本文详细介绍了华为ENSP中IS-IS的配置,包括接口认证、区域认证、选路策略、开销计算以及路由安全特性如optional checksum。还探讨了IS-IS的路由收敛、负载分担、等价路由优先级和路由渗透等关键配置。通过实例配置,展示了如何在实际网络环境中确保IS-IS网络的稳定性和安全性。
IS-IS配置:
ISIS认证:
接口认证:如果配置了send-only则表示仅对发送的Hello封装认证信息,而不检查收到的Hello报文是否通过了认证。在本端不需要进行认证检查且对端认证通过时,才可以建立起邻居关系。
如果没有配置send-only,此时应保证同一网络所有接口的相同级别的认证密码一致。
区域认证或路由器域认证:对发送的LSP和SNP都封装认证信息,并检查收到的LSP和SNP是否通过认证,丢弃没有通过认证的报文。该情况下不配置参数snp-packet或all-send-only。
对发送的LSP封装认证信息并检查收到的LSP,对发送的SNP不封装认证信息,也不检查收到的SNP。该情况下需要配置参数snp-packet authentication-avoid。
对发送的LSP和SNP都封装认证信息,只检查收到的LSP,不检查收到的SNP。该情况下需要配置参数snp-packet send-only。
对发送的LSP和SNP都封装认证信息,不检查收到的LSP和SNP。该情况下需要配置参数all-send-only。
配置optional checksum:
在网络运行期间,IS-IS路由器可能会收到恶意报文的攻击,或者IS-IS报文被篡改,可能导致网络的重要信息被窃取,给网络造成重大损失。optional checksum特性是指在IS-IS路由器发送的CSNP、PSNP及Hello报文中,封装optional checksum TLV,对端在收到封装后的报文后,首先检查其携带的TLV是否正确,如果不正确,则拒绝接收,从而保证网络的安全性。
optional-checksum enable //使能IS-IS进程的optional checksum功能。如果IS-IS接口或者区域已经配置了MD5认证或者含有生效MD5认证的Keychain认证,则IS-IS路由器发送Hello和SNP报文时不携带checksum TLV,只校验接收到的报文。
IS-IS的选路:
preference 15
//配置IS-IS路由的优先级。
//缺省情况下,IS-IS协议的优先级为15。配置preference的值越小,优先级越高。
ISIS接口开销:
IS-IS有三种方式来确定接口的开销,按照优先级由高到低分别是:接口开销:为单个接口设置开销。
全局开销:为所有接口设置开销。
自动计算开销:根据接口带宽自动计算开销。
如果没有为IS-IS接口配置任何开销值,IS-IS接口的默认开销为10,开销类型是narrow。
auto-cost enable:
//使能自动计算接口的开销值。
IS-IS接口开销和带宽对应关系表:开销值接口带宽范围
配置ISIS对等价路由的处理方式:
当IS-IS网络中有多条冗余链路时,可能会出现多条等价路由,此时可以采取两种方式:配置负载分担。流量会被均匀的分配到每条链路上。
该方式可以提高网络中链路的利用率及减少某些链路负担过重造成阻塞发生的情况。但是由于对流量转发具有一定的随机性,因此可能不利于对业务流量的管理。
配置等价路由优先级。针对等价路由中的每一条路由,明确指定其优先级,优先级高的路由将被优选,优先级低的路由可以作为备用链路。
该方式可以在不修改原有配置的基础上,指定某条路由被优选,便于业务的管理,同时提高网络的可靠性。
[isis] maximum load-balancing 8
//配置在负载分担方式下的等价路由的最大数量。
//配置ISIS等价路由的优先级:
[isis] nexthop ip-address weight value
//配置等价路由的优先级
//缺省情况下,不设置IS-IS等价路由的优先级。value值越小,表示优先级越高。
配置IS-IS路由渗透:
[isis] import-route isis level-2 into level-1
//将Level-2区域的路由渗透到本地Level-1区域。
控制Level-1设备是否生成缺省路由:
IS-IS协议规定,如果IS-IS Level-1-2设备根据链路状态数据库判断到通过Level-2区域比Level-1区域能够到达更多的区域,该设备会在所发布的Level-1 LSP内将ATT比特位置位。对于收到ATT比特位置位的LSP报文的Level-1设备,会生成一条目的地为发送该LSP的Level-1-2设备的缺省路由。
以上是协议的默认原则,在实际应用中,可以根据需要对ATT比特位进行手动配置以更好地为网络服务。
[isis] attached-bit advertise { always | never}
//设置Level-1-2设备发布的LSP报文中ATT比特位的置位情况。
[isis] attached-bit avoid-learning
//设置即使收到Level-1 LSP报文的ATT比特位置位,Level-1设备也不生成缺省路由。always参数用来设置ATT比特位永远置位,收到该LSP的Level-1设备会生成缺省路由。
never参数用来设置ATT比特位永远不置位,可以避免Level-1设备生成缺省路由,减小路由表的规模。
控制IS-IS的路由信息的交互
