目录
一、ISIS协议基础
1、ISIS概述(认识ISIS)
2、ISIS的应用
4、ISIS的工作过程
5、ISIS路由器的类型
6、ISIS区域
7、ISIS报文
8、ISIS基础配置
9、进程号:
10、NET地址
11、ISIS邻居关系
二、邻居表分析
1、ISIS邻居表字段解析
2、IS-IS邻居关系建立原则(广播型网络):
3、ISIS基于TLV结构
三、ISIS如何选举DIS
1、ISIS支持的网络类型
2、DIS (广播网络中选举DIS)
3、广播网络如何选举DIS
四、ISIS路由器分类:
1、Level-1 路由器(特殊区域内部路由器)
2、Level-2 路由器(骨干路由器)
3、Level-1-2 路由器【类似于OSPF中ABR】
五、ISIS数据库
1、ISIS 数据库
2、数据库字段分析
六、ISIS路由表
1、ISIS路由表
2、路由表字段解析
七、ISIS实验
1、ISIS实验2
八、COST
八,路由渗透(路由泄露)
1、ISIS路由渗透
2、ISIS路由渗透实验
九、ISIS认证
1、根据报文的种类,认证可以分为以下三类:
一、ISIS协议基础
1、ISIS概述(认识ISIS)
-ISIS:中间系统到中间系统
-ISIS是公有协议,属于IGP协议,主要应用于一个AS(企业)自治系统内部
-ISIS是一种链路状态协议,使用SPF算法
-早期的ISIS是基于CLNP(无连接网络协议)而开发的,为了继续追逐TCP/IP的发展,为了支持IP网络,ISIS也升级称为了集成ISIS
备注:集成的ISIS工作在数据链路层,支持CLNP和IP,而OSPF只支持IP协议
2、ISIS的应用
-ISIS :骨干网,超大型网络,运营商数据中心、服务型网络-工作在数据链路层
-OSPF:园区网,企业网等中大型网络,企业网数据中心,云数据中心,应用型网络-工作在网络层
-骨干网和园区网的区别和特点
&:骨干网:服务型网络,由运营商(ISP)组建,为不同的企业用户提供互联网服务
特点:网络架构特别大,路由器数量特别多,流量特别大
&:园区网:应用型网络,主要面向企业
特点:路由器相对数量不是特别多,但是不同的企业,不同的要求非常多,需要满足不同的企业,需求的精细化控制比较高
服务型网络和应用型网络:
- 服务型网络:服务型网络主要是提供高质量的数据传输和连接服务。强调可靠性、稳定性和性能,注重高速转发,典型的服务型网络包括互联网服务提供商(ISP)和电信运营商的核心网络。
备注:ISP: 中国电信、中国联通、中国移动··············
- 应用型网络:应用型网络关注在网络上运行的应用程序和服务,以提供给终端用户。这类网络需要满足不同应用场景的需求,如低延迟、高带宽和高可用性。典型的应用型网络包括企业网络、数据中心网络和云计算平台的网络。
4、ISIS的工作过程
-建立邻居表
-同步数据库
-计算路由表
5、ISIS路由器的类型
-Level-1 路由器: 类似于OSPF中非骨干区域路由器
-Level-2 路由器: 类似于OSPF中的骨干路由器
-Level-1-2 路由器: 类似于OSPF中ABR设备
(ospf中,只要路由器有一个接口属于骨干区域,就叫骨干区域路由器)
(ospf中,路由器所有接口都属于非骨干区域,才叫非骨干区域路由器)
6、ISIS区域
1)区域概念
- 在OSPF中,一个路由器的不同接口,可以属于相同的区域,也可以属于不同的区域,在IS-IS中,每个路由器的所有接口都只属于一个区域;
- OSPF区域边界在路由器上, 而ISIS区域边界在链路上(那根网线上)
2)分层结构
-ISIS也采用分层的概念,也有骨干和非骨干两层区域
-ISIS中的骨干区域是指的逻辑区域,和区域号没有必然的联系,和OSPF不一样,OSPF中,area 0 是骨干区域 ,非0就是非骨干区域
-骨干区域:两台设备能够建立L2的邻居关系,我们就可以理解为这两个设备在同一个层次,这个层我们可以称为骨干层,这个区域呢,我们可以称为骨干区域
-非骨干区域:两台设备建立的L1的邻居关系,我们就可以理解为这两个设备也在同一个层次,这个层我们可以称为非骨干层,这个区域,我们可以称为非骨干区域
总结:
-ISIS采用骨干区域和非骨干区域两级的分层结构
-骨干区域:Level-2 区域
-非骨干区域:Level-1 区域(类似OSPF中的特殊区域)
3)设计原则
-设计原则:所有的非骨干区域,必须直接与骨干区域相连
-在IS-IS中,每个路由器都完整的属于一个区域;而在OSPF中,一个路由器的不同接口可以属于不同的区域
-Level-1路由器属于非骨干区域
-Level-2路由器器和Level-1-2路由器都属于骨干区域
-L1 路由器只能和相同区域的L1 路由器或者相同区域L1-2 路由器建立邻居
-每一个非骨干区域都通过本区域的Leve1-1-2 路由器与骨干区域相连
-两台路由不在同一个区域, 只能建立L2的邻居关系
【在isis协议中,区域也分为骨干区域和非骨干区域,骨干区域称为L2区域,非骨干区域称为L1区域】
【在isis协议中,如果一个区域所有的邻居关系的类型都是L1,那么这个区域就是L1区域,既非骨干区域】
【在isis协议中,如果一个区域所有的邻居关系的类型都是L2,那么这个区域就是L2区域,既骨干区域】
7、ISIS报文
&:Hello报文:也称为IIH报文【类似于OSPF中的hello报文】
作用:hello报文用于发现,建立和维护,断开邻居关系
广播网中,Level-1 路由器 使用 Level-1的hello 报文
广播网中,Level-2 路由器 使用 Level-2 的hello报文
广播网中,Level-1-2 路由器 使用level-1和level-2两种报文
hello报文, 源地址是本设备本接口的MAC地址, 而目的地址是:
如果是Level-1的hello报文 目的组播MAC地址为 01:80:c2:00:00:14
如果是Level-2的hello报文 目的组播MAC地址为 01:80:c2:00:00:15
点到点网络中,则使用P2P IIH
&:LSP 报文:链路状态PDU -链路状态报文 【类似于OSPF中的LSU-发LSA】
【LSP 链路状态信息,里面包含的网络拓扑和网段信息,类似于OSPF中的LSA】
作用:用于携带和传输ISIS数据库条目,用于交换链路状态信息
LSP分为两种,Level-1 LSP、Level-2 LSP
&:SNP报文:序列号报文
作用:通过描述全部或部分链路数据库中的LSP来同步各LSDB,从而维护LSDB的完整与同步
SNP包括CSNP和PSNP:
进一步又可分为Level-1 CSNP、 Level-2 CSNP、 Level-1 PSNP和Level-2 PSNP
# CSNP 报文:完全序列号报文
作用:CSNP包括LSDB中所有LSP的摘要信息,从而可以在相邻路由器间保持LSDB的同步。
在广播网络上,CSNP由DIS定期发送(缺省的发送周期为10秒)
在点到点链路上,CSNP只在第一次建立邻接关系时发送
【广播播网络中,相当于OSPF中的DD和LSAck 】
【在点到点网络中,相当于OSPF中的DD 】
# PSNP 报文:部分序列号报文
【 在广播网络中,就类似于OSPF中LSR报文】
【在点到点网络中类似于OSPF中的LSR/LSACK报文】
PSNP报文能够一次对多个LSP进行确认,当发现LSDB不同步时,也用PSNP来请求邻居发送新的LSP
作用:用于请求和确认ISIS数据库中条目信息
8、ISIS基础配置
1)拓扑
2)配置步骤:
-配置接口IP
-开启ISIS
-配置NET地址
-在接口上启用ISIS
3)配置命令
