ISIS协议配置实验指导书

1、ISIS 路由协议配置ISIS 路由协议配置原理概述IS-IS 最初是国际标准化组织 ISO (the International Organization for Standardization )为它的无连接网络协议 CLNP ( Connectionless Network Protocol)设计的一种动态路由协议。为了提供对 IP 的路由支持， IETF 在 RFC1195 中对 IS-IS 进行了扩充和修改，使它能 够同时应用在 TCP/IP 和 OSI 环境中，修改后的 IS-IS 协议被称为集成化 IS-IS ( Integrated IS-IS 或 Dual IS-IS )。I

2、S-IS 属于内部网关协议 IGP ( Interior Gateway Protocol)，用于自治系统内部。 ISIS 是一种链路状态协议，使用最短路径优先SPF( Shortest Path First )算法进行路由计算，与 OSPF 协议有很多相似之处。为了支持大规模的路由网络， IS-IS 在路由域内采用两级的分层结构。一个大的路由域 被分成一个或多个区域( Areas )。区域内的路由通过 Level-1 路由器管理，区域间的路由 通过 Level-2 路由器管理。运行 IS-IS 协议的网络与 OSPF 的多区域网络拓扑结构非常相似。其中骨干区域中所 有设备一般为 Level-

3、2 路由器。非骨干区域通过 Level-1-2 路由器与骨干路由器相连，区 域内部一般是 Level-1 路由器。 IS-IS 的骨干网( Backbone )指的不是一个特定的区域， 即区域号可以不同。这种组网方案也体现出 IS-IS 与 OSPF 的不同点。在 OSPF 中，区域之间的路由需要 通过骨干区域转发，只有在同一个区域内才使用 SPF 算法。而 IS-IS 不论是 Level-1 还是 Level-2 路由，都采用 SPF算法，分别生成最短路径树 SPT(Shortest Path Tree )。实验目的掌握配置 IS-IS 路由协议的基本方法 掌握不同网络环境使用 IS-IS

4、的方法 掌握修改 IS-IS 开销的方法 掌握 IS-IS 认证的方法 掌握 IS-IS 特性优化的方法 理解掌握 IS-IS 聚合特性 掌握 IS-IS 不同区域的渗透技术 掌握下放缺省路由的方法实验内容1. 任务要求公司 A 网络如实验拓扑所示，请根据如下需求对网络进行部署：1) R1 所属区域 ID 为 49.0001 ， R2、R3 、R4 和 R5 所属区域 ID 为 49.0002 ， R6 所属区 域 ID 为 49.0006 ，各个设备的 System ID 为 0000.0000.000X ；2) 根据拓扑通告相应设备上的接口， R6 的 E1/0/0 运行 IS-IS 协议

5、，但是不会将任何 ISIS 报文发往 E1/0/0 所连接网段， 另外 IS-IS 区域需要学习到 E1/0/0 直连网段的地址；3) R1 为 Level-2 层级设备， R2 和 R3 为 Level-1-2 层级设备， R4 和 R5 为接口级别的 Level-1 层级设备， R6 为接口的 Level-2 层级设备；4) 由于使用 System ID 标识设备不便于网络维护，请通过合适命令以使用设备编号(设 备编号即为 R1，R2 ，R3 等)进行标识；5) R4 与 R5 之间不能出现 DIS ，并建立可靠的邻居关系；6) IS-IS 可以自动计算 Cost ；7) 选择合适的认证模

6、式对区域 49.0002 的 LSP 和 SNP 进行验证，验证密码 HUAWEI ， 认证类型为 MD5 ；8) 为了进一步提升 R4 和 R5 之间带宽的利用率， 需要禁止 R4 与 R5 相互发送 hello 使用 填充字段；9) R4 将直连网段 4.0.X.0/24 引入 IS-IS ；R1 将直连网段 1.0.X.0/24 引入 IS-IS ，并进行 最优聚合，请使用最少命令；10) R2 与 R3 禁止将 4.0.0.0/24 和 4.0.2.0/24 发布进区域 47.0001 ，请使用 ACL ，禁用 route-policy ；保证 R4 和 R5 能够学习到汇总之后网段

