IS-IS原理与配置

• IS-IS（Intermediate System to Intermediate System，中间系统到中间系统）是ISO （International Organization for Standardization，国际标准化组织）为它的CLNP （ConnectionLessNetwork Protocol，无连接网络协议）设计的一种动态路由协议。 • 随着TCP/IP协议的流行，为了提供对IP路由的支持，IETF在RFC1195中对IS-IS进行了扩 充和修改，使它能够同时应用在TCP/IP和OSI（Open System Interconnect，开放式系统 互联）环境中，我们将扩展后的IS-IS称为集成IS-IS。 • 本课程主要介绍集成IS-IS的基本概念、工作原理以及配置方法。

三. IS-IS的基本配置

IS-IS协议的基本配置 (1)

1. 创建IS-IS进程，进入IS-IS进程

[Huawei] isis [process-id ]

2.配置网络实体名称（NET）

[Huawei-isis-1] network-entity net

通常情况下，一个IS-IS进程下配置一个NET即可。当区域需要重新划分时，例如将多个区域合并，或者将一个区域划分 为多个区域，这种情况下配置多个NET可以在重新配置时仍然能够保证路由的正确性。由于一个IS-IS进程中区域地址最 多可配置3个，所以NET最多也只能配3个。在配置多个NET时，必须保证它们的System ID都相同。

3.配置全局Level级别

[Huawei-isis-1] is-level { level-1 | level-1-2 | level-2 }

缺省情况下，设备的Level级别为level-1-2。 在网络运行过程中，改变IS-IS设备的级别可能会导致IS-IS进程重启并可能会造成IS-IS邻居断连，建议用户在配置IS-IS时 即完成设备级别的配置。

4.进入接口视图

[Huawei]interface interface-type interface-number

参数interface-type为接口类型，参数interface-number为接口编号。

5.在接口上使能IS-IS协议

[Huawei-GigabitEthernet0/0/1] isis enable [ process-id ]

配置该命令后，IS-IS将通过该接口建立邻居、扩散LSP报文。

6.配置接口Level级别

[Huawei-GigabitEthernet0/0/1] isis circuit-level [ level-1 | level-1-2 | level-2 ]

缺省情况下，接口的Level级别为level-1-2。 两台Level-1-2设备建立邻居关系时，缺省情况下，会分别建立Level-1和Level-2邻居关系。如果只希望建立Level-1或者 Level-2的邻居关系，可以通过修改接口的Level级别实现。

7.设置接口的网络类型为P2P

[Huawei-GigabitEthernet0/0/1]isis circuit-type p2p

缺省情况下，接口网络类型根据物理接口决定。 使用该命令将广播网接口模拟成P2P接口时，接口发送Hello报文的间隔时间、宣告邻居失效前IS-IS没有收到的邻居 Hello报文数目、点到点链路上LSP报文的重传间隔时间以及IS-IS各种认证均恢复为缺省配置，而DIS优先级、DIS名称、 广播网络上发送CSNP报文的间隔时间等配置均失效。

8.恢复接口的缺省网络类型

[Huawei-GigabitEthernet0/0/1] undo isis circuit-type

使用该命令恢复接口的缺省网络类型时，接口发送Hello报文的间隔时间、宣告邻居失效前IS-IS没有收到的邻居Hello报 文数目、点到点链路上LSP报文的重传间隔时间、IS-IS各种认证、DIS优先级和广播网络上发送CSNP报文的间隔时间均 恢复为缺省配置。

9.修改接口的DIS优先级

[Huawei-GigabitEthernet0/0/1] isis dis-priority priority [ level-1 | level-2 ]

缺省情况下，IS-IS接口DIS优先级为64。 该命令用来指定挑选对应层次DIS（Designated Intermediate System）时接口的优先级。

案例：IS-IS配置

案例：R1、R2及R3的配置

R1的配置如下：

[R1] isis 1 [R1-isis-1] is-level level-1 

[R1-isis-1] network-entity 49.0001.0010.0100.1001.00 

[R1-isis-1] quit 

[R1] interface gigabitethernet 0/0/0 

[R1-GigabitEthernet0/0/0] isis enable 1 

[R1-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1 

[R1-GigabitEthernet0/0/1] isis enable 1

R2的配置如下：

[R2] isis 1 

[R2-isis-1] is-level level-1-2 

[R2-isis-1] network-entity 49.0001.0020.0200.2002.00 

[R2-isis-1] quit [R2] interface gigabitethernet 0/0/0 

[R2-GigabitEthernet0/0/0] isis enable 1 

[R2-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1 

[R2-GigabitEthernet0/0/1] isis enable 1

案例：R4和R5的配置

R4的配置如下：

[R4] isis 1 

[R4-isis-1] is-level level-2 

[R4-isis-1] network-entity 49.0002.0040.0400.4004.00 

[R4-isis-1] quit [R4] interface gigabitethernet 0/0/0 

[R4-GigabitEthernet0/0/0] isis enable 1 

[R4-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1 

[R4-GigabitEthernet0/0/1] isis enable 1 

[R4-GigabitEthernet0/0/1] interface gigabitethernet 0/0/2 

[R4-GigabitEthernet0/0/2] isis enable 1

案例：配置验证 (查看设备的IS-IS邻接表)