[R1]int g0/0/0 [R1-G0/0/0]ip add 192.168.12.1 24 [R1-GigabitEthernet0/0/0]quit [R1]isis 1 [R1-isis-1]network-entity 49.0010.0000.0000.0001.00 [R1-isis-1]quit [R1]int g0/0/0 [R1-G0/0/0]isis enable 1 [R2]int g0/0/0 [R2-G0/0/0]ip add 192.168.12.2 24 [R2-G0/0/0]int g0/0/1 [R2-G0/0/1]ip add 192.168.23.2 24 [R2-G0/0/1]quit [R2]isis 1 [R2-isis-1]network-entity 49.0010.0000.0000.0002.00 [R2-isis-1]quit [R2]int g0/0/0 [R2-G0/0/0]isis enable 1 [R2-G0/0/0]int g0/0/1 [R2-G0/0/1]isis enable 1 [R3]int g0/0/0 [R3-G0/0/0]ip add 192.168.23.3 24 [R3-G0/0/0]quit [R3]isis 1 [R3-isis-1]network-entity 49.0020.0000.0000.0003.00 [R3-isis-1]quit [R3]int g0/0/0 [R3-G0/0/0]isis enable 1
9、进程号:
-命令: [R1] isis 1
-进程号:Process ID
-作用:在同一台路由器上区分不同的ISIS协议【和OSPF的进程号作用相同】
-取值范围:1-65535,默认值为1
10、NET地址
49.0010. 0000.0000.0001. 00
-作用:在ISIS网络中,唯一的标识一台设备的网络信息
&:说明这台设备属于那个区域
&:说明这台设备叫什么名字
备注:在ISIS中,这个NET地址,你就可以理解为,OSPF中的Router-ID + Area ID
备注 : ISIS中有一个很特殊的地址,这个地址叫做NSAP (网络服务访问点)
NET地址是一种非常特殊的NSAP
-结构:
49. 0010. 0000.0000.0001. 00
区域号 系统ID 选择器
一个字节=8个bit, 8个二进制数
一个bit ==等于一个二进制的0 或者1
一个16进制数==4个二进制数
一个字节==2个16进制数
&:区域号:Area ID
-长度可变:1-13字节【类似于OSPF中区域号】
- 比如: 49
-比如:49.0010
-比如:10.0010.0000.0000.0000.0000.0000
-比如:20.0000.0010
-比如:ab.abcd.0011
&:系统ID:System ID
-长度固定:6个字节 【类似于OSPF中 Router-ID】
&:选择器:SEL (协议标识符)
-长度:1个字节,在IPv4和IPv6网络中,该字段为00
-NET地址是通过16进制数组成的
-NET地址是已2个16进制数开始(一个字节开始),和2个16进制数结束(一个字节结束)
-NET地址中间的部分是由4个16进制数组成,每组与每组之间用“.”分割
-NET地址长度是可变的,是8-20个字节,最低是8个字节
-在一台设备上,NET地址最多可以配置3个 ,在配置NET 地址的时候,必须保证System ID相同(在不同的设备上,System ID 不能相同)
11、ISIS邻居关系
L1的邻居关系:
L2的邻居关系
备注:在ISIS中所有的报文都分为两种,都分为L1和L2
比如:hello 报文就分为L1的hello报文 和L2的hello 报文
如果两台设备收发的是L1的hello报文就建立L1的邻居关系
如果两台设备收发的是L2的hello 报文就建立L2的邻居关系
默认情况下,一台ISIS路由器既能发送L1的hello 报文,又能发送L2的hello 报文,所以在同一个区域内,邻居之间可以建立两种邻居关系,既L1 和L2。
那么为什么ISIS路由器默认能发两种报文呢?因为默认情况下,ISIS 路由器的类型都是L1/2
备注:如果我们想要改变同一个区域的邻居关系的类型,我们有两种方法
一个是修改接口的ISIS类型
一个是修改设备的ISIS类型
修改接口的ISIS类型 [R1]int g0/0/0 [R1-G0/0/0]isis circuit-level level-1 //接口类型改为level-1 备注:接口ISIS类型有三种,默认是level-1-2 level-1 level-1-2 level-2 修改设备的ISIS类型 [R1]isis 1 [R1-isis-1]is-level level-2 //修改设备类型为level-2 备注:设备的ISIS类型也有三种,默认也是level-1-2 level-1 level-1-2 level-2
二、邻居表分析
总结:抓包的结果: 1)R1和R2 在同一个而区域,区域号49.0010 2)R1和R2 运行了ISIS协议, ISIS 工作在数据链路层 3)R1和R2 发两种hello报文 , L1的hello报文, L2的hello报文 -R1和R2 发L1的hello报文的时候,源地址是自己接口的单播MAC地址 目的地址是组播MAC地址: 01:80:c2:00:00:14 -R1和R2 发L2的hello报文的时候,源地址是自己接口的单播MAC地址 目的地址是组播MAC地址: 01:80:c2:00:00:15 -R1的接口单播MAC地址:370f: 每隔10秒,发送一个L1的hello报文 每隔10秒,发送一个L2的hello报文 -R2的接口单播MAC地址:5845: 每隔3秒,发送一个L1的hello报文 每隔3秒,发送一个L2的hello报文 分析: 疑问1:为什么R1和R2 会发送两种类型的Hello报文 原因:R1和R2默认都是L1-2路由器,L1-2默认会发送 L1和L2的两种hello报文 路由器的接口默认也都是L1-2的接口,允许发生和接收两种报文 疑问2:R1和R2为什么会有两种邻居关系 原因:因为R1和R2交互了两种Hello报文,并且R1和R2属于同一个区域,所以就有两种邻居关系: L1和L2 疑问3:R2发包的速度为什么会快:3秒, R1发包的速度为什么会慢:10 秒 因为R1和R2之间要选举DIS:指定中间系统-指定路由器,类似于ospf 中DR DIS 叫做伪节点 R2是DIS路由器是,3.3秒发一个hello报文, R1是普通路由器,10秒发一个hello报文 R1和R2最大的保持时间是3倍的发送周期, 所以,在R1的邻居表中,最大保持时间是10秒, 而在R2的邻居表中,最大保持时间是30秒
1、ISIS邻居表字段解析