7、1.0.X.0/24 ，禁用 route-policy ；11) R6 禁止将 R1 产生的汇总路由加入到路由表； 但是当 R1 存在汇总之后网段 1.0.X.0/24 的路由信息时，需发布缺省路由。第 5 页 ，总共 20 页实验拓扑实验编址表设备接口IP地址子网掩码默认网关R1S2/0/0.212.1.1.1255.255.255.0N/AS2/0/0.313.1.1.1255.255.255.0N/AG0/0/016.1.1.1255.255.255.0N/ALoopback010.1.1.1255.255.255.255N/AR2S2/0/0.212.1.1.2255.255.255.

8、0N/AS2/0/124.1.1.2255.255.255.0N/ALoopback010.2.2.2255.255.255.255N/AR3S2/0/0.313.1.1.3255.255.255.0N/AS2/0/135.1.1.3255.255.255.0N/ALoopback010.3.3.3255.255.255.255N/AR4S2/0/124.1.1.4255.255.255.0N/AE1/0/045.1.1.4255.255.255.0N/ALoopback010.4.4.4255.255.255.255N/AR5S2/0/135.1.1.5255.255.255.0N/AE1/

9、0/045.1.1.5255.255.255.255N/ALoopback010.5.5.5255.255.255.255N/AR6G0/0/016.1.1.6255.255.255.0N/AE1/0/06.0.0.1255.255.255.0N/ALoopback010.6.6.6255.255.255.255N/A验证与提示1. R1 所属区域 ID 为49.0001 ，R2 、R3 、R4 和R5 所属区域 ID 为 49.0002 ，R6 所属区域 ID 为 49.0006 ，各个设备的 System ID 为 0000.0000.000X根据实验编址表进行相应的基本配置，并使用 di

10、splay isis 1 brief 命令 IS-IS 协议的 概要信息。下面只以 R1 作为示例(下面表格只是给出了关键信息，有部分信息进行了省 略)：R1display isis 1 briefISIS Protocol Information for ISIS(1)SystemId: 0000.0000.0001System Level: L12Area-Authentication-mode: NULLDomain-Authentication-mode: NULLIpv6 is not enabledISIS is in invalid restart statusISIS is i

11、n protocol hot standby state: Real-Time Backup 我们在配置过程中只需仔细查看并明确需求，不要出现配置上的错误即可。2. 根据拓扑通告相应设备上的接口， R6 的 E1/0/0 运行 IS-IS 协议，但是不会 将任何 IS-IS 报文发往 E1/0/0 所连接网段，另外 IS-IS 区域需要学习到 E1/0/0 直连网段的地址完成该需求之后，我们通过命令display isis interface查看使能 IS-IS 协议的接口，通过命令 display isis peer 来查看 IS-IS 邻居，通过命令 display ip routing-

12、table protocol isis 来查看 IS-IS 路由表，下面只以 R1 作为示例(下面表格只是给出了关键信 息，有部分信息进行了省略) ：R1display isis interfaceInterface information for ISIS(1)Interface Id IPV4.State IPV6.State MTU Type DISISIS 路由协议配置GE0/0/0001UpLoop0001Up002Up003UpS2/0/0.2S2/0/0.3Down1497 L1/L2 No/NoDown1500 L1/L2 -Down1500 L1/L2 -Down1500 L

13、1/L2 R1display isis peerPeer information for ISIS(1)System IdInterfaceCircuit IdState HoldTime Type PRI0000.0000.0006GE0/0/00000.0000.0006.01 Up8sL2(L1L2) 640000.0000.0002S2/0/0.20000000002Up22sL20000.0000.0003S2/0/0.30000000001Up23sL2R1display ip routing-table protocol isisDestination/Mask Proto Pr

14、e Cost Flags NextHop Interface6.0.0.0/24ISIS-L2 1574D16.1.1.6GigabitEthernet0/0/010.2.2.2/32ISIS-L2 1510D12.1.1.2Serial2/0/0.210.3.3.3/32ISIS-L2 1510D13.1.1.3Serial2/0/0.310.4.4.4/32ISIS-L2 1520D12.1.1.2Serial2/0/0.210.5.5.5/32ISIS-L2 1520D13.1.1.3Serial2/0/0.310.6.6.6/32ISIS-L2 1510D16.1.1.6Gigabit

