HCIE课程笔记6-ISIS配置
3 IS-IS配置
3.1 配置IS-IS的基本功能
要求:
R1、R2和R3是Level-1路由器,R6是Level-2路由器。System ID为0000.0000.000X。ISIS进程号为1;
通告相关接口,网段10.0.X.0/24暂不通告。
路由器配置:
R1:
isis 1
is-level level-1
network-entity 47.0001.0000.0000.0001.00
int g0/0/0
ip addr 192.168.1.1 24
isis enable 1
R2:
isis 1
is-level level-1
network-entity 47.0001.0000.0000.0002.00
int g0/0/0
ip addr 192.168.1.2 24
isis enable 1
R3:
isis 1
is-level level-1
network-entity 47.0001.0000.0000.0003.00
int g0/0/0
ip addr 192.168.1.3 24
isis enable 1
int g0/0/1
ip addr 192.168.34.3 24
isis enable 1
int g0/0/2
ip addr 192.168.35.3 24
isis enable 1
R4:
isis 1
network-entity 47.0001.0000.0000.0004.00
int g0/0/1
ip addr 192.168.34.4 24
isis enable 1
int g0/0/2
ip addr 192.168.46.4 24
isis enable 1
R5:
isis 1
network-entity 47.0001.0000.0000.0005.00
int g0/0/0
ip addr 192.168.56.5 24
isis enable 1
int g0/0/2
ip addr 192.168.35.5 24
isis enable 1
R6:
isis 1
is-level level-2
network-entity 47.0002.0000.0000.0006.00
int g0/0/0
ip addr 192.168.56.6 24
isis enable 1
int g0/0/2
ip addr 192.168.46.6 24
isis enable 1
int lo0
ip add 10.0.0.6 24
ip add 10.0.1.6 24 sub
ip add 10.0.2.6 24 sub
ip add 10.0.3.6 24 sub
is-level为IS-IS视图命令,用来设置IS-IS路由器的Level。缺省情况下,IS-IS路由级别为Level-1-2。
isis circuit-level为接口视图命令,用来设置接口链路类型。
如果本机是Level-1-2路由器,需要和对端建立某个层次的关联关系,那么isis circuit-level命令可以规定本接口只发送和接收该层次的Hello报文。在点到点链路上只能发送和接收
一种类型的Hello报文。通过这种方式,可以避免过多的处理过程,节省带宽。
只有在IS-IS系统类型为Level-1-2时,接口下的circuit level才能起作用。
Circuit Id在点到点网络用来唯一标识本地接口。Circuit ID在广播网络中为系统ID和伪节点ID。
lo0接口没有使能isis,所以10.0.X.0/24网段不会进入ISIS路由。
3.2 配置IS-IS在不同网络类型中的属性
在上面配置基础上完成如下需求:
(1)R4和R6、R5和R6之间不能有DIS选举;
(2)R1、R2和R3共享网络中,要求R3为DIS,需在R1和R2上配置,且优先级设置尽量小但仍可以参与DIS选举。
isis dis-priority 接口视图命令,用来指定选举DIS时,接口使用的优先级。可以对不同的Level指定不同的优先级。取值范围0-127,缺省为64,值越大,优先级越高,该命令只对广播链路生效。
isis circuit-type 接口视图命令,可以用来将接口的网络类型指定为P2P类型,仅在广播类型的接口下配置时生效,链路两端的IS-IS接口的网络类型必须
一致,否则双方不可以建立起邻居关系。
可以通过dis isis interface process 查看DIS信息。
R1:
int g0/0/0
isis dis-priority 0
R2:
int g0/0/0
isis dis-priority 0
R4:
int g0/0/2
isis circuit-type p2p
R5:
int g0/0/0
isis circuit-type p2p
R6:
int g0/0/0
isis circuit-type p2p
int g0/0/2
isis circuit-type p2p
配置前,R5的isis interface如下:
配置完成后,R5的isis interface如下,可以看到改为p2p网络后,不再选举DIS。
3.3 控制IS-IS路由信息的发布
在原有配置基础上,满足如下需求:
(1)R6需引入10.0.X.0/24网段,并标记为100;
(2)要求区域47.0001能够通过R4学到10.0.X.0/24网段明细,且必须保持这些路由的标记为100.
