isis区域间的互访
1、L2区域 to L1区域
在L1区域发布的路由会以L1-LSP在L1区域内传递,到达L1-2路由器时,L1-2路由器会将该L1-LSP转换为L2-LSP在L2区域内传递;
因此L2区域的设备可以学习到L1区域的明细路由,进行访问;
2、L1区域 to L2区域
在L2区域发布的路由会以L2-LSP在L2区域内传递,并且无法传递到L1区域,L1区域无法学习到L2区域的明细路由,L1区域的设备通过默认路由访问L2区域;
默认路由的产生过程:
(1)L1-2路由器会产生ATT=1的LSP在L1区域内传递,其余L1路由器收到ATT=1的LSP后,产生默认路由,指向该LSP的产生者;
ATT置位条件:确保产生设备为L1区域的边界设备;
a、L1-2路由器;
b、同时存在L1以及L2的邻居关系;
c、跟L1邻居的区域id需要一致,跟L2邻居的区域id不能一致;
缺陷:L1区域无法得知L2区域的链路开销情况,因此容易出现次优问题;
解决:路由渗透(在L1-2路由器上将L2路由引入到L1区域)
路由渗透可能导致的问题:形成环路(L2路由,通过渗透以L1的LSP在L1区域内传递,到达L1-2路由器时,L1-2路由器会将该路由转成L2-LSP,重新传回L2区域)
解决:isis路由中的UP/DOWN(默认存在,无需手动配置)
经过路由渗透进入L1区域的isis路由的up/down位会被置位为down,down位的路由,无法重新经由L1-2路由器传回L2区域;
LSP中的TYPE BLOCK位:
1、ATT(区域边界位)
2、P(区域修复位)==0(暂时用不着)
3、OL(overload,过载位)
默认为0;
进入到过载模式的设备,会向外发送OL=1的LSP,其余设备收到后,在计算它的非直连路由时,不考虑以过载的设备作为路径;
应用:保护性能无法支撑继续工作设备;
isis 1
set-overload //将设备设置为过载模式
isis路由汇总
配置设备:在产生该LSP的设备上配置;
默认情况下,只针对L2-LSP进行汇总;
isis 1
summary 4.4.4.0 255.255.255.0 //针对自身产生的L2-LSP进行汇总
summary 4.4.4.0 255.255.255.0 level-1 //针对自身产生的L1-LSP进行汇总
isis认证
认证方式:
1、接口认证:针对该接口下的所有hello报文进行认证;
2、区域认证:针对L1区域的SNP以及LSP报文进行认证;
3、路由域认证:针对L2区域的SNP以及LSP报文进行认证;
认证类型:明文、MD5、keychain
配置:
interface GigabitEthernet0/0/0
isis authentication-mode simple plain huawei //接口配置明文认证;
isis 1
area-authentication-mode simple plain huawei //区域认证,针对L1区域的所有SNP以及LSP报文做认证,整个L1区域的设备均需要配置;
area-authentication-mode simple plain huawei snp-packet authentication-avoid //针对L1区域的所有LSP报文做认证
domain-authentication-mode md5 plain huawei //路由域认证,针对L2区域的所有SNP以及LSP报文做认证,整个L2区域的设备均需要配置;
isis路由引入
注意事项:默认只会在level-2区域引入,如果需要在level-1区域进行路由引入,引入时需要增加参数:
isis 1
import-route direct level-1
isis引入路由的开销计算方式:内部开销+外部开销(默认为0)+64(固定数值)
isis 1
import-route direct level-1 cost x //引入时修改外部开销
影响isis邻居建立的因素:
1、路由器类型需要有交集(L1路由器与L2路由器无法建立)
2、system id不能冲突;
3、超时时间可以不一致;(DIS的hello为3.3s,超时时间为9s)
4、L1邻居之间区域id要一致,L2邻居可以不一致;(TLV-1)
5、双方需要在同一网段;
通过在hello报文中携带TLV-132(接口ip)进行检查;
6、两端MTU需要一致;
通过在hello报文中放入填充字段(TLV-8),将hello报文的大小控制在接口的MTU数值进行协商;
7、如果配置了认证,认证需要通过;(通过TLV-10携带认证信息);
8、接口不静默;
9、网络类型需要一致(P2P以及广播型网络使用的报文不一样)
10、开销计算方式;(宽度量与窄度量可以建立邻居,但是路由计算会出错,因为使用的TLV不一致)
ospf与isis的区别:
ospf isis
TCP/IP 网络 数据链路
