IS-IS理论知识详解（三）

    IS-IS理论知识详解（二）：http://www.023wg.com/lypz/314.html

    14、IS-IS认证简介

    IS-IS认证是基于网络安全性的要求而实现的一种认证手段，通过在IS-IS报文中增加认证字段对报文进行认证。当本地路由器接收到远端路由器发送过来的IS-IS报文，如果发现认证密码不匹配，则将收到的报文进行丢弃，达到自我保护的目的。

    15、IS-IS认证分类

    根据报文的种类，认证可以分为以下三类：

    1、接口认证：

    是指使能IS-IS协议的接口以指定方式和密码对Level-1和Level-2的Hello报文进行认证。

    对于接口认证，有以下两种设置：

    发送带认证TLV的认证报文，本地对收到的报文也进行认证检查。

    发送带认证TLV的认证报文，但是本地对收到的报文不进行认证检查。

    2、区域认证：

    是指运行IS-IS的区域以指定方式和密码对Level-1的SNP和LSP报文进行认证。

    3、路由域认证：

    是指运行IS-IS的路由域以指定方式和密码对Level-2的SNP和LSP报文进行认证。

    对于区域和路由域认证，可以设置为SNP和LSP分开认证。

    本地发送的LSP报文和SNP报文都携带认证TLV，对收到的LSP报文和SNP报文都进行认证检查。

    本地发送的LSP报文携带认证TLV，对收到的LSP报文进行认证检查；发送的SNP报文携带认证TLV，但不对收到的SNP报文进行检查。

    本地发送的LSP报文携带认证TLV，对收到的LSP报文进行认证检查；发送的SNP报文不携带认证TLV，也不对收到的SNP报文进行认证检查。

    本地发送的LSP报文和SNP报文都携带认证TLV，对收到的LSP报文和SNP报文都不进行认证检查。

    根据报文的认证方式，可以分为以下三类：

    1、明文认证：

    一种简单的认证方式，将配置的密码直接加入报文中，这种认证方式安全性不够。

    2、MD5认证：

    通过将配置的密码进行MD5算法之后再加入报文中，这样提高了密码的安全性。

    3、Keychian认证：

    通过配置随时间变化的密码链表来进一步提升网络的安全性。

    16、IS-IS认证信息的携带形式

    IS-IS通过TLV的形式携带认证信息，认证TLV的类型为10，具体格式如下：

    Type：ISO定义认证报文的类型值为10，长度为1字节。

    Length：指定认证TLV值的长度，长度1字节。

    Value：指定认证的具体内容，其中包括了认证的类型和认证的密码，长度为1～254字节。

    其中认证的类型为1字节，具体定义如下：

    0：保留的类型

    1：明文认证

    54：MD5认证

    255：路由域私有认证方式

    17、IS-IS路由渗透

    通常情况下，Level-1区域内的路由通过Level-1路由器进行管理。所有的Level-2和Level-1-2路由器构成一个连续的骨干区域。Level-1区域必须且只能与骨干区域相连，不同的Level-1区域之间并不相连。

    Level-1-2路由器将学习到的Level-1路由信息装进Level-2 LSP，再泛洪LSP给其他Level-2和Level-1-2路由器。因此，Level-1-2和Level-2路由器知道整个IS-IS路由域的路由信息。

    但是，为了有效减小路由表的规模，在缺省情况下，Level-1-2路由器并不将自己知道的其他Level-1区域以及骨干区域的路由信息通报给它所在的Level-1区域。

    这样，Level-1路由器将不了解本区域以外的路由信息，可能导致与本区域之外的目的地址通信时无法选择最佳的路由。

    为解决上述问题，IS-IS提供了路由渗透功能。通过在Level-1-2路由器上定义ACL（Access Control List）、路由策略、Tag标记等方式，将符合条件的路由筛选出来，实现将其他Level-1区域和骨干区域的部分路由信息通报给自己所在的Level-1区域。

                                                         图1 路由渗透示例 

    如上图1所示，RouterA发送报文给RouterF，选择的最佳路径应该是RouterA->RouterB->RouterD->RouterE->RouterF。因为这条链路上的cost值为40，但在RouterA上查看发送到RouterF的报文选择的路径是：RouterA->RouterC->RouterE->RouterF，其cost值为70，不是RouterA到RouterF的最优路由。

    RouterA作为Level-1路由器并不知道本区域外部的路由，那么发往区域外的报文都会选择由最近的Level-1-2路由器产生的缺省路由发送出去，所以会出现RouterA选择次最优路由转发报文的情况。

    如果分别在Level-1-2路由器RouterC和RouterD上使能路由渗透功能，Aera10中的Level-1路由器就会拥有经这两个Level-1-2路由器通向区域外的路由信息。经过路由计算，选择的转发路径为RouterA->RouterB->RouterD->RouterE->RouterF，即RouterA到RouterF的最优路由。

    18、IS-IS Overload

    IS-IS OverLoad（过载）使用IS-IS过载标记位来标识过载状态。

    IS-IS过载标志位是指IS-IS LSP报文中的OL字段。对设备设置过载标志位后，其它设备在进行SPF计算时不会使用这台设备做转发，只计算该设备上的直连路由。

                                         图1 IS-IS过载示意图 

    如上图1所示，RouterA到10.1.1.0/24网段的报文由RouterB转发，但如果RouterB所发的LSP报文中过载标志位置1，RouterA会认为RouterB的LSDB不完整，于是将报文通过RouterD、RouterE转发到10.1.1.0/24网段，但转发到RouterB直连网段的报文则不受影响。

