IS-IS-Prinzip und Konfiguration
• IS-IS (Intermediate System to Intermediate System) ist ein dynamisches Routing-Protokoll, das von der ISO (International Organization for Standardization) für ihr CLNP (ConnectionLessNetwork Protocol) entwickelt wurde. • Mit der Popularität des TCP/IP-Protokolls hat die IETF IS-IS in RFC1195 erweitert und geändert, um IP-Routing zu unterstützen, sodass es sowohl auf TCP/IP als auch auf OSI (Open System Interconnect, offen im System) angewendet werden kann Interconnection)-Umgebung nennen wir das erweiterte IS-IS integriertes IS-IS. • Dieser Kurs führt hauptsächlich in die Grundkonzepte, Arbeitsprinzipien und Konfigurationsmethoden des integrierten IS-IS ein.
3. Grundkonfiguration von IS-IS
Grundkonfiguration des IS-IS-Protokolls (1)
-
Erstellen Sie einen IS-IS-Prozess und geben Sie den IS-IS-Prozess ein
[Huawei] isis [process-id ]
2. Konfigurieren Sie den Namen der Netzwerkeinheit (NET).
[Huawei-isis-1] network-entity net
Normalerweise reicht es aus, ein NET unter einem IS-IS-Prozess zu konfigurieren. Wenn ein Bereich neu aufgeteilt werden muss, z. B. durch Zusammenlegen mehrerer Bereiche oder Teilen eines Bereichs in mehrere Bereiche, kann die Konfiguration mehrerer NETs dennoch die Richtigkeit des Routings während der Neukonfiguration sicherstellen. Da in einem IS-IS-Prozess maximal drei Bereichsadressen konfiguriert werden können, können maximal drei NET-Adressen konfiguriert werden. Bei der Konfiguration mehrerer NETs müssen Sie sicherstellen, dass deren System-IDs identisch sind.
3. Konfigurieren Sie die globale Ebene
[Huawei-isis-1] is-level { level-1 | level-1-2 | level-2 }
Standardmäßig ist die Geräteebene Level-1-2. Während des Netzwerkbetriebs kann das Ändern der Ebene eines IS-IS-Geräts dazu führen, dass der IS-IS-Prozess neu gestartet wird und die Verbindung zum IS-IS-Nachbarn getrennt wird. Es wird empfohlen, dass Benutzer die Konfiguration auf Geräteebene abschließen, wenn sie IS-IS konfigurieren.
4. Rufen Sie die Schnittstellenansicht auf
[Huawei]interface interface-type interface-number
Der Parameter interface-type ist der Schnittstellentyp und der Parameter interface-number ist die Schnittstellennummer.
5. Aktivieren Sie das IS-IS-Protokoll auf der Schnittstelle
[Huawei-GigabitEthernet0/0/1] isis enable [ process-id ]
Nach der Konfiguration dieses Befehls richtet IS-IS Nachbarn ein und überflutet LSP-Pakete über diese Schnittstelle.
6. Konfigurieren Sie die Schnittstellenebene
[Huawei-GigabitEthernet0/0/1] isis circuit-level [ level-1 | level-1-2 | level-2 ]
Standardmäßig ist die Schnittstellenebene Level-1-2. Wenn zwei Level-1-2-Geräte Nachbarschaftsbeziehungen aufbauen, werden standardmäßig Level-1- bzw. Level-2-Nachbarbeziehungen aufgebaut. Wenn Sie nur Nachbarschaftsbeziehungen der Ebene 1 oder 2 herstellen möchten, können Sie dies tun, indem Sie die Ebene der Schnittstelle ändern.
