IS-IS配置命令介绍(一)
IS-IS理论知识详解:http://www.023wg.com/lypz/312.html
1、创建IS-IS进程并进入IS-IS视图
[Huawei]isis ?
INTEGER<1-65535> Process ID
vpn-instance VPN Routing/Forwarding instance
<cr>
[Huawei-isis-1]
2、为IS-IS进程设置描述信息
[Huawei-isis-1]description ?
TEXT ISIS process description (no more than 80 characters)
[Huawei-isis-1]description CQ-BJ
3、设置网络实体名称
[Huawei-isis-1]network-entity ?
XX.XXXX. ... .XXXX.XX Network Entity Title (NET)
[Huawei-isis-1]network-entity 10.0000.0000.0001.00
网络实体名NET是NSAP(Network Service Access Point)的特殊形式,在进入IS-IS视图之后,必须完成IS-IS进程的NET配置,IS-IS协议才能真正启动。
通常情况下,一个IS-IS进程下配置一个NET即可。当区域需要重新划分时,例如将多个区域合并,或者将一个区域划分为多个区域,这种情况下配置多个NET可以在重新配置时仍然能够保证路由的正确性。
由于一个IS-IS进程中区域地址最多可配置3个,所以NET最多也只能配3个。在配置多个NET时,必须保证它们的System ID都相同。
建议将Loopback接口的地址转化为NET,保证NET在网络中的唯一性。如果网络中的NET不唯一,容易引发路由震荡,因此要做好前期网络规划。
IS-IS在建立Level-2邻居时,不检查区域地址是否相同,而在建立Level-1邻居时,区域地址必须相同,否则无法建立邻居。
4、设置IS-IS设备的Level级别
[Huawei-isis-1]is-level ?
level-1 Level-1
level-1-2 Level-1-2
level-2 Level-2
建议根据网络规划的需要,配置设备的Level级别,缺省情况下,设备的Level级别为level-1-2。。
当Level级别为Level-1时,设备只与属于同一区域的Level-1和Level-1-2设备形成邻居关系,并且只负责维护Level-1的链路状态数据库LSDB。
当Level级别为Level-2时,设备可以与同一或者不同区域的Level-2设备或者其它区域的Level-1-2设备形成邻居关系,并且只维护一个Level-2的LSDB。
当Level级别为level-1-2时,设备会为Level-1和Level-2分别建立邻居,分别维护Level-1和Level-2两份LSDB。
在网络运行过程中,改变IS-IS设备的级别可能会导致IS-IS进程重启并可能会造成IS-IS邻居断连,建议用户在配置IS-IS时即完成设备级别的配置。
5、使能接口IS-IS功能
[Huawei-GigabitEthernet0/0/5]isis enable
由于Loopback接口不需要建立邻居,因此如果在Loopback接口下使能IS-IS,只会将该接口所在的网段路由通过其他IS-IS接口发布出去。
6、设置接口IS-IS的Level级别,默认为level-1-2。
[Huawei-GigabitEthernet0/0/5]isis circuit-level ?
level-1 Level-1
level-1-2 Level-1-2
level-2 Level-2
<cr>
两台Level-1-2设备建立邻居关系时,缺省情况下,会分别建立Level-1和Level-2邻居关系。如果只希望建立Level-1或者Level-2的邻居关系,可以通过修改接口的Level级别实现。
只有当IS-IS设备的Level级别为Level-1-2时,改变接口的Level级别才有意义,否则将由IS-IS设备的Level级别决定所能建立的邻接关系层次。
7、配置IS-IS接口延迟邻居关系重新建立的时间
[Huawei-GigabitEthernet0/0/5]isis delay-peer track last-peer-expired ?
delay-time
delay-interval
IS-IS网络中,链路两端的设备通过互相发送Hello报文建立邻居关系,邻居关系建立起来后,通过周期性发送Hello报文来维持邻居关系。
如果在邻居保持时间内,链路一端的设备没有接收到对端设备发送的Hello报文,则认为邻居关系失效,在收到新的Hello报文后,立即开始重新建立邻居关系。这种机制在网络状态较差的情况下可能会带来一个问题,即由于网络传输延时和传播差错等原因可能会造成个别Hello报文的丢失或出错,导致邻居关系频繁的在Up和Down之间变化,造成IS-IS网络的路由震荡。
通过配置isis delay-peer,可以在邻居关系由于超时失效后,推迟IS-IS邻居重新建立的时间,在一定程度上避免了上述问题。
在延迟过程中修改delay-interval的值,如果修改后的时间比延迟剩余时间小,则立即将延迟的剩余时间调整为新修改的时间,如果修改后的时间比延迟剩余时间大,则继续按原来的延迟剩余时间进行延迟,新的delay-interval在下一次触发延迟时生效。
8、在广播链路上建立IS-IS邻居
由于IS-IS在广播网中和P2P网络中建立邻居的方式不同,因此,针对不同类型的接口,可以配置不同的IS-IS属性。
在广播网中,IS-IS需要选择DIS,因此通过配置IS-IS接口的DIS优先级,可以使拥有接口优先级最高的设备优选为DIS。
在P2P网络中,IS-IS不需要选择DIS,因此无需配置接口的DIS优先级。但是为了保证P2P链路的可靠性,可以配置IS-IS使用P2P接口在建立邻居时采用3-way模式,以检测单向链路故障。
通常情况下,IS-IS会对收到的Hello报文进行IP地址检查,只有当收到的Hello报文的源地址和本地接收报文的接口地址在同一网段时,才会建立邻居。
但当两端接口IP地址不在同一网段,如果均配置了isis peer-ip-ignore命令,就会忽略对对端IP地址的检查,此时链路两端的IS-IS接口间可以建立正常的邻居关系。
8.1、如果是交换机则将接口切换到三层模式
[Huawei-GigabitEthernet0/0/5]undo portswitch
8.2、设置用来选举DIS的优先级,数值越大优先级越高。
[Huawei-GigabitEthernet0/0/2]isis dis-priority ?
