IS-IS理论知识详解(三)
首页 > HuaWei > 路由配置   作者:浙江思唯网络  2016年8月1日 12:22 星期一  字号:   评论:0 条
时间:2016-8-1 12:22   评论:0 条 

    IS-IS理论知识详解(三)

    IS-IS理论知识详解(二):http://www.023wg.com/lypz/314.html

    14IS-IS认证简介

    IS-IS认证是基于网络安全性的要求而实现的一种认证手段,通过在IS-IS报文中增加认证字段对报文进行认证。当本地路由器接收到远端路由器发送过来的IS-IS报文,如果发现认证密码不匹配,则将收到的报文进行丢弃,达到自我保护的目的。

 

    15IS-IS认证分类

    根据报文的种类,认证可以分为以下三类:

    1、接口认证:

    是指使能IS-IS协议的接口以指定方式和密码对Level-1Level-2Hello报文进行认证。

    对于接口认证,有以下两种设置:

    发送带认证TLV的认证报文,本地对收到的报文也进行认证检查。

    发送带认证TLV的认证报文,但是本地对收到的报文不进行认证检查。

    2、区域认证:

    是指运行IS-IS的区域以指定方式和密码对Level-1SNPLSP报文进行认证。

    3、路由域认证:

    是指运行IS-IS的路由域以指定方式和密码对Level-2SNPLSP报文进行认证。

    对于区域和路由域认证,可以设置为SNPLSP分开认证。

    本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都进行认证检查。

    本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文携带认证TLV,但不对收到的SNP报文进行检查。

    本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文不携带认证TLV,也不对收到的SNP报文进行认证检查。

    本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都不进行认证检查。

    根据报文的认证方式,可以分为以下三类:

    1、明文认证:

    一种简单的认证方式,将配置的密码直接加入报文中,这种认证方式安全性不够。

    2MD5认证:

    通过将配置的密码进行MD5算法之后再加入报文中,这样提高了密码的安全性。

    3Keychian认证:

    通过配置随时间变化的密码链表来进一步提升网络的安全性。

 

    16IS-IS认证信息的携带形式

    IS-IS通过TLV的形式携带认证信息,认证TLV的类型为10,具体格式如下:

    TypeISO定义认证报文的类型值为10,长度为1字节。

    Length:指定认证TLV值的长度,长度1字节。

    Value:指定认证的具体内容,其中包括了认证的类型和认证的密码,长度为1254字节。

    其中认证的类型为1字节,具体定义如下:

    0:保留的类型

    1:明文认证

    54MD5认证

    255:路由域私有认证方式

 

    17IS-IS路由渗透

    通常情况下,Level-1区域内的路由通过Level-1路由器进行管理。所有的Level-2Level-1-2路由器构成一个连续的骨干区域。Level-1区域必须且只能与骨干区域相连,不同的Level-1区域之间并不相连。

    Level-1-2路由器将学习到的Level-1路由信息装进Level-2 LSP,再泛洪LSP给其他Level-2Level-1-2路由器。因此,Level-1-2Level-2路由器知道整个IS-IS路由域的路由信息。

    但是,为了有效减小路由表的规模,在缺省情况下,Level-1-2路由器并不将自己知道的其他Level-1区域以及骨干区域的路由信息通报给它所在的Level-1区域。

    这样,Level-1路由器将不了解本区域以外的路由信息,可能导致与本区域之外的目的地址通信时无法选择最佳的路由。

    为解决上述问题,IS-IS提供了路由渗透功能。通过在Level-1-2路由器上定义ACLAccess Control List)、路由策略、Tag标记等方式,将符合条件的路由筛选出来,实现将其他Level-1区域和骨干区域的部分路由信息通报给自己所在的Level-1区域。

          路由渗透示例.png

                                                         图路由渗透示例 

    如上图1所示,RouterA发送报文给RouterF,选择的最佳路径应该是RouterA->RouterB->RouterD->RouterE->RouterF。因为这条链路上的cost值为40,但在RouterA上查看发送到RouterF的报文选择的路径是:RouterA->RouterC->RouterE->RouterF,其cost值为70,不是RouterARouterF的最优路由。

    RouterA作为Level-1路由器并不知道本区域外部的路由,那么发往区域外的报文都会选择由最近的Level-1-2路由器产生的缺省路由发送出去,所以会出现RouterA选择次最优路由转发报文的情况。

    如果分别在Level-1-2路由器RouterCRouterD上使能路由渗透功能,Aera10中的Level-1路由器就会拥有经这两个Level-1-2路由器通向区域外的路由信息。经过路由计算,选择的转发路径为RouterA->RouterB->RouterD->RouterE->RouterF,即RouterARouterF的最优路由。

 

    18IS-IS Overload

    IS-IS OverLoad(过载)使用IS-IS过载标记位来标识过载状态。

    IS-IS过载标志位是指IS-IS LSP报文中的OL字段。对设备设置过载标志位后,其它设备在进行SPF计算时不会使用这台设备做转发,只计算该设备上的直连路由。

       IS-IS过载示意图.png

                                         图IS-IS过载示意图 

    如上图1所示,RouterA10.1.1.0/24网段的报文由RouterB转发,但如果RouterB所发的LSP报文中过载标志位置1RouterA会认为RouterBLSDB不完整,于是将报文通过RouterDRouterE转发到10.1.1.0/24网段,但转发到RouterB直连网段的报文则不受影响。

    当系统因为各种原因无法保存新的LSP,以致无法维持正常的LSDB同步时,该系统计算出的路由信息将出现错误。在这种情况下,系统就可以自动进入过载状态,即通过该设备到达的路由不计算,但该设备的直连路由不会被忽略。

