下载安卓APP箭头
箭头给我发消息

客服QQ:3315713922
论坛 >华为认证 >HCIE理论-ISIS

HCIE理论-ISIS

课课家运营团队发布于 2018-01-31 18:31查看:2468回复:5

1   ISIS: Intermediate System to Intermediate System的简称 中间系统到中间系统  

 

中间系统:路由器

 

   isis 是一个主要应用于运营商的路由协议,其应用规模和算法和OSPF类似。

 

 1517392476106674.png

R1:

isis 1

 network-entity 49.0001.0000.0000.1111.00  配置网络实体标识

      

int  gi 0/0/0

    isis  enable  1 宣告网段

int gi 0/0/1

   isis  enable   1

 

R2:

isis 1

 network-entity 49.0001.0000.0000.2222.00  配置网络实体标识

 

int  gi 0/0/0

    isis  enable  1

int gi 0/0/1

   isis  enable   1

 

       

2    isis 路由优先级:15  

直连  0

静态路由  60

rip 100

ospf  10

isis  15

 

 

3   CLNS服务模型

1517392542755068.png1517392548722100.png

4   集成的ISISIntegrated-ISIS):由IETF小组对原版的ISIS进行的改良。改版之后的isis既兼容以前老环境CLNP 也适用于现在的新环境:ip网络,为ip网络提供路由。改版之后的isis协议称之为集成的ISIS。目前正在使用的都是集成的isis

 

 

5  ISIS协议特点:

特点:

①  IS 指路由器

②  isis 属于大型内部网关路由协议类似ospf,多用于运营商,企业网很少使用。

③  使用SPF算法,链路状态类路由协议。

④  ISIS 封装数据包是基于OSI 模型,ospfrip、以及常见的以太网数据包封装都是基于TCP/IP模型。

⑤  ISIS 划分区域是基于路由器的。即一个路由器只能属于一个区域

⑥  ISIS 也是两层架构(骨干区域、常规区域)

 

6  骨干区域:

1517392587402844.png

骨干区域:连续的一片Level   2 路由器(包含L 1 2)的集合。即底色为灰色区域。

1517392620695182.png

7  isis邻居关系

isis 路由器的种类

① Level 1路由器:仅收发L1 isis报文

② Level 2路由器:仅收发L2 isis报文

③ Level 1 2路由器:可以收发L1 L2isis报文

 

ISIS 报文种类:L1  L2  

1517392651789779.png

邻居关系:L1   L2

 

 

注意事项:Level 1 路由器不能跨区域建立邻居关系。Level 1 邻居关系不能跨区域建立。

 

 

8  网络实体标识:NET network-entity),用来定为网络资源 ,类似IP

 

isis  1

   network-entity 49.0002.0000.0000.1111.00  

网络实体标识,类似ospf中的router-id,标识该中间系统(路由器)的身份信息。

 area ID:

其中49.0002 表示路由器所在的区域

System ID:

0000.0000.1111 表示系统IDrouter-id

SEL:

.00 固定格式 ip网络全部设为00  SEL

 

 

9  实验

1517392684546384.png

启动isis 进程后 到所有的接口全部宣告isis 1

R1

isis 1

 network-entity 49.0002.0000.0000.1111.00

 

int gi 0/0/0

   isis enable 1   进入接口宣告(相当于ospf 中的network

 

int loo 0

  isis enable 1

 

R2

isis 1

 network-entity 49.0002.0000.0000.2222.00

 

int gi 0/0/0

   isis enable 1

int  gi 0/0/1

   isis enable 1

int loo 0

  isis enable 1

 

R3:

isis 1

 network-entity 49.0001.0000.0000.3333.00

 

int gi 0/0/0

   isis enable 1

int  gi 0/0/1

   isis enable 1

int loo 0

  isis enable 1

 

R4 R5 配置类似

 

注意:所有的路由器默认都是Level 1 2 路由器。

 

 

10  修改路由器level 类型:

1517392718884289.png

R3:

isis  1

    is-level  level-2   将路由器修改为纯level 2 路由器

R1  R5:

isis  1

   is-level  level-1

 

 

调试命令:

