IS-IS基本配置介绍

本篇我们主要来介绍一下IS-IS协议以及在华为路由器中对IS-IS的基本配置工作。首先我们来简单介绍一
下IS-IS。IS-IS是一种基于SPF算法的链路状态协议,同时IS-IS也是一种内部网关协议。IS-IS是ISO定
义的OSI协议栈中无连接网络服务CLNS (Connectionless Network Service)的一部分,用于动态路由
数包。 CLNS由以下三个协议构成: ● CLNP:类似于TCP/IP中的IP协议。IP协议为TCP/IP传输层服务。CLNP为OSI传输层服务。 ● IS-IS: 中间系统(路由器)间的路由协议,类似于IP中的OSPF ● ES-IS:主机系统与中间系统间的协议,就象IP中的ARP,IGMP(RD)等。 IS-IS与OSPF的共同点: ● 维护一个链路状态数据库,基于Dijkstra算法 ● 都利用Hello包形成和维护邻居关系 ● 使用区域的概念来构成层次化的拓扑结构 ● 都提供在区域之间提供地址汇总的能力 ● 无类路由协议 ● 都选取一个指定路由器来描述广播性网路 ● 都支持认证 IS-IS地址 IS-IS地址由IDP和DSP组成。IDP和DSP的长度都是可变的,NSAP总长最多是20个字节,最少8个字节。在
ISIS协议中,一台设备可以配置多个NET地址,各个地址的area ID可以不一样,但system ID必须保持一
致。 ● NSAP:Network Service Access Point (网络层地址+服务端口号) ● NET:Network Entity Title (特殊NSAP,最后一个字节为0) 简化的NSAP格式:Area Address由AFI(权限格式标识符),IDI还有DSP的一部分组成,用来标识了组织
结构(请忘记这些复杂的东西吧,我们需要记住area ID)。System ID必须在整个区域和主干(Level2)
上保持唯一,用来唯一标识主机或路由器。System ID为6个字节。NSEL(NSAP-Selector)NSAP标识,用
来指示选定的服务,相当于TCP/IP地址中的端口号,对NET地址来讲,是00。AFI=49的地址为OSI协议的私
有地址,类比TCP/IP?中的10.0.0.0等。 一个中间系统(路由器)至少有一个NET(最多可有254个),同一AREA的中间系统必须有相同的Area ID,
每个中间系统在一个Area中必须有一个唯一的System ID。一个domain中的两 Level-2中间系统不能有相
同的System ID。NSAP至少为8个字节,最多为20个字节。对于ip应用程序而言,1字节定义AFI(标识二进
制DSP语法的地址域),最少2字节定义实际区域信息,6字节定义系统ID和1字节的NSEL,故NSAP地址最少
为10字节。 ISIS的邻接关系: ● Level-1:Area ID 一样可以建立level 1的邻接关系 ● Level-2:Area ID 一样或者不一样都可以建立level-2的邻接关系 ● Level-1-2(默认的),Area ID一样即可以建立level-1,也可以建立level-2的邻接关系 Level-1路由器: Level-1路由器负责区域内的路由,它只与属于同一区域的Level-1和Level-1-2路由器形成邻居关系,属
于不同区域的Level-1路由器不能形成邻居关系。Level-1路由器只负责维护Level-1的链路状态数据库
LSDB,该LSDB包含本区域的路由信息。到本区域外的报文转发给最近的Level-1-2路由器。Level-1路由器
必须通过Level-1-2路由器才能连接至其他区域。 Level-2路由器: 路由器负责区域间的路由,它可以与同一或者不同区域的Level-2路由器或者其它区域的Level-1-2路由器
形成邻居关系。Level-2路由器维护一个Level-2的LSDB,该LSDB包含IS-IS区域的所有路由信息。所有
Level-2级别(即形成Level-2邻居关系)的路由器组成路由域的骨干网,负责在不同区域间通信。路由
域中Level-2级别的路由器必须是物理连续的,以保证骨干网的连性。 Level-1-2路由器: 同时属于Level-1和Level-2的路由器称为Level-1-2路由器,它可以与同一区域的Level-1和Level-1-2
路由器形成Level-1邻居关系,也可以与其他区域的Level-2和Level-1-2路由器形成Level-2的邻居关系
。Level-1路由器必须通过Level-1-2路由器才能连接至其他区域。Level-1-2路由器维护两个LSDB,
Level-1的LSDB 用于区域内路由,Level-2的LSDB用于区域间路由。 ISIS的报文类型: ● IIS:hello报文,10秒发送一次,hold-timer:30。在MA网络中,HELLO报文会通过填充PDU的形式检
查MTU值,所有的hello报文都会填充,可以通过命令修改不填充。在P2P网络中,第一个hello报文会填充
pdu,后续不会填充。 ● SNP:协议数据单元 ● CSNP:全部序列号协议数据单元(类似于OSPF的DBD报文) ISIS中DIS的选举: 1、DIS选举首先比较优先级,默认优先级为64,范围是0- 127,在ISIS中优先级为0仍然参于选举,只是
具有最低的选举权限,127最高 2、如果优先级相同,会比较接口的MAC地址,越大越有可能成为DIS 3、在ISIS中所有的设备都会建立邻接关系,不但于DIS之间建立邻接关系,非DIS之间也会建立邻接关系 4、优先级为0的路由器也参与DIS的选举,且DIS选举支持抢占。 5、IS-IS中DIS发送Hello时间间隔为10/3秒,而其他非DIS路由器发送Hello间隔为10秒。 ISIS的认证: ● 对于区域和路由域认证,可以设置为SNP和LSP分开认证 ● 本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都进行认证检查。 ● 本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文携带认证TLV,但
不对收到的SNP报文进行检查。 ● 本地发送的LSP 报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文不携带认证TLV,
也不对收到的SNP报文进行认证检查。 ● 本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都不进行认证检查。 前面我们对IS-IS进行简单的介绍,接下来我们以下面的拓扑为例,配置要求如下: 1、R5 OSPF引入直连网段,初始Cost为10。 2、R2 OSPF与IS-IS互相引入。 3、R2环回口使用OSPF宣告。 4、R3环回口使用IS-IS宣告。 5、R3 OSPF与IS-IS互相引入。 6、R2/R3/R4配置为IS-IS的Level-2区域,使用路由域认证。 7、R4/R6配置为IS-IS的Level-1区域,使用区域认证。 8、R6 ISIS引入直连网段,初始Cost为10。 9、要求配置完成后,PC1能Ping通PC2,如果不能Ping通,找出原因。
地址规划:
● LoopBack0
 R1:1.1.1.1/32
 R2:2.2.2.2/32
 R3:3.3.3.3/32
 R4:4.4.4.4/32
 R5:5.5.5.5/32
 R6:6.6.6.6/32