15、Ethernet0/0/024.1.1.0/24ISIS-L2 1520D12.1.1.2Serial2/0/0.235.1.1.0/24ISIS-L2 1520D13.1.1.3Serial2/0/0.345.1.1.0/24ISIS-L2 1530D13.1.1.3Serial2/0/0.3ISIS-L2 1530D12.1.1.2Serial2/0/0.2我们在配置过程中，首先需要注意 IS-IS 运行在帧中继网络之上时，需要将帧中继接口配置成子接口，并且设置为 P2P 模式，否则即使更改网络类型， IS-IS 也不会建立邻居。另外，当我们对 R6 的 E1/0/0 接口进行操作时，需要

16、注意理解 IS-IS 的特性。 此处也可以考虑通过以下命令对结果进行验证：3. R1 为 Level-2 层级设备， R2 和 R3 为 Level-1-2 层级设备， R4 和 R5 为Level-1 层级设备， R6 为接口的 Level-2 层级设备完成该需求后，我们通过命令 display isis brief 来查看设备工作那个层级。下面只以R1 作为示例（下面表格只是给出了关键信息，有部分信息进行了省略） ：R1display isis 1 briefISIS Protocol Information for ISIS（1）SystemId: 0000.0000.0001Syste

17、m Level: L2Area-Authentication-mode: NULLDomain-Authentication-mode: NULLIpv6 is not enabledISIS is in invalid restart statusISIS is in protocol hot standby state: Real-Time Backup 根据需求需要将 R6 设置成接口的 Level-2 层级，也就是要求不能通过全局命令 is- level 来实现对于设备级别的定义。此处也可以考虑通过以下命令对结果进行验证： display isis peer4. 由于使用 System

18、 ID 标识设备不便于网络维护，请通过合适命令以使用设备编号（设备编号即为 R1，R2 ，R3 等）进行标识完成该需求之后，我们通过命令display isis name-table查看本地和远端 IS-IS 设备主机名到系统 ID 的映射关系表，下面只以 R1 作为示例（下面表格只是给出了关键信息， 有部分信息进行了省略） ：R1display isis name-tableName table information for ISIS（1）System IDHostname Type0000.0000.0001R1DYNAMIC0000.0000.0002R2DYNAMIC0000.000

19、0.0003R3DYNAMIC0000.0000.0006 R6 DYNAMIC 该属性是随 LSP 发送给各个运行 IS-IS 设备的， 在配置该特定时需要特别注意， 指定的 动态主机名有长度限制，并不是任意长度。此处也可以考虑通过以下命令对结果进行验证： display isis peer display isis lsdbR5 作为示例5. R4 与 R5 之间不能出现 DIS ，并建立可靠的邻居关系完成该需求后，我们通过查看 R4 与 R5 互连接口的网络类型，下面只以下面表格只是给出了关键信息，有部分信息进行了省略）：R5display isis interface Ethernet

20、 1/0/0 verboseInterface information for ISIS(1)InterfaceIdIPV4.StateIPV6.StateMTU Type DISEth1/0/0003UpDown1497 L1/L2 -Circuit MT State: StandardCircuit Parameters: p2pDescription: HUAWEI, AR Series, Ethernet1/0/0 InterfaceSNPA Address: 00e0-fc04-31d5第 21 页 ，总共 20 页: 45.1.1.5IP AddressIS-IS 的 P2P 网络

21、类型建立邻居需要进行强制三次握手，依次来保证邻居建立的可靠，防止单通现象的发生。此处也可以考虑通过以下命令对结果进行验证：display isis peer6. IS-IS 可以自动计算 Cost完成该需求后，我们通过命令display isis cost interface查看各个接口的 cost 值，面只以 R1 作为示例（下面表格只是给出了关键信息，有部分信息进行了省略）：R1display isis cost interface GigabitEthernet 0/0/0Interface: GE0/0/0Level-2 interface costTopology base（0）:L

