写点什么

华为 IS-IS 防环、泄露

用户头像
艺博东
关注
发布于: 2021 年 03 月 28 日

>哈喽,大家好!我是艺博东,是一个思科出身专注于华为的网工;好了,话不多说,我们直接进入正题。


拓扑


配置


AR1


[AR1]isis[AR1-isis-1]network-entity 49.0001.0000.0000.0001.00[AR1-isis-1]is-level level-1[AR1-isis-1]cost-style wide[AR1-isis-1]q[AR1]int g0/0/0[AR1-GigabitEthernet0/0/0]ip address 10.1.12.1 255.255.255.0 [AR1-GigabitEthernet0/0/0]isis enable 1[AR1-GigabitEthernet0/0/0]isis cost 1[AR1-GigabitEthernet0/0/0]int g0/0/1[AR1-GigabitEthernet0/0/1]ip address 10.1.13.1 255.255.255.0 [AR1-GigabitEthernet0/0/1]isis enable 1[AR1-GigabitEthernet0/0/1]isis cost 1[AR1-GigabitEthernet0/0/1]q
复制代码


AR2


[AR2]isis[AR2-isis-1]network-entity 49.0001.0000.0000.0002.00[AR2-isis-1]is-level level-1[AR2-isis-1]cost-style wide[AR2-isis-1]q[AR2]int g0/0/0[AR2-GigabitEthernet0/0/0]ip address 10.1.12.2 255.255.255.0 [AR2-GigabitEthernet0/0/0]isis enable 1[AR2-GigabitEthernet0/0/0]isis cost 1[AR2-GigabitEthernet0/0/0]int g0/0/1[AR2-GigabitEthernet0/0/1]ip address 10.1.24.2 255.255.255.0 [AR2-GigabitEthernet0/0/1]isis enable 1[AR2-GigabitEthernet0/0/1]isis cost 1[AR2-GigabitEthernet0/0/1]q
复制代码


AR3

[AR3]isis[AR3-isis-1]network-entity 49.0001.0000.0000.0003.00[AR3-isis-1]is-level level-1-2[AR3-isis-1]cost-style wide[AR3-isis-1]q[AR3]int g0/0/0[AR3-GigabitEthernet0/0/0]ip address 10.1.35.3 255.255.255.0 [AR3-GigabitEthernet0/0/0]isis enable 1[AR3-GigabitEthernet0/0/0]isis cost 1[AR3-GigabitEthernet0/0/0]int g0/0/1[AR3-GigabitEthernet0/0/1]ip address 10.1.13.3 255.255.255.0 [AR3-GigabitEthernet0/0/1]isis enable 1[AR3-GigabitEthernet0/0/1]isis cost 1[AR3-GigabitEthernet0/0/1]q
复制代码

<font color=“FF0000”>AR4 配置类似</font>


AR5


[AR5]isis[AR5-isis-1]network-entity 49.0003.0000.0000.0005.00[AR5-isis-1]is-level level-2[AR5-isis-1]cost-style wide[AR5-isis-1]q[AR5]int g0/0/0[AR5-GigabitEthernet0/0/0]ip address 10.1.45.5 255.255.255.0 [AR5-GigabitEthernet0/0/0]isis enable 1[AR5-GigabitEthernet0/0/0]isis cost 10[AR5-GigabitEthernet0/0/0]int g0/0/1[AR5-GigabitEthernet0/0/1]ip address 10.1.35.5 255.255.255.0 [AR5-GigabitEthernet0/0/1]isis enable 1[AR5-GigabitEthernet0/0/1]isis cost 1[AR5-GigabitEthernet0/0/1]int g0/0/2[AR5-GigabitEthernet0/0/1]ip address 10.1.56.5 255.255.255.0 [AR5-GigabitEthernet0/0/1]isis enable 1[AR5-GigabitEthernet0/0/1]isis cost 1
复制代码

<font color=“FF0000”>AR6 配置类似</font>


分析


[AR2]dis ip routing-table protocol isis


[AR2]tracert 10.1.56.6

当 R2 去往 R6 的时候,路径为 R2-R4-R5-R6,cost=12;因为 R2 作为 L1 路由器并不知道区域外的路由信息,访问区域外的网段会选择最近的 L1/2 路由器产生的缺省路由发送。但实际最佳的路径是 R2-R1-R3-R5-R6,cost=4。(先根据 cost 来选路,越小越优)


想解决这个问题的话,在 level-1-2 路由器上进行路由泄露。


AR3、AR4


[AR3-isis-1]import-route isis level-2 into level-1 
[AR4-isis-1]import-route isis level-2 into level-1[AR4-isis-1]import-route isis level-2 into level-1 filter-policy ? acl-name #配置ACL ip-prefix #配置ip前缀列表 route-policy #配置路由策略
复制代码


AR3、AR4 做了泄露之后,L1 区域查看路由条目


[AR2]dis ip routing-table protocol isis

由以上输出结果可知,去往 10.1.56.0/24 的网段最优的下一跳是 10.1.12.1;


后续问题:在 L1/2 路由器 R3、R4 上使能路由渗透功能后,R3、R4 会分别收到对方传来的外部路由进行描述的 L1 路由。因为 L1 的优先级大于 L2 的优先级,所以会带来路由环路和次优路径的问题。


解决方法:使 LSP 度量值中的 distribution 字段的 UP/DOWN bit,当路由从 L2 区域渗透到 L1 区域,会将度量值中的 DOWN 位置位,L1/2 路由器收到 DOWN 置位的 LSP 能接收但是不会参与计算。 这样就起到了防环的作用。


[AR2]tracert 10.1.56.6

所以在同一个区域,选路先看借口的开销,然后是 L1、L2、L1*的路由;


[AR2]dis isis lsdb verbose

泄露进来 L2 路由是带有 * 号;


路由优先走 level 1 的,因为 level 1 优于 level 2 的路由,Level 2 大于带 L1*号的;


防环: Level 2 的路由默认不会泄露到 Level 1 区域,这样就形成了区域间的水平分割,这样就实现了防环;(换句话说就是,L1 没有 L2 的明细路由,有默认路由)



AR4 上进行泄露,AR3 不进行;

路由优先走 level 1 的,因为 level 1 优于 level 2 的路由,

如果优先都是 level 1,那么比较开销,开销越小越优选;


做泄露 L2 到 L1 了之后,L1 已经学到了其明细路由;那么在 L1 区域的 Level 2 的路由会不会传到骨干 Level 2 呢?不会,因为这个区域内存在 L1 的路由的情况下,并且不带*号,那么 L2 就不会被优选。im-route 的前提是这条路由是优选的。

L1 优选 L2 的。


Level 2 优于带*号的 Level 1 路由。


选路原则:L1>L2>L1号的是泄露进来的路由。


OK


>给自己一片悬崖,绝地重生。


-----------------------------------------------------------------------------------



好了这期就到这里了,如果你喜欢这篇文章的话,请点赞评论分享收藏,如果你还能点击关注,那真的是对我最大的鼓励。谢谢大家,下期见!


发布于: 2021 年 03 月 28 日阅读数: 8
用户头像

艺博东

关注

CSDN博客专家 | CSDN博客之星 2021.01.26 加入

华为HCIE互联网专家 | 网络工程师 | 网络管理员 微信公众号:艺博东 关注后,回复关键字“简历”,即可领取简历模板大全;更多干货等你来领取。

评论

发布
暂无评论
华为 IS-IS防环、泄露