配置IS-IS发布缺省路由:
在具有外部路由的边界设备上配置IS-IS发布缺省路由可以使该设备在IS-IS路由域内发布一条0.0.0.0/0的缺省路由。在执行此配置后,IS-IS域内的其他设备在转发流量时,将所有去往外部路由域的流量首先转发到该设备,然后通过该设备去往外部路由域。
配置静态缺省路由虽然也可以实现该功能,但是当现网中有大量设备时,配置工作量巨大且不利于管理。
此外,采用IS-IS发布缺省路由的方式更加灵活。例如,如果存在多个边界设备,那么可以通过配置路由策略,使某台边界设备在满足条件时才发布缺省路由,从而避免造成路由黑洞。
[isis] default-route-advertise [ always | match default | route-policy route-policy-name ] [ cost cost | tag tag | [ level-1 | level-1-2 | level-2 ] ] * [ avoid-learning ],
//配置IS-IS发布缺省路由。
参数参数说明取值
配置路由聚合:
summary ip-address mask [ avoid-feedback | generate_null0_route | tag tag | [ level-1 | level-1-2 | level-2 ] ] *
//配置聚合路由
参数参数说明取值
控制IS-IS路由的收敛:
配置Hello报文属性:
isis timer hello hello-interval [ level-1 | level-2 ]
//指定IS-IS接口发送Hello报文的间隔时间。
参数参数说明取值
isis timer holding-multiplier number [ level-1 | level-2 ]
//配置Hello报文的发送间隔时间的倍数,以达到修改IS-IS的邻居保持时间的目的。
参数参数说明取值
配置LSP报文属性:
LSP报文用于交换链路状态信息。通过配置LSP的基本属性,可以控制LSP报文的大小及最大有效时间。还可以通过使能LSP快速扩散,以及减小接口发送LSP报文的最小时间间隔和LSP的刷新周期可以加快LSP报文的扩散速度,可以使得网络快速收敛。但是如果网络变化比较频繁,又会过度占用CPU资源。此时可以通过配置LSP生成的智能定时器,既可以快速响应突发事件,加快网络的收敛速度,又可以在网络变化频繁时自动延长智能定时器的间隔时间,避免过度占用CPU资源。
配置的参数作用应用场景
配置LSP的大小:
[isis] lsp-length { originate | receive } max-size
//配置当前IS-IS路由器生成LSP报文的长度以及接收LSP报文的长度。
//缺省情况下,IS-IS路由器生成的LSP报文和接收的LSP报文长度均为1497字节。
参数参数说明取值
配置LSP的最大有效时间:
timer lsp-max-age age-time
//配置当前IS-IS进程生成的LSP的最大有效时间。
//缺省情况下,LSP的最大有效时间为1200秒。
配置LSP的刷新周期:
timer lsp-refresh refresh-time
//配置LSP的刷新周期。
//缺省情况下,LSP刷新周期的缺省值为900秒。
配置接口发送LSP的最小时间间隔:
isis timer lsp-throttle throttle-interval [ count count ]
//来配置IS-IS接口发送LSP报文的最小间隔时间和此时间内发送的最大的报文数。
//缺省情况下,接口上发送LSP报文的最小间隔时间是50毫秒,每次发送LSP报文的最大数目是10。
配置LSP生成的智能定时器:
timer lsp-generation max-interval [ init-interval [ incr-interval ] ] [ level-1 | level-2 ]
//来配置LSP生成智能定时器。
参数参数说明取值
初次产生同一LSP(或者LSP分片)的延迟时间为init-interval;第二次产生同一LSP(或者LSP分片)的延迟时间为incr-interval。随后,每变化一次,延迟时间都增大为前一次的两倍,直到max-interval。稳定在max-interval三次或者IS-IS进程被重启,延迟时间又降回到init-interval。
在不使用incr-interval的情况下,初次产生同一LSP(或者LSP分片)仍然使用init-interval作为延迟时间,随后都是使用max-interval作为延迟时间。同样,稳定在max-interval三次或者IS-IS进程被重启,延迟时间又降回到init-interval。
在只使用max-interval的情况下,智能定时器退化为一般的一次性触发定时器。
配置LSP快速扩散:
flash-flood [ lsp-count | max-timer-interval interval | [ level-1 | level-2 ] ] *
//使能LSP快速扩散特性,以便加快IS-IS网络的收敛速度。
参数参数说明取值
配置点到点链路上LSP重传的时间间隔:
isis circuit-type p2p [ strict-snpa-check ]
//将IS-IS广播网接口的网络类型模拟为P2P类型。
//指定IS-IS对LSP和SNP报文的SNPA进行检查。
