isis区域间的互访

1、L2区域 to L1区域

在L1区域发布的路由会以L1-LSP在L1区域内传递，到达L1-2路由器时，L1-2路由器会将该L1-LSP转换为L2-LSP在L2区域内传递；

因此L2区域的设备可以学习到L1区域的明细路由，进行访问；

2、L1区域 to L2区域

在L2区域发布的路由会以L2-LSP在L2区域内传递，并且无法传递到L1区域，L1区域无法学习到L2区域的明细路由，L1区域的设备通过默认路由访问L2区域；

默认路由的产生过程：

（1）L1-2路由器会产生ATT=1的LSP在L1区域内传递，其余L1路由器收到ATT=1的LSP后，产生默认路由，指向该LSP的产生者；

ATT置位条件：确保产生设备为L1区域的边界设备；

a、L1-2路由器；

b、同时存在L1以及L2的邻居关系；

c、跟L1邻居的区域id需要一致，跟L2邻居的区域id不能一致；

缺陷：L1区域无法得知L2区域的链路开销情况，因此容易出现次优问题；

解决：路由渗透（在L1-2路由器上将L2路由引入到L1区域）

路由渗透可能导致的问题：形成环路（L2路由，通过渗透以L1的LSP在L1区域内传递，到达L1-2路由器时，L1-2路由器会将该路由转成L2-LSP，重新传回L2区域）

解决：isis路由中的UP/DOWN（默认存在，无需手动配置）

经过路由渗透进入L1区域的isis路由的up/down位会被置位为down，down位的路由，无法重新经由L1-2路由器传回L2区域；

LSP中的TYPE BLOCK位：

1、ATT（区域边界位）

2、P（区域修复位）==0（暂时用不着）

3、OL（overload，过载位）

默认为0；

进入到过载模式的设备，会向外发送OL=1的LSP，其余设备收到后，在计算它的非直连路由时，不考虑以过载的设备作为路径；

应用：保护性能无法支撑继续工作设备；

isis 1

set-overload //将设备设置为过载模式

isis路由汇总

配置设备：在产生该LSP的设备上配置；

默认情况下，只针对L2-LSP进行汇总；

isis 1

summary 4.4.4.0 255.255.255.0 //针对自身产生的L2-LSP进行汇总

summary 4.4.4.0 255.255.255.0 level-1 //针对自身产生的L1-LSP进行汇总

isis认证

认证方式：

1、接口认证：针对该接口下的所有hello报文进行认证；

2、区域认证：针对L1区域的SNP以及LSP报文进行认证；

3、路由域认证：针对L2区域的SNP以及LSP报文进行认证；

认证类型：明文、MD5、keychain

配置：

interface GigabitEthernet0/0/0

isis authentication-mode simple plain huawei //接口配置明文认证；

isis 1

area-authentication-mode simple plain huawei //区域认证，针对L1区域的所有SNP以及LSP报文做认证，整个L1区域的设备均需要配置；

area-authentication-mode simple plain huawei snp-packet authentication-avoid //针对L1区域的所有LSP报文做认证

domain-authentication-mode md5 plain huawei //路由域认证，针对L2区域的所有SNP以及LSP报文做认证，整个L2区域的设备均需要配置；