7. Stellen Sie den Netzwerktyp der Schnittstelle auf P2P ein
[Huawei-GigabitEthernet0/0/1]isis circuit-type p2p
Standardmäßig wird der Typ des Schnittstellennetzwerks anhand der physischen Schnittstelle bestimmt. Wenn Sie diesen Befehl verwenden, um eine Broadcast-Netzwerkschnittstelle als P2P-Schnittstelle zu simulieren, wird das Intervall zwischen dem Senden von Hello-Nachrichten auf der Schnittstelle, die Anzahl der Hello-Nachrichten vom Nachbarn, die IS-IS nicht empfangen hat, bevor der Nachbar für ungültig erklärt wurde, und die Anzahl der Repeater von LSP-Nachrichten auf der Punkt-zu-Punkt-Verbindung. Das Übertragungsintervall und verschiedene IS-IS-Authentifizierungen werden auf die Standardkonfiguration zurückgesetzt, während die Konfigurationen wie DIS-Priorität, DIS-Name und Intervall für das Senden von CSNP-Nachrichten im Broadcast-Netzwerk wiederhergestellt werden sind alle ungültig.
8. Stellen Sie den Standardnetzwerktyp der Schnittstelle wieder her
[Huawei-GigabitEthernet0/0/1] undo isis circuit-type
Wenn Sie diesen Befehl verwenden, um den Standardnetzwerktyp einer Schnittstelle wiederherzustellen, werden das Intervall für das Senden von Hello-Nachrichten auf der Schnittstelle, die Anzahl der Hello-Nachrichten vom Nachbarn, die IS-IS nicht empfangen hat, bevor der Nachbar für ungültig erklärt wurde, und die erneute Übertragung von LSP verwendet Nachrichten auf der Punkt-zu-Punkt-Verbindung. Das Intervall, verschiedene IS-IS-Authentifizierungen, die DIS-Priorität und das Intervall für das Senden von CSNP-Nachrichten im Broadcast-Netzwerk werden alle auf die Standardkonfiguration zurückgesetzt.
9. Ändern Sie die DIS-Priorität der Schnittstelle
[Huawei-GigabitEthernet0/0/1] isis dis-priority priority [ level-1 | level-2 ]
Standardmäßig beträgt die DIS-Priorität der IS-IS-Schnittstelle 64. Mit diesem Befehl wird die Priorität der Schnittstelle bei der Auswahl der entsprechenden DIS-Stufe (Designated Intermediate System) festgelegt.
Fall: IS-IS-Konfiguration
Fall: Konfiguration von R1, R2 und R3
Die Konfiguration von R1 ist wie folgt:
[R1] isis 1 [R1-isis-1] is-level level-1
[R1-isis-1] network-entity 49.0001.0010.0100.1001.00
[R1-isis-1] quit
[R1] interface gigabitethernet 0/0/0
[R1-GigabitEthernet0/0/0] isis enable 1
[R1-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R1-GigabitEthernet0/0/1] isis enable 1
Die Konfiguration von R2 ist wie folgt:
[R2] isis 1
[R2-isis-1] is-level level-1-2
[R2-isis-1] network-entity 49.0001.0020.0200.2002.00
[R2-isis-1] quit [R2] interface gigabitethernet 0/0/0
[R2-GigabitEthernet0/0/0] isis enable 1
[R2-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R2-GigabitEthernet0/0/1] isis enable 1
Fall: Konfiguration von R4 und R5
Die Konfiguration von R4 ist wie folgt:
[R4] isis 1
[R4-isis-1] is-level level-2
[R4-isis-1] network-entity 49.0002.0040.0400.4004.00
[R4-isis-1] quit [R4] interface gigabitethernet 0/0/0
[R4-GigabitEthernet0/0/0] isis enable 1
[R4-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R4-GigabitEthernet0/0/1] isis enable 1
[R4-GigabitEthernet0/0/1] interface gigabitethernet 0/0/2
[R4-GigabitEthernet0/0/2] isis enable 1
Fall: Konfigurationsüberprüfung (siehe IS-IS-Adjazenztabelle des Geräts)
Der R4-Router stellt eine Adjazenzbeziehung der Stufe 2 her
Der R1-Router stellt eine Adjazenzbeziehung der Ebene 1 her
• System-ID-Feld: beschreibt die System-ID des Nachbarn. • Schnittstellenfeld: beschreibt, welcher Port des Routers die Adjazenzbeziehung mit dem Nachbarn herstellt. • Typ: beschreibt die Art der Adjazenzbeziehung mit dem Nachbarn. • PRI: beschreibt die DIS-Priorität des Port, der dem Nachbarn entspricht
Fall: Konfigurationsüberprüfung (siehe IS-IS-Routing-Tabelle des Geräts) (1)
Fall: Konfigurationsüberprüfung (siehe IS-IS-Routing-Tabelle des Geräts) (2)
Konfiguration der Routendurchdringung
Überprüfung der Routendurchdringung
Wenn wir uns die Routing-Tabelle von R1 ansehen, können wir sehen, dass zwei neue detaillierte Routen 192.168.10.0/24 und 192.168.20.0/24 hinzugefügt wurden. Die Kostenwerte der beiden Routen betragen jeweils 30. Wenn ein Datenpaket erreicht wird Diese beiden Routen über R1 Bei der Verbindung mit einem Netzwerksegment werden keine suboptimalen Pfade generiert.
