华为HCIE7-中间系统到中间系统的路由泄露、防环、认证和优化机制
中间系统到中间系统协议下的路由泄露、防环、认证和优化机制,实施!
回顾:
isis的邻居
邻居拍错(mtu、L1/2、系统id)
isis的报文(9种)
L1设备、L2、L1/L2设备
实施拓扑
1.路由泄露以及ISIS的汇总
1.1 背景
L1默认得不到L2的明细路由
但是L2可以得到L1的明细路由,此时需要路由泄露,优化路径或者作出控制
[R2-isis-1]import-route isis level-2 into level-1 ?
filter-policy Set route filtering policy //匹配的路由才会下发
tag Specify the value of the tag //TAG,isis的管理TAG
<cr> Please press ENTER to execute command //直接回车,就是把所有路由泄露
import-route isis level-2 into level-1 filter-policy 2001 //在L1/L2上把L2路由泄露到L1路由的时候作出控制,只有acl 2001匹配的路由可以被下发到L1,但是L1/L2设备的直连在华为设备没有做出控制
!
acl number 2001
rule 5 permit source 20.20.20.20 0 //ACL命中的路由,下面一个entry是拒绝掉其他路由
rule 10 deny
#
另外一个L1/L2设备R4的实施:
isis 1
network-entity 49.0124.4444.4444.4444.00
is-name QYT-R4
import-route isis level-2 into level-1 filter-policy 2000
[R1]dis ip routing-table protocol isis
Route Flags: R - relay, D - download to fib
Public routing table : ISIS
Destinations : 6 Routes : 8
ISIS routing table status : <Active>
Destinations : 6 Routes : 8
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 ISIS-L1 15 10 D 10.1.12.2 Serial2/0/0ISIS-L1 15 10 D 10.1.14.4 GigabitEthernet0/0/010.1.20.0/24 ISIS-L1 15 20 D 10.1.12.2 Serial2/0/010.1.40.0/24 ISIS-L1 15 20 D 10.1.14.4 GigabitEthernet0/0/0
20.20.20.20/32 ISIS-L1 15 20 D 10.1.14.4 GigabitEthernet0/0/0ISIS-L1 15 20 D 10.1.12.2 Serial2/0/022.1.1.1/32 ISIS-L1 15 10 D 10.1.12.2 Serial2/0/044.1.1.1/32 ISIS-L1 15 10 D 10.1.14.4 GigabitEthernet0/0/01.2 up/down比特用于在区域间泄露路由时候的防环
ISIS在引入区域间路由的时候容易引发环路,它通过UP/DOWN比特来防环
L2进入L1,down置位,就不在允许这些路由通过其他的L1/L2再引入回L2区域
L1进入L2,UP置位,就不在允许这些路由通过其他的L1/L2再引入回L1区域
dis isis route
20.20.20.20/32 20 NULL GE0/0/0 10.1.14.4 A/-/-/U
S2/0/0 10.1.12.2
这里的U代表UP比特置位
1.3 汇总路由
isis的汇总可以在L1/L2设备完成
聚合的时候如果不加任何参数:
把L2路由引入到L1区域,同时做汇总,没有加任何参数,没有成功
把L1路由更新到L2区域,同时做汇总,没有加任何参数,成功
[R2-isis-1]summary 20.0.0.0 255.0.0.0 level-1 //把L2路由聚合到L1
[R4-isis-1]summary 1.1.0.0 255.255.0.0 //把L1的路由聚合到L2
<R1>dis ip rou pro isis
20.0.0.0/8 ISIS-L1 15 20 D 10.1.12.2 Serial2/0/0
2.isis中的overload 比特(过载位)
路由过载,在设计之初是为了表明设备性能不足、内存、CPU资源不足导致SPF无法计算
现在更多的是和其他协议来结合使用,比如BGP
[R2-isis-1]set-overload
Warning: The IS-IS process overload state will be set. Continue?[Y/N]y
<R1>dis ip routing-table protocol isis
Route Flags: R - relay, D - download to fib
Public routing table : ISIS
Destinations : 6 Routes : 6
ISIS routing table status : <Active>
Destinations : 6 Routes : 6
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 ISIS-L1 15 10 D 10.1.14.4 GigabitEthernet0/0/010.1.20.0/24 ISIS-L1 15 20 D 10.1.12.2 Serial2/0/010.1.40.0/24 ISIS-L1 15 20 D 10.1.14.4 GigabitEthernet0/0/0
20.20.20.20/32 ISIS-L1 15 20 D 10.1.14.4 GigabitEthernet0/0/022.1.1.1/32 ISIS-L1 15 10 D 10.1.12.2 Serial2/0/0除了R2的直连,其他路由的下一跳都是R4
<R1>dis isis lsdb
Database information for ISIS(1)--------------------------------Level-1 Link State DatabaseLSPID Seq Num Checksum Holdtime Length ATT/P/OL
R1.00-00 0x0000000f 0xee7b 665 133 0/0/0
R1.01-00 0x00000008 0xcc57 665 55 0/0/0
R2.00-00 0x0000001f 0xe981 1011 114 0/0/1
3.控制isis的收敛(ispf,PRC、智能计时器、泛洪、按照优先级收敛)
[R1-ospf-1]flooding-control number 100 timer-interval 30
flash-flood 15 level-1
flash-flood 15 level-2