区域类型: 多样 L1/L2
网络类型 4 2
收敛速度 快 更快
安全性 高 更高,认证可以更精确
路由承载能力 强 更强(一份LSP可以通过TLV携带更多路由)
2、3、5、7类lsa,一份对应一条路由
扩展性 弱 强(通过新增TLV,可以适应网络的变化)
应用: 适用于异构化严重的网络 适用于对网络性能要求较高,并且设备性能较高的网络
(中大型企业网) (运营商网络)
流量控制
流量控制
分类:流量过滤、流量转发路径控制;
特点:1、作用于数据层面/转发层面;
2、不会影响路由表,针对转发流量生效;
实现步骤:
1、通过流量匹配工具匹配流量(ACL);
2、将匹配工具应用到流量控制工具;
3、在设备中应用流量控制工具;
(1)traffic-filter
作用:用于过滤流量;
配置
a、通过ACL匹配流量,其中动作为deny的流量会被过滤,动作为permit或者没有被匹配的流量均不会被过滤;
acl number 3000
rule 5 deny ip source 10.1.12.1 0 destination 7.7.7.7 0 //过滤10.1.12.1到7.7.7.7的流量;
b、将ACL调用到traffic-filter,并且在接口下调用;
interface GigabitEthernet0/0/0
traffic-filter inbound acl 3000 //接口下调用,因此只能对接收的流量生效,对本地产生的流量不生效;
(2)策略路由(PBR)
作用:控制本地流量转发路径;
实现步骤
a、通过ACL匹配需要控制的流量,动作为permit的流量会被匹配上;
acl number 3000
rule 5 permit ip source 2.2.2.2 0 destination 7.7.7.7 0
b、
R2\]policy-based-route 2to7 permit node 10 //创建策略路由2to7,节点10 if-match acl 3000 //指定ACL 3000作为匹配条件 apply ip-address next-hop 10.1.24.4 //将匹配上的流量,从下一跳10.1.24.4转发出去; c、在全局下调用 \[R2\]ip local policy-based-route 2to7 //全局下调用,只能对本设备产生的流量生效,对接收到的流量不生效; 匹配规则: (1)根据node号,由小到大进行匹配; (2)根据if-match中的内容,匹配流量; (3)通过apply指定执行动作; (4)如果流量没有配任何node匹配上,则执行deny动作,默认按照路由表转发; (5)当配置了多个if-match时,必须同时满足了所有if-match条件,才能执行动作; if-match之间的关系为:与 node之间的关系为:或 (3) MQC(模块化QOS命令行) 作用:控制接收到的流量的转发路径 实现步骤 a、通过ACL将需要控制的流量匹配出来,在流分类中调用; acl number 3000 rule 5 permit ip source 2.2.2.2 0 destination 7.7.7.7 0 rule 10 permit ip destination 7.7.7.7 0 traffic classifier a //创建流分类a if-match acl 3000 //调用ACL3000作为匹配条件 b、创建流行为,定义动作 traffic behavior a redirect ip-nexthop 10.1.24.4 //将流量发往10.1.24.4 c、创建流策略,将流分类以及流行为进行绑定 traffic policy a classifier a behavior a d、接口下调用 interface GigabitEthernet0/0/0 traffic-policy a inbound //控制流量走向的策略,只能在接口的入方向调用; \*\*接口下调用,仅能对收到的流量生效,无法对本地产生的流量生效; ACL匹配流量时的注意事项: 1、根据规则号由小到大进行匹配,匹配上执行动作; 2、如果应用于traffic-filter,默认动作为permit; 应用于PBR、MQC时,默认动作为deny; ------------------------------ # 路由控制 特点:作用于控制层面/路由层面; 直接影响路由表; 步骤: 1、匹配工具将需要控制的流量匹配出来;(ACL、地址前缀列表) 2、调用匹配工具到路由控制工具上;(路由策略、过滤策略) 3、设备调用;(需要在路由协议中调用) 匹配工具: 1、ACL 注意事项: (1)ACL匹配路由,只能用基本ACL,基于源ip匹配; (2)ACL用于匹配路由时,默认动作为deny; 2、地址前缀列表 \[R5\]ip ip-prefix a index 10 permit 6.6.6.6 32 //匹配路由6.6.6.6/32 匹配规则: (1)根据index号,由小到大进行匹配; (2)默认动作为deny,不匹配; (3)指定的掩码在指定的掩码范围里,掩码就参与规则制定; (4)只指定了greater-equal,没指定less-equal ,less-equal 以32进行计算。 (5)只指定了less-equal ,没指定greater-equal,greater-equal按照0计算。 ip ip-prefix b index 10 permit 192.168.1.0 25 greater-equal 25 less-equal 27 //匹配192.168.1.0,掩码为25\~27位路由; ip ip-prefix b index 10 permit 192.168.1.0 26 greater-equal 25 less-equal 27 //匹配192.168.1.0,掩码为26\~27位路由; ip ip-prefix b index 10 permit 192.168.1.0 24 greater-equal 25 less-equal 27 //匹配192.168.1.0,掩码为25\~27位路由; ip ip-prefix b index 10 permit 192.168.1.0 25 greater-equal 26 //匹配192.168.1.0,掩码为26\~32位路由; ip ip-prefix b index 10 permit 192.168.1.0 25 less-equal 28 //匹配192.168.1.0,掩码为25\~32位路由; ip ip-prefix b index 10 permit 0.0.0.0 0 less-equal 32 //匹配所有路由 缺陷:无法灵活匹配奇偶路由 1.1.1.1/32 1.1.1.2/32 acl 2000 ------\>rule 5 p s 1.1.1.1 0.0.0.254 //匹配1.1.1.x,x为奇数的路由 ..... 1.1.1.100/32 # 路由策略(route-policy) 作用:可以控制路由的传递,以及修改路由的属性; 调用:ospf isis在引入时调用,或者修改优先级时调用; BGP可以peer邻居时调用; 配置: \[R5\]ip ip-prefix a index 10 permit 6.6.6.6 32 //匹配路由6.6.6.6/32 \[R5\]route-policy a permit node 10 //创建路由策略a,节点10,动作为permit(代表不过滤) if-match ip-prefix a //调用地址前缀列表a,作为匹配条件 apply tag 20 //将被匹配的路由,打上tag 10; route-policy a permit node 20 //创建空节点20,代表匹配所有路由,动作为permit,不过滤; ospf 1 router-id 5.5.5.5 import-route static route-policy a //引入路由时调用; 匹配规则: (1)根据node号,由小到大进行匹配; (2)根据if-match中的内容,匹配流量; (3)node中指定的permit或者deny,决定了流量是否被过滤,如果为permit,则不过滤,deny则过滤; (3)通过apply指定执行动作,可以进行路由属性的修改(可选); (4)如果路由没有配任何node匹配上,则执行deny动作,代表被过滤; (5)当配置了多个if-match时,必须同时满足了所有if-match条件,才能执行动作; if-match之间的关系为:与 node之间的关系为:或 # 过滤策略(filter-policy) 作用:只能过滤路由 应用:ospf、isis在进程下调用; BGP在peer邻居时调用; 配置步骤 1、通过匹配工具,将需要过滤的路由deny掉,其余无需过滤的路由,permit; ip ip-prefix 6 index 10 deny 6.6.6.6 32 //过滤6.6.6.6/32 ip ip-prefix 6 index 20 permit 0.0.0.0 0 less-equal 32 //其余不过滤 2、进程下调用 2.1 入方向 控制路由进入本设备的路由表,被匹配工具deny的路由无法进路由表; ospf 1 router-id 1.1.1.1 filter-policy ip-prefix 6 import //入方向配置过滤策略,调用地址前缀列表6作为匹配工具; 2.2 出方向 控制路由引入动作,被匹配工具deny的路由,无法引入成功; ospf 1 router-id 5.5.5.5 filter-policy ip-prefix 6 export //出方向配置过滤策略,调用地址前缀列表6作为匹配工具;