IS-IS配置命令介绍(一)

1、创建IS-IS进程并进入IS-IS视图

[Huawei]isis ?

  INTEGER<1-65535>  Process ID

  vpn-instance      VPN Routing/Forwarding instance

  <cr>             

[Huawei-isis-1]

2、为IS-IS进程设置描述信息

[Huawei-isis-1]description  ?

  TEXT  ISIS process description (no more than 80 characters)

[Huawei-isis-1]description  CQ-BJ

3、设置网络实体名称

[Huawei-isis-1]network-entity ?

  XX.XXXX. … .XXXX.XX  Network Entity Title (NET)

[Huawei-isis-1]network-entity 10.0000.0000.0001.00

    网络实体名NET是NSAP(Network Service Access Point)的特殊形式,在进入IS-IS视图之后,必须完成IS-IS进程的NET配置,IS-IS协议才能真正启动。

    通常情况下,一个IS-IS进程下配置一个NET即可。当区域需要重新划分时,例如将多个区域合并,或者将一个区域划分为多个区域,这种情况下配置多个NET可以在重新配置时仍然能够保证路由的正确性。

    由于一个IS-IS进程中区域地址最多可配置3个,所以NET最多也只能配3个。在配置多个NET时,必须保证它们的System ID都相同。

    建议将Loopback接口的地址转化为NET,保证NET在网络中的唯一性。如果网络中的NET不唯一,容易引发路由震荡,因此要做好前期网络规划。

    IS-IS在建立Level-2邻居时,不检查区域地址是否相同,而在建立Level-1邻居时,区域地址必须相同,否则无法建立邻居。

4、设置IS-IS设备的Level级别

[Huawei-isis-1]is-level ?

  level-1    Level-1

  level-1-2  Level-1-2   

  level-2    Level-2

    建议根据网络规划的需要,配置设备的Level级别,缺省情况下,设备的Level级别为level-1-2。。

    当Level级别为Level-1时,设备只与属于同一区域的Level-1和Level-1-2设备形成邻居关系,并且只负责维护Level-1的链路状态数据库LSDB。

    当Level级别为Level-2时,设备可以与同一或者不同区域的Level-2设备或者其它区域的Level-1-2设备形成邻居关系,并且只维护一个Level-2的LSDB。

    当Level级别为level-1-2时,设备会为Level-1和Level-2分别建立邻居,分别维护Level-1和Level-2两份LSDB。

    在网络运行过程中,改变IS-IS设备的级别可能会导致IS-IS进程重启并可能会造成IS-IS邻居断连,建议用户在配置IS-IS时即完成设备级别的配置。

5、使能接口IS-IS功能

[Huawei-GigabitEthernet0/0/5]isis enable

    由于Loopback接口不需要建立邻居,因此如果在Loopback接口下使能IS-IS,只会将该接口所在的网段路由通过其他IS-IS接口发布出去。

6、设置接口IS-IS的Level级别,默认为level-1-2。

[Huawei-GigabitEthernet0/0/5]isis circuit-level ?

  level-1    Level-1

  level-1-2  Level-1-2

  level-2    Level-2

  <cr>  

    两台Level-1-2设备建立邻居关系时,缺省情况下,会分别建立Level-1和Level-2邻居关系。如果只希望建立Level-1或者Level-2的邻居关系,可以通过修改接口的Level级别实现。

    只有当IS-IS设备的Level级别为Level-1-2时,改变接口的Level级别才有意义,否则将由IS-IS设备的Level级别决定所能建立的邻接关系层次。

7、配置IS-IS接口延迟邻居关系重新建立的时间

[Huawei-GigabitEthernet0/0/5]isis delay-peer track last-peer-expired ?

  delay-time

  delay-interval

    IS-IS网络中,链路两端的设备通过互相发送Hello报文建立邻居关系,邻居关系建立起来后,通过周期性发送Hello报文来维持邻居关系。

    如果在邻居保持时间内,链路一端的设备没有接收到对端设备发送的Hello报文,则认为邻居关系失效,在收到新的Hello报文后,立即开始重新建立邻居关系。这种机制在网络状态较差的情况下可能会带来一个问题,即由于网络传输延时和传播差错等原因可能会造成个别Hello报文的丢失或出错,导致邻居关系频繁的在Up和Down之间变化,造成IS-IS网络的路由震荡。

    通过配置isis delay-peer,可以在邻居关系由于超时失效后,推迟IS-IS邻居重新建立的时间,在一定程度上避免了上述问题。

    在延迟过程中修改delay-interval的值,如果修改后的时间比延迟剩余时间小,则立即将延迟的剩余时间调整为新修改的时间,如果修改后的时间比延迟剩余时间大,则继续按原来的延迟剩余时间进行延迟,新的delay-interval在下一次触发延迟时生效。

