【华为HCIP实战课程三十】中间到中间系统协议IS-IS路由渗透及TAG标识详解,网络工程师

wozuimang2024-11-05 9:07

一、路由泄露

1、默认情况Level 1不会学到Level2的明细路由,L2可以学到L1的明细路由

2、FIB数据转发,路由负载,通过随机数据中的五元组hash,hash值决定数据走哪条链路

R1设备ping和telnet通过抓包查看走的都是S1/0/0接口

抓包进行过滤;ip.addr==12.1.1.1 && ip.addr==20.20.20.20

3、在L1-L2设备做路由泄露

R4-isis-1\]import-route isis level-2 into level-1 //将L2层级路由渗透到L1层级 ![](https://i-blog.csdnimg.cn/direct/e39812988f7e466881d5b879ec315a88.png) 此时R4做完路由泄露后,R1到达20.20.20.20的路由下一跳到达R4,从R1 G0/0/0接口转发 我们把R4的路由泄露配置去掉,然后配置R1的S1/0/0接口cost为20 \[R1-Serial1/0/0\]isis cost 20 此时R1的默认路由下一跳为R4: ![](https://i-blog.csdnimg.cn/direct/d58bb41672464830b5307ae5033423df.png) 如果把接口R1的G0/0/0 down掉,此时R1的默认路由下一跳为R2 \[R1-GigabitEthernet0/0/0\]shutdown ![](https://i-blog.csdnimg.cn/direct/f783c96b665b4874a4ece7fba05d8dab.png) \[R1-Serial1/0/0\]isis cost ? INTEGER\<1-63\> Cost value//默认情况是narrow的cost-style,可以改为wide cost-style. 我们把R1的串口cost配置去掉还原,然后我们在R2和R4同时做路由泄露,此时我们发现到SW2 的 lo0 20.20.20.20路由负载 \[R4-isis-1\]import-route isis level-2 into level-1 \[R2-isis-1\]import-route isis level-2 into level-1 ![](https://i-blog.csdnimg.cn/direct/278672ebda8e444ca33256367c6ae28c.png) 我们在SW1 配置 lo1 开启ISIS \[SW1-LoopBack1\]ip address 20.20.20.21 32 \[SW1-LoopBack1\]isis enable 此时我们在R1可以查看20.20.20.21的路由负载: ![](https://i-blog.csdnimg.cn/direct/8e92cd3b8aea4836844f306caf7629d2.png) R2和R4配置过滤,在R1可以收到20.20.20.20的路由过滤掉20.20.20.21的路由 \[R4-isis-1\]import-route isis level-2 into level-1 filter-policy 2000 \[R2-isis-1\]import-route isis level-2 into level-1 filter-policy 2000 \[R2\]acl 2000 \[R2-acl-basic-2000\]rule 10 permit source 20.20.20.20 0 ![](https://i-blog.csdnimg.cn/direct/32d03dddc9ac47b793d0dc821a241165.png) 查看IS-IS路由:U-Up/Down Bit Set,用于不同Level之间的路由防环!已被标记的路由不会再传回原理的区域! ![](https://i-blog.csdnimg.cn/direct/893707a43a014a329db0c1a9fb55ef99.png) **二、路由渗透-L1到L2的控制** \[R1-LoopBack1\]ip address 1.1.1.1 32//增加一个环回口 \[R1-LoopBack1\]isis enable ![](https://i-blog.csdnimg.cn/direct/b5419e519fd7436c8066dec3d1e94703.png) 我们再R2和R4配置过滤 \[R2-isis-1\]import-route isis level-1 into level-2 filter-policy acl-name L1TOL2 tag 100 \[R4-isis-1\]import-route isis level-1 into level-2 filter-policy acl-name L1TOL2 tag 100 \[R2\]acl name L1TOL2 \[R2-acl-adv-L1TOL2\]rule 5 permit ip source 11.1.1.1 0 \[R4\]acl name L1TOL2 \[R4-acl-adv-L1TOL2\]rule 5 permit ip source 11.1.1.1 0 此时我们在SW1查看ISIS路由已经过滤掉1.1.1.1的路由,仅允许11.1.1.1路由:(R2和R4的直连路由除外,也可以理解为ABR的直连路由除外) ![](https://i-blog.csdnimg.cn/direct/7c2195bc331e4e70a9ca5826441c084c.png) 我们配置为所有设备cost-style为wide方式 \[R1-isis-1\]cost-style wide//R1-R4及SW1都配置,否则路由计算有问题 配置cost-style为wide方式后SW1可以查看到带有管理TAG100的11.1.1.1路由: ![](https://i-blog.csdnimg.cn/direct/e003406eadcf4fa19658e28c18676f21.png) \[SW1-LoopBack0\]isis tag-value 20202020//针对该接口的路由增加管理TAG202020,生成路由的时候直接增加TAG,不需要引入外部路由的时候增加TAG ![](https://i-blog.csdnimg.cn/direct/5de40b02bb994ff2a75e0770a7693846.png) 我们在R1的lo0 接口的路由增加管理TAG 6666 \[R1-LoopBack0\]isis tag-value 6666 此时我们再SW1上查看的Lo0 接口路由TAG仍然为R2和R4配置路由过滤增加的TAG值: ![](https://i-blog.csdnimg.cn/direct/d298041b37554d0b8c18a3275175e342.png)

相关推荐
Henry Zhu1233 分钟前
VPP中的DPDK插件源码详解第一篇:DPDK插件的作用和意义以及整体架构
运维·服务器·网络·计算机网络·云原生
分***831 分钟前
新版局域网IP扫描神器IPScanner.exe 绿色版V1.28.2,支持跨网段扫描_端口扫描_系统端口查看工具
网络·tcp/ip·端口扫描·ipscanner·局域网扫描
千天夜1 小时前
文件系统磁盘块分配方式:从隐式链接到索引结构
网络·网络协议
嘻哈baby1 小时前
游戏/远程桌面的网络延迟优化:从TCP拥塞控制到智能选路
网络·tcp/ip·游戏
shcoc2 小时前
备用 申请acme 申请ssl
网络·网络协议·ssl
网络小白不怕黑2 小时前
Docker容器网络:从容器互联到跨主机通信
网络·docker·容器
m0_471199632 小时前
【vue】收银界面离线可用,本地缓存订单,网络恢复后同步
网络·vue.js·缓存
老蒋新思维2 小时前
创客匠人 2025 万人峰会实录:AI 智能体重构创始人 IP 变现逻辑 —— 从 0 到年入千万的实战路径
大数据·网络·人工智能·tcp/ip·创始人ip·创客匠人·知识变现
b0uu2 小时前
2025龙信杯流量分析
网络
松涛和鸣2 小时前
29、Linux进程核心概念与编程实战:fork/getpid全解析
linux·运维·服务器·网络·数据结构·哈希算法
热门推荐
01GitHub 镜像站点02【AutoGLM部署】本地私有化部署AI手机Agent03UV安装并设置国内源04【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)05Open-AutoGLM Windows 安装部署教程06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07Cursor 又偷偷更新,这个功能太实用:Visual Editor for Cursor Browser08Linux下V2Ray安装配置指南09BongoCat - 跨平台键盘猫动画工具10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)