08、IS-IS配置
IS-IS基本配置命令
- 创建IS-IS进程,进入IS-IS进程
[Huawei] isis [process-id ]
process-id用来指定一个IS-IS进程,默认为1
- 配置网络实体名称(NET)
[Huawei-isis-1] network-entity net
通常情况下,一个IS-IS进程下配置一个NET即可。当区域需要重新划分时,可配置多个,最多3个,在配置多个NET时,必须保证它们的System ID都相同。
- 配置全局Level级别
[Huawei-isis-1] is-level { level-1 | level-1-2 | level-2 }
缺省情况下,设备的Level级别为level-1-2。
- 进入接口视图
[Huawei]interface interface-type interface-number
- 在接口上使能IS-IS协议
[Huawei-GigabitEthernet0/0/1] isis enable [ process-id ]
配置该命令后,IS-IS将通过该接口建立邻居、扩散LSP报文。
- 配置接口Level级别
[Huawei-GigabitEthernet0/0/1] isis circuit-level [ level-1 | level-1-2 | level-2 ]
缺省情况下,接口的Level级别为level-1-2。
两台Level-1-2设备建立邻居关系时,缺省情况下,会分别建立Level-1和Level-2邻居关系。如果只希望建立Level-1或者Level-2的邻居关系,可以通过修改接口的Level级别实现。
- 设置接口的网络类型为P2P
[Huawei-GigabitEthernet0/0/1]isis circuit-type p2p
缺省情况下,接口网络类型根据物理接口决定。
- 恢复接口的缺省网络类型
[Huawei-GigabitEthernet0/0/1] undo isis circuit-type
使用该命令恢复接口的缺省网络类型时,接口发送Hello报文的间隔时间、宣告邻居失效前IS-IS没有收到的邻居Hello报文数目、点到点链路上LSP报文的重传间隔时间、IS-IS各种认证、DIS优先级和广播网络上发送CSNP报文的间隔时间均恢复为缺省配置。
- 修改接口的DIS优先级
[Huawei-GigabitEthernet0/0/1] isis dis-priority priority [ level-1 | level-2 ]
缺省情况下,IS-IS接口DIS优先级为64。
案例
组网需求
如图所示,现网中有5台路由器。用户希望在这5台路由器实现网络互联,并且因为R1性能相对较低,所以还要使这台路由器处理相对较少的数据信息。同时用户希望R1可以选择最优路径访问192.168.10.0/24和192.168.20.0/24网段。
配置思路
在各路由器上配置IS-IS基本功能,实现网络互联。其中,配置R1为Level-1路由器,可以使这台路由器维护相对少量的数据信息。同时,配置R2和R3为Level-1/2路由器与R4和R5这两台Level-2路由器互联。
基础配置:
- 启动isis,设置路由器级别,开销类型,NET地址。
- 进入各接口,配置IP地址,并启动isis。
- 配置环回口地址。
- 在R4和R5中配置LoopBack2地址模拟案例中的10和20网段,注意,需要在LoopBack接口下使能isis。
依据规范,system ID通过Router ID(本例中为LoopBack1)转换得到,如1.1.1.1转换为system ID为0010.0100.1001。
R5路由器配置示例
sys
sysname R5
un in en
isis 1
is-level level-2
cost-style wide
network-entity 49.0002.0050.0500.5005.00
int g0/0/0
ip add 10.1.35.5 24
isis en 1
int g0/0/1
ip add 10.1.45.5 24
isis en 1
int g0/0/2
ip address 192.168.20.5 24
int loop 1
ip add 5.5.5.5 32
interface LoopBack2
ip address 200.200.200.200 255.255.255.255
isis enable 1
配置验证
查看isis的邻居表
<R1> display isis peer
- System Id字段:描述邻接的系统ID
- Interface字段:描述通过该路由器哪个端口与邻接建立邻接关系
- Type:描述与该邻接的邻接关系类型
- PRI:描述该邻接对应端口的DIS优先级
通过结果可知,R1与R2、R3建立L1邻接关系;R4与R2、R5建立L2邻接关系。
查看IS-IS路由表
<R1> display isis route
R3的路由表
路由渗透配置
把100.100.100.100和200.200.200.200网段渗透到Area 49.0001中。
R2配置示例
[R2]ip ip-prefix 1 permit 100.100.100.100 32
[R2]isis 1
[R2-isis-1]import-route isis level-2 into level-1 filter-policy ip-prefix 1
查看R1路由表,两个网段已经加入到路由表中,且根据下一跳可知,不会产生次优路径。
<R1> display ip routing-table protocol isis
IS-IS认证
根据报文的种类,认证可以分为以下三类:
- 接口认证:在接口视图下配置,对Level-1和Level-2的Hello报文进行认证。
- 区域认证:在IS-IS进程视图下配置,对Level-1的CSNP、PSNP和LSP报文进行认证。
- 路由域认证:在IS-IS进程视图下配置,对Level-2的CSNP、PSNP和LSP报文进行认证。
根据报文的认证方式,可以分为以下四类:
- 简单认证:将配置的密码直接加入报文中,这种加密方式安全性较其他两种方式低。
- MD5认证:通过将配置的密码进行MD5算法加密之后再加入报文中,提高密码的安全性。
- Keychian认证:通过配置随时间变化的密码链表来进一步提升网络的安全性。
- HMAC-SHA256认证:通过将配置的密码进行HMAC-SHA256算法加密之后再加入报文中,提高码的安全性。
配置
- 配置IS-IS区域认证
[Huawei-isis-1] area-authentication-mode { { simple | md5 } { plain plain-text | [ cipher ] plain-cipher-text } keychain keychain-name | hmac-sha256 key-id key-id } [ snp-packet { authentication-avoid | send-only } | all-send-only ]
- simple 指定密码以纯文本方式参与认证;
- keychain 指定随时间变化的密钥链表;
- md5 指定密码通过HMAC-MD5算法加密后参与认证。
- 配置IS-IS路由域认证
[Huawei-isis-1] domain-authentication-mode { { simple | md5 } { plain plain-text | [ cipher ] plain-cipher-text } keychain keychain-name | hmac-sha256 key-id key-id } [ snp-packet { authentication-avoid | send-only } | all-send-only ]
- 配置IS-IS接口认证
[Huawei-GigabitEthernet0/0/0] isis authentication-mode [keychain | md5 | simple ] [ level-1 | level-2 ] [ ip | osi ] [ send-only ]
- level-1 指定设置Level-1级别的认证;
- level-2 指定设置Level-2级别的认证;
- send-only 指定只对发送的Hello报文加载认证信息,不对接收的Hello报文进行认证。
# 示例
[R1] interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0] isis authentication-mode simple cipher huawei
浙公网安备 33010602011771号