Klassifizierung der IS-IS-Zertifizierung
• Die IS-IS-Authentifizierung ist eine Authentifizierungsmethode, die auf Netzwerksicherheitsanforderungen basiert. Die Authentifizierung der Pakete erfolgt durch Hinzufügen von Authentifizierungsfeldern zu IS-IS-Paketen. Wenn der lokale Router die vom Remote-Router gesendete IS-IS-Nachricht empfängt und feststellt, dass das Authentifizierungskennwort nicht übereinstimmt, verwirft er die empfangene Nachricht, um den Zweck des Selbstschutzes zu erreichen.
• Basierend auf der Art der Pakete kann die Authentifizierung in die folgenden drei Kategorien unterteilt werden: ▫ Schnittstellenauthentifizierung: In der Schnittstellenansicht konfiguriert, um Level-1- und Level-2-Hello-Pakete zu authentifizieren.
▫ Regionale Authentifizierung: Konfiguriert in der IS-IS-Prozessansicht zur Authentifizierung von Level-1-CSNP-, PSNP- und LSP-Nachrichten.
▫ Routing-Domänenauthentifizierung: Konfiguriert in der IS-IS-Prozessansicht zur Authentifizierung von Level-2-CSNP-, PSNP- und LSP-Nachrichten.
• Entsprechend der Authentifizierungsmethode der Nachricht kann diese in die folgenden vier Kategorien unterteilt werden: ▫ Einfache Authentifizierung: Fügen Sie das konfigurierte Passwort direkt zur Nachricht hinzu. Diese Verschlüsselungsmethode ist weniger sicher als die beiden anderen Methoden. ▫ MD5-Authentifizierung: Durch die Verschlüsselung des konfigurierten Passworts mit dem MD5-Algorithmus und das anschließende Hinzufügen zur Nachricht wird die Sicherheit des Passworts verbessert.
▫ Keychian-Authentifizierung: Verbessern Sie die Netzwerksicherheit weiter, indem Sie eine Passwortkette konfigurieren, die sich im Laufe der Zeit ändert.
▫ HMAC-SHA256-Authentifizierung: Durch die Verschlüsselung des konfigurierten Passworts mit dem HMAC-SHA256-Algorithmus und das anschließende Hinzufügen zur Nachricht wird die Sicherheit des Passworts verbessert.
Ausführliche Erläuterung der IS-IS-Zertifizierung
• Schnittstellenzertifizierung
▫ Das in der Hello-Nachricht verwendete Authentifizierungspasswort wird unter der Schnittstelle gespeichert. Beim Senden von Authentifizierungsnachrichten mit Authentifizierungs-TLV müssen die miteinander verbundenen Router-Schnittstellen mit demselben Passwort konfiguriert werden.
• Regionale Zertifizierung
▫ Jeder L1-Router in der Umgebung muss denselben Authentifizierungsmodus verwenden und über einen gemeinsamen Schlüsselbund verfügen.
• Routing-Domänenauthentifizierung
▫ Jeder Router vom Typ L2 und L1/L2 in der IS-IS-Domäne muss denselben Authentifizierungsmodus verwenden und einen gemeinsamen Schlüsselbund verwenden.
▫ Für die Bereichs- und Routing-Domänenauthentifizierung kann eine getrennte SNP- und LSP-Authentifizierung eingestellt werden.
▪ Lokal gesendete LSP-Nachrichten und SNP-Nachrichten enthalten Authentifizierungs-TLVs, und Authentifizierungsprüfungen werden für empfangene LSP-Nachrichten und SNP-Nachrichten durchgeführt.
▪ Die lokal gesendeten LSP-Pakete tragen den Authentifizierungs-TLV, und die empfangenen LSP-Pakete werden authentifiziert und überprüft; die gesendeten SNP-Pakete tragen den Authentifizierungs-TLV, aber die empfangenen SNP-Pakete werden nicht überprüft.
▪ Die lokal gesendeten LSP-Pakete tragen den Authentifizierungs-TLV und die empfangenen LSP-Pakete werden authentifiziert und geprüft; die gesendeten SNP-Pakete tragen nicht den Authentifizierungs-TLV und die empfangenen SNP-Pakete werden nicht authentifiziert und geprüft.
▪ Die lokal gesendeten LSP-Pakete und SNP-Pakete tragen Authentifizierungs-TLVs, und es wird keine Authentifizierungsprüfung für die empfangenen LSP-Pakete und SNP-Pakete durchgeführt.
IS-IS-Authentifizierungskonfiguration (1)
1. Konfigurieren Sie die regionale IS-IS-Authentifizierung
[Huawei-isis-1] area-authentication-mode { { simple | md5 } { plain plain-text | [ cipher ] plain-cipher-text } keychain keychain-name | hmac-sha256 key-id key-id } [ snp-packet { authentication-avoid | send-only } | allsend-only ]
simple gibt das Passwort für die Teilnahme an der Authentifizierung im Klartext an; keychain gibt die Schlüsselkettenliste an, die sich im Laufe der Zeit ändert; md5 gibt das Passwort für die Teilnahme an der Authentifizierung an, nachdem es durch den HMAC-MD5-Algorithmus verschlüsselt wurde. snp-packet gibt die Konfiguration der SNP-nachrichtenbezogenen Überprüfung an; Authentifizierungsvermeidung gibt an, dass Authentifizierungsinformationen nicht auf dem generierten SNP gekapselt und der empfangene SNP nicht überprüft werden sollen, sondern nur die Authentifizierungsinformationen auf dem generierten LSP gekapselt und der empfangene LSP überprüft werden soll. Nur Senden gibt an, dass der generierte LSP und SNP mit Authentifizierungsinformationen gekapselt sind und nur der empfangene LSP überprüft wird, der empfangene SNP wird nicht überprüft; All-Send-Only gibt an, dass der generierte LSP und SNP mit Authentifizierungsinformationen gekapselt sind. und der empfangene LSP und SNP werden nicht überprüft. .
2. Konfigurieren Sie die IS-IS-Routing-Domänenauthentifizierung
[Huawei-isis-1] domain-authentication-mode { { simple | md5 } { plain Klartext | [ cipher ] plain-cipher-text } Schlüsselbund Schlüsselbundname | hmac-sha256 Schlüssel-ID Schlüssel-ID } [ SNP-Paket { Authentifizierung-Vermeidung | Nur Senden } | nur allsend]
Die Parameterbedeutungen stimmen mit der regionalen Zertifizierung überein.
3. Konfigurieren Sie die IS-IS-Schnittstellenauthentifizierung
[Huawei-GigabitEthernet0/0/0] isis authentication-mode [keychain | md5 | simple ] [ level-1 | level-2 ] [ ip | osi ] [ send-only ]
Ebene 1 gibt die Einstellung der Authentifizierung der Ebene 1 an; Ebene 2 gibt die Einstellung der Authentifizierung der Ebene 2 an; Nur Senden legt fest, dass nur Authentifizierungsinformationen für gesendete Hello-Pakete geladen werden und empfangene Hello-Pakete nicht authentifiziert werden.