isis路由引入

注意事项：默认只会在level-2区域引入，如果需要在level-1区域进行路由引入，引入时需要增加参数：

isis 1

import-route direct level-1

isis引入路由的开销计算方式：内部开销+外部开销（默认为0）+64（固定数值）

isis 1

import-route direct level-1 cost x //引入时修改外部开销

影响isis邻居建立的因素：

1、路由器类型需要有交集（L1路由器与L2路由器无法建立）

2、system id不能冲突；

3、超时时间可以不一致；（DIS的hello为3.3s，超时时间为9s）

4、L1邻居之间区域id要一致，L2邻居可以不一致；（TLV-1）

5、双方需要在同一网段；

通过在hello报文中携带TLV-132（接口ip）进行检查；

6、两端MTU需要一致；

通过在hello报文中放入填充字段（TLV-8），将hello报文的大小控制在接口的MTU数值进行协商；

7、如果配置了认证，认证需要通过；（通过TLV-10携带认证信息）；

8、接口不静默；

9、网络类型需要一致（P2P以及广播型网络使用的报文不一样）

10、开销计算方式；（宽度量与窄度量可以建立邻居，但是路由计算会出错，因为使用的TLV不一致）

ospf与isis的区别：

ospf isis

TCP/IP 网络 数据链路

区域类型： 多样 L1/L2

网络类型 4 2

收敛速度 快 更快

安全性 高 更高，认证可以更精确

路由承载能力 强 更强（一份LSP可以通过TLV携带更多路由）

2、3、5、7类lsa，一份对应一条路由

扩展性 弱 强（通过新增TLV，可以适应网络的变化）

应用： 适用于异构化严重的网络 适用于对网络性能要求较高，并且设备性能较高的网络

（中大型企业网） （运营商网络）

流量控制

流量控制

分类：流量过滤、流量转发路径控制；

特点：1、作用于数据层面/转发层面；

2、不会影响路由表，针对转发流量生效；

实现步骤：

1、通过流量匹配工具匹配流量（ACL）；

2、将匹配工具应用到流量控制工具；

3、在设备中应用流量控制工具；

（1）traffic-filter

作用：用于过滤流量；

配置

a、通过ACL匹配流量，其中动作为deny的流量会被过滤，动作为permit或者没有被匹配的流量均不会被过滤；

acl number 3000

rule 5 deny ip source 10.1.12.1 0 destination 7.7.7.7 0 //过滤10.1.12.1到7.7.7.7的流量；