import-route,IS-IS视图命令,用来引入其他路由协议的路由信息。
import-route isis level-2 into level-1为isis视图命令,用来控制IS-IS从Level-2向Level-1进行路由渗透,该命令需要配置在与外部区域相连的Level-1-2路由器上。
import-route isis level-2 into level-1 [ filter-policy { acl-number | ip-prefix ip-prefix-name | route-policy route-policy-name } | tag tag]
filter-policy :设置路由过滤条件
acl-name:基本ACL编号
tag tag :为引入的路由分配管理标记值。
cost-style,IS-IS视图命令,用来设置IS-IS路由器接收和发送路由的开销类型。
cost-style { narrow | wide | wide-campatible }:
narrow: 接收或发送开销类型为narrow的路由。
wide:接收或发送开销类型为wide的路由
wide-compatible:可以接收开销类型为narrow和wide的路由,但却只发送wide的路由。如果希望ISIS在全网传递tag,则需要全网配置cost-style wide。
可以通过display isis route查看tag信息
R4:
isis 1
cost-style wide
import-route isis level-2 into level-1 filter-policy route-policy TAG
route-policy TAG permit node 10
if-match tag 100
R6:
isis 1
cost-style wide
import-route direct tag 100
R4在将level-2引入Level-1路由前,R1的ISIS路由表:
R4在将level-2引入Level-1路由后,R1的ISIS路由表:
3.4 IS-IS路由信息的接收
在原有基础配置上,满足如下新需求:
R2只允许通过缺省路由访问区域47.0002的网络。不能使用ACL和前缀列表
filter-policy import为IS-IS视图命令,用来设置IS-IS对接收的路由是否加入IP路由表进行过滤。
filter-policy { acl-number | ipfrefix ip-prefix-name | route-policy route-policy-name } import
注意:我们能够通过策略控制IS-IS路由是否加入路由表,但是不能够用策略影响LSP的传播。filter-policy export命令只能与import结合使用时才生效。
R2:
route-policy 10 deny node 10
if-match tag 100
route-policy 10 permit node 20
isis 1
filter-policy route-policy 10 import
配置完成后,路由表中10.0.X.0/24明细路由已经消失,但isis route中依然有10.0.X.0/24网段:
3.5 提高IS-IS的安全性
在原有基础配置上,满足如下需求:
(1)区域47.0001的所有路由器发送的LSP和SNP需要进行认证,认证类型为MD5密码为Huawei;
(2)Level-2路由器发送的IIH需要进行认证,认证类型为MD5,密码为Huawei
area-authentication-mode为IS-IS视图命令,用来设置IS-IS区域按照预定的方式和密码验证收到的Level-1路由信息报文(LSP和SNP),也可以用来为发送的Level-1报文加上认证信息。
area-authentication-mode { simple password | md5 password-key } [ip | osi ] [ snp-packet {authentication-avoid | send-only }| all-send-only ]
keychain kechain-name :随时间变化的密钥链表
ip:IP认证密码,使用keychain认证方式时,不能配置该选项
osi:OSI认证密码,使用keychain认证方式时,不能配置该选项
send-only:只对发送的Hello报文加载认证信息,不对接收的Hello报文进行认证。
all-send-only:对产生的LSP和SNP封装认证信息,不检查接收到的LSP和LSP
authentication-avoid:不对生成的SNP添加认证信息,也不检查收到的SNP的认证信息;只对生成的LSP添加认证信息,并检查收到的LSP的认证信息。
snp-packet:配置SNP报文相关的验证。
isis authentication-mode为接口视图命令,用来配置IS-IS接口以指定的方式和密码验证Hello报文。
isis authenticaiton-mode { simple password | md5 password-key } [ level-1 | level-2 ][ ip | osi ] [ send-only ]
注意area-authentication-mode在level-1-2路由器上不生效。
R1\R2\R3:
isis 1
area-authenticaiton-mode md5 Huawei ip
R4:
int g0/0/0
isis authentication-mode md5 Huawei ip
R5:
int g0/0/2
isis authentication-mode md5 Huawei ip
R6:
int g0/0/0
isis authentication-mode md5 Huawei ip
int g0/0/2
isis authentication-mode md5 Huawei ip
3.6 IS-IS故障排除流程
(1)检查接口是否在IS-IS中使能
(2)基本配置是否正确
(3)相应接口级别是否配置正确
(4)路由器区域是否正确
(5)相邻接口IP地址是否处于相同子网中
(6)系统ID是否冲突
(7)是否开启了认证,认证配置是否正确
(8)接口是否发送标准Hello报文