1517392755305560.png

R2: Level 12

 

int gi0/0/0

  isis circuit-level level-1   接口仅发送Level 1 报文

 

int gi0/0/1

  isis circuit-level level-2

 

R4:

int gi0/0/0

  isis circuit-level level-2

int gi0/0/1

  isis circuit-level level-1

 

调试命令:

dis  isis  brief   查看isis摘要

dis  isis  peer  查看邻居

dis  isis  lsdb   查看isis的链路状态数据库

 

 

11   优化网络后的注意事项:

默认情况下,骨干区域的路由不会发送到L1路由器(常规区域),且L1路由器会自动形成指向L12路由器的缺省路由。(这种特性类似ospf中的totally stub)。Level 1 的路由器默认只接收来自本区域的路由。

 

作用:减少边缘路由器路由表的大小,同时减轻边缘路由器资源消耗。

 

1517392798942755.png

12  isis 的别名:方便管理网络

R1

isis  1

   is-name  R1

1517392853687269.png1517392859259746.png

注意:< >reset  isis all  重启isis 进程

 

 

 

13  isis hello 时间:10s    hold时间:30s

 

14  两种网络类型:

广播型:broadcast      GEE口 以太网环境

点到点:P2P  point Serial 口 串口 ( PPP  HDLC

1517392912821601.png1517392918811781.png

15  在广播型网络里面:isis需要选举DIS (类似ospf 中的DR

 

 

16  DIS :作用加快广播型链路ISIS 路由信息的同步和共享。

 

注意:一个广播域选举一个DIS

 

 

DIS的选举规则:①先比较接口优先级(默认都是64)越大越优先

                          ②优先级一样则比较接口的mac地址 (越大越优先)

int gi 0/0/0

        isis dis-priority  65 

 

 

1:ISIS中的DIS 支持抢占,且没有备份DIS  

 

 

2:DIS 每隔三分之一 hello时间(10/3 秒) 发送一个hello报文(以便快速检测DIS故障,进而快速选出新的DIS)。 isis的hello时间默认是10s。该方案替换ospf中BDR的机制。

 

 

3:DIS---->创建伪节点---->发送伪节点LSP,通知本广播域其他路由器关于本网络的汇总信息“汇总名单明细一览表”,进而公布自己DIS的身份。

 

张三(DIS)    李四    王五  李大  李二 。。。。

 

 

DIS查看指令:

1517392957735463.png

查看接口mac地址:

1517392987904393.png

17    LSP:link state  protocol data unit  (类似ospf 中的LSA)

 

 

18   伪节点:虚拟路由器,发送伪节点LSP  :通知本广播域其他路由器关于本网络的汇总信息“汇总名单明细一览表”,进而公布自己DIS的身份。 伪节点可以认为是DIS的“替身”。

1517393022584260.png1517393058147436.png1517393065794462.png

19   DIS和DR 区别

1517393103103123.png

 ISIS没有备份的DIS ,通过10/3 s hello时间解决

 

20  ISIS 各种协议报文:

1517393134108110.png

四种报文:

hello报文

CSNP  报文

PSNP报文

LSP报文

 

21  hello 报文:建立维持邻居关系

分类:

1517393165581505.png

注意:点到点 IIH 在报文里面会标识Level 1 还是Level 2 或者Level 12

 

ospf hello: 224.0.0.5  01-00-5e-x

isis hello: 组播mac

1517393200894765.png1517393221547497.png

22  LSP

1517393250866955.png1517393273240456.png

查看LSP 明细信息:

1517393307744879.png

23  CSNP

1517393427761083.png

24  PSNP :在串行链路里面抓包

1517393457890201.png

25   ISIS cost 值计算:

1517393486300280.png1517393516829182.png

int  gi0/0/0

     isis  cost   50

 

26   邻居建立

广播网络(LAN网络):三次握手

 

点到点网络:两次握手  三次握手(默认是三次握手)

 

在点到点链路修改:

int  s4/0/0

      isis ppp-negotiation 2-way

 

1517393565481617.png1517393572561974.png

注意1DIS 是在建立邻居完成 ,两倍的hello时间后才选举 即20s后才选举。

 

注意2:三次握手兼容两次握手

 

 

 

26   isis 路由渗透(路由泄露):将骨干区域的路由引入边缘Level 1 区域

作用:避免边缘区域次优路径。

 

缺省路由形成:Level 12 路由器下发一个 ATTbit 1 LSP.