isis timer lsp-retransmit retransmit-interval
//配置点到点链路上LSP报文的重传间隔时间。
//缺省情况下,点到点链路上LSP报文的重传间隔时间为5秒。
配置CSNP报文属性:
全序列号报文CSNP(Complete Sequence Number
PDUs)包括LSDB中所有LSP的摘要信息,可以保证相邻设备间LSDB的同步。在广播网链路和点到点链路中,运行机制略有不同:在广播网链路上,CSNP由DIS设备周期性的发送。当邻居发现LSDB不同步时,发送PSNP报文来请求缺失的LSP报文。
在点到点链路上,CSNP只在第一次建立邻接关系时发送。
isis timer csnp csnp-interval [ level-1 | level-2 ]
//指定在广播网络上发送CSNP报文的间隔时间。
//缺省情况下,在广播网络上发送CSNP报文的间隔时间是10秒。
调整SPF的计算时间:
当网络变化比较频繁时,IS-IS会频繁的进行SPF计算。频繁的SPF计算会消耗系统大量的CPU资源,从而影响其他业务的运行。
配置智能定时器的优势在于当刚开始进行SPF计算时,两次计算的间隔时间较小,保证IS-IS路由的收敛速度。之后随着整个IS-IS网络的拓扑趋于稳定时,就可以适当的延长两次SPF计算的间隔时间,从而减少不必要的资源消耗。
timer spf max-interval [ init-interval [ incr-interval ] ]
//配置SPF路由计算的延迟时间。
//缺省情况下,SPF路由计算的最大延迟时间为5秒。
suppress-flapping route-calculate timer delay-interval [ threshold threshold-value ]
//设置路由震荡时收到LSP后启动路由计算的抑制时间。
//缺省情况下,路由震荡情况下收到LSP后启动路由计算的抑制时间为10秒。
timer purge-zero-lsp route-calculate-delay delay-interval
//设置收到Purge LSP报文后启动路由计算的抑制时间。
//缺省情况下,收到Purge LSP报文后启动路由计算的抑制时间为10秒。
spf-slice-size duration-time
//配置IS-IS每次路由计算的最大持续时间。
参数参数说明取值
配置ISIS路由按优先级收敛:
设备支持通过配置IS-IS路由的收敛优先级,可以使某些重要路由在网络拓扑发生变化时优先收敛。
prefix-priority [ level-1 | level-2 ] { critical | high | medium } { ip-prefix prefix-name | 配置IS-IS路由的收敛优先级。tag tag-value }
//配置IS-IS路由的收敛优先级。
//缺省情况下,IS-IS主机路由和缺省路由的收敛优先级为medium,其他IS-IS路由的收敛优先级为low。
参数参数说明取值
配置LSP分片扩展:
通过配置LSP分片扩展,使运行IS-IS的设备生成多个LSP分片来发布信息,以便携带更多的IS-IS信息。
lsp-fragments-extend [ [ level-1 | level-2 | level-1-2 ] | [ mode-1 | mode-2 ] ] *
//使能IS-IS路由器的LSP分片扩展功能。
virtual-system virtual-system-id
//配置IS-IS进程的虚拟系统ID。没有该ID,将不会生成扩展LSP。一个IS-IS进程最多可配置50个虚拟系统ID。
数参数说明取值
在NBMA网络中配置Mesh Group:
通过在NBMA网络中配置Mesh Group,可以避免因LSP的重复扩散而造成的带宽浪费。
isis mesh-group { mesh-group-number | mesh-blocked }
//将IS-IS接口加入指定的mesh-group。
参数参数说明取值
配置过载位:
set-overload [ on-startup [ timeout1 | start-from-nbr system-id [ timeout1 [ timeout2 ] ] | wait-for-bgp [ timeout1 ] ] [ send-sa-bit [ timeout3 ] ] ] [ allow { interlevel | external }* ]
//配置非伪节点LSP的过载标志位。
数参数说明取值
#ISIS 其他常见配置命令:
adjacency-strict-check enable
//用来使能IS-IS的邻居严格检查功能
circuit-cost { cost | maximum } [ level-1 | level-2 ]
//配置进行SPF计算时所有IS-IS接口的链路开销值。
circuit default-tag
//配置指定IS-IS进程下所有接口的管理标记值。
cost-style { narrow | wide | wide-compatible | { compatible | narrow-compatible } [ relax-spf-limit ] }
//设置IS-IS设备接收和发送路由的开销类型。
display default-parameter isis
