huawei-isis-1] area-authentication-mode { { simple | md5 } { plain plain-text | [ cipher ] plain-cipher-text }keychain keychain-name | hmac-sha256 key-id key-id } [ snp-packet { authentication-avoid | send-only } | all-send-only ]
   simple 指定密码以纯文本方式参与认证;keychain指定随时间变化的密钥链表;md5指定密码通过HMAC-MD5算法加密后参与认证。
   snp-packet指定配置SNP报文相关的验证;authentication-avoid 指定不对产生的SNP封装认证信息,也不检查收到的SNP,只对产生的LSP封装认证信息,并检查收到的LSP;send-only 指定对产生的LSP和SNP封装认证信息,只检查收到的LSP,不检查收到的SNP;all-send-only 指定对产生的LSP和SNP封装认证信息,不检查收到的LSP和SNP。

2. 配置IS-IS路由域认证
   [Huawei-isis-1] domain-authentication-mode { { simple | md5 } { plain plain-text | [ cipher ] plain-cipher-text }keychainkeychain-name | hmac-sha256 key-id key-id } [ snp-packet { authentication-avoid | send-only } | all-send-only ]
   参数含义与区域认证一致。

3. 配置IS-IS接口认证
   [Huawei-GigabitEthernet0/0/0] isis authentication-mode [keychain | md5 | simple ] [ level-1 | level-2 ] [ ip | osi ] [ send-only ]
   level-1指定设置Level-1级别的认证;level-2指定设置Level-2级别的认证;send-only指定只对发送的Hello报文加载认证信息,不对接收的Hello报文进行认证。