    除了设备异常可导致自动进入过载状态,也可以通过手动配置使系统进入过载状态。当网络中的某些IS-IS设备需要升级或维护时,需要暂时将该设备从网络中隔离。此时可以给该设备设置过载标志位,这样就可以避免其他设备通过该节点来转发流量

    如果因为设备进入异常状态导致系统进入过载状态,此时系统将删除全部引入或渗透的路由信息。如果因为用户配置导致系统进入过载状态,此时会根据用户的配置决定是否删除全部引入或渗透路由。

 

    19IS-IS收敛方式

    为了提高IS-IS网络的收敛,有快速收敛和按优先级收敛两种方式。快速收敛侧重于从路由的计算角度加快收敛速度;按优先级收敛侧重于从路由优先级角度提高网络性能。

    1IS-IS快速收敛

    IS-IS快速收敛是为了提高路由的收敛速度而做的扩展特性。它包括以下几个功能:

    1.1、增量最短路径优先算法I-SPFIncremental SPF):

    是指当网络拓扑改变的时候,只对受影响的节点进行路由计算,而不是对全部节点重新进行路由计算,从而加快了路由的计算。

    ISO10589中定义使用SPF算法进行路由计算。当网络拓扑中有一个节点发生变化时,这种算法需要重新计算网络中的所有节点,计算时间长,占用过多的CPU资源,影响整个网络的收敛速度。

    I-SPF改进了这个算法,除了第一次计算时需要计算全部节点外,每次只计算受到影响的节点,而最后生成的最短路径树SPT与原来的算法所计算的结果相同,大大降低了CPU的占用率,提高了网络收敛速度。

    1.2、部分路由计算PRCPartial Route Calculation):

    是指当网络上路由发生变化的时候,只对发生变化的路由进行重新计算。

    PRC的原理与I-SPF相同,都是只对发生变化的路由进行重新计算。不同的是,PRC不需要计算节点路径,而是根据I-SPF算出来的SPT来更新路由。

    在路由计算中,叶子代表路由,节点则代表路由器。如果I-SPF计算后的SPT改变,PRC会只处理那个变化的节点上的所有叶子;如果经过I-SPF计算后的SPT并没有变化,则PRC只处理变化的叶子信息。

    比如一个节点使能一个IS-IS接口,则整个网络拓扑的SPT是不变的,这时PRC只更新这个节点的接口路由,从而节省CPU占用率。

    PRCI-SPF配合使用可以将网络的收敛性能进一步提高,它是原始SPF算法的改进,已经代替了原有的算法。 

    1.3、智能定时器:

    在进行SPF计算和产生LSP的时候用到的一种智能定时器。该定时器首次超时时间是一个固定的时间。如果在定时器超时前,又有触发定时器的事件发生,则该定时器下一次的超时时间会增加。

    改进了路由算法后,如果触发路由计算的时间间隔较长,同样会影响网络的收敛速度。使用毫秒级定时器可以缩短这个间隔时间,但如果网络变化比较频繁,又会造成过度占用CPU资源。

    SPF智能定时器既可以对少量的外界突发事件进行快速响应,又可以避免过度的占用CPU

    通常情况下,一个正常运行的IS-IS网络是稳定的,发生大量的网络变动的几率很小,IS-IS不会频繁的进行路由计算,所以第一次触发的时间可以设置的非常短(毫秒级)。如果拓扑变化比较频繁,智能定时器会随着计算次数的增加,间隔时间也会逐渐延长,从而避免占用大量的CPU资源。

    SPF智能定时器类似的还有LSP生成智能定时器。在IS-IS协议中,当LSP生成定时器到期时,系统会根据当前拓扑重新生成一个自己的LSP。原有的实现机制是采用间隔时间固定的定时器,这样就不能同时满足快速收敛和低CPU占用率的需要。为此将LSP生成定时器也设计成智能定时器,使其可以对于突发事件(如接口Up/Down)快速响应,加快网络的收敛速度。同时,当网络变化频繁时,智能定时器的间隔时间会自动延长,避免过度占用CPU资源。

    1.4LSP快速扩散:

    此特性可以加快LSP的扩散速度。

    正常情况下,当IS-IS收到其它路由器发来的LSP时,如果此LSP比本地LSDB中相应的LSP要新,则更新LSDB中的LSP,并用一个定时器定期将LSDB内已更新的LSP扩散出去。

    LSP快速扩散特性改进了这种方式,使能了此特性的设备收到一个或多个较新的LSP时,在路由计算之前,先将小于指定数目的LSP扩散出去,加快LSDB的同步过程。这种方式在很大程度上可以提高整个网络的收敛速度。

    2IS-IS按优先级收敛

    IS-IS按优先级收敛是指在大量路由情况下,能够让某些特定的路由(例如匹配指定IP前缀的路由)优先收敛的一种技术。因此用户可以把和关键业务相关的路由配置成相对较高的优先级,使这些路由更快的收敛,从而使关键的业务收到的影响减小。通过对不同的路由配置不同的收敛优先级,达到重要的路由先收敛的目的,提高网络的可靠性。


    IS-IS理论知识(四):http://www.023wg.com/lypz/317.html



 您阅读这篇文章共花了: 
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:647682417 互相学习。     
本文地址:http://www.023wg.com/lypz/316.html
版权声明:若无注明,本文皆为“思唯网络教育博客”原创,转载请保留文章出处。
返回顶部    首页   
版权所有:思唯网络教育博客    浙江思唯网络