22、ink effective cost: 1(A)enabled by auto costIP prefix effective cost:16.1.1.0/24cost: 1enabled by auto costFlags: R-Relative costA-Absolute cost首先，缺省情况 IS-IS 的链路开销为 10 。另外，如果 IS-IS 需要开启自动计算链路开销的功能， 则开销类型必须为 wide 或 wide-compatible 。此处也可以考虑通过以下命令对结果进行验证： display isis interface GigabitEthernet 0/0/0 ve

23、rbose | include Cost7. 选择合适的认证模式对区域 49.0002 的 LSP 和 SNP 进行验证，验证密码HUAWEI ，认证类型为 MD5完成该需求后，我们通过命令 display isis error 来查看验证是否配置成功，下面只以R5 作为示例(下面表格只是给出了关键信息，有部分信息进行了省略)：R5display isis error | include AuthenticationStatistics of error packets for ISIS(1)LSP packet errors:Bad Authentication: 0Bad Auth Cou

24、nt: 0Hello packet errors:Mismatched Max Area Addr: 0 Bad Authentication : 0 在完成需求过程中，我们需要注意， IS-IS 的报文认证分为 3 种方式，不同验证方式有 不同的作用。此处也可以考虑通过以下命令对结果进行验证： display isis brief8. 为了进一步提升 R4 和 R5 之间带宽的利用率，需要禁止 R4 与 R5 相互发 送 hello 使用填充字段完成该需求后， 我们通过查看 R4 和 R5 接口 E1/0/0 的详细信息， 下面只以 R5 作为示 例(下面表格只是给出了关键信息，有部分信息进

25、行了省略)：R5display isis interface Ethernet 1/0/0 verboseInterface information for ISIS(1)Interface IdIPV4.StateIPV6.StateMTU Type DISEth1/0/0 003UpDown1497 L1/L2 -Circuit MT State: StandardCircuit Parameters: small-hello p2pDescriptionSNPA AddressIP Address: 00e0-fc04-31d5: 45.1.1.5: HUAWEI, AR Series,

26、 Ethernet1/0/0 Interface实际上不同的网络类型对 Hello 包的处理是不同的。9. R4 将直连网段 4.0.X.0/24 引入 IS-IS ；R1 将直连网段 1.0.X.0/24 引入 IS- IS，并进行最优聚合且充分考虑环路避免，请使用最少命令 完成该需求后，我们通过命令 display ip routing-table protocol isis 查看 IS-IS路由，这里给出 R6 的输出信息，结果应该如下表所示（下面表格只是给出了关键信息，有 部分信息进行了省略）：R6display ip routing-table protocol isis -Dest

27、ination/MaskProtoPre CostFlags NextHopInterface1.0.0.0/22ISIS-L2 151D16.1.1.1GigabitEthernet0/0/04.0.0.0/24ISIS-L2 15987D16.1.1.1GigabitEthernet0/0/04.0.1.0/24ISIS-L2 15987D16.1.1.1GigabitEthernet0/0/04.0.2.0/24ISIS-L2 15987D16.1.1.1GigabitEthernet0/0/04.0.3.0/24ISIS-L2 15987D16.1.1.1GigabitEthernet

28、0/0/0在完成需求过程中， 我们需要注意， 引入网段需要与需求严格对应， 不能引入不相关的 网段。另外， IS-IS 在做路由聚合时，缺省情况是不会产生指向 Null0 接口的路由。10. R2 与 R3 禁止将 4.0.0.0/24 和 4.0.2.0/24 发布进区域 47.0001 ，请使用 ACL ；保证 R4 和 R5 能够学习到汇总之后网段 1.0.X.0/24 ，禁用 routepolicy完成该需求后，我们通过命令 display ip routing-table protocol isis 查看路由条 目，这里给出 R1 和 R4 的输出信息（下面表格只是给出了关键信息，有