1517393635578748.png1517393642794398.png

R2

int  gi 0/0/1

     isis cost 50

isis  1

    import-route isis level-2 into level-1  将骨干区域的所有路由泄露到level 1 层次的路由器

 

R7:

isis  1

   import-route isis level-2 into level-1

 

  

27  isis 路由过载

 

1517393673482534.png1517393698947984.png1517393720781150.png

手动设置过载指令:

isis   1

   set-overload

 

 

28 扩展特性之 : isis  认证

①  接口认证:对hello 认证

1517393776987469.png1517393783196248.png

② 区域认证 :对level 1 的SNP LSP报文

 

[AR1-isis-1]area-authentication-mode md5 plain  hcie123  

该命令的含义是,对邻居发来的L1 的路由信息(SNP、LSP)启用验证,如果验证通过则接受并处理路由,验证失败则直接丢弃。

 

1:默认情况下,如果没有启用区域认证,则对邻居发来的路由信息(SNP、LSP)直接使用,不查看authentication(认证) 字段。

 

2:区域认证不影响邻居关系的建立,只影响L1 的路由传递。因为邻居关系的建立只需要hello。

 

因此:如果R1------R2  仅仅在R1启用区域认证,则R2仍可以收到R1的路由,从而形成半边路由。

 

1517393870454825.png

③ 路由域认证:对Level-2的SNP和LSP报文进行认证

R3:

1517394037331644.png1517394045448473.png

29  管理标记 Tag  (胎记)

作用:给路由增加tag 标记,方便路由导入导出即方便路由控制。

1517394173612671.png

方式一:本ISIS进程所有路由全部打标记100

[Rx-isis-1]circuit default-tag 100

 

方式二:针对一个接口

[Rx-GigabitEthernet0/0/0]isis tag-value 100

 

注意:全网所有路由器全部配置,以便LSP可以传递该tag

[Rx-isis-1]cost-style wide

 

R5

int  loop 0

   isis tag-value 100 将环回口的路由传递时增加tag 标记 100

 

所有路由器:

isis  1

   cost-style wide  将路由器isis lsp 报文中的cost 字段拓宽,以便该路由可以携带tag 标记

 

1517394212119799.png

或者dis  ip  routing-table  5.5.5.0 ve

 

 

route-policy T permit node 10

 if-match tag 200    使用路由策略列表T 抓取tag 值为200的路由

 

isis  1

 import-route isis level-2 into level-1  filter-policy route-policy T   只将将路由策略T 匹配的路由引入level 1 区域

 

 

30   isis 路由引入

1517394246119098.png

R5上将ospf 路由引入isis进程

R5

isis  1

   import-route ospf  1   level-1

注意1:默认情况下,向isis引入的路由是Level 2 的路由。

 

注意2:可以在引入路由时增加tag,以方便路由控制。

 

 

 

31   isis 路由过滤

 

1517394279140987.png

R5:

isis  1

     import-route ospf 1 level-1 route-policy A    ospf 的路由引入isis ,仅仅引入被router-policy A 匹配的路由

 

 

route-policy A permit node 10

 if-match acl 2000

 

acl  2000

   rule   per sou 8.8.8.0 0.0.0.255

 

 

 

引入直连路由时做过滤:

R5:

isis 1

   import-route  direct level-1 route-policy B

 

route-policy B per node 10

    if-match  inter  loopback 2

 

 

 

R3上 过滤掉5.5.5.0/24 的路由

注意:由于ISIS是链路状态类路由协议,传递的是链路信息,

filter-policy 只能过滤路由信息。因此isis 只能阻止5.5.5.0/24

放入路由表。但其LSDB里面依然存在5.5.5.0/24LSP。且会将该LSP传递给邻居。

R3

isis  1

   filter-policy 2005 import

 

acl number 2005  

 rule 5 deny source 5.5.5.0 0.0.0.255

 rule 10 permit

 

 

 

 