//查看IS-IS的缺省配置信息。
display isis cost interface
//查看接口的开销值及其具体来源。
display isis error
//查看接口或进程收到的错误LSP报文和Hello报文的统计信息。
display isis graceful-restart status
//查看IS-IS GR的状态信息。
display isis last-peer-change
//查看IS-IS的邻居变化信息。
display isis migp-routing
//显示IS-IS的MIGP(Multicast IGP)路由信息。
display isis name-table
//查看本地和远端IS-IS设备主机名到系统ID的映射关系表。
display isis process-id peer [ verbose ]
//查看IS-IS的邻居信息。
display isis purge packet
//查看IS-IS收到携带POI TLV的Purge LSP报文统计信息。
display isis spf-log
//查看IS-IS的SPF计算日志信息。
display isis spf-tree
//查看SPF树的拓扑信息。
graceful-restart
//使能IS-IS进程的GR功能。
graceful-restart no-impact-holdtime
//配置IS-IS邻居的Holdtime不受GR影响。
graceful-restart interval interval-value
//配置IS-IS GR过程中T3定时器的时间。
//缺省情况下,GR T3定时器为300秒。
graceful-restart t2-interval
//缺省情况下,GR T2定时器为60秒。
isis circuit-level [ level-1 | level-1-2 | level-2 ]
//配置Level-1-2路由器的接口链路类型。
isis dis-name
//为DIS配置名称。
isis dis-priority
//指定挑选对应级别DIS时IS-IS接口的优先级。
isis padding-hello
//来配置IS-IS接口发送带有填充字段的标准Hello报文。
isis small-hello
//配置IS-IS接口发送不带有填充字段的Hello报文。
isis peer-ip-ignore
//配置对接收的Hello报文不作IP地址检查。
isis ppp-negotiation { 2-way | 3-way [ only ] }
//来指定在建立邻接关系时采用的PPP协商类型。
isis silent [ advertise-zero-cost ]
//配置IS-IS接口为抑制状态,即抑制该接口接收和发送IS-IS报文,但此接口所在网段的路由可以被发布出去。
isis suppress-flapping peer
//设置指定接口的IS-IS邻居震荡抑制的检测参数。
isis suppress-flapping peer hold-down
//设置Hold-down邻居震荡抑制模式和抑制持续时间。
isis tag-value
//配置IS-IS接口的管理标记值。
lsp-fragments-extend
//使能IS-IS路由器的LSP分片扩展功能。
reset isis all
//重启IS-IS进程。
reset isis peer
//重置与特定IS-IS的邻居关系。
IS-IS配置示例
IS-IS综合实验示例:
实验拓扑如下:
图:IS-IS综合实验拓扑图
实验要求:
公司A网络如实验拓扑所示,请根据如下需求对网络进行部署:R1所属区域ID为49.0001,R2、R3、R4和R5所属区域ID为49.0002,R6所属区域ID为49.0006,各个设备的System ID为0000.0000.000X;
根据拓扑通告相应设备上的接口,R6的E1/0/0运行IS-IS协议,但是不会将任何IS-IS报文发往E1/0/0所连接网段,另外IS-IS区域需要学习到E1/0/0直连网段的地址;
R1为Level-2层级设备,R2和R3为Level-1-2层级设备,R4和R5为接口级别的Level-1层级设备,R6为接口的Level-2层级设备;
由于使用System ID标识设备不便于网络维护,请通过合适命令以使用设备编号(设备编号即为R1,R2,R3等)进行标识;
R4与R5之间不能出现DIS,并建立可靠的邻居关系;
IS-IS可以自动计算Cost;
选择合适的认证模式对区域49.0002的LSP和SNP进行验证,验证密码HUAWEI,认证类型为MD5;
为了进一步提升R4和R5之间带宽的利用率,需要禁止R4与R5相互发送Hello使用填充字段;
R4将直连网段4.0.X.0/24引入IS-IS且不需要聚合;R1将直连网段1.0.X.0/24引入IS-IS,并进行最优聚合,请使用最少命令;
R2与R3禁止将4.0.0.0/24和4.0.2.0/24发布进区域49.0001,请使用ACL,禁用Route-policy;保证R4和R5能够学习到汇总之后网段1.0.X.0/24,禁用Route-policy; R6禁止将R1产生的汇总路由加入到路由表;但是当R1存在汇总之后网段1.0.X.0/24的路由信息时,需发布缺省路由。
配置文件:
AR1:
[AR1]display current-configuration