● NET地址
 R2:10.0001.0000.0000.2001.00
 R3:10.0001.0000.0000.3001.00
 R4:10.0002.0000.0000.4001.00
 R6:10.0002.0000.0000.6001.00

配置IS-IS部分
1、首先我们在R2/R3/R4/R6上配置IS-IS,假设所有路由器的接口IP地址已经配置完毕,将R2与R3配
置为Level-2路由器,并使用路由域认证。同时在相应接口使能IS-IS。 R2: isis 1 is-level level-2 cost-style wide network-entity 10.0001.0000.0000.2001.00 domain-authentication-mode md5 cipher huawei123 int g0/0/1 isis enable R3: isis 1 is-level level-2 cost-style wide network-entity 10.0001.0000.0000.3001.00 domain-authentication-mode md5 cipher huawei123 int g0/0/1 isis enable 2、将R4配置为Level-1-2路由器,由于R4同时连接Level-2区域和Level-1区域,所以要同时配置路
由域认证和区域认证。同时在相应接口使能IS-IS。 isis 1 cost-style wide network-entity 10.0002.0000.0000.4001.00 area-authentication-mode md5 cipher huawei123 domain-authentication-mode md5 cipher huawei123 int g0/0/0 isis enable int g0/0/1 isis enable int g0/0/2 isis enable
3、将R6配置为Level-1路由器,并使用区域认证。同时在相应接口使能IS-IS。
isis 1
 is-level level-1
 cost-style wide
 network-entity 10.0002.0000.0000.6001.00
 area-authentication-mode md5 cipher huawei123
4、在R6上配置IS-IS引入直连路由,这里我们将连接PC2的网段引入IS-IS。
isis 1
 import-route direct cost 10 level-1
5、在R3上将R3的环回口通过IS-IS宣告。
int lo0
isis enable
6、这里我们假设OSPF部分已经配置完成,由于OSPF的配置在本站已经有多篇文章进行介绍,所以这里就
不再进行演示。 7、在R2和R3上配置OSPF与IS-IS相互引入。 ospf 1 import-route isis 1 isis 1 import-route ospf 1
验证配置
1、我们要求PC1与PC2之间能够互相Ping通,但是从验证结果来看,如下图PC1无法Ping通PC2。经过进一
步验证,此时PC1只能ping通R5的两个接口IP,无法ping通其它所有IP。
2、检查R1路由表,发现在R1上到达PC1的地址指向R2。
3、检查R2路由表,发现在R1上到达PC1的地址指向R4。
4、检查R4路由表,发现在R1上到达PC1的地址指向R3。
5、检查R3路由表,发现在R1上到达PC1的地址指向R1。
6、通过以上检查,可以发现这里存在路由环路,导致PC1发现的数据包无法到达PC2。为解决这个问题,我们
通过在R5上将引入的直连路由设置为Type-1。默认引入类型为Type-2
7、在R5上将OSPF引入的直连路由类型设置为Type-1。
ospf 1
import-route direct cost 10 type 1
8、修改完成后,可以看到到PC1的路由类型变为Type-1。
9、修改完成后,再次从PC1 ping PC2,确认网络可达。

发表评论