IS-IS配置命令介绍(一)
首页 > HuaWei > 路由配置   作者:杭州清默网络  2016年8月9日 12:22 星期二  字号:   评论:0 条
时间:2016-8-9 12:22   评论:0 条 

IS-IS配置命令介绍(一)

IS-IS理论知识详解:http://www.023wg.com/lypz/312.html

1、创建IS-IS进程并进入IS-IS视图

[Huawei]isis ?

  INTEGER<1-65535>  Process ID

  vpn-instance      VPN Routing/Forwarding instance

  <cr>             

 

[Huawei-isis-1]

 

2、为IS-IS进程设置描述信息

[Huawei-isis-1]description  ?

  TEXT  ISIS process description (no more than 80 characters)

 

[Huawei-isis-1]description  CQ-BJ

 

3、设置网络实体名称

[Huawei-isis-1]network-entity ?

  XX.XXXX. ... .XXXX.XX  Network Entity Title (NET)

 

[Huawei-isis-1]network-entity 10.0000.0000.0001.00

 

    网络实体名NETNSAPNetwork Service Access Point)的特殊形式,在进入IS-IS视图之后,必须完成IS-IS进程的NET配置,IS-IS协议才能真正启动。

    通常情况下,一个IS-IS进程下配置一个NET即可。当区域需要重新划分时,例如将多个区域合并,或者将一个区域划分为多个区域,这种情况下配置多个NET可以在重新配置时仍然能够保证路由的正确性。

    由于一个IS-IS进程中区域地址最多可配置3个,所以NET最多也只能配3个。在配置多个NET时,必须保证它们的System ID都相同。

    建议将Loopback接口的地址转化为NET,保证NET在网络中的唯一性。如果网络中的NET不唯一,容易引发路由震荡,因此要做好前期网络规划。

    IS-IS在建立Level-2邻居时,不检查区域地址是否相同,而在建立Level-1邻居时,区域地址必须相同,否则无法建立邻居。

 

4、设置IS-IS设备的Level级别

[Huawei-isis-1]is-level ?

  level-1    Level-1

  level-1-2  Level-1-2   

  level-2    Level-2

 

    建议根据网络规划的需要,配置设备的Level级别,缺省情况下,设备的Level级别为level-1-2。。

    Level级别为Level-1时,设备只与属于同一区域的Level-1Level-1-2设备形成邻居关系,并且只负责维护Level-1的链路状态数据库LSDB

    Level级别为Level-2时,设备可以与同一或者不同区域的Level-2设备或者其它区域的Level-1-2设备形成邻居关系,并且只维护一个Level-2LSDB

    Level级别为level-1-2时,设备会为Level-1Level-2分别建立邻居,分别维护Level-1Level-2两份LSDB

    在网络运行过程中,改变IS-IS设备的级别可能会导致IS-IS进程重启并可能会造成IS-IS邻居断连,建议用户在配置IS-IS时即完成设备级别的配置。

 

5、使能接口IS-IS功能

[Huawei-GigabitEthernet0/0/5]isis enable

 

    由于Loopback接口不需要建立邻居,因此如果在Loopback接口下使能IS-IS,只会将该接口所在的网段路由通过其他IS-IS接口发布出去。

 

6、设置接口IS-ISLevel级别,默认为level-1-2

[Huawei-GigabitEthernet0/0/5]isis circuit-level ?

  level-1    Level-1

  level-1-2  Level-1-2

  level-2    Level-2

  <cr>  

 

    两台Level-1-2设备建立邻居关系时,缺省情况下,会分别建立Level-1Level-2邻居关系。如果只希望建立Level-1或者Level-2的邻居关系,可以通过修改接口的Level级别实现。

    只有当IS-IS设备的Level级别为Level-1-2时,改变接口的Level级别才有意义,否则将由IS-IS设备的Level级别决定所能建立的邻接关系层次。

 

7、配置IS-IS接口延迟邻居关系重新建立的时间

[Huawei-GigabitEthernet0/0/5]isis delay-peer track last-peer-expired ?

  delay-time

  delay-interval

 

    IS-IS网络中,链路两端的设备通过互相发送Hello报文建立邻居关系,邻居关系建立起来后,通过周期性发送Hello报文来维持邻居关系。

    如果在邻居保持时间内,链路一端的设备没有接收到对端设备发送的Hello报文,则认为邻居关系失效,在收到新的Hello报文后,立即开始重新建立邻居关系。这种机制在网络状态较差的情况下可能会带来一个问题,即由于网络传输延时和传播差错等原因可能会造成个别Hello报文的丢失或出错,导致邻居关系频繁的在UpDown之间变化,造成IS-IS网络的路由震荡。

    通过配置isis delay-peer,可以在邻居关系由于超时失效后,推迟IS-IS邻居重新建立的时间,在一定程度上避免了上述问题。

    在延迟过程中修改delay-interval的值,如果修改后的时间比延迟剩余时间小,则立即将延迟的剩余时间调整为新修改的时间,如果修改后的时间比延迟剩余时间大,则继续按原来的延迟剩余时间进行延迟,新的delay-interval在下一次触发延迟时生效。