b、将ACL调用到traffic-filter，并且在接口下调用；

interface GigabitEthernet0/0/0

traffic-filter inbound acl 3000 //接口下调用，因此只能对接收的流量生效，对本地产生的流量不生效；

（2）策略路由（PBR）

作用：控制本地流量转发路径；

实现步骤

a、通过ACL匹配需要控制的流量，动作为permit的流量会被匹配上；

acl number 3000

rule 5 permit ip source 2.2.2.2 0 destination 7.7.7.7 0

b、

[R2]policy-based-route 2to7 permit node 10 //创建策略路由2to7，节点10

if-match acl 3000 //指定ACL 3000作为匹配条件

apply ip-address next-hop 10.1.24.4 //将匹配上的流量，从下一跳10.1.24.4转发出去；

c、在全局下调用

[R2]ip local policy-based-route 2to7 //全局下调用，只能对本设备产生的流量生效，对接收到的流量不生效；

匹配规则：

（1）根据node号，由小到大进行匹配；

（2）根据if-match中的内容，匹配流量；

（3）通过apply指定执行动作；

（4）如果流量没有配任何node匹配上，则执行deny动作，默认按照路由表转发；

（5）当配置了多个if-match时，必须同时满足了所有if-match条件，才能执行动作；

if-match之间的关系为：与

node之间的关系为：或

（3） MQC（模块化QOS命令行）

作用：控制接收到的流量的转发路径

实现步骤

a、通过ACL将需要控制的流量匹配出来，在流分类中调用；

acl number 3000

rule 5 permit ip source 2.2.2.2 0 destination 7.7.7.7 0

rule 10 permit ip destination 7.7.7.7 0

traffic classifier a //创建流分类a

if-match acl 3000 //调用ACL3000作为匹配条件

b、创建流行为，定义动作

traffic behavior a

redirect ip-nexthop 10.1.24.4 //将流量发往10.1.24.4

c、创建流策略，将流分类以及流行为进行绑定

traffic policy a

classifier a behavior a

d、接口下调用

interface GigabitEthernet0/0/0

traffic-policy a inbound //控制流量走向的策略，只能在接口的入方向调用；

**接口下调用，仅能对收到的流量生效，无法对本地产生的流量生效；

ACL匹配流量时的注意事项：

1、根据规则号由小到大进行匹配，匹配上执行动作；

2、如果应用于traffic-filter，默认动作为permit；

应用于PBR、MQC时，默认动作为deny；

——————————

路由控制

特点：作用于控制层面/路由层面；

直接影响路由表；

步骤：

1、匹配工具将需要控制的流量匹配出来；（ACL、地址前缀列表）

2、调用匹配工具到路由控制工具上；（路由策略、过滤策略）

3、设备调用；（需要在路由协议中调用）

匹配工具：

1、ACL

注意事项：

（1）ACL匹配路由，只能用基本ACL，基于源ip匹配；

（2）ACL用于匹配路由时，默认动作为deny；

2、地址前缀列表

[R5]ip ip-prefix a index 10 permit 6.6.6.6 32 //匹配路由6.6.6.6/32

匹配规则：

（1）根据index号，由小到大进行匹配；

（2）默认动作为deny，不匹配；

（3）指定的掩码在指定的掩码范围里，掩码就参与规则制定；

（4）只指定了greater-equal，没指定less-equal ，less-equal 以32进行计算。

（5）只指定了less-equal ，没指定greater-equal，greater-equal按照0计算。

ip ip-prefix b index 10 permit 192.168.1.0 25 greater-equal 25 less-equal 27 //匹配192.168.1.0，掩码为25~27位路由；

ip ip-prefix b index 10 permit 192.168.1.0 26 greater-equal 25 less-equal 27 //匹配192.168.1.0，掩码为26~27位路由；

ip ip-prefix b index 10 permit 192.168.1.0 24 greater-equal 25 less-equal 27 //匹配192.168.1.0，掩码为25~27位路由；

ip ip-prefix b index 10 permit 192.168.1.0 25 greater-equal 26 //匹配192.168.1.0，掩码为26~32位路由；

ip ip-prefix b index 10 permit 192.168.1.0 25 less-equal 28 //匹配192.168.1.0，掩码为25~32位路由；

ip ip-prefix b index 10 permit 0.0.0.0 0 less-equal 32 //匹配所有路由

缺陷：无法灵活匹配奇偶路由

1.1.1.1/32

1.1.1.2/32 acl 2000 ——>rule 5 p s 1.1.1.1 0.0.0.254 //匹配1.1.1.x，x为奇数的路由

.....

1.1.1.100/32

路由策略（route-policy）

作用：可以控制路由的传递，以及修改路由的属性；

调用：ospf isis在引入时调用，或者修改优先级时调用；

BGP可以peer邻居时调用；

配置：

[R5]ip ip-prefix a index 10 permit 6.6.6.6 32 //匹配路由6.6.6.6/32

[R5]route-policy a permit node 10 //创建路由策略a，节点10，动作为permit（代表不过滤）

if-match ip-prefix a //调用地址前缀列表a，作为匹配条件

apply tag 20 //将被匹配的路由，打上tag 10；

route-policy a permit node 20 //创建空节点20，代表匹配所有路由，动作为permit，不过滤；

ospf 1 router-id 5.5.5.5

import-route static route-policy a //引入路由时调用；

匹配规则：

（1）根据node号，由小到大进行匹配；

（2）根据if-match中的内容，匹配流量；

（3）node中指定的permit或者deny，决定了流量是否被过滤，如果为permit，则不过滤，deny则过滤；

（3）通过apply指定执行动作，可以进行路由属性的修改（可选）；

（4）如果路由没有配任何node匹配上，则执行deny动作，代表被过滤；

（5）当配置了多个if-match时，必须同时满足了所有if-match条件，才能执行动作；

if-match之间的关系为：与

node之间的关系为：或

过滤策略（filter-policy）

作用：只能过滤路由

应用：ospf、isis在进程下调用；

BGP在peer邻居时调用；

配置步骤

1、通过匹配工具，将需要过滤的路由deny掉，其余无需过滤的路由，permit；

ip ip-prefix 6 index 10 deny 6.6.6.6 32 //过滤6.6.6.6/32

ip ip-prefix 6 index 20 permit 0.0.0.0 0 less-equal 32 //其余不过滤

2、进程下调用

2.1 入方向

控制路由进入本设备的路由表，被匹配工具deny的路由无法进路由表；

ospf 1 router-id 1.1.1.1

filter-policy ip-prefix 6 import //入方向配置过滤策略，调用地址前缀列表6作为匹配工具；

2.2 出方向

控制路由引入动作，被匹配工具deny的路由，无法引入成功；

ospf 1 router-id 5.5.5.5

filter-policy ip-prefix 6 export //出方向配置过滤策略，调用地址前缀列表6作为匹配工具；