8、在广播链路上建立IS-IS邻居

    由于IS-IS在广播网中和P2P网络中建立邻居的方式不同,因此,针对不同类型的接口,可以配置不同的IS-IS属性。

    在广播网中,IS-IS需要选择DIS,因此通过配置IS-IS接口的DIS优先级,可以使拥有接口优先级最高的设备优选为DIS。

    在P2P网络中,IS-IS不需要选择DIS,因此无需配置接口的DIS优先级。但是为了保证P2P链路的可靠性,可以配置IS-IS使用P2P接口在建立邻居时采用3-way模式,以检测单向链路故障。

    通常情况下,IS-IS会对收到的Hello报文进行IP地址检查,只有当收到的Hello报文的源地址和本地接收报文的接口地址在同一网段时,才会建立邻居。

    但当两端接口IP地址不在同一网段,如果均配置了isis peer-ip-ignore命令,就会忽略对对端IP地址的检查,此时链路两端的IS-IS接口间可以建立正常的邻居关系。

8.1、如果是交换机则将接口切换到三层模式

[Huawei-GigabitEthernet0/0/5]undo portswitch

8.2、设置用来选举DIS的优先级,数值越大优先级越高。

[Huawei-GigabitEthernet0/0/2]isis dis-priority ?

  INTEGER<0-127>  Value of priority

[Huawei-GigabitEthernet0/0/2]isis dis-priority 100 ?

  level-1  Level-1

  level-2  Level-2

  <cr>   

    缺省情况下,广播网接口在Level-1和Level-2级别的DIS优先级为64。

    Level-1-2设备的广播网接口会分别Level-1和Level-2级别选举DIS,如果只希望在Level-1或者Level-2级别选举DIS,可以通过指定Level级别实现。

8.3、配置IS-IS接口为抑制状态。

[Huawei-GigabitEthernet0/0/5]isis silent ?

  advertise-zero-cost      # 指定接口路由开销值为0。

  <cr>

    IS-IS接口为抑制状态时,此接口不再接收或发送IS-IS报文,但接口所在网段的路由仍可以被发布到域内的其他IS-IS设备。

    当IS-IS网络与其他自治系统连接时,为了让区域内的路由器学到出口路由,需要在该出口上使能IS-IS协议。但这样会让该接口向其所在网段发布IS-IS Hello报文,使其他自治系统也可以学习到IS-IS网络的路由,为避免IS-IS引入其他系统的流量,此时可以在此接口上执行isis silent命令,启动IS-IS的接口抑制功能。

9、在P2P链路上建立IS-IS邻居

9.1、设置接口的网络类型为P2P

[Huawei-GigabitEthernet0/0/1]isis circuit-type ?

  p2p  Change the network type of the circuit to P2P

9.2、指定接口使用的协商模型。

[Huawei-GigabitEthernet0/0/2]isis ppp-negotiation ?

  2-way  Enable 2-way negotiation method

  3-way  Enable standard 3-way negotiation method

[Huawei-GigabitEthernet0/0/2]isis ppp-negotiation 3-way  ?

  only  Enable 3-way only negotiation method

  <cr>  Please press ENTER to execute command

9.3、配置对接收的Hello报文不作IP地址检查

[Huawei-GigabitEthernet0/0/2]isis peer-ip-ignore

9.4、指定PPP链路接口进行OSICP状态检查

[Huawei-GigabitEthernet0/0/2]isis ppp-osicp-check

    配置此命令后,PPP链路协议的OSI网络协商状态会影响IS-IS接口状态。当PPP协议感知OSI网络不通时,IS-IS接口的链路状态将会被设为Down,到接口网段的路由就不会在LSP中发布。

10、配置IS-IS接口的认证

    通常情况下,IS-IS不对发送的IS-IS报文封装认证信息,也不对收到的报文做认证检查。当有恶意报文对网络进行攻击时,可能会导致整个网络的信息被窃取,因此,需要配置IS-IS认证提高网络的安全性。

    通过配置IS-IS接口认证,可以封装认证信息到Hello报文中,以确认邻居的有效性和正确性。

    在配置IS-IS接口的认证模式时,如果使用plain选项,密码将以明文形式保存在配置文件中,存在安全隐患。建议使用cipher选项,将密码加密保存。Simple和MD5验证模式存在安全风险,推荐配置HMAC-SHA256验证模式。

[Huawei-GigabitEthernet0/0/2]isis authentication-mode ?

  keychain  Keychain authentication

  md5       MD5 authentication type

  simple    Plaintext authentication type

[Huawei-GigabitEthernet0/0/2]isis authentication-mode md5 ?