 

8在广播链路上建立IS-IS邻居

    由于IS-IS在广播网中和P2P网络中建立邻居的方式不同,因此,针对不同类型的接口,可以配置不同的IS-IS属性。

    在广播网中,IS-IS需要选择DIS,因此通过配置IS-IS接口的DIS优先级,可以使拥有接口优先级最高的设备优选为DIS

    P2P网络中,IS-IS不需要选择DIS,因此无需配置接口的DIS优先级。但是为了保证P2P链路的可靠性,可以配置IS-IS使用P2P接口在建立邻居时采用3-way模式,以检测单向链路故障。

    通常情况下,IS-IS会对收到的Hello报文进行IP地址检查,只有当收到的Hello报文的源地址和本地接收报文的接口地址在同一网段时,才会建立邻居。

    但当两端接口IP地址不在同一网段,如果均配置了isis peer-ip-ignore命令,就会忽略对对端IP地址的检查,此时链路两端的IS-IS接口间可以建立正常的邻居关系。

8.1、如果是交换机则将接口切换到三层模式

[Huawei-GigabitEthernet0/0/5]undo portswitch

 

8.2、设置用来选举DIS的优先级,数值越大优先级越高。

[Huawei-GigabitEthernet0/0/2]isis dis-priority ?

  INTEGER<0-127>  Value of priority

 

[Huawei-GigabitEthernet0/0/2]isis dis-priority 100 ?

  level-1  Level-1

  level-2  Level-2

  <cr>   

 

    缺省情况下,广播网接口在Level-1Level-2级别的DIS优先级为64

    Level-1-2设备的广播网接口会分别Level-1Level-2级别选举DIS,如果只希望在Level-1或者Level-2级别选举DIS,可以通过指定Level级别实现。

 

8.3、配置IS-IS接口为抑制状态。

[Huawei-GigabitEthernet0/0/5]isis silent ?

  advertise-zero-cost      # 指定接口路由开销值为0

  <cr>

 

    IS-IS接口为抑制状态时,此接口不再接收或发送IS-IS报文,但接口所在网段的路由仍可以被发布到域内的其他IS-IS设备。

    IS-IS网络与其他自治系统连接时,为了让区域内的路由器学到出口路由,需要在该出口上使能IS-IS协议。但这样会让该接口向其所在网段发布IS-IS Hello报文,使其他自治系统也可以学习到IS-IS网络的路由,为避免IS-IS引入其他系统的流量,此时可以在此接口上执行isis silent命令,启动IS-IS的接口抑制功能。

 

9、在P2P链路上建立IS-IS邻居

9.1、设置接口的网络类型为P2P

[Huawei-GigabitEthernet0/0/1]isis circuit-type ?

  p2p  Change the network type of the circuit to P2P

 

9.2、指定接口使用的协商模型。

[Huawei-GigabitEthernet0/0/2]isis ppp-negotiation ?

  2-way  Enable 2-way negotiation method

  3-way  Enable standard 3-way negotiation method

 

[Huawei-GigabitEthernet0/0/2]isis ppp-negotiation 3-way  ?

  only  Enable 3-way only negotiation method

  <cr>  Please press ENTER to execute command

 

9.3、配置对接收的Hello报文不作IP地址检查

[Huawei-GigabitEthernet0/0/2]isis peer-ip-ignore

 

9.4、指定PPP链路接口进行OSICP状态检查

[Huawei-GigabitEthernet0/0/2]isis ppp-osicp-check

 

    配置此命令后,PPP链路协议的OSI网络协商状态会影响IS-IS接口状态。当PPP协议感知OSI网络不通时,IS-IS接口的链路状态将会被设为Down,到接口网段的路由就不会在LSP中发布。

 

10、配置IS-IS接口的认证

    通常情况下,IS-IS不对发送的IS-IS报文封装认证信息,也不对收到的报文做认证检查。当有恶意报文对网络进行攻击时,可能会导致整个网络的信息被窃取,因此,需要配置IS-IS认证提高网络的安全性。

    通过配置IS-IS接口认证,可以封装认证信息到Hello报文中,以确认邻居的有效性和正确性。

    在配置IS-IS接口的认证模式时,如果使用plain选项,密码将以明文形式保存在配置文件中,存在安全隐患。建议使用cipher选项,将密码加密保存。SimpleMD5验证模式存在安全风险,推荐配置HMAC-SHA256验证模式。

[Huawei-GigabitEthernet0/0/2]isis authentication-mode ?

  keychain  Keychain authentication

  md5       MD5 authentication type

  simple    Plaintext authentication type

 

[Huawei-GigabitEthernet0/0/2]isis authentication-mode md5 ?