<R1>dis isis peer Peer information for ISIS(1) System Id Interface Circuit Id State HoldTime Type PRI ------------------------------------------------------------------------------- 0000.0000.0002 GE0/0/0 0000.0000.0002.01 Up 9s L1(L1L2) 64 0000.0000.0002 GE0/0/0 0000.0000.0002.01 Up 8s L2(L1L2) 64 -System Id :系统ID,标识邻居设备的名字,类似于OSPF中的router-id,必须保证全网唯一, -Interface :本端设备与对端设备建立邻居关系时,所使用的接口 -Circuit Id :电路接口:也叫DIS,也可以叫伪节点,当前链路上选举出来的DIS(指定的中间系统)【类似于OSPF中的DR】 -State:表示邻居的状态,状态分为三种(init 、down、up) -HoldTime : 表示的是邻居之间最大的保持时间,采用倒计时, (意思就是我多久没有收到邻居发来的hello报文,我的耐心是多久) # 如果倒计时为0之前,仍然没有收到邻居发来的hello报文,我就断开邻居关系 总倒计时的默认值是hello 报文发送间隔时间的3倍, 对普通的ISIS路由器的接口,hello的发送时间是10秒 对ISIS的DIS的接口(DR),hello 时间是3.3秒 -Type :表示邻居之间的类型 Level-1 : 邻居之间如果成功交互的是Level-1的hello 报文,就建立Level-1的邻居关系 Level-2 : 邻居之间如果成功交互的是Level-2 的hello报文,就建立Level-2的邻居关系 默认情况下,启动ISIS的设备,会同时发送两种Level 的hello 报文, 既Level-1的hello 报文和Level-2的hello报文, 所以默认情况下,区域号相同的邻居之间建立两种类型的邻居关系 备注:我们可以修改设备的接口类型,来决定建立那种邻居关系,默认的接口类型是level-1-2 [R1-G0/0/0]isis circuit-level level-1-2 //修改接口的级别 -PRI :表示邻居之间的优先级,用来选举DIS,默认值是64 -首先比较优先级,优先级越大越好 ,优先级默认值是64,取值范围是0-127 -如果优先级一致,则比较MAC地址,接口MAC地址较大的被选举为DIS。 [R1-G0/0/0]isis dis-priority 100 //修改接口的优先级,让接口成为DIS 备注: 在ISIS中DIS是可以被抢占的, (OSPF中,DR是不允许被抢占的)
广播网络建立邻居过程:
1.在Down状态下,R1组播发送Level-1LAN IIH,此报文中邻接列表为空。
2.R2收到此报文后,将邻接状态标识为Initial(初始化状态)。然后,R2再向R1回复Level-1LAN IIH ,此报文中标识R1为R2的邻接。
3.R1收到此报文后,将自己与R2的邻接状态标识为Up状态。然后R1再向R2发送一个标识R2为R1邻接的Level-1LAN IIH 。
4.R2收到此报文后,将自己与R1的邻接状态标识为Up状态。这样,两个路由器成功建立了邻接关系。
5.广播网络中需要选举DIS,在邻接关系建立后,路由器会等待两个Hello报文间隔,再进行DIS的选举。
点到点网络建立邻居过程:
•点到点网络中,邻接关系的建立使用两次握手方式:只要路由器收到对端发来的Hello报文,就单方面宣布邻接为Up状态,建立邻接关系。
两次握手机制存在明显的缺陷,华为设备在点到点网络中使用IS-IS时,默认使用三次握手建立邻接关系。此方式通过三次发送P2P IIH最终建立起邻接关系
2、IS-IS邻居关系建立原则(广播型网络):
- 只有同一层次的相邻路由器才有可能成为邻居。
- 对于Level-1路由器来说,只和同区域,同级别的路由器建立邻居。
- 链路两端IS-IS接口的网络类型必须一致。
- 链路两端IS-IS接口的地址必须处于同一网段(IP地址段和掩码一致)。
说明:对于P2P网络,可以忽略接口IP地址检查;
3、ISIS基于TLV结构
TLV的含义是:类型(TYPE),长度(LENGTH),值(VALUE)。实际上是一个数据结构,这个结构包含了这三个字段
使用TLV结构构建报文的好处是灵活性和扩展性好。采用TLV使得报文的整体结构固定,增加新特性只需要增加新TLV即可,不需要改变整个报文的整体结构
三、ISIS如何选举DIS
1、ISIS支持的网络类型
-广播
-P2P
[R1]display isis brief
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]isis dis-priority 100 level-1 //修改接口的L1的优先级
[R1-GigabitEthernet0/0/0]isis dis-priority 100 level-2 //修改接口的L2的优先级
[R1-GigabitEthernet0/0/0]isis dis-priority 100 //修改接口的优先级
[R1-G0/0/0]isis circuit-type p2p //改为P2P模式
[R1-G0/0/0]undo isis circuit-type //恢复默认
2、DIS (广播网络中选举DIS)
-在广播网络中,ISIS需要选举指定的中间系统(路由器的接口)DIS(伪节点)
-DIS的作用:记录该广播网络内所有IS-IS路由器,保证广播网络中链路状态数据库的同步
3、广播网络如何选举DIS
level-1和Level-2的DIS是分别选举的,用户可以为不同级别的DIS选举设置不同的优先级
-选举原则:
-首先比较优先级,优先级越大越好 ,优先级默认值是64,取值范围是0-127
-如果优先级一致,则比较MAC地址,接口MAC地址较大的被选举为DIS。
-DIS发送Hello 报文的时间间隔是普通路由器的1/3,这样可以确保DIS出现故障时能够被更快速地被发现。
IS-IS中DIS与OSPF协议中DR的区别:
1)和ospf 不同的是,在OSPF中选举DR的时候,优先级为0的设备接口卡不能参与DR的选举,但是在ISIS中,优先级为0的设备接口也可以参与DIS的选举
2)在ISIS中,不选举备份的DIS,而在OSPF中,可以选举BDR
3)在ISIS中,DIS支持抢占,而在OSPF中,DR不允许被抢占,除非将自己的优先级改为0,或者重启进程,或者重启设备才可以替换DR
4)在IS-IS广播网中,同一网段上的同一级别的路由器之间都会形成邻接关系,包括所有的非DIS路由器之间也会形成邻接关系。
四、ISIS路由器分类:
1、Level-1 路由器(特殊区域内部路由器)
-L1路由器:只能产生,发送和接受L1的ISIS报文
-只和同一区域的L1路由器和L1/2路由器形成邻接关系,只有L1的数据库(LSDB)
-发往其他区域的报文转发给本区域的L1/2路由器
-L1路由器必须通过L1/2路由器才能连接到其他区域(因为有一条默认路由)
2、Level-2 路由器(骨干路由器)
-L2 路由器:只能产生,发送和接受L2的ISIS报文
-L2路由器可以与同一或者不同区域的L-2路由器或者L-1-2路由器形成邻接关系
-L2路由器维护一个L-2的数据库(LSDB),该LSDB包含整个IS-IS域的所有路由信息。
-所有形成L2邻接关系的路由器组成路由域称为骨干网区域,负责在不同区域间通信,L2级别的路由器的必须是物理连接的,以保证骨干网的连续性
-L2路由器负责区域间的路由
-不同的区域之间,只能建立L2的邻居关系
3、Level-1-2 路由器【类似于OSPF中ABR】
-同时属于L1和L2的路由器,称为L1/2路由器
-L1-2路由器与OSPF中的ABR非常相似,它也是IS-IS骨干网络的组成部分
-L1-2路由器:可以同时产生L1/L2的ISIS报文【默认类型】
-L1-2路由器维护两个LSDB,L-1的LSDB用于区域内路由,L-2的LSDB用于区域间路由
-L1/2路由器可以与同一区域的L1路由器和L1-2路由器建立Level-1的邻接关系,
-也可以与其他区域的L2路由器和L1-2路由器建立L-2的邻接关系
五、ISIS数据库
1、ISIS 数据库