29、部分信息进行了省略）R1display ip routing-tableprotocol isisDestination/MaskProtoPre CostFlags NextHopInterface4.0.1.0/24ISIS-L2 15976D12.1.1.2Serial2/0/0.24.0.3.0/24ISIS-L2 15976D12.1.1.2Serial2/0/0.26.0.0.0/24ISIS-L2 1511D16.1.1.6GigabitEthernet0/0/010.2.2.2/32ISIS-L2 15488D12.1.1.2Serial2/0/0.210.3.3.3/32IS

30、IS-L2 15488D13.1.1.3Serial2/0/0.310.4.4.4/32ISIS-L2 15976D12.1.1.2Serial2/0/0.210.5.5.5/32ISIS-L2 15976D13.1.1.3Serial2/0/0.310.6.6.6/32ISIS-L2 151D16.1.1.6GigabitEthernet0/0/024.1.1.0/24ISIS-L2 15976D12.1.1.2Serial2/0/0.235.1.1.0/24ISIS-L2 15976D13.1.1.3Serial2/0/0.345.1.1.0/24ISIS-L2 15986D12.1.1.

31、2Serial2/0/0.2ISIS-L2 15986D13.1.1.3Serial2/0/0.3R4display ip routing-table protocol isisDestination/MaskProtoPre CostFlags NextHopInterface0.0.0.0/0ISIS-L1 15488D24.1.1.2Serial2/0/11.0.0.0/22ISIS-L1 15976D24.1.1.2Serial2/0/110.2.2.2/32ISIS-L1 15488D24.1.1.2Serial2/0/110.3.3.3/32ISIS-L1 15498D45.1.1

32、.5Ethernet1/0/010.5.5.5/32ISIS-L1 1510D45.1.1.5Ethernet1/0/012.1.1.0/24ISIS-L1 15976D24.1.1.2Serial2/0/113.1.1.0/24ISIS-L1 15986D45.1.1.5Ethernet1/0/035.1.1.0/24ISIS-L1 15498D45.1.1.5Ethernet1/0/0仔细查看需求我们可以得出，该题目实际上是对 L1/L2 双向泄露的考察 。我们在实现 该需求时，需要严格匹配放行或过滤的网段。11. R6 禁止将 R1 产生的汇总路由加入到路由表； 但是当 R1 存在汇总之

33、后网段1.0.X.0/24 的路由信息时，需发布缺省路由完成该需求后，我们通过命令displayiprouting-tableprotocol isis 查看路由条目，这里给出 R6的输出信息（下面表格只是给出了关键信息，有部分信息进行了省略）。R6display ip routing-table protocol isisDestination/MaskProto Pre CostFlags NextHopInterface0.0.0.0/0ISIS-L2 151D16.1.1.1GigabitEthernet0/0/04.0.1.0/24ISIS-L2 15977D16.1.1.1Giga

34、bitEthernet0/0/04.0.3.0/24ISIS-L2 15977D16.1.1.1GigabitEthernet0/0/010.1.1.1/32ISIS-L2 151D16.1.1.1GigabitEthernet0/0/010.2.2.2/32ISIS-L2 15489D16.1.1.1GigabitEthernet0/0/010.3.3.3/32ISIS-L2 15489D16.1.1.1GigabitEthernet0/0/010.4.4.4/32ISIS-L2 15977D16.1.1.1GigabitEthernet0/0/010.5.5.5/32ISIS-L2 159

35、77D16.1.1.1GigabitEthernet0/0/012.1.1.0/24ISIS-L2 15489D16.1.1.1GigabitEthernet0/0/013.1.1.0/24ISIS-L2 15489D16.1.1.1GigabitEthernet0/0/024.1.1.0/24ISIS-L2 15977D16.1.1.1GigabitEthernet0/0/035.1.1.0/24ISIS-L2 15977D16.1.1.1GigabitEthernet0/0/045.1.1.0/24ISIS-L2 15987D16.1.1.1GigabitEthernet0/0/0思考需求

36、 1 中，如果不是用帧中继子接口或者子接口类型设置为 P2MP ，那么 IS-IS 邻居是 否能够建立？需求 2 中，为什么 R2 和 R3 没有使用对方发布的缺省路由？需求 11 中，在 R6 上执行路由过滤，那么相应的 LSP 是否会被过滤？另外，按条件发 布缺省时，需要注意些什么？配置清单<R1>display current-configuration#sysname R1#acl number 2010rule 5 permit source 1.0.0.0 0.0.252.255#isis 1is-level level-2cost-style wideauto-cos

37、t enablenetwork-entity 49.0001.0000.0000.0001.00 is-name R1import-route direct route-policy SUMM default-route-advertise route-policy OTHERROUTE summary 1.0.0.0 255.255.252.0#interface Serial2/0/0 link-protocol fr undo fr inarp#interface Serial2/0/0.2fr dlci 102ip address 12.1.1.1 255.255.255.0fr ma

38、p ip 12.1.1.2 102 broadcastisis enable 1#interface Serial2/0/0.3fr dlci 103ip address 13.1.1.1 255.255.255.0fr map ip 13.1.1.3 103 broadcastisis enable 1#interface GigabitEthernet0/0/0ip address 16.1.1.1 255.255.255.0isis enable 1#interface LoopBack0ip address 10.1.1.1 255.255.255.255isis enable 1#i

39、nterface LoopBack10ip address 1.0.0.1 255.255.255.0 #interface LoopBack11ip address 1.0.1.1 255.255.255.0 #interface LoopBack12ip address 1.0.2.1 255.255.255.0 #interface LoopBack13ip address 1.0.3.1 255.255.255.0 #route-policy SUMM permit node 10if-match ip-prefix SUMM#route-policy OTHERROUTE permi

40、t node 10 if-match acl 2010#ip ip-prefix SUMM index 10 permit 1.0.0.0 22 greater-equal 24 less-equal 24 # return<R2>display current-configuration#sysname R2#acl number 2000rule 5 deny source 4.0.0.0 0.0.254.255rule 10 permit# isis 1cost-style wide auto-cost enablenetwork-entity 49.0002.0000.00

41、00.0002.00 is-name R2import-route isis level-2 into level-1 filter-policy ip-prefix LEAKSUMM import-route isis level-1 into level-2 filter-policy 2000 area-authentication-mode md5 plain HUAWEI# interface Serial2/0/0link-protocol frundo fr inarp# interface Serial2/0/0.2fr dlci 201ip address 12.1.1.2

42、255.255.255.0fr map ip 12.1.1.1 201 broadcastisis enable 1#interface Serial2/0/1link-protocol pppip address 24.1.1.2 255.255.255.0isis enable 1#interface LoopBack0ip address 10.2.2.2 255.255.255.255isis enable 1#ip ip-prefix LEAKSUMM index 10 permit 1.0.0.0 22#return<R3>display current-configu

43、ration#sysname R3#acl number 2000rule 5 deny source 4.0.0.0 0.0.254.255rule 10 permit#isis 1cost-style wideauto-cost enablenetwork-entity 49.0002.0000.0000.0003.00 is-name R3import-route isis level-2 into level-1 filter-policy ip-prefix LEAKSUMM import-route isis level-1 into level-2 filter-policy 2

44、000 area-authentication-mode md5 plain HUAWEI#interface Serial2/0/0 link-protocol fr undo fr inarp#interface Serial2/0/0.3fr dlci 301ip address 13.1.1.3 255.255.255.0fr map ip 13.1.1.1 301 broadcastisis enable 1#interface Serial2/0/1 link-protocol ppp ip address 35.1.1.3 255.255.255.0 isis enable 1#

45、interface LoopBack0ip address 10.3.3.3 255.255.255.255isis enable 1#ip ip-prefix LEAKSUMM index 10 permit 1.0.0.0 22#return<R4>display current-configuration#sysname R4#isis 1is-level level-1cost-style wideauto-cost enablenetwork-entity 49.0002.0000.0000.0004.00is-name R4import-route direct level-1 route-policy SUMM area-authentication-mode md5 plain HUAWEI#interface Ethernet1/0/0ip address 45.1.1.4 255.255.255.0isis enable 1isis circuit-type p2pisis small-hello#interface Serial2/0/1link-protocol ppp