R4路由器建立Level-2的邻接关系

R1路由器建立Level-1的邻接关系

• System Id字段：描述邻接的系统ID • Interface字段：描述通过该路由器哪个端口与邻接建立邻接关系 • Type：描述与该邻接的邻接关系类型 • PRI：描述该邻接对应端口的DIS优先级

案例：配置验证 (查看设备的IS-IS路由表) (1)

案例：配置验证 (查看设备的IS-IS路由表) (2)

路由渗透配置

路由渗透验证

通过查看R1的路由表，我们可以看到新增了两条明细路由192.168.10.0/24以及192.168.20.0/24，两 条路由的开销值均为30，当有数据包经由R1到达这两个网段时，不会产生次优路径。

IS-IS认证的分类

• IS-IS认证是基于网络安全性的要求而实现的一种认证手段，通过在IS-IS报文中增加认证字段对报文进行认证。 当本地路由器接收到远端路由器发送过来的IS-IS报文，如果发现认证密码不匹配，则将收到的报文进行丢弃， 达到自我保护的目的。

• 根据报文的种类，认证可以分为以下三类： ▫ 接口认证：在接口视图下配置，对Level-1和Level-2的Hello报文进行认证。

​ ▫ 区域认证：在IS-IS进程视图下配置，对Level-1的CSNP、PSNP和LSP报文进行认证。

​ ▫ 路由域认证：在IS-IS进程视图下配置，对Level-2的CSNP、PSNP和LSP报文进行认证。

• 根据报文的认证方式，可以分为以下四类： ▫ 简单认证：将配置的密码直接加入报文中，这种加密方式安全性较其他两种方式低。 ▫ MD5认证：通过将配置的密码进行MD5算法加密之后再加入报文中，提高密码的安全性。

​ ▫ Keychian认证：通过配置随时间变化的密码链表来进一步提升网络的安全性。

​ ▫ HMAC-SHA256认证：通过将配置的密码进行HMAC-SHA256算法加密之后再加入报文中，提高密码的安全性。

IS-IS认证详解

• 接口认证

​ ▫ Hello报文使用的认证密码保存在接口下，发送带认证TLV的认证报文，互相连接的路由器接口必须配置相同的口令。

• 区域认证

​ ▫ 区域内的每一台L1路由器都必须使用相同的认证模式和具有共同的钥匙串。

• 路由域认证

​ ▫ IS-IS域内的每一台L2和L1/L2类型的路由器都必须使用相同模式的认证，并使用共同的钥匙串。

​ ▫ 对于区域和路由域认证，可以设置为SNP和LSP分开认证。

​ ▪ 本地发送的LSP报文和SNP报文都携带认证TLV，对收到的LSP报文和SNP报文都进行认证检查。

​ ▪ 本地发送的LSP报文携带认证TLV，对收到的LSP报文进行认证检查；发送的SNP报文携带认证TLV，但不对收到的SNP报文进行检 查。

​ ▪ 本地发送的LSP报文携带认证TLV，对收到的LSP报文进行认证检查；发送的SNP报文不携带认证TLV，也不对收到的SNP报文进行 认证检查。

​ ▪ 本地发送的LSP报文和SNP报文都携带认证TLV，对收到的LSP报文和SNP报文都不进行认证检查。

IS-IS认证的配置 (1)

1.配置IS-IS区域认证

[Huawei-isis-1] area-authentication-mode { { simple | md5 } { plain plain-text | [ cipher ] plain-cipher-text }  keychain keychain-name | hmac-sha256 key-id key-id } [ snp-packet { authentication-avoid | send-only } | allsend-only ]

simple 指定密码以纯文本方式参与认证；keychain 指定随时间变化的密钥链表；md5 指定密码通过HMAC-MD5算法 加密后参与认证。 snp-packet 指定配置SNP报文相关的验证；authentication-avoid 指定不对产生的SNP封装认证信息，也不检查收到 的SNP，只对产生的LSP封装认证信息，并检查收到的LSP；send-only 指定对产生的LSP和SNP封装认证信息，只检查 收到的LSP，不检查收到的SNP；all-send-only 指定对产生的LSP和SNP封装认证信息，不检查收到的LSP和SNP。

2.配置IS-IS路由域认证

[Huawei-isis-1] domain-authentication-mode { { simple | md5 } { plain plain-text | [ cipher ] plain-cipher-text } keychain keychain-name | hmac-sha256 key-id key-id } [ snp-packet { authentication-avoid | send-only } | allsend-only ]

参数含义与区域认证一致。

3.配置IS-IS接口认证

[Huawei-GigabitEthernet0/0/0] isis authentication-mode [keychain | md5 | simple ] [ level-1 | level-2 ] [ ip | osi ] [ send-only ]

level-1 指定设置Level-1级别的认证；level-2 指定设置Level-2级别的认证；send-only 指定只对发送的Hello报文加载 认证信息，不对接收的Hello报文进行认证。