[R1]dis isis lsdb Database information for ISIS(1) -------------------------------- Level-1 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 0000.0000.0001.00-00* 0x00000006 0xc5e3 881 86 1/0/0 0000.0000.0001. 01 -00* 0x00000002 0xb5d4 881 55 0/0/0 0000.0000.0002.00-00 0x00000007 0xceae 1034 86 1/0/0 <R1>dis isis lsdb 0000.0000.0002.00-00 verbose Database information for ISIS(1) -------------------------------- Level-1 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 0000.0000.0002.00-00 0x0000000f 0x1595 745 86 1/0/0 SOURCE 0000.0000.0002.00 NLPID IPV4 AREA ADDR 49.0010 INTF ADDR 192.168.1.2 INTF ADDR 192.168.2.2 NBR ID 0000.0000.0002.01 COST: 10 IP-Internal 192.168.1.0 255.255.255.0 COST: 10 IP-Internal 192.168.2.0 255.255.255.0 COST: 10
2、数据库字段分析
2、数据库字段分析
&:LSPID :表示的是链路状态信息的名字,其中包含了三部分,系统ID、 伪节点标识符,分段标识符
0000.0000.0001.01-00
0000.0000.0001 表示:这个LSP是由这个系统ID的设备产生的,类似于OSPF 数据库中LSA的通告路由器
01: 伪节点标识符
【全0 :不是伪节点,即:不是表示DIS的那条LSP】
【非0 :是伪节点, 即:是表示DIS的那条LSP】
00 :表示的是分段标识符,既一个LSP不能同时装下很多路由,所以就需要分片
如果这个字段是0,则表示当前的LSP没有分片
如果这个字段不是0,则表示当前的LSP被分片了
[ * ]
是否自己产生
带* //这台设备自己产生的LSP
不带* //其他设备产生的LSP
Seq Num: 表示的序列号,LSP每次更新,序列号都会自动+1,这一点非常类似于OSPF中的LSA的序列号
备注:
ISIS中LSP会周期性更新,周期性更新的时间默认是900S 既15分钟,
而OSPF中的LSA的周期性更新是 1800S:既30分钟
Holdtime :保持时间,表示的LSP的存活时间,是倒计时,在ISIS中,LSP的最大保持时间(存活时间)是1200S,
而OSPF中的LSA的最大保持时间(存活时间)是3600S
【 ATT/P/OL 】
[ ATT ]
Attached-bit //连接位
Level-1-2路由器用这个bit标识自己是否连接着骨干区域
ATT位为1 //Level-1-2路由器连接着骨干区域
ATT位为0 //Level-1-2路由器没有连接骨干区域
Level-1路由器,通过Level-1-2 ATT位为1的Level-1 LSP,计算去往Level-2区域的默认路由
[ P ] 分区位
虚连接,目前ISIS没有虚链路1(虚连接),所以此位永远为0
[ OL ] OverLoad //过载位,割接时使用
用来标识这台路由器已经过载了(超载了,运行不动了,躺平了)
配置命令为:
isis 1
set-overload
配置完这条命令后,该路由器产生的LSP,OL位为一,通过这个方法,该路由器告诉其他路由器:
哥们我干不动了,不要拿我的LSP计算路由了,我请病假了
3、LSP解析
<R1>dis isis lsdb Database information for ISIS(1) -------------------------------- Level-1 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 0000.0000.0001.00-00* 0x0000000b 0x43eb 754 70 0/0/0 0000.0000.0002.00-00 0x0000000f 0x1595 757 86 1/0/0 0000.0000.0002.01-00 0x00000006 0x9aea 757 55 0/0/0
描述普通路由器的LSP,描述的是网段信息 <R1> dis isis lsdb 0000.0000.0001.00-00 verbose Database information for ISIS(1) -------------------------------- Level-1 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 0000.0000.0001.00-00* 0x0000000b 0x43eb 934 70 0/0/0 SOURCE 0000.0000.0001.00 NLPID IPV4 AREA ADDR 49.0010 (我的区域号) INTF ADDR 192.168.1.1 (我的接口IP地址) NBR ID 0000.0000.0002.01 COST: 10 (我的邻居是DIS) IP-Internal 192.168.1.0 255.255.255.0 COST: 10 (网段192.168.1.0/24) (cost值:10) 描述普通路由器的LSP,描述的是网段信息 <R1> dis isis lsdb 0000.0000.0002.00-00 verbose Database information for ISIS(1) -------------------------------- Level-1 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 0000.0000.0002.00-00 0x0000000f 0x1595 745 86 1/0/0 SOURCE 0000.0000.0002.00 NLPID IPV4 AREA ADDR 49.0010 INTF ADDR 192.168.1.2 INTF ADDR 192.168.2.2 NBR ID 0000.0000.0002.01 COST: 10 IP-Internal 192.168.1.0 255.255.255.0 COST: 10 IP-Internal 192.168.2.0 255.255.255.0 COST: 10 描述LSP的这条LSP,描述的是拓扑信息 <R1>dis isis lsdb 0000.0000.0002.01-00 verbose Database information for ISIS(1) -------------------------------- Level-1 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 0000.0000.0002.01-00 0x00000006 0x9aea 594 55 0/0/0 SOURCE 0000.0000.0002.01 NLPID IPV4 NBR ID 0000.0000.0002.00 COST: 0 //我有一个邻居0000.0000.00002.00 NBR ID 0000.0000.0001.00 COST: 0 //我有一个邻居0000.0000.00001.00