4.cost-style和管理TAG
默认是窄度量,最大开销仅仅是63而已,取值范围1-63,扩展性问题可能导致路由无法计算或者识别;MPLS TE也要求实现一个宽度量。cost-style不同导致路由无法计算。
[R1-isis-1]cost-style wide
tag,很多时候用于外部路由,但是ISIS协议(EIGRP)可以支持内部路由的管理TAG,以便灵活的实现“标记”路由
[R4-isis-1]import-route isis level-2 into level-1 filter-policy 2000 tag 444
[R2-isis-1]import-route isis level-2 into level-1 filter-policy 2001 tag 222 //区域间引入路由时增加的TAG,也可以从其他路由引入到isis时增加TAG
[R1]dis ip routing-table 20.20.20.20 verbose
Route Flags: R - relay, D - download to fib
Routing Table : Public
Summary Count : 2
Destination: 20.20.20.20/32
Protocol: ISIS-L1 Process ID: 1
Preference: 15 Cost: 20
NextHop: 10.1.14.4 Neighbour: 0.0.0.0
State: Active Adv Age: 00h00m00s
Tag: 444 Priority: medium
Label: NULL QoSInfo: 0x0
IndirectID: 0x0
RelayNextHop: 0.0.0.0 Interface: GigabitEthernet0/0/0
TunnelID: 0x0 Flags: D
Destination: 20.20.20.20/32
Protocol: ISIS-L1 Process ID: 1
Preference: 15 Cost: 20
NextHop: 22.1.1.1 Neighbour: 0.0.0.0
State: Active Adv Age: 00h00m15s
Tag: 222 Priority: medium
Label: NULL QoSInfo: 0x0
IndirectID: 0x0
RelayNextHop: 0.0.0.0 Interface: Serial2/0/0
TunnelID: 0x0 Flags: D
以下实验演示如何通过tag来操控路由:针对TAG 222,拒绝该路由,允许其他路由
route-policy QYT deny node 10
if-match tag 222 //如果匹配到TAG,那么行为为拒绝
#
route-policy QYT permit node 20
isis
filter-policy route-policy QYT import //在路由进程下做出控制
[R1-route-policy]dis ip rou pro isis
Route Flags: R - relay, D - download to fib
Public routing table : ISIS
Destinations : 6 Routes : 7
ISIS routing table status : <Active>
Destinations : 4 Routes : 5
Destination/Mask Proto Pre Cost Flags NextHop Interface
0.0.0.0/0 ISIS-L1 15 10 D 10.1.14.4 GigabitEthernet0/0/0ISIS-L1 15 10 D 22.1.1.1 Serial2/0/010.1.20.0/24 ISIS-L1 15 20 D 22.1.1.1 Serial2/0/010.1.40.0/24 ISIS-L1 15 20 D 10.1.14.4 GigabitEthernet0/0/0
20.20.20.20/32 ISIS-L1 15 20 D 10.1.14.4 GigabitEthernet0/0/0作业需求:
1.R2和R4仅仅把SW2的环回接口引入到R1上,同时增加TAG222和TAG444(不要忘记配置为宽度量)
2.观察UP/DOWN比特位
3.R2、R4上做出控制仅仅把R1的环回接口引入到L2,观察UP/DOWN比特
另外一种方式:[SW2-LoopBack0]isis tag-value 222 //该接口属于的前缀被赋予了TAG 222,在区域间泄露的时候会被拿掉。
TAG在BGP有类似的工具,称之为团体属性(community)
5.认证
非常有特点的IS-IS认证
5.1 接口认证
针对IIH做的认证,如果失败(认证类型和认证数据都必须抑制)则缺少邻居
interface Serial2/0/0
link-protocol ppp
ip address unnumbered interface LoopBack0
isis enable 1
isis authentication-mode simple plain qytang
5.2 L1的SNP报文和LSP报文的认证
isis
area-authentication-mode md5 plain huawei //实验表明,只要认证类型和数据通过,osi/ip不同没有影响。
5.3 L2的SNP和LSP的认证
keychain hw mode absolute
key-id 1
key-string plain shanghai
isis
domain-authentication-mode keychain HW
BGP概述
边界网关协议(border gateway protocol),bloody good protocol(血好的协议)
基本的(支持IPv4单播路由)BGPv4
×××v4、组播BGP、IPv6的BGP,bgp本身可以支持很多协议-->MP-BGP(多协议bgp)
两种BGP的邻居:iBGP、eBGP,AS号码是否相同
bgp 20
peer 10.1.12.1 as-number 10
#
ipv4-family unicast
undo synchronization
network 22.1.1.1 255.255.255.255 //仅仅具备产生路由的功能
R1:
bgp 10
peer 10.1.12.2 as-number 20
#
ipv4-family unicast
undo synchronization
peer 10.1.12.2 enable
转载于:https://blog.51cto.com/enderjoe/2058147
华为HCIE7-中间系统到中间系统的路由泄露、防环、认证和优化机制相关推荐
- 十二、中间系统到中间系统IS-IS(Intermediate System-to-Intermediate System)
中间系统到中间系统IS-IS(Intermediate System-to-Intermediate System) IS-IS协议基本原理 基础IS-IS特点 支持CLNP网络.IP网络 工作在数据 ...