  STRING<1-255>/<20-392>  Plain text/Encrypted text

  cipher                  Encryption type (Cryptogram)

  plain                   Encryption type (Plain text)

 

[Huawei-GigabitEthernet0/0/2]isis authentication-mode md5 cipher ?

  STRING<1-255>/<20-392>  Plain text/Encrypted text

 

[Huawei-GigabitEthernet0/0/2]isis authentication-mode md5 cipher 023wg.com ?

  ip         IP authentication

  osi        OSI authentication

  send-only  Authenticate the sent IIHs and do not check the received IIHs

  <cr>       Please press ENTER to execute command

 

    如果配置了send-only则表示仅对发送的Hello封装认证信息,而不检查收到的Hello报文是否通过了认证。在本端不需要进行认证检查且对端认证通过时,才可以建立起邻居关系。如果没有配置send-only,此时应保证同一网络所有接口的相同级别的认证密码一致。

 

11、配置IS-IS区域或路由域的认证

    通常情况下,IS-IS不对发送的IS-IS报文封装认证信息,也不对收到的报文做认证检查。当有恶意报文对网络进行攻击时,可能会导致整个网络的信息被窃取,因此,需要配置IS-IS认证提高网络的安全性。

    区域认证会将认证密码封装在Level-1区域的IS-IS报文中,只有通过认证的报文才会被接收。因此,当需要对Level-1区域进行认证时,需要对该Level-1区域所有IS-IS设备配置IS-IS区域认证。

    路由域认证是将认证密码封装在Level-2区域的IS-IS报文中,只有通过认证的报文才会被接收。因此,当需要对Level-2区域进行认证时,需要对Level-2区域所有IS-IS设备配置IS-IS路由域认证。

    在配置区域或路由域的认证模式时,如果使用plain选项,密码将以明文形式保存在配置文件中,存在安全隐患。建议使用cipher选项,将密码加密保存。SimpleMD5认证模式存在安全风险,推荐使用HMAC-SHA256认证模式。

    由于符号@%@%用于升级时区分新老密码类型,密文密码不允许同时以@%@%开始和结束。

    在配置IS-IS认证时,要求同一区域或路由域的所有设备的认证方式和密码都必须一致,IS-IS报文才会正常扩散。

无论是否通过区域认证或者路由域认证,均不影响Level-1或者Level-2邻居关系的建立。

    认证支持以下几种组合形式:

    对发送的LSPSNP都封装认证信息,并检查收到的LSPSNP是否通过认证,丢弃没有通过认证的报文。该情况下不配置参数snp-packetall-send-only

    对发送的LSP封装认证信息并检查收到的LSP,对发送的SNP不封装认证信息,也不检查收到的SNP。该情况下需要配置参数snp-packet authentication-avoid

    对发送的LSPSNP都封装认证信息,只检查收到的LSP,不检查收到的SNP。该情况下需要配置参数snp-packet send-only

    对发送的LSPSNP都封装认证信息,不检查收到的LSPSNP。该情况下需要配置参数all-send-only

11.1、设置IS-IS区域认证模式

[Huawei-isis-1]area-authentication-mode ?

  keychain  Keychain authentication

  md5       MD5 authentication type

  simple    Plaintext authentication type

 

[Huawei-isis-1]area-authentication-mode  keychain ?

  STRING<1-47>  Keychain name

 

[Huawei-isis-1]area-authentication-mode  keychain 023wg.com ?

  all-send-only  Authenticate the sent PDUs and do not check the received PDUs

  snp-packet     ISIS CSNP/PSNP packets

  <cr>           Please press ENTER to execute command

        

[Huawei-isis-1]area-authentication-mode  keychain 023wg.com snp-packet ?

  authentication-avoid  Do not authenticate the sent SNPs and do not check the received SNPs

  send-only             Authenticate the sent SNPs and do not check the received SNPs

 

11.2、设置路由域认证模式

[Huawei-isis-1]domain-authentication-mode ?

  keychain  Keychain authentication

  md5       MD5 authentication type

  simple    Plaintext authentication type

        

[Huawei-isis-1]domain-authentication-mode md5 ?

  STRING<1-255>/<20-392>  Plain text/Encrypted text

  cipher                  Encryption type (Cryptogram)

  plain                   Encryption type (Plain text)  

 

[Huawei-isis-1]domain-authentication-mode md5 cipher 023wg.com ?

  all-send-only  Authenticate the sent PDUs and do not check the received PDUs

  ip             IP authentication

  osi            OSI authentication

  snp-packet     ISIS CSNP/PSNP packets

  <cr>           Please press ENTER to execute command


IS-IS配置命令介绍(二):http://www.023wg.com/lypz/322.html

 您阅读这篇文章共花了: 
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:647682417 互相学习。     
本文地址:http://www.023wg.com/lypz/321.html
版权声明:若无注明,本文皆为“杭州清默网络”原创,转载请保留文章出处。

返回顶部    首页   
版权所有:杭州清默网络    杭州清默网络