广播网络中LSP的同步过程
广播网络中新加入路由器与DIS同步LSDB数据库的过程:
1、新加入的路由器R3首先发送IIH报文,与该广播域中R1和R2建立邻接关系。
建立邻接关系之后,R3将自己的LSP发往组播地址(Level-1:01-80-C2-00-00-14;Level-2:01-80-C2-00-00-15)。这样网络上所有的邻接都将收到该LSP。
2、该网段中的DIS会把收到R3的LSP加入到LSDB中,并等待10秒后,发送CSNP报文。
3、R3收到DIS发来的CSNP报文,对比自己的LSDB数据库,发现自己没有R1 和R2的LSP,然后向DIS发送PSNP报文请求自己没有的LSP。
4、DIS收到该PSNP报文请求后向R3发送对应的LSP进行LSDB的同步。
点到点网络中LSP的同步过程
点到点网络上LSDB数据库的同步过程:
•R1先与R2建立邻接关系。
•建立邻接关系之后,R1与R2会先发送CSNP给对端设备。如果对端的LSDB与CSNP没有同步,则发送PSNP请求相应的LSP。
•假设R2向R1请求LSP。
1.R1,并等待R2发送的PSNP作为收到LSP的确认。
2.如果在接口LSP重传定时器超时后,R1没有收到R2发送的PSNP报文作为应答。
3.则R1重新发送该LSP。
4.R2收到LSP后,发送PSNP进行确认。
备注:在P2P链路上PSNP有两种作用:
- 收到邻居发来的LSP后, 做ACK确认,类似于OSPF中的LSACK
- 用来请求LSP,类似于OSPF中的LSR
LSP产生的原因
IS-IS路由域内的所有路由器都会产生LSP,以下事件会触发一个新的LSP:
- 邻居Up或Down
- IS-IS路由器接口Up或Down
- 新增加了接口,或者接口的IP地址更换
- 区域间的IP路由发生变化
- 接口的cost值变化
- 900秒的 LSP周期性更新
收到邻居新的LSP的处理过程
- ISIS路由器会将接收的新的LSP,放进自己的LSDB数据库中。并标记为泛洪
- 如何泛洪, 会对除接收端口以外的所有接口进行泛洪
- 邻居收到后,在泛洪其他邻居。
LSP的“泛洪”
LSP报文的“泛洪”(flooding)是指当一个路由器向相邻路由器通告自己的LSP后,相邻路由器再将同样的LSP报文传送到除发送该LSP的路由器外的其它邻居,并这样逐级将LSP传送到整个层次内所有路由器的一种方式。通过这种“泛洪”,整个层次内的每一个路由器就都可以拥有相同的LSP信息,并保持LSDB的同步。
每一个LSP都拥有一个标识自己的4字节的序列号。在路由器启动时所发送的第一个LSP报文中的序列号为1,以后当需要生成新的LSP时,新LSP的序列号在前一个LSP序列号的基础上加1。
更高的序列号意味着更新的LSP。
六、ISIS路由表
1、ISIS路由表
<R1>dis ip routing-table protocol isis Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Public routing table : ISIS Destinations : 3 Routes : 3 ISIS routing table status : <Active> Destinations : 3 Routes : 3 Destination/Mask Proto Pre Cost Flags NextHop Interface 192.168.2.0/24 ISIS-L2 15 40 D 192.168.10.2 GigabitEthernet0/0/0 192.168.20.0/24 ISIS-L1 15 20 D 192.168.10.2 GigabitEthernet0/0/0 192.168.30.0/24 ISIS-L2 15 30 D 192.168.10.2 GigabitEthernet0/0/0 ISIS routing table status : <Inactive> Destinations : 0 Routes : 0
2、路由表字段解析
&:proto : 在ISIS协议中表示的路由的类型
-在ISIS中,路由类型分为:
-ISIS-L1: 如果邻居之间的关系是L1,那么路由的类型就是L1
-ISIS-L2:如果邻居之间的关系是L2,那么路由的类型就是L2
&:Pre :表示的优先级,默认值是15,越小越好
&:Cost : 表示的是开销值,用人话说就是,该路由器去往这个网段的距离,越小越好
七、ISIS实验
1、ISIS实验2
1)拓扑
2)需求:配置ISIS,实现网络互通
3)配置步骤:
-配置接口地址
-配置ISIS
&:配置进程
&:配置NET地址
&:配置全局的Level级别
&:在接口上开启ISIS
sysname R6 # isis 1 is-level level-1 network-entity 49.0010.0000.0000.0006.00 # interface GigabitEthernet0/0/0 ip address 192.168.46.6 255.255.255.0 isis enable 1 # interface LoopBack0 ip address 192.168.1.1 255.255.255.255 isis enable 1 sysname R4 # isis 1 network-entity 49.0010.0000.0000.0004.00 # interface GigabitEthernet0/0/0 ip address 192.168.46.4 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/1 ip address 192.168.14.4 255.255.255.0 isis enable 1 sysname R1 # isis 1 is-level level-2 network-entity 49.0020.0000.0000.0001.00 # interface GigabitEthernet0/0/0 ip address 192.168.14.1 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/1 ip address 192.168.12.1 255.255.255.0 isis enable 1 sysname R2 # isis 1 is-level level-2 network-entity 49.0020.0000.0000.0002.00 # interface GigabitEthernet0/0/0 ip address 192.168.12.2 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/1 ip address 192.168.23.2 255.255.255.0 isis enable 1 sysname R3 # isis 1 is-level level-2 network-entity 49.0020.0000.0000.0003.00 # interface GigabitEthernet0/0/0 ip address 192.168.23.3 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/1 ip address 192.168.35.3 255.255.255.0 isis enable 1 sysname R5 # isis 1 network-entity 49.0030.0000.0000.0005.00 # interface GigabitEthernet0/0/0 ip address 192.168.35.5 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/1 ip address 192.168.57.5 255.255.255.0 isis enable 1 sysname R7 # isis 1 is-level level-1 network-entity 49.0030.0000.0000.0007.00 # interface GigabitEthernet0/0/0 ip address 192.168.57.7 255.255.255.0 isis enable 1 # interface LoopBack0 ip address 192.168.2.1 255.255.255.255 isis enable 1