#
sysname AR1
#
acl number 2000
rule 10 permit source 1.0.0.0 0.0.252.255
acl number 2001
rule 5 permit source 1.0.0.0 0.0.255.255
#
isis 1
is-level level-2
cost-style wide
auto-cost enable
network-entity 49.0001.0000.0000.0001.00
is-name R1
import-route direct route-policy D2I
default-route-advertise route-policy Default
summary 1.0.0.0 255.255.252.0 avoid-feedback generate_null0_route
#
interface Serial4/0/0
link-protocol ppp
ip address 12.1.1.1 255.255.255.0
isis enable 1
#
interface Serial4/0/1
link-protocol ppp
ip address 13.1.1.1 255.255.255.0
isis enable 1
#
interface GigabitEthernet0/0/0
ip address 16.1.1.1 255.255.255.0
isis enable 1
#
interface LoopBack0
ip address 10.1.1.1 255.255.255.255
isis enable 1
#
interface LoopBack1
ip address 1.0.0.1 255.255.255.0
#
interface LoopBack2
ip address 1.0.1.1 255.255.255.0
#
interface LoopBack3
ip address 1.0.2.1 255.255.255.0
#
interface LoopBack4
ip address 1.0.3.1 255.255.255.0
#
route-policy D2I permit node 10
if-match acl 2000
#
route-policy Default permit node 10
if-match acl 2001
#
return
AR2:
[AR2]dis current-configuration
#
sysname AR2
#
acl number 2000
rule 5 deny source 4.0.0.0 0.0.0.255
rule 10 deny source 4.0.2.0 0.0.0.255
rule 15 permit
#
isis 1
cost-style wide
auto-cost enable
//自动开销
network-entity 49.0002.0000.0000.0002.00
is-name R2
filter-policy 2000 import
import-route isis level-2 into level-1
//路由渗透
area-authentication-mode md5 plain HUAWEI
#
interface Serial4/0/0
link-protocol ppp
ip address 12.1.1.2 255.255.255.0
isis enable 1
#
interface Serial4/0/1
link-protocol ppp
ip address 24.1.1.2 255.255.255.0
isis enable 1
#
interface LoopBack0
ip address 10.2.2.2 255.255.255.255
isis enable 1
#
return
AR3:
dis current-configuration
#
sysname AR3
#
acl number 2000
rule 5 deny source 4.0.0.0 0.0.0.255
rule 10 deny source 4.0.2.0 0.0.0.255
rule 15 permit
#
isis 1
cost-style wide
auto-cost enable
network-entity 49.0002.0000.0000.0002.00
is-name R3
filter-policy 2000 import
import-route isis level-2 into level-1
area-authentication-mode md5 plain HUAWEI
#
interface Serial4/0/0
link-protocol ppp
ip address 13.1.1.3 255.255.255.0
isis enable 1
#
interface Serial4/0/1
link-protocol ppp
ip address 35.1.1.3 255.255.255.0
isis enable 1
#
interface LoopBack0
ip address 10.3.3.3 255.255.255.255
isis enable 1
#
return
AR4;