  STRING<1-255>/<20-392>  Plain text/Encrypted text

  cipher                  Encryption type (Cryptogram)

  plain                   Encryption type (Plain text)

[Huawei-GigabitEthernet0/0/2]isis authentication-mode md5 cipher ?

  STRING<1-255>/<20-392>  Plain text/Encrypted text

[Huawei-GigabitEthernet0/0/2]isis authentication-mode md5 cipher cmcc.cc ?

  ip         IP authentication

  osi        OSI authentication

  send-only  Authenticate the sent IIHs and do not check the received IIHs

  <cr>       Please press ENTER to execute command

    如果配置了send-only则表示仅对发送的Hello封装认证信息,而不检查收到的Hello报文是否通过了认证。在本端不需要进行认证检查且对端认证通过时,才可以建立起邻居关系。如果没有配置send-only,此时应保证同一网络所有接口的相同级别的认证密码一致。

11、配置IS-IS区域或路由域的认证

    通常情况下,IS-IS不对发送的IS-IS报文封装认证信息,也不对收到的报文做认证检查。当有恶意报文对网络进行攻击时,可能会导致整个网络的信息被窃取,因此,需要配置IS-IS认证提高网络的安全性。

    区域认证会将认证密码封装在Level-1区域的IS-IS报文中,只有通过认证的报文才会被接收。因此,当需要对Level-1区域进行认证时,需要对该Level-1区域所有IS-IS设备配置IS-IS区域认证。

    路由域认证是将认证密码封装在Level-2区域的IS-IS报文中,只有通过认证的报文才会被接收。因此,当需要对Level-2区域进行认证时,需要对Level-2区域所有IS-IS设备配置IS-IS路由域认证。

    在配置区域或路由域的认证模式时,如果使用plain选项,密码将以明文形式保存在配置文件中,存在安全隐患。建议使用cipher选项,将密码加密保存。Simple和MD5认证模式存在安全风险,推荐使用HMAC-SHA256认证模式。

    由于符号@%@%用于升级时区分新老密码类型,密文密码不允许同时以@%@%开始和结束。

    在配置IS-IS认证时,要求同一区域或路由域的所有设备的认证方式和密码都必须一致,IS-IS报文才会正常扩散。

无论是否通过区域认证或者路由域认证,均不影响Level-1或者Level-2邻居关系的建立。

    认证支持以下几种组合形式:

    对发送的LSP和SNP都封装认证信息,并检查收到的LSP和SNP是否通过认证,丢弃没有通过认证的报文。该情况下不配置参数snp-packet或all-send-only。

    对发送的LSP封装认证信息并检查收到的LSP,对发送的SNP不封装认证信息,也不检查收到的SNP。该情况下需要配置参数snp-packet authentication-avoid。

    对发送的LSP和SNP都封装认证信息,只检查收到的LSP,不检查收到的SNP。该情况下需要配置参数snp-packet send-only。

    对发送的LSP和SNP都封装认证信息,不检查收到的LSP和SNP。该情况下需要配置参数all-send-only。

11.1、设置IS-IS区域认证模式

[Huawei-isis-1]area-authentication-mode ?

  keychain  Keychain authentication

  md5       MD5 authentication type

  simple    Plaintext authentication type

[Huawei-isis-1]area-authentication-mode  keychain ?

  STRING<1-47>  Keychain name

[Huawei-isis-1]area-authentication-mode  keychain cmcc.cc ?

  all-send-only  Authenticate the sent PDUs and do not check the received PDUs

  snp-packet     ISIS CSNP/PSNP packets

  <cr>           Please press ENTER to execute command

[Huawei-isis-1]area-authentication-mode  keychain cmcc.cc snp-packet ?

  authentication-avoid  Do not authenticate the sent SNPs and do not check the received SNPs

  send-only             Authenticate the sent SNPs and do not check the received SNPs

11.2、设置路由域认证模式

[Huawei-isis-1]domain-authentication-mode ?

  keychain  Keychain authentication

  md5       MD5 authentication type

  simple    Plaintext authentication type

[Huawei-isis-1]domain-authentication-mode md5 ?

  STRING<1-255>/<20-392>  Plain text/Encrypted text

  cipher                  Encryption type (Cryptogram)

  plain                   Encryption type (Plain text)  

[Huawei-isis-1]domain-authentication-mode md5 cipher cmcc.cc ?

  all-send-only  Authenticate the sent PDUs and do not check the received PDUs

  ip             IP authentication

  osi            OSI authentication

  snp-packet     ISIS CSNP/PSNP packets

  <cr>           Please press ENTER to execute command

本文来自网络,本文观点不代表CMCC立场,转载请联系原作者。

发表评论

电子邮件地址不会被公开。 必填项已用*标注