华为 IS-IS防环、泄露

共 3857字,需浏览 8分钟

 ·

2021-03-17 14:58

哈喽,大家好!我是艺博东 ,是一个思科出身专注于华为的网工;好了,话不多说,我们直接进入正题。

点击上方“蓝字”关注我们

文章目录


    • 拓扑

    • 配置

    • 分析




拓扑


配置


AR1

[AR1]isis
[AR1-isis-1]network-entity 49.0001.0000.0000.0001.00
[AR1-isis-1]is-level level-1
[AR1-isis-1]cost-style wide
[AR1-isis-1]q
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 10.1.12.1 255.255.255.0
[AR1-GigabitEthernet0/0/0]isis enable 1
[AR1-GigabitEthernet0/0/0]isis cost 1
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip address 10.1.13.1 255.255.255.0
[AR1-GigabitEthernet0/0/1]isis enable 1
[AR1-GigabitEthernet0/0/1]isis cost 1
[AR1-GigabitEthernet0/0/1]q

AR2

[AR2]isis
[AR2-isis-1]network-entity 49.0001.0000.0000.0002.00
[AR2-isis-1]is-level level-1
[AR2-isis-1]cost-style wide
[AR2-isis-1]q
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip address 10.1.12.2 255.255.255.0
[AR2-GigabitEthernet0/0/0]isis enable 1
[AR2-GigabitEthernet0/0/0]isis cost 1
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip address 10.1.24.2 255.255.255.0
[AR2-GigabitEthernet0/0/1]isis enable 1
[AR2-GigabitEthernet0/0/1]isis cost 1
[AR2-GigabitEthernet0/0/1]q

AR3

[AR3]isis
[AR3-isis-1]network-entity 49.0001.0000.0000.0003.00
[AR3-isis-1]is-level level-1-2
[AR3-isis-1]cost-style wide
[AR3-isis-1]q
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip address 10.1.35.3 255.255.255.0
[AR3-GigabitEthernet0/0/0]isis enable 1
[AR3-GigabitEthernet0/0/0]isis cost 1
[AR3-GigabitEthernet0/0/0]int g0/0/1
[AR3-GigabitEthernet0/0/1]ip address 10.1.13.3 255.255.255.0
[AR3-GigabitEthernet0/0/1]isis enable 1
[AR3-GigabitEthernet0/0/1]isis cost 1
[AR3-GigabitEthernet0/0/1]q

AR4配置类似

AR5

[AR5]isis
[AR5-isis-1]network-entity 49.0003.0000.0000.0005.00
[AR5-isis-1]is-level level-2
[AR5-isis-1]cost-style wide
[AR5-isis-1]q
[AR5]int g0/0/0
[AR5-GigabitEthernet0/0/0]ip address 10.1.45.5 255.255.255.0
[AR5-GigabitEthernet0/0/0]isis enable 1
[AR5-GigabitEthernet0/0/0]isis cost 10
[AR5-GigabitEthernet0/0/0]int g0/0/1
[AR5-GigabitEthernet0/0/1]ip address 10.1.35.5 255.255.255.0
[AR5-GigabitEthernet0/0/1]isis enable 1
[AR5-GigabitEthernet0/0/1]isis cost 1
[AR5-GigabitEthernet0/0/1]int g0/0/2
[AR5-GigabitEthernet0/0/1]ip address 10.1.56.5 255.255.255.0
[AR5-GigabitEthernet0/0/1]isis enable 1
[AR5-GigabitEthernet0/0/1]isis cost 1

AR6配置类似


分析



[AR2]dis ip routing-table protocol isis

[AR2]tracert 10.1.56.6

当R2去往R6的时候,路径为R2-R4-R5-R6,cost=12;因为R2作为L1路由器并不知道区域外的路由信息,访问区域外的网段会选择最近的L1/2路由器产生的缺省路由发送。但实际最佳的路径是R2-R1-R3-R5-R6,cost=4。(先根据cost来选路,越小越优)

想解决这个问题的话,在level-1-2路由器上进行路由泄露。

AR3、AR4

[AR3-isis-1]import-route isis level-2 into level-1 

[AR4-isis-1]import-route isis level-2 into level-1
[AR4-isis-1]import-route isis level-2 into level-1 filter-policy ?
acl-name #配置ACL
ip-prefix #配置ip前缀列表
route-policy #配置路由策略


AR3、AR4做了泄露之后,L1区域查看路由条目

[AR2]dis ip routing-table protocol isis

由以上输出结果可知,去往10.1.56.0/24的网段最优的下一跳是10.1.12.1;

后续问题:在L1/2路由器R3、R4上使能路由渗透功能后,R3、R4会分别收到对方传来的外部路由进行描述的L1路由。因为L1的优先级大于L2的优先级,所以会带来路由环路和次优路径的问题。

解决方法:使LSP度量值中的distribution字段的UP/DOWN bit,当路由从L2区域渗透到L1区域,会将度量值中的DOWN位置位,L1/2路由器收到DOWN置位的LSP能接收但是不会参与计算。这样就起到了防环的作用。

[AR2]tracert 10.1.56.6

所以在同一个区域,选路先看
口的开销,然后是L1、L2、L1*的路由;

[AR2]dis isis lsdb verbose

泄露进来L2路由是带有 * 号;

路由优先走level 1的,因为level 1优于level 2的路由,Level 2大于带L1*号的;

防环: Level 2的路由默认不会泄露到 Level 1 区域,这样就形成了区域间的水平分割,这样就实现了防环;(换句话说就是,L1没有L2的明细路由,有默认路由)

AR4上进行泄露,AR3不进行;

路由优先走level 1的,因为level 1优于level 2的路由,
如果优先都是level 1,那么比较开销,开销越小越优选;

做泄露L2 到 L1了之后,L1已经学到了其明细路由;那么在L1区域的Level 2的路由会不会传到骨干Level 2呢?不会,因为这个区域内存在L1的路由的情况下,并且不带*号,那么L2 就不会被优选。im-route的前提是这条路由是优选的。
L1 优选 L2的。

Level 2优于带*号的Level 1路由。

选路原则:L1>L2>L1* 带*号的是泄露进来的路由。

OK

给自己一片悬崖,绝地重生。


好了这期就到这里了,如果你喜欢这篇文章的话,请点赞评论分享收藏,如果你还能点击关注,那真的是对我最大的鼓励。谢谢大家,下期见!


往期推荐:

华为 BGP协议基础配置与总结

2021-03-11

华为 VRRP和NQA或者是BFD进行联动,实现VRRP的快速切换

2021-03-08

华为 DHCP、DHCP中继、DHCP snooping

2021-03-04



点赞在看养成习惯

浏览 61
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报