- ISIS【中间系统到中间系统】is-is链路状态协议
is-is(中间系统到中间系统)协议 文章目录 is-is(中间系统到中间系统)协议 一.协议特征 二.路由区域 L1 L2 L1/L2 骨干区域划分 三.ISIS格式(NSAP) (1)区域地址 ( ...
- ISIS(中间系统到中间系统)及其配置
ISIS:中间系统到中间系统 它是基于链路状态协议 基于OSI系统创建的,它属于IGP协议.和ospf一样基于SPF算法(这里可以看我前面发的ospf),修改后的是集成化的ISIS. ...
- ISIS(中间系统到中间系统)概述
ISIS概述 定义:类似于OSPF的链路状态协议,内部路由协议,同样使用SPF算法进行路由计算. 目的:ISIS使用早期服务于OSI七层模型中的CLNP(无连接网络层协议)层,随着TCP/IP的流行, ...
- 【计算机网络】-中间系统到中间系统(isis)
前言 目录 isis 1.基本特征 概述 地址结构 邻居建立 基本配置 形成邻居的关系 2.对比 ospf和isis的共同特征 ospf的不同点 术语对照表 isis 1.基本特征 intermedi ...
- IS-IS中间系统到中间系统
IS-IS IS-IS概念 IS-IS术语 IS-IS路由类型 IS-IS网络类型和邻居关系 IS-IS地址结构 典型NET生成 IS-IS报文 IS-IS邻居建立 LSDB同步 路由协议优先级 路由 ...
- 乾颐堂军哥HCIE5-OSPF的NSSA区域细节和中间系统到中间系统基础
1.OSPF 特殊区域 实施拓扑: 1.1 NSSA区域 STUB,3类LSA自动产生的默认路由,1.2肯定还有,也有3类:没有4类.5类 完全末节,仅剩余1.2LSA+3类缺省的LSA NSSA(即 ...
- ISIS(中间系统到中间系统)
ISIS:基于链路状态并使用最短路径优先的IGP(内部网关协议) 优点: 1.能够同时应用在TCP/IP和OSI环境中 2.SPF计算和OSPF基本一样的,但ISIS算法分离了拓扑结构和IP网段,加快 ...
- 中间系统到中间系统IS-IS,基本原理与配置详解
一.IS-IS整体架构 将Level-1路由器部署在非骨干区域,Level-2路由器和Level-1-2路由器部署在骨干区域. 每一个非骨干区域都通过Level-1-2路由器与骨干区域相连! 1.在I ...
最新文章
- JS(内置对象,全局函数,事件,事件对象)
- c# 调用音库开发英语单词记忆本
- 防火墙(3)——iptables(1)
- Android注册会员系统返回上一步时如何保存信息
- MPEG创始人、主席:MEPG商业模式已经破裂
- 二阶齐次线性微分方程的通解公式_数学考研辅导(数二)063|高数常微分方程6
- linux修改jdk文件保存,Linux下更换jdk和配置环境变量详解
- UVA 11423 - Cache Simulator (树状数组)
- Visual studio 2010 中文版安装Siverlight 5 beta tools 总结
- java使用Pattern、Matcher调用正则表达式
- php中的http是什么意思,请问php中三种http请求方式有什么区别呢(cURL,stream,socket)...
- 代理设计模式 实现 Retrofit 的 create
- 全网最全-固定资本存量分省、市、地区、产业-含计算过程
- Cterm里面自动发帖的Python脚本
- [置顶]Gradle 实现 Android 多渠道定制化打包
- 解决mysql load data加载本地null数据,表里出现0的情况
- php+扫描条码,PHP条形码图像生成器
- 电脑不能安装linux,解决部分电脑不能安装Linux问题
- 女生嘴唇怎么画?写实厚涂的女生嘴唇绘画技巧
- C语言调用函数如何返回多个变量值?【基础】