INTEGER<0-127> Value of priority
[Huawei-GigabitEthernet0/0/2]isis dis-priority 100 ?
level-1 Level-1
level-2 Level-2
<cr>
缺省情况下,广播网接口在Level-1和Level-2级别的DIS优先级为64。
Level-1-2设备的广播网接口会分别Level-1和Level-2级别选举DIS,如果只希望在Level-1或者Level-2级别选举DIS,可以通过指定Level级别实现。
8.3、配置IS-IS接口为抑制状态。
[Huawei-GigabitEthernet0/0/5]isis silent ?
advertise-zero-cost # 指定接口路由开销值为0。
<cr>
IS-IS接口为抑制状态时,此接口不再接收或发送IS-IS报文,但接口所在网段的路由仍可以被发布到域内的其他IS-IS设备。
当IS-IS网络与其他自治系统连接时,为了让区域内的路由器学到出口路由,需要在该出口上使能IS-IS协议。但这样会让该接口向其所在网段发布IS-IS Hello报文,使其他自治系统也可以学习到IS-IS网络的路由,为避免IS-IS引入其他系统的流量,此时可以在此接口上执行isis silent命令,启动IS-IS的接口抑制功能。
9、在P2P链路上建立IS-IS邻居
9.1、设置接口的网络类型为P2P
[Huawei-GigabitEthernet0/0/1]isis circuit-type ?
p2p Change the network type of the circuit to P2P
9.2、指定接口使用的协商模型。
[Huawei-GigabitEthernet0/0/2]isis ppp-negotiation ?
2-way Enable 2-way negotiation method
3-way Enable standard 3-way negotiation method
[Huawei-GigabitEthernet0/0/2]isis ppp-negotiation 3-way ?
only Enable 3-way only negotiation method
<cr> Please press ENTER to execute command
9.3、配置对接收的Hello报文不作IP地址检查
[Huawei-GigabitEthernet0/0/2]isis peer-ip-ignore
9.4、指定PPP链路接口进行OSICP状态检查
[Huawei-GigabitEthernet0/0/2]isis ppp-osicp-check
配置此命令后,PPP链路协议的OSI网络协商状态会影响IS-IS接口状态。当PPP协议感知OSI网络不通时,IS-IS接口的链路状态将会被设为Down,到接口网段的路由就不会在LSP中发布。
10、配置IS-IS接口的认证
通常情况下,IS-IS不对发送的IS-IS报文封装认证信息,也不对收到的报文做认证检查。当有恶意报文对网络进行攻击时,可能会导致整个网络的信息被窃取,因此,需要配置IS-IS认证提高网络的安全性。
通过配置IS-IS接口认证,可以封装认证信息到Hello报文中,以确认邻居的有效性和正确性。
在配置IS-IS接口的认证模式时,如果使用plain选项,密码将以明文形式保存在配置文件中,存在安全隐患。建议使用cipher选项,将密码加密保存。Simple和MD5验证模式存在安全风险,推荐配置HMAC-SHA256验证模式。
[Huawei-GigabitEthernet0/0/2]isis authentication-mode ?
keychain Keychain authentication
md5 MD5 authentication type
simple Plaintext authentication type
[Huawei-GigabitEthernet0/0/2]isis authentication-mode md5 ?
STRING<1-255>/<20-392> Plain text/Encrypted text
cipher Encryption type (Cryptogram)
plain Encryption type (Plain text)
[Huawei-GigabitEthernet0/0/2]isis authentication-mode md5 cipher ?