4)检查配置结果
display isis peer //查看isis 邻居表 display isis lsdb //查询isis 数据库 display isis route //查看isis 协议路由表 display ip routing-table protocol isis //查看IP核心路由表 解析数据库 <R4>dis isis lsdb 0000.0000.0004.00-00 verbose Database information for ISIS(1) -------------------------------- Level-1 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 0000.0000.0004.00-00* 0x00000017 0x7ea9 712 86 1/0/0 SOURCE 0000.0000.0004.00 NLPID IPV4 AREA ADDR 49.0010 INTF ADDR 192.168.14.4 INTF ADDR 192.168.46.4 NBR ID 0000.0000.0004.01 COST: 10 IP-Internal 192.168.14.0 255.255.255.0 COST: 10 IP-Internal 192.168.46.0 255.255.255.0 COST: 10 Total LSP(s): 1 *(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), ATT-Attached, P-Partition, OL-Overload Level-2 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 0000.0000.0004.00-00* 0x00000021 0x63be 712 98 0/0/0 SOURCE 0000.0000.0004.00 NLPID IPV4 AREA ADDR 49.0010 INTF ADDR 192.168.14.4 INTF ADDR 192.168.46.4 NBR ID 0000.0000.0004.02 COST: 10 IP-Internal 192.168.14.0 255.255.255.0 COST: 10 IP-Internal 192.168.46.0 255.255.255.0 COST: 10 IP-Internal 192.168.1.1 255.255.255.255 COST: 10 Total LSP(s): 1 *(In TLV)-Leaking Route, *(By LSPID)-Self LSP, +-Self LSP(Extended), ATT-Attached, P-Partition, OL-Overload 备注: R4在L1的数据库中,生成的这条LSP 0000.0000.0004.00-00 描述的网段信息,仅仅为: IP-Internal 192.168.14.0 255.255.255.0 COST: 10 IP-Internal 192.168.46.0 255.255.255.0 COST: 10 证明:R4没有将L2区域的路由信息给到L1区域 ======================================================== R4在L2的数据库中,生成的这条LSP 0000.0000.0004.00-00 描述的网段信息,为: IP-Internal 192.168.14.0 255.255.255.0 COST: 10 IP-Internal 192.168.46.0 255.255.255.0 COST: 10 IP-Internal 192.168.1.1 255.255.255.255 COST: 10 证明:R4将L1区域的学习到的路由信息给变成LSP通告给L2区域了 所以:L2区域有全网所有的明细路由, 而L1区域只有本区域的明细路由
5)验证测试 R6 ping 192.168.2.1 通 R6 ping -a 192.168.1.1 192.168.2.1 通 R6 tracert 192.168.2.1 跟踪路由
6)疑问点:
L1区域的路由器只有区域内的明细路由,没有区域外的路由,但是R6为什么可以访问R7的192.168.2.1呢?
在R6中查询路由表:发现有一条默认路由
<R6>display ip routing-table 192.168.2.1 Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Table : Public Summary Count : 1 Destination/Mask Proto Pre Cost NextHop Interface 0.0.0.0/0 ISIS-L1 15 10 192.168.46.4 G0/0/0 备注:这条默认路由怎么来的呢?
查询R6的LSDB数据库:发现R4生成了一条ATT为1 的LSP
<R6>display isis lsdb Database information for ISIS(1) -------------------------------- Level-1 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 0000.0000.0004.00-00 0x00000017 0x7ea9 359 86 1 /0/0 0000.0000.0004.01-00 0x00000010 0x254d 359 55 0/0/0 0000.0000.0006.00-00* 0x00000019 0x57fa 405 86 0/0/0 查看R6的IP核心路由表: <R6>display ip routing-table protocol isis Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Destination/Mask Proto Pre Cost Flag NextHop Interface 0.0.0.0/0 ISIS-L1 15 10 D 192.168.46.4 GigabitEthernet0/0/0 192.168.14.0/24 ISIS-L1 15 20 D 192.168.46.4 GigabitEthernet0/0/0
备注:R6中为什么会有一条下一跳指向R4(L1/2)的默认路由呢?