32   isis 路由聚合:作用:减少路由表的大小,减少LSP报文的发送,降低路由器的资源开销

1517394412101185.png1517394420927563.png

33    ISIS BFD联动

1517394452217232.png1517394479120622.png

先在路由器上配置好ISIS

 

R1R4之间使能BFD配置以加快收敛:

R1

bfd   全局下使能bfd

quit

bfd aa bind peer-ip 192.168.1.4 interface GigabitEthernet0/0/0

 discriminator local 1

 discriminator remote 4

 commit

 

int  gi 0/0/0

   isis bfd static

 

 

R4

bfd

bfd aa bind peer-ip 192.168.1.1 interface GigabitEthernet0/0/0

 discriminator local 4

 discriminator remote 1

 commit

 

int  gi 0/0/0

   isis bfd static

 

 

34   DIS:素颜明星 真实的路由器

       伪节点:化妆之后的明星  虚拟路由器

   

35  ISISospf 的区别

一个是源于OSI模型设计一个是基于TCP/IP模型设计

②  ospf区域是基于链路的,而isis中一台路由器只能属于一个区域

③  ospf 中用area 0作骨干区域,而isis中骨干区域是level 2 层次路由器集合,可以跨越多个区域

④  ospf 大量用于企业网,isis主要用于运营商网络

⑤  isisLevel 1 区域路由器默认无法接收骨干区域路由,而ospf 如果不配置totally-stub 默认会收到来自骨干区域的路由

⑥  isis中的DIS 支持抢占,且即使优先级配置为0 也会参与DIS的选举。而ospf中的DR却不会。且没有备份的DISDIS发送时间间隔为三分之一的hello时间。

⑦ ISIS 网络模型只支持点到点和广播型 ,而ospf 支持多种网络类型。

1517394559237743.png1517394565951079.png1517394588963693.png

36  ISIS 的其他知识

 

对于等价路由,可以使用nexthop weight 设定优先程度

 

isis  1

   nexthop 12.0.0.1 weight 1   值越小越优先

 

 

log-peer-change  当邻居拓扑发生变化时,显示isis 日志消息

isis 1

   log-peer-change

 

<R2>terminal monitor

<R2>terminal logging

[ ]infor-center  enable

 

缺省路由的引入

isis 1

    default-route-advertise

 

37  综合实验配置:

1517394620714710.png1517394647642868.png

需求1:基础配置

 

R1

isis  1

   network-en  47.0001.0000.0000.0001.00

   is-level  level 1

 

int gi 0/0/0

   isis enable 1

 

其他路由器略

 

需求2:网络类型

R1 R2

int  gi 0/0/0

   isis dis-priority 0

 

R4 R5 R6:

int gi0/0/x

    isis circuit-type p2p

 

需求3:路由引入 管理标记  路由渗透  路由过滤

 

所有路由器

isis  1

   cost-style wide

 

R6

isis 1

    import-route direct tag 100  将直连路由引入isis进程,同时给这些路由增加tag 100

 

 

R4

isis 1

    import-route isis level-2 into level-1 filter-policy route-policy T

 

 

route-policy T permit node 10

 if-match tag 100

 

需求4:路由过滤

R2

isis 1

    filter-policy route-policy D import

 

 

route-policy D deny node 10  过滤掉tag值为100 的路由

 if-match tag 100

#

route-policy D permit node 20   放过剩下的所有路由(例如缺省)

 

 

需求5:认证

R1 R2 R3 R4 R5

isis 1

   area-authentication-mode md5 cipher  Huawei  ip

 

R4 R5 R6

int gi 0/0/x

    isis authentication-mode md5 cipher  Huawei

 

 

 



收藏(0)0
查看评分情况

全部评分

此主贴暂时没有点赞评分

总计:0

回复分享
课课家运营团队  于   2018-01-31 18:32 重新编辑过

共有5条评论

  • 歪叔
  • 课课家运营团队
  • K哥馆
  • 课课家团队03
  • love洒脱留守
  • studing
  • 课课家技术团队1
  • 选择版块:

  • 标题:

  • 内容

  • 验证码:

  • 标题:

  • 内容

  • 选择版块:

移动帖子x

移动到: