IS-ISの原理と構成
• IS-IS (Intermediate System to Intermediate System) は、ISO (国際標準化機構) によって CLNP (ConnectionLessNetwork Protocol) 用に設計されたダイナミック ルーティング プロトコルです。 • TCP/IP プロトコルの普及に伴い、IP ルーティングのサポートを提供するために、IETF は RFC1195 の IS-IS を拡張および修正し、TCP/IP と OSI (オープン システム インターコネクト、オープン システム内) の両方に適用できるようにしました。相互接続) 環境を、拡張 IS-IS 統合 IS-IS と呼びます。 • このコースでは、主に統合 IS-IS の基本概念、動作原理、構成方法を紹介します。
3. IS-ISの基本構成
IS-ISプロトコルの基本構成(1)
-
IS-IS プロセスを作成し、IS-IS プロセスに入る
[Huawei] isis [process-id ]
2. ネットワークエンティティ名(NET)を設定します。
[Huawei-isis-1] network-entity net
通常、1 つの IS-IS プロセスの下に 1 つの NET を構成するだけで十分です。複数のエリアを結合したり、エリアを複数のエリアに分割したりするなど、エリアを再分割する必要がある場合でも、複数の NET を構成すると、再構成中にルーティングの正確性を確保できます。 IS-IS プロセスでは最大 3 つのエリア アドレスを設定できるため、最大 3 つの NET アドレスを設定できます。複数の NET を構成する場合は、それらのシステム ID が同じであることを確認する必要があります。
3. グローバルレベルの設定
[Huawei-isis-1] is-level { level-1 | level-1-2 | level-2 }
デフォルトでは、デバイス レベルはレベル 1 ~ 2 です。ネットワーク動作中に、IS-IS デバイスのレベルを変更すると、IS-IS プロセスが再起動され、IS-IS ネイバーの切断が発生する可能性があります。IS-IS を設定するときに、デバイス レベルの設定を完了することをお勧めします。
4. インターフェースビューに入る
[Huawei]interface interface-type interface-number
パラメータinterface-typeはインタフェースタイプ、パラメータinterface-numberはインタフェース番号です。
5. インターフェイスで IS-IS プロトコルを有効にする
[Huawei-GigabitEthernet0/0/1] isis enable [ process-id ]
このコマンドを設定すると、IS-IS はネイバーを確立し、このインターフェイス経由で LSP パケットをフラッディングします。
6. インターフェースレベルの設定
[Huawei-GigabitEthernet0/0/1] isis circuit-level [ level-1 | level-1-2 | level-2 ]
デフォルトでは、インターフェイス レベルはレベル 1 ~ 2 です。 2 つのレベル 1-2 デバイスがネイバー関係を確立すると、デフォルトで、レベル 1 とレベル 2 のネイバー関係がそれぞれ確立されます。レベル 1 またはレベル 2 の近隣関係のみを確立したい場合は、インターフェイスのレベルを変更することで確立できます。
7. インターフェイスのネットワーク タイプを P2P に設定します。
[Huawei-GigabitEthernet0/0/1]isis circuit-type p2p
デフォルトでは、インターフェイスのネットワーク タイプは物理インターフェイスに基づいて決定されます。このコマンドを使用してブロードキャスト ネットワーク インターフェイスを P2P インターフェイスとしてシミュレートする場合、インターフェイス上で Hello メッセージを送信する間隔、IS-IS がネイバーを無効と宣言する前に受信しなかったネイバーからの Hello メッセージの数、およびポイントツーポイント リンク上の LSP メッセージのリピーター。送信間隔とさまざまな IS-IS 認証はデフォルト設定に復元されますが、DIS 優先度、DIS 名、ブロードキャスト ネットワーク上で CSNP メッセージを送信する間隔などの設定は復元されます。はすべて無効です。
8. インターフェースのデフォルトのネットワークタイプを復元します。
[Huawei-GigabitEthernet0/0/1] undo isis circuit-type
このコマンドを使用してインターフェイスのデフォルトのネットワーク タイプ、インターフェイス上で Hello メッセージを送信する間隔、ネイバーを無効と宣言する前に IS-IS が受信しなかったネイバーからの Hello メッセージの数、および LSP の再送信を復元する場合ポイントツーポイント リンク上のメッセージ間隔、さまざまな IS-IS 認証、DIS 優先順位、ブロードキャスト ネットワーク上で CSNP メッセージを送信する間隔はすべてデフォルト設定に復元されます。
9. インターフェースの DIS 優先度を変更する
[Huawei-GigabitEthernet0/0/1] isis dis-priority priority [ level-1 | level-2 ]
デフォルトでは、IS-IS インターフェイスの DIS 優先度は 64 です。このコマンドは、対応するレベルの DIS (指定中間システム) を選択するときに、インターフェイスの優先順位を指定するために使用されます。
ケース: IS-IS 構成
例:R1、R2、R3の構成
R1 の構成は次のとおりです。
[R1] isis 1 [R1-isis-1] is-level level-1
[R1-isis-1] network-entity 49.0001.0010.0100.1001.00
[R1-isis-1] quit
[R1] interface gigabitethernet 0/0/0
[R1-GigabitEthernet0/0/0] isis enable 1
[R1-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R1-GigabitEthernet0/0/1] isis enable 1
R2の構成は以下の通りです。
[R2] isis 1
[R2-isis-1] is-level level-1-2
[R2-isis-1] network-entity 49.0001.0020.0200.2002.00
[R2-isis-1] quit [R2] interface gigabitethernet 0/0/0
[R2-GigabitEthernet0/0/0] isis enable 1
[R2-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R2-GigabitEthernet0/0/1] isis enable 1
例:R4とR5の構成
R4の構成は以下の通りです。
[R4] isis 1
[R4-isis-1] is-level level-2
[R4-isis-1] network-entity 49.0002.0040.0400.4004.00
[R4-isis-1] quit [R4] interface gigabitethernet 0/0/0
[R4-GigabitEthernet0/0/0] isis enable 1
[R4-GigabitEthernet0/0/0] interface gigabitethernet 0/0/1
[R4-GigabitEthernet0/0/1] isis enable 1
[R4-GigabitEthernet0/0/1] interface gigabitethernet 0/0/2
[R4-GigabitEthernet0/0/2] isis enable 1
ケース: 設定の検証 (デバイスの IS-IS 隣接関係テーブルを表示)
R4 ルーターはレベル 2 の隣接関係を確立します
R1 ルーターはレベル 1 の隣接関係を確立します
• System Id フィールド: ネイバーのシステム ID を説明します。 • Interface フィールド: ルータのどのポートがネイバーとの隣接関係を確立するかを説明します。 • Type: ネイバーとの隣接関係のタイプを説明します。 • PRI: ルータの DIS 優先度を説明します。ネイバーに対応するポート
ケース: 構成の検証 (デバイスの IS-IS ルーティング テーブルを表示) (1)
ケース: 構成の検証 (デバイスの IS-IS ルーティング テーブルを表示) (2)
ルート貫通構成
ルート侵入検証
R1 のルーティング テーブルを見ると、192.168.10.0/24 と 192.168.20.0/24 の 2 つの詳細なルートが新たに追加されていることがわかります。2 つのルートのコスト値は両方とも 30 です。これら 2 つのルートは R1 経由です。ネットワーク セグメントに接続する場合、次善のパスは生成されません。
IS-IS認証の分類
• IS-IS 認証は、ネットワーク セキュリティ要件に基づく認証方法であり、IS-IS パケットに認証フィールドを追加することによってパケットが認証されます。ローカル ルータは、リモート ルータによって送信された IS-IS メッセージを受信したときに、認証パスワードが一致しないことが判明した場合、自己保護の目的を達成するために受信したメッセージを破棄します。
• パケットのタイプに基づいて、認証は次の 3 つのカテゴリに分類できます。 ▫ インターフェイス認証: レベル 1 およびレベル 2 の Hello パケットを認証するようにインターフェイス ビューで構成されます。
▫ 地域認証: レベル 1 CSNP、PSNP、および LSP メッセージを認証するために IS-IS プロセス ビューで設定されます。
▫ ルーティング ドメイン認証: レベル 2 CSNP、PSNP、および LSP メッセージを認証するために IS-IS プロセス ビューで設定されます。
▫ 簡易認証: 設定されたパスワードをメッセージに直接追加するこの暗号化方式は、他の 2 つの方式に比べて安全性が低くなります。 ▫ MD5 認証: 設定されたパスワードを MD5 アルゴリズムで暗号化してメッセージに追加することで、パスワードの安全性が向上します。
▫ Keychian 認証: 時間の経過とともに変化するパスワード チェーンを構成することで、ネットワーク セキュリティをさらに向上させます。
▫ HMAC-SHA256 認証: 設定されたパスワードを HMAC-SHA256 アルゴリズムで暗号化し、メッセージに追加することで、パスワードのセキュリティが向上します。
IS-IS認証の詳しい説明
• インターフェース認証
▫ Hello メッセージで使用される認証パスワードはインターフェイスの下に保存されるため、認証 TLV で認証メッセージを送信する場合、相互に接続されているルーター インターフェイスは同じパスワードで設定する必要があります。
• 地域認証
▫ エリア内の各 L1 ルーターは同じ認証モードを使用し、共通のキーチェーンを持つ必要があります。
• ルーティングドメイン認証
▫ IS-IS ドメイン内のすべての L2 および L1/L2 タイプのルーターは、同じ認証モードを使用し、共通のキーチェーンを使用する必要があります。
▫ エリア認証とルーティングドメイン認証の場合、SNP 認証と LSP 認証を別々に設定できます。
▪ ローカルに送信される LSP メッセージと SNP メッセージには認証 TLV が含まれており、受信した LSP メッセージと SNP メッセージに対して認証チェックが実行されます。
▪ ローカルに送信された LSP パケットは認証 TLV を伝送し、受信した LSP パケットは認証およびチェックされます。送信された SNP パケットは認証 TLV を伝送しますが、受信した SNP パケットはチェックされません。
▪ ローカルに送信された LSP パケットは認証 TLV を伝送し、受信した LSP パケットは認証およびチェックされますが、送信された SNP パケットは認証 TLV を伝送せず、受信した SNP パケットは認証およびチェックされません。
▪ ローカルに送信される LSP パケットと SNP パケットには認証 TLV が含まれており、受信した LSP パケットと SNP パケットに対して認証チェックは実行されません。
IS-IS 認証構成 (1)
1. IS-IS 地域認証を構成する
[Huawei-isis-1] area-authentication-mode { { simple | md5 } { plain plain-text | [ cipher ] plain-cipher-text } keychain keychain-name | hmac-sha256 key-id key-id } [ snp-packet { authentication-avoid | send-only } | allsend-only ]
simple は平文で認証に参加するパスワードを指定します; keychain は時間の経過とともに変化するキー チェーン リストを指定します; md5 は HMAC-MD5 アルゴリズムによって暗号化された後に認証に参加するパスワードを指定します。 snp-packet は、SNP メッセージ関連の検証の設定を指定します。authentication-avoid は、生成された SNP の認証情報をカプセル化せず、受信した SNP をチェックせず、生成された LSP の認証情報をカプセル化し、受信した LSP をチェックするだけを指定します。 send-only は、生成された LSP および SNP が認証情報でカプセル化され、受信された LSP のみがチェックされ、受信された SNP はチェックされないことを指定します。all-send-only は、生成された LSP および SNP が認証情報でカプセル化されることを指定します。受信した LSP と SNP はチェックされません。
2. IS-IS ルーティング ドメイン認証を設定する
[Huawei-isis-1] ドメイン認証モード { { シンプル | md5 } { プレーン プレーンテキスト | [ cipher ] 平文暗号文 } キーチェーン キーチェーン名 | hmac-sha256 キー ID キー ID } [ snp-packet { 認証回避 | hmac-sha256 key-id key-id }送信専用 } |全送信専用]
パラメータの意味は地域の認定と一致しています。
3. IS-IS インターフェイス認証を設定する
[Huawei-GigabitEthernet0/0/0] isis authentication-mode [keychain | md5 | simple ] [ level-1 | level-2 ] [ ip | osi ] [ send-only ]
level-1 はレベル 1 認証の設定を指定し、level-2 はレベル 2 認証の設定を指定し、send-only は送信された Hello パケットの認証情報の読み込みのみを指定し、受信した Hello パケットの認証は行わないことを指定します。