    当系统因为各种原因无法保存新的LSP，以致无法维持正常的LSDB同步时，该系统计算出的路由信息将出现错误。在这种情况下，系统就可以自动进入过载状态，即通过该设备到达的路由不计算，但该设备的直连路由不会被忽略。

    除了设备异常可导致自动进入过载状态，也可以通过手动配置使系统进入过载状态。当网络中的某些IS-IS设备需要升级或维护时，需要暂时将该设备从网络中隔离。此时可以给该设备设置过载标志位，这样就可以避免其他设备通过该节点来转发流量。

    如果因为设备进入异常状态导致系统进入过载状态，此时系统将删除全部引入或渗透的路由信息。如果因为用户配置导致系统进入过载状态，此时会根据用户的配置决定是否删除全部引入或渗透路由。

    19、IS-IS收敛方式

    为了提高IS-IS网络的收敛，有快速收敛和按优先级收敛两种方式。快速收敛侧重于从路由的计算角度加快收敛速度；按优先级收敛侧重于从路由优先级角度提高网络性能。

    1、IS-IS快速收敛

    IS-IS快速收敛是为了提高路由的收敛速度而做的扩展特性。它包括以下几个功能：

    1.1、增量最短路径优先算法I-SPF（Incremental SPF）：

    是指当网络拓扑改变的时候，只对受影响的节点进行路由计算，而不是对全部节点重新进行路由计算，从而加快了路由的计算。

    在ISO10589中定义使用SPF算法进行路由计算。当网络拓扑中有一个节点发生变化时，这种算法需要重新计算网络中的所有节点，计算时间长，占用过多的CPU资源，影响整个网络的收敛速度。

    I-SPF改进了这个算法，除了第一次计算时需要计算全部节点外，每次只计算受到影响的节点，而最后生成的最短路径树SPT与原来的算法所计算的结果相同，大大降低了CPU的占用率，提高了网络收敛速度。

    1.2、部分路由计算PRC（Partial Route Calculation）：

    是指当网络上路由发生变化的时候，只对发生变化的路由进行重新计算。

    PRC的原理与I-SPF相同，都是只对发生变化的路由进行重新计算。不同的是，PRC不需要计算节点路径，而是根据I-SPF算出来的SPT来更新路由。

    在路由计算中，叶子代表路由，节点则代表路由器。如果I-SPF计算后的SPT改变，PRC会只处理那个变化的节点上的所有叶子；如果经过I-SPF计算后的SPT并没有变化，则PRC只处理变化的叶子信息。

    比如一个节点使能一个IS-IS接口，则整个网络拓扑的SPT是不变的，这时PRC只更新这个节点的接口路由，从而节省CPU占用率。

    PRC和I-SPF配合使用可以将网络的收敛性能进一步提高，它是原始SPF算法的改进，已经代替了原有的算法。 

    1.3、智能定时器：

    在进行SPF计算和产生LSP的时候用到的一种智能定时器。该定时器首次超时时间是一个固定的时间。如果在定时器超时前，又有触发定时器的事件发生，则该定时器下一次的超时时间会增加。

    改进了路由算法后，如果触发路由计算的时间间隔较长，同样会影响网络的收敛速度。使用毫秒级定时器可以缩短这个间隔时间，但如果网络变化比较频繁，又会造成过度占用CPU资源。

    SPF智能定时器既可以对少量的外界突发事件进行快速响应，又可以避免过度的占用CPU。

    通常情况下，一个正常运行的IS-IS网络是稳定的，发生大量的网络变动的几率很小，IS-IS不会频繁的进行路由计算，所以第一次触发的时间可以设置的非常短（毫秒级）。如果拓扑变化比较频繁，智能定时器会随着计算次数的增加，间隔时间也会逐渐延长，从而避免占用大量的CPU资源。

    与SPF智能定时器类似的还有LSP生成智能定时器。在IS-IS协议中，当LSP生成定时器到期时，系统会根据当前拓扑重新生成一个自己的LSP。原有的实现机制是采用间隔时间固定的定时器，这样就不能同时满足快速收敛和低CPU占用率的需要。为此将LSP生成定时器也设计成智能定时器，使其可以对于突发事件（如接口Up/Down）快速响应，加快网络的收敛速度。同时，当网络变化频繁时，智能定时器的间隔时间会自动延长，避免过度占用CPU资源。

    1.4、LSP快速扩散：

    此特性可以加快LSP的扩散速度。

    正常情况下，当IS-IS收到其它路由器发来的LSP时，如果此LSP比本地LSDB中相应的LSP要新，则更新LSDB中的LSP，并用一个定时器定期将LSDB内已更新的LSP扩散出去。

    LSP快速扩散特性改进了这种方式，使能了此特性的设备收到一个或多个较新的LSP时，在路由计算之前，先将小于指定数目的LSP扩散出去，加快LSDB的同步过程。这种方式在很大程度上可以提高整个网络的收敛速度。

    2、IS-IS按优先级收敛

    IS-IS按优先级收敛是指在大量路由情况下，能够让某些特定的路由（例如匹配指定IP前缀的路由）优先收敛的一种技术。因此用户可以把和关键业务相关的路由配置成相对较高的优先级，使这些路由更快的收敛，从而使关键的业务收到的影响减小。通过对不同的路由配置不同的收敛优先级，达到重要的路由先收敛的目的，提高网络的可靠性。

    IS-IS理论知识（四）：http://www.023wg.com/lypz/317.html