ISIS 特性验证(ATT置位、渗透、认证)

SSR_ZZ2024-02-06 14:03

拓扑图

配置

复制代码 
 sysname AR1
#
isis 1
 is-level level-1
 cost-style wide
 network-entity 49.0001.0000.0000.0001.00
#
interface GigabitEthernet0/0/0
 ip address 12.1.1.1 255.255.255.0 
 isis enable 1
#
interface GigabitEthernet0/0/1
 ip address 13.1.1.1 255.255.255.0 
 isis enable 1
#
interface LoopBack0
 ip address 1.1.1.1 255.255.255.255 
 isis enable 1
#

 sysname AR2
#
isis 1
 cost-style wide
 network-entity 49.0001.0000.0000.0002.00
#
interface GigabitEthernet0/0/0
 ip address 12.1.1.2 255.255.255.0 
 isis enable 1
 isis circuit-level level-1
#
interface GigabitEthernet0/0/1
 ip address 24.1.1.2 255.255.255.0 
 isis enable 1
 isis circuit-level level-2
#
interface LoopBack0
 ip address 2.2.2.2 255.255.255.255 
 isis enable 1

 sysname AR3
#
isis 1
 cost-style wide
 network-entity 49.0001.0000.0000.0003.00
#
interface GigabitEthernet0/0/0
 ip address 13.1.1.3 255.255.255.0 
 isis enable 1
 isis circuit-level level-1
#
interface GigabitEthernet0/0/1
 ip address 34.1.1.3 255.255.255.0 
 isis enable 1
 isis circuit-level level-2
#
interface LoopBack0
 ip address 3.3.3.3 255.255.255.255 
 isis enable 1

 sysname AR4
#
isis 1
 is-level level-2
 cost-style wide
 network-entity 49.0000.0000.0000.0004.00
#
interface GigabitEthernet0/0/0
 ip address 24.1.1.4 255.255.255.0 
 isis enable 1
#
interface GigabitEthernet0/0/1
 ip address 34.1.1.4 255.255.255.0 
 isis enable 1
#
interface LoopBack0
 ip address 4.4.4.4 255.255.255.255 
 isis enable 1

验证ATT置位的条件

  • 骨干路由器
  • 连接2个或2个以上的区域

查看AR2、AR3连接的区域

查看ATT位置1的level-1 LSP

如果不想让Level-1-2路由器生成ATT置1的level-1 LSP,可以配置不置位ATT位的Level-1的LSP

L1路由器不会产生默认路由

复制代码 
isis
 attached-bit advertise never 
#

如果不希望Level-1-2所连接的Level-1设备都因为ATT比特位生成缺省路由,可以通过以下两种方式实现:

  • 在Level-1-2设备上配置 attached-bit advertise never 命令,使得其不会发布ATT比特位置位的LSP。
  • 在与Level-1-2设备相连的Level-1设备上配置 attached-bit avoid-learning 命令。

查看AR1的路由表,没有生成指向AR3的默认路由

路由渗透

查看AR1到AR4的路由,通过ATT置位的Level-1 LSP生成默认路由指向Level-1-2路由器

如果修改AR3的G0/0/1接口的cost为20,通过默认路由访问AR4,可能会出现次优路径

如果让AR1访问AR4,走AR2,可以把明细Level-2 LSP渗透到Level-1

复制代码 
isis
 import-route isis level-2 into level-1 
#

查看AR1的路由表,出现4.4.4.4/32的明细路由,下一跳AR2

查看level-1的LSDB,可以查看到渗透的路由信息

ISIS认证

接口认证

对Hello报文进行认证

在AR1和AR2互联的接口开启认证

复制代码 
interface GigabitEthernet0/0/0
 isis authentication-mode md5 plain huawei 
#

AR1的G0/0/0接口抓包可以看到TLV 10 的认证字段

区域认证

对Level-1的SNP和LSP进行认证

复制代码 
isis
 area-authentication-mode md5 cipher huawei
#

查看Level-1的LSDB,可以看到认证字段

AR1的G0/0/1接口抓包

CSNP报文可以看到认证字段

路由域认证

对Level-2的SNP和LSP进行认证

查看Level-2的LSDB,可以看到认证字段

复制代码 
isis
 domain-authentication-mode md5 cipher huawei
#
相关推荐
碳酸的唐19 分钟前
现代网络安全攻防技术与发展现状
网络·安全·web安全
CodeWithMe22 分钟前
【Net】TCP粘包与半包
网络·网络协议·tcp/ip
m0_555762901 小时前
使用 Let‘s Encrypt 和 Certbot 为 Cloudflare 托管的域名申请 SSL 证书
网络·网络协议·ssl
aningxiaoxixi2 小时前
android 媒体框架之MediaCodec
android·网络·媒体
hgdlip5 小时前
换ip是换网络的意思吗?怎么换ip地址
服务器·网络·tcp/ip
mooyuan天天8 小时前
pikachu靶场通关笔记05 XSS关卡01-反射型GET
网络·web安全·反射型xss·pikachu靶场·xss漏洞
星鑫会IP10 小时前
动态IP与区块链:重构网络信任的底层革命
网络·tcp/ip·区块链
斯普信云原生组11 小时前
K8S集群主机网络端口不通问题排查
网络·容器·kubernetes
浩浩测试一下12 小时前
reverse_ssh 建立反向 SSH 连接指南 混淆&&AV [好东西哟]
运维·开发语言·网络·安全·网络安全·ssh·php
巴拉特好队友12 小时前
用wireshark抓了个TCP通讯的包
网络·tcp/ip·wireshark
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】03从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑04Trae AI 开发工具使用手册05【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!06DeepSeek各版本说明与优缺点分析07【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总08Coze扣子平台完整体验和实践(附国内和国际版对比)09组基轨迹建模 GBTM的介绍与实现(Stata 或 R)10【无人机】无人机通信模块,无人机图数传模块的介绍,数传,图传,图传数传一体电台,