STRING<1-255>/<20-392> Plain text/Encrypted text
[Huawei-GigabitEthernet0/0/2]isis authentication-mode md5 cipher 023wg.com ?
ip IP authentication
osi OSI authentication
send-only Authenticate the sent IIHs and do not check the received IIHs
<cr> Please press ENTER to execute command
如果配置了send-only则表示仅对发送的Hello封装认证信息,而不检查收到的Hello报文是否通过了认证。在本端不需要进行认证检查且对端认证通过时,才可以建立起邻居关系。如果没有配置send-only,此时应保证同一网络所有接口的相同级别的认证密码一致。
11、配置IS-IS区域或路由域的认证
通常情况下,IS-IS不对发送的IS-IS报文封装认证信息,也不对收到的报文做认证检查。当有恶意报文对网络进行攻击时,可能会导致整个网络的信息被窃取,因此,需要配置IS-IS认证提高网络的安全性。
区域认证会将认证密码封装在Level-1区域的IS-IS报文中,只有通过认证的报文才会被接收。因此,当需要对Level-1区域进行认证时,需要对该Level-1区域所有IS-IS设备配置IS-IS区域认证。
路由域认证是将认证密码封装在Level-2区域的IS-IS报文中,只有通过认证的报文才会被接收。因此,当需要对Level-2区域进行认证时,需要对Level-2区域所有IS-IS设备配置IS-IS路由域认证。
在配置区域或路由域的认证模式时,如果使用plain选项,密码将以明文形式保存在配置文件中,存在安全隐患。建议使用cipher选项,将密码加密保存。Simple和MD5认证模式存在安全风险,推荐使用HMAC-SHA256认证模式。
由于符号@%@%用于升级时区分新老密码类型,密文密码不允许同时以@%@%开始和结束。
在配置IS-IS认证时,要求同一区域或路由域的所有设备的认证方式和密码都必须一致,IS-IS报文才会正常扩散。
无论是否通过区域认证或者路由域认证,均不影响Level-1或者Level-2邻居关系的建立。
认证支持以下几种组合形式:
对发送的LSP和SNP都封装认证信息,并检查收到的LSP和SNP是否通过认证,丢弃没有通过认证的报文。该情况下不配置参数snp-packet或all-send-only。
对发送的LSP封装认证信息并检查收到的LSP,对发送的SNP不封装认证信息,也不检查收到的SNP。该情况下需要配置参数snp-packet authentication-avoid。
对发送的LSP和SNP都封装认证信息,只检查收到的LSP,不检查收到的SNP。该情况下需要配置参数snp-packet send-only。
对发送的LSP和SNP都封装认证信息,不检查收到的LSP和SNP。该情况下需要配置参数all-send-only。
11.1、设置IS-IS区域认证模式
[Huawei-isis-1]area-authentication-mode ?
keychain Keychain authentication
md5 MD5 authentication type
simple Plaintext authentication type
[Huawei-isis-1]area-authentication-mode keychain ?
STRING<1-47> Keychain name
[Huawei-isis-1]area-authentication-mode keychain 023wg.com ?
all-send-only Authenticate the sent PDUs and do not check the received PDUs
snp-packet ISIS CSNP/PSNP packets
<cr> Please press ENTER to execute command
[Huawei-isis-1]area-authentication-mode keychain 023wg.com snp-packet ?
authentication-avoid Do not authenticate the sent SNPs and do not check the received SNPs
send-only Authenticate the sent SNPs and do not check the received SNPs
11.2、设置路由域认证模式
[Huawei-isis-1]domain-authentication-mode ?
keychain Keychain authentication
md5 MD5 authentication type
simple Plaintext authentication type
[Huawei-isis-1]domain-authentication-mode md5 ?
STRING<1-255>/<20-392> Plain text/Encrypted text
cipher Encryption type (Cryptogram)
plain Encryption type (Plain text)
[Huawei-isis-1]domain-authentication-mode md5 cipher 023wg.com ?
all-send-only Authenticate the sent PDUs and do not check the received PDUs
ip IP authentication
osi OSI authentication
snp-packet ISIS CSNP/PSNP packets
<cr> Please press ENTER to execute command
IS-IS配置命令介绍(二):http://www.023wg.com/lypz/322.html
您阅读这篇文章共花了: 
相关文章本文地址:http://www.023wg.com/lypz/321.html
版权声明:若无注明,本文皆为“Swiers思唯网络博客”原创,转载请保留文章出处。
-
enomothem 说:
是的,证书需要于你的实力匹配 -
墨殃 说:
谢谢楼主分享很详细 祝您工作愉快 -
冰尘 说:
我当年上学的时候也这么考虑过,不过没有你... -
你好 说:
在交换机B上ping 172.16.2网... -
随梦而追 说:
博主大人您好,我是2017年毕业的小伙子... -
燃灯大师 说:
我刚好参加此次比赛 -
曲别针 说:
多谢分享,赞! -
agony 说:
谢谢,受益匪浅 -
陈Huid 说:
谢谢分享 -
美股指数 说:
谢谢您的分享!
