在华为的网络设备上,System ID 总是固定的 6Byte 长度。
关于区域合并
路由器支持配置多个 AREA ID,但要求 System ID 相同。配置多个 AREA ID 能够实现区域的分隔、合并,而不中断全业务。
我们以区域合并为例,假如现在有两个区域,我们需要合并:
1)现在路由器上配置相同的 Area ID,并等待 LSDB 数据同步完成;
2)当数据同步完成后,即可删除原来的区域;
关于地址检查
一般情况下,一个接口只需配置一个主IP地址,但在有些特殊情况下需要配置从IP地址。比如,一台路由器通过一个接口连接了一个物理网络,但该物理网络的计算机分别属于2个不同的网络,为了使路由器与物理网络中的所有计算机通信,就需要在该接口上配置一个主IP地址和一个从IP地址。路由器的每个三层接口可以配置多个IP地址,其中一个为主IP地址,其余为从IP地址,每个三层接口最多可配置31个从IP地址。
通过将以太网接口模拟成点到点接口,可以建立点到点链路邻接关系。
当链路两端IS-IS接口的地址不在同一网段时,如果配置接口对接收的Hello报文不作IP地址检查,也可以建立邻接关系。
对于点到点接口,可以配置接口忽略IP地址检查。
对于以太网接口,需要将以太网接口模拟成点到点接口,然后才可以配置接口忽略IP地址检查。
基本配置
// 创建IS-IS进程,进入IS-IS进程
// 参数process-id用来指定一个IS-IS进程。如果不指定参数process-id,则系统默认的进程为1。
[Huawei] isis [process-id ]
// 配置网络实体名称(NET)
// 通常情况下,一个IS-IS进程下配置一个NET即可。当区域需要重新划分时,例如将多个区域合并,或者将一个区域划分为多个区域,这种情况下配置多个NET可以在重新配置时仍然能够保证路由的正确性。由于一个IS-IS进程中区域地址最多可配置3个,所以NET最多也只能配3个。在配置多个NET时,必须保证它们的System ID都相同。
[Huawei-isis-1] network-entity net
// 配置全局Level级别
// 缺省情况下,设备的Level级别为level-1-2。
// 在网络运行过程中,改变IS-IS设备的级别可能会导致IS-IS进程重启并可能会造成IS-IS邻居断连,建议用户在配置IS-IS时即完成设备级别的配置。
[Huawei-isis-1] is-level { level-1 | level-1-2 | level-2 }
// 在接口上使能IS-IS协议
// 配置该命令后,IS-IS将通过该接口建立邻居、扩散LSP报文。
[Huawei-GigabitEthernet0/0/1] isis enable [ process-id ]
// 配置接口Level级别
// 缺省情况下,接口的Level级别为level-1-2。
// 两台Level-1-2设备建立邻居关系时,缺省情况下,会分别建立Level-1和Level-2邻居关系。如果只希望建立Level-1或者Level-2的邻居关系,可以通过修改接口的Level级别实现。
[Huawei-GigabitEthernet0/0/1] isis circuit-level [ level-1 | level-1-2 | level-2 ]
其他常用配置
// 设置接口的网络类型为P2P // 缺省情况下,接口网络类型根据物理接口决定。 // 使用该命令将广播网接口模拟成P2P接口时,接口发送Hello报文的间隔时间、宣告邻居失效前IS-IS没有收到的邻居Hello报文数目、点到点链路上LSP报文的重传间隔时间以及IS-IS各种认证均恢复为缺省配置,而DIS优先级、DIS名称、广播网络上发送CSNP报文的间隔时间等配置均失效。 [Huawei-GigabitEthernet0/0/1]isis circuit-type p2p // 恢复接口的缺省网络类型 // 使用该命令恢复接口的缺省网络类型时,接口发送Hello报文的间隔时间、宣告邻居失效前IS-IS没有收到的邻居Hello报文数目、点到点链路上LSP报文的重传间隔时间、IS-IS各种认证、DIS优先级和广播网络上发送CSNP报文的间隔时间均恢复为缺省配置。 [Huawei-GigabitEthernet0/0/1] undo isis circuit-type // 修改接口的DIS优先级 // 缺省情况下,IS-IS接口DIS优先级为64。 // 该命令用来指定挑选对应层次DIS(Designated Intermediate System)时接口的优先级。 [Huawei-GigabitEthernet0/0/1] isis dis-priority priority [ level-1 | level-2 ]
配置示例
[Huawei] isis 1 [isis] network-entity 49.0001.0000.0000.1111.00 [Interface] isis enable <Process ID> # 进行宣告 [Huawei] is-level level-2 display isis interface
其他设置
[Huawei] isis ppp-negotiation 2-way # 使用两次握手 [Interface] isis Circuit-level level-1 # 优化操作:已知对端为 L1,因此无需发送 L2 Hello 报文; [isis] is-name <Device Name> # 将 System ID 作为名称显示; [isis] import-router isis level-2 into level-1 filter-policy <name> # 在 L1/2 中,进行路由渗透,解决次优路径问题
认证配置
配置 IS-IS 区域认证
[Huawei-isis-1] area-authentication-mode { { simple | md5 } { plain plain-text | [ cipher ] plain-cipher-text } keychain keychain-name | hmac-sha256 key-id key-id } [ snp-packet { authentication-avoid | send-only } | all-send-only ]
simple 指定密码以纯文本方式参与认证;keychain 指定随时间变化的密钥链表;md5 指定密码通过HMAC-MD5算法加密后参与认证。
snp-packet 指定配置SNP报文相关的验证;authentication-avoid 指定不对产生的SNP封装认证信息,也不检查收到的SNP,只对产生的LSP封装认证信息,并检查收到的LSP;send-only 指定对产生的LSP和SNP封装认证信息,只检查收到的LSP,不检查收到的SNP;all-send-only 指定对产生的LSP和SNP封装认证信息,不检查收到的LSP和SNP。
配置 IS-IS 路由域认证
[Huawei-isis-1] domain-authentication-mode { { simple | md5 } { plain plain-text | [ cipher ] plain-cipher-text } keychain keychain-name | hmac-sha256 key-id key-id } [ snp-packet { authentication-avoid | send-only } | all-send-only ]
参数含义与区域认证一致。
配置 IS-IS 接口认证
[Huawei-GigabitEthernet0/0/0] isis authentication-mode [keychain | md5 | simple ] [ level-1 | level-2 ] [ ip | osi ] [ send-only ]
level-1 指定设置Level-1级别的认证;level-2 指定设置Level-2级别的认证;send-only 指定只对发送的Hello报文加载认证信息,不对接收的Hello报文进行认证。