[AR4]DIS current-configuration ]
#
sysname AR4
#
acl number 2000
rule 10 permit source 4.0.0.0 0.0.3.255
#
isis 1
is-level level-1
cost-style wide
auto-cost enable
network-entity 49.0002.0000.0000.0004.00
is-name R4
import-route direct level-1 route-policy D2I
area-authentication-mode md5 plain HUAWEI
#
interface Serial4/0/0
link-protocol ppp
ip address 24.1.1.4 255.255.255.0
isis enable 1
isis circuit-level level-1
#
interface Serial4/0/1
link-protocol ppp
#
interface GigabitEthernet0/0/0
ip address 45.1.1.4 255.255.255.0
isis enable 1
isis circuit-type p2p
isis circuit-level level-1
isis ppp-negotiation 3-way only
isis small-hello
#
interface LoopBack0
ip address 10.4.4.4 255.255.255.255
isis enable 1
isis circuit-level level-1
#
interface LoopBack1
ip address 4.0.0.1 255.255.255.0
#
interface LoopBack2
ip address 4.0.1.1 255.255.255.0
#
interface LoopBack3
ip address 4.0.2.1 255.255.255.0
#
interface LoopBack4
ip address 4.0.3.1 255.255.255.0
#
route-policy D2I permit node 10
if-match acl 2000
#
return
AR5:
dis current-configuration
#
sysname AR5
#
isis 1
is-level level-1
cost-style wide
auto-cost enable
network-entity 49.0002.0000.0000.0005.00
is-name R5
area-authentication-mode md5 plain HUAWEI
#
interface Serial4/0/0
link-protocol ppp
ip address 35.1.1.5 255.255.255.0
isis enable 1
isis circuit-level level-1
#
interface Serial4/0/1
link-protocol ppp
#
interface GigabitEthernet0/0/0
ip address 45.1.1.5 255.255.255.0
isis enable 1
isis circuit-type p2p
isis circuit-level level-1
isis ppp-negotiation 3-way only
isis small-hello
#
interface LoopBack0
ip address 10.5.5.5 255.255.255.255
isis enable 1
isis circuit-level level-1
#
return
AR6:
dis current-configuration
#
sysname AR6
#
acl number 2000
rule 5 deny source 1.0.0.0 0.0.255.255
rule 10 permit
#
isis 1
cost-style wide
auto-cost enable
network-entity 49.0006.0000.0000.0006.00
is-name R6
filter-policy 2000 import
#
interface GigabitEthernet0/0/0
ip address 16.1.1.6 255.255.255.0
isis enable 1
isis circuit-level level-2
#
interface GigabitEthernet0/0/1
ip address 6.0.0.1 255.255.255.0
isis enable 1
isis silent
isis circuit-level level-2
#
interface LoopBack0
ip address 10.6.6.6 255.255.255.255
isis enable 1
isis circuit-level level-2
#
return
配置结果:
图:AR1的路由表
图:AR6的路由表
扫一扫
8078
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