因为如果一个L1级别的ISIS路由器(R6),收到了一个ATT位为1的LSP,那么这个路由器就会产生1个ISIS的默认路由,
并且这条默认路由的下一跳为本区域离的最近的L1/2级别的路由器(R4)
表示该区域中的L1级别的路由器(R6)可以通过此L1/2路由器(R4)通往外部区域
- 说明
R4作为Level-1-2路由器,连接着骨干区域
R4会向Level-1路由器
R6发送一个ATT位为1的Level-1的LSP R6通过这个LSP,计算出去往骨干区域的默认路由,下一跳为R4的GE0/0/1接口IP地址
- 产生条件
R4和其他区域的路由器有L2的邻居关系
R4同时连接着骨干区域和非骨干区域(R4为Level-1-2路由器)
R6必须是Level-1路由器(路由器级别必须是Level-1)
- R6为什么必须是Level-1路由器
因为,R6如果不是Level-1路由器,它势必会维护Level-2的数据库
此时,R6会觉得自己有能力连接Level-2区域(骨干区域)
所以,即使R4给它ATT位为1的Level-1 LSP,它也不会计算默认路由
因此,我们需要让R6知道自己没有连接Level-2区域的能力
所以,R6必须是Level-1路由器
-通过以上的验证,我们发现在R6中有去往外部区域的一条默认路由器,但是没有去往192.168.2.0/24的明细路由,
但是R6的邻居R4有去往192.168.2.0/24的明细路由
那么,R6为什么没有从邻居哪里学习这条路由(LSP)
原因:R4中有这条明细路由(LSP),但是不会发给R6
为什么不发: 因为ISIS路由器,不会将从L2数据库学来的LSP 传递给L1数据库
但是ISIS路由器,会把从L1数据库学来的LSP 传递给L2 数据库
所以:L2的数据库中的LSP,可以计算出来,全网的所有明细路由
而L1的数据库中LSP,只能计算出本区域的明细路由
所以,在ISIS中虽然没有特殊的概念,但是这个非骨干区域就类似于OSPF中的特殊区域(Totally stub)
为啥呢?因为默认情况下,非骨干区域不要外部的区域的路由,而且L1区域也不能导入外部路由
[R6]dis ip routing-table protocol isis Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Public routing table : ISIS Destinations : 2 Routes : 2 ISIS routing table status : <Active> Destinations : 2 Routes : 2 Destination/Mask Proto Pre Cost Flags NextHop Interface 0.0.0.0/0 ISIS-L1 15 10 D 192.168.46.4 GigabitEthernet0/0/0 192.168.14.0/24 ISIS-L1 15 20 D 192.168.46.4 GigabitEthernet0/0/0 ISIS routing table status : <Inactive> Destinations : 0 Routes : 0 <R4>dis ip routing-table protocol isis Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Public routing table : ISIS Destinations : 6 Routes : 6 ISIS routing table status : <Active> Destinations : 6 Routes : 6 Destination/Mask Proto Pre Cost Flags NextHop Interface 192.168.1.0/24 ISIS-L1 15 10 D 192.168.46.6 GigabitEthernet 0/0/1 192.168.2.0/24 ISIS-L2 15 50 D 192.168.14.1 GigabitEthernet 0/0/0 192.168.12.0/24 ISIS-L2 15 20 D 192.168.14.1 GigabitEthernet 0/0/0 192.168.23.0/24 ISIS-L2 15 30 D 192.168.14.1 GigabitEthernet 0/0/0 192.168.35.0/24 ISIS-L2 15 40 D 192.168.14.1 GigabitEthernet 0/0/0 192.168.57.0/24 ISIS-L2 15 50 D 192.168.14.1 GigabitEthernet 0/0/0 ISIS routing table status : <Inactive> Destinations : 0 Routes : 0
八、COST
1、COST:
1)IS-IS使用Cost作为路由度量值,Cost值越小,则路径越优。
2)IS-IS链路的Cost与设备的接口有关,与OSPF类似
3)与OSPF不同的是,IS-IS接口的Cost在默认情况下并不与接口带宽相关(但是在实际部署时,IS-IS也支持根据带宽调整Cost值),无论接口带宽多大,默认的Cost值为10。
4)一条IS-IS路径的Cost等于本路由器到达目标网段沿途的所有链路的Cost总和。
narrow | 指定IS-IS设备只能接收和发送开销类型为narrow的路由。narrow模式下路由的开销值取值范围是1~63。 |
wide | 指定IS-IS设备只能接收和发送开销类型为wide的路由。wide模式下路由的开销值取值范围是1~16777215。 |
wide-compatible | 指定IS-IS设备可以接收开销类型为narrow和wide的路由,但却只发送开销类型为wide的路由。 |
narrow-compatible | 指定IS-IS设备可以接收开销类型为narrow和wide的路由,但却只发送开销类型为narrow的路由。 |
[R1]isis 1
[R1-isis-1]cost-style narrow
[R1-isis-1]int g0/0/0
[R1-GigabitEthernet0/0/0]isis cost ?
INTEGER<1-63> Cost value
[R1]isis 1
[R1-isis-1]cost-style wide
[R1-isis-1]int g0/0/0
[R1-GigabitEthernet0/0/0]isis cost ?
INTEGER<1-16777214> Cost value
八,路由渗透(路由泄露)
1、ISIS路由渗透
-默认情况下,R6没有去往R7的2.0/24的明细路由,因为基于ISIS协议的原理,L2的路由(LSP)是不会进入到L1区域的
-但是本区域的R4会发送一个ATT位为1的LSP,当R6收到这个ATT为1的LSP,就会产生1个ISIS的默认路由,R6可以利用这条默认路由器去往外部区域,但是R6现在想要去往2.0/24网段明细路由,
-L1区域的R6想要学习的L2区域的所有明细路由,这个时候就可以在R4这个边界设备中,将L2区域的路由导入给R6所在的L1区域,这个解决方案呢,我们称为路由渗透或者叫路由泄露
2、ISIS路由渗透实验
1)拓扑
2)需求:ISIS全网互联互通
3)原因分析:
因为,L1/2 路由器(R4、R8)学习到L1类型路由信息会装进L2-LSP,在泛洪给其他区域的L2和L1/2路由器,所以,L1/2路由器和L2路由器能够清晰的掌握全网的路由信息(所以骨干区域的路由器能掌握全网的明细路由)
-但是,为了有效减小L1邻居(R6)路由表的规模,默认情况下,L1/2路由器(R4、R8)不会将其他区域的路由信息通报给自己所在L1区域,所以L1路由器(R6)根本不了解本区域以外的路由信息,所以会导致L1路由器(R6)访问其他区域网络时无法选择最优的路由
-当L1区域里面去往L2区域有两个或者两个以上的L1/2,就有可能会产生次优路径,就有可能导致本实验中R6不能选择最好的路由
-如何解决这个问题,在R4 和R8上做路由渗透,将L2区域的路由信息渗透到L1区域,实现R6路由器自己计算最优的路由
备注:R8-不要忘记修改cost的类型
[R8]isis 1
[R8-isis-1]cost-style wide
4)配置命令
sysname R6 # isis 1 is-level level-1 cost-style wide network-entity 49.0010.0000.0000.0006.00 # interface GigabitEthernet0/0/0 ip address 192.168.46.6 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/1 ip address 192.168.68.6 255.255.255.0 isis enable 1 # interface LoopBack0 ip address 192.168.1.1 255.255.255.255 isis enable 1 # sysname R4 # isis 1 cost-style wide network-entity 49.0010.0000.0000.0004.00 import-route isis level-2 into level-1 # interface GigabitEthernet0/0/0 ip address 192.168.46.4 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/1 ip address 192.168.14.4 255.255.255.0 isis enable 1 sysname R8 # isis 1 cost-style wide network-entity 49.0010.0000.0000.0008.00 import-route isis level-2 into level-1 # interface GigabitEthernet0/0/0 ip address 192.168.68.8 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/1 ip address 192.168.81.8 255.255.255.0 isis enable 1 isis cost 130 sysname R1 # isis 1 is-level level-2 cost-style wide network-entity 49.0020.0000.0000.0001.00 # interface GigabitEthernet0/0/0 ip address 192.168.14.1 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/1 ip address 192.168.12.1 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/2 ip address 192.168.81.1 255.255.255.0 isis enable 1 sysname R2 # isis 1 is-level level-2 cost-style wide network-entity 49.0020.0000.0000.0002.00 # interface GigabitEthernet0/0/0 ip address 192.168.12.2 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/1 ip address 192.168.23.2 255.255.255.0 isis enable 1 sysname R3 # isis 1 is-level level-2 cost-style wide network-entity 49.0020.0000.0000.0003.00 # interface GigabitEthernet0/0/0 ip address 192.168.23.3 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/1 ip address 192.168.35.3 255.255.255.0 isis enable 1 sysname R5 # isis 1 cost-style wide network-entity 49.0030.0000.0000.0005.00 # interface GigabitEthernet0/0/0 ip address 192.168.35.5 255.255.255.0 isis enable 1 # interface GigabitEthernet0/0/1 ip address 192.168.57.5 255.255.255.0 isis enable 1 sysname R7 # isis 1 is-level level-1 cost-style wide network-entity 49.0030.0000.0000.0007.00 # interface GigabitEthernet0/0/0 ip address 192.168.57.7 255.255.255.0 isis enable 1 # interface LoopBack0 ip address 192.168.2.1 255.255.255.255 isis enable 1 # interface LoopBack1 ip address 10.10.7.7 255.255.255.255 isis enable 1 没有做路由泄露之前,R4给的LSP是这样的 <R6>display isis lsdb 0000.0000.0004.00-00 verbose Database information for ISIS(1) -------------------------------- Level-1 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 0000.0000.0004.00-00 0x00000022 0xd28c 1120 77 1/0/0 SOURCE 0000.0000.0004.00 NLPID IPV4 AREA ADDR 49.0010 INTF ADDR 192.168.46.4 INTF ADDR 192.168.14.4 +NBR ID 0000.0000.0004.01 COST: 10 +IP-Extended 192.168.46.0 255.255.255.0 COST: 10 +IP-Extended 192.168.14.0 255.255.255.0 COST: 10 没有做路由泄露之前,R8给的LSP是这样的 <R6>display isis lsdb 0000.0000.0008.00-00 verbose Database information for ISIS(1) -------------------------------- Level-1 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 0000.0000.0008.00-00 0x0000000f 0x2710 1121 77 1/0/0 SOURCE 0000.0000.0008.00 NLPID IPV4 AREA ADDR 49.0010 INTF ADDR 192.168.68.8 INTF ADDR 192.168.81.8 +NBR ID 0000.0000.0008.01 COST: 10 +IP-Extended 192.168.68.0 255.255.255.0 COST: 10 +IP-Extended 192.168.81.0 255.255.255.0 COST: 130 ============================================================ ============================================================ ============================================================ 做路由泄露之后,R4给的LSP是这样的 <R6>dis isis lsdb 0000.0000.0004.00-00 verbose Database information for ISIS(1) -------------------------------- Level-1 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 0000.0000.0004.00-00 0x00000021 0xd312 1184 127 1/0/0 SOURCE 0000.0000.0004.00 NLPID IPV4 AREA ADDR 49.0010 INTF ADDR 192.168.46.4 INTF ADDR 192.168.14.4 +NBR ID 0000.0000.0004.01 COST: 10 +IP-Extended 192.168.46.0 255.255.255.0 COST: 10 +IP-Extended 192.168.14.0 255.255.255.0 COST: 10 +IP-Extended* 192.168.35.0 255.255.255.0 COST: 40 +IP-Extended* 10.10.7.7 255.255.255.255 COST: 50 +IP-Extended* 192.168.57.0 255.255.255.0 COST: 50 +IP-Extended* 192.168.23.0 255.255.255.0 COST: 30 +IP-Extended* 192.168.2.1 255.255.255.255 COST: 50 +IP-Extended* 192.168.12.0 255.255.255.0 COST: 20 做路由泄露之后,R8给的LSP是这样的 <R6>dis isis lsdb 0000.0000.0008.00-00 verbose Database information for ISIS(1) -------------------------------- Level-1 Link State Database LSPID Seq Num Checksum Holdtime Length ATT/P/OL ------------------------------------------------------------------------------- 0000.0000.0008.00-00 0x0000000e 0x46a4 1101 127 1/0/0 SOURCE 0000.0000.0008.00 NLPID IPV4 AREA ADDR 49.0010 INTF ADDR 192.168.68.8 INTF ADDR 192.168.81.8 +NBR ID 0000.0000.0008.01 COST: 10 +IP-Extended 192.168.68.0 255.255.255.0 COST: 10 +IP-Extended 192.168.81.0 255.255.255.0 COST: 130 +IP-Extended* 192.168.35.0 255.255.255.0 COST: 160 +IP-Extended* 10.10.7.7 255.255.255.255 COST: 170 +IP-Extended* 192.168.57.0 255.255.255.0 COST: 170 +IP-Extended* 192.168.23.0 255.255.255.0 COST: 150 +IP-Extended* 192.168.2.1 255.255.255.255 COST: 170 +IP-Extended* 192.168.12.0 255.255.255.0 COST: 140
5)验证
没做路由渗透之前,先测试一遍 tracert 192.168.2.1
tracert 10.10.7.7
display ip routing-table protocol isis
display isis cost interface GigabitEthernet 0/0/0
做完路由渗透之后,在测试一遍
tracert 192.168.2.1
tracert 10.10.7.7
display ip routing-table protocol isis
display isis cost interface GigabitEthernet 0/0/0
九、ISIS认证
1、根据报文的种类,认证可以分为以下三类:
▫接口认证:在接口视图下配置,对Level-1和Level-2的Hello报文进行认证。
▫区域认证:在IS-IS进程视图下配置,对Level-1的CSNP、PSNP和LSP报文进行认证。
▫路由域认证:在IS-IS进程视图下配置,对Level-2的CSNP、PSNP和LSP报文进行认证。
运行ISIS的路由器,可以同时配置接口认证,区域认证,和路由域认证
2、接口认证
▫Hello报文使用的认证密码保存在接口下,互相连接的路由器接口必须配置相同的口令。
配置命令: [R1]int g0/0/1 [SW1-G0/0/1]isis authentication-mode md5 123 //配置接口认证 备注:接口认证,会影响邻居关系的建立
2、区域认证
▫区域内的每一台L1路由器都必须使用相同的认证模式和具有共同的密钥。
[R6]isis 1 [R6-isis-1]area-authentication-mode md5 123 //配置区域认证 备注:区域认证,影响的是L1数据库同步 配置区域认证,同一个L1区域的路由器都要配置区域配置
3、路由域认证
▫IS-IS域内的每一台L2和L1/L2类型的路由器都必须使用相同模式的认证,并使用共同的钥匙串
[R1]isis 1 [R1-isis-1]domain-authentication-mode md5 123 //配置路由域认证 备注:路由域认证,影响的是L2的数据库同步 配置路由域认证,L2骨干区域的所有的路由器都要配置