惠州建设局网站,附近网站建设公司,wordpress中文工具箱,建设厅焊工证查询网站isis区域间的互访 1、L2区域 to L1区域
在L1区域发布的路由会以L1-LSP在L1区域内传递#xff0c;到达L1-2路由器时#xff0c;L1-2路由器会将该L1-LSP转换为L2-LSP在L2区域内传递#xff1b;
因此L2区域的设备可以学习到L1区域的明细路由#xff0c;进行访问#xff1b;…isis区域间的互访 1、L2区域 to L1区域
在L1区域发布的路由会以L1-LSP在L1区域内传递到达L1-2路由器时L1-2路由器会将该L1-LSP转换为L2-LSP在L2区域内传递
因此L2区域的设备可以学习到L1区域的明细路由进行访问 2、L1区域 to L2区域
在L2区域发布的路由会以L2-LSP在L2区域内传递并且无法传递到L1区域L1区域无法学习到L2区域的明细路由L1区域的设备通过默认路由访问L2区域 默认路由的产生过程
1L1-2路由器会产生ATT1的LSP在L1区域内传递其余L1路由器收到ATT1的LSP后产生默认路由指向该LSP的产生者
ATT置位条件确保产生设备为L1区域的边界设备
a、L1-2路由器
b、同时存在L1以及L2的邻居关系
c、跟L1邻居的区域id需要一致跟L2邻居的区域id不能一致 缺陷L1区域无法得知L2区域的链路开销情况因此容易出现次优问题
解决路由渗透在L1-2路由器上将L2路由引入到L1区域
路由渗透可能导致的问题形成环路L2路由通过渗透以L1的LSP在L1区域内传递到达L1-2路由器时L1-2路由器会将该路由转成L2-LSP重新传回L2区域
解决isis路由中的UP/DOWN默认存在无需手动配置
经过路由渗透进入L1区域的isis路由的up/down位会被置位为downdown位的路由无法重新经由L1-2路由器传回L2区域 LSP中的TYPE BLOCK位
1、ATT区域边界位
2、P区域修复位0暂时用不着
3、OLoverload过载位
默认为0
进入到过载模式的设备会向外发送OL1的LSP其余设备收到后在计算它的非直连路由时不考虑以过载的设备作为路径 应用保护性能无法支撑继续工作设备 isis 1
set-overload //将设备设置为过载模式 isis路由汇总
配置设备在产生该LSP的设备上配置
默认情况下只针对L2-LSP进行汇总 isis 1
summary 4.4.4.0 255.255.255.0 //针对自身产生的L2-LSP进行汇总
summary 4.4.4.0 255.255.255.0 level-1 //针对自身产生的L1-LSP进行汇总 isis认证
认证方式
1、接口认证针对该接口下的所有hello报文进行认证
2、区域认证针对L1区域的SNP以及LSP报文进行认证
3、路由域认证针对L2区域的SNP以及LSP报文进行认证 认证类型明文、MD5、keychain 配置
interface GigabitEthernet0/0/0
isis authentication-mode simple plain huawei //接口配置明文认证 isis 1
area-authentication-mode simple plain huawei //区域认证针对L1区域的所有SNP以及LSP报文做认证整个L1区域的设备均需要配置
area-authentication-mode simple plain huawei snp-packet authentication-avoid //针对L1区域的所有LSP报文做认证
domain-authentication-mode md5 plain huawei //路由域认证针对L2区域的所有SNP以及LSP报文做认证整个L2区域的设备均需要配置 isis路由引入
注意事项默认只会在level-2区域引入如果需要在level-1区域进行路由引入引入时需要增加参数
isis 1
import-route direct level-1 isis引入路由的开销计算方式内部开销外部开销默认为064固定数值
isis 1
import-route direct level-1 cost x //引入时修改外部开销 影响isis邻居建立的因素
1、路由器类型需要有交集L1路由器与L2路由器无法建立
2、system id不能冲突
3、超时时间可以不一致DIS的hello为3.3s超时时间为9s
4、L1邻居之间区域id要一致L2邻居可以不一致TLV-1
5、双方需要在同一网段
通过在hello报文中携带TLV-132接口ip进行检查
6、两端MTU需要一致
通过在hello报文中放入填充字段TLV-8将hello报文的大小控制在接口的MTU数值进行协商
7、如果配置了认证认证需要通过通过TLV-10携带认证信息
8、接口不静默
9、网络类型需要一致P2P以及广播型网络使用的报文不一样
10、开销计算方式宽度量与窄度量可以建立邻居但是路由计算会出错因为使用的TLV不一致 ospf与isis的区别
ospf isis
TCP/IP 网络 数据链路
区域类型 多样 L1/L2
网络类型 4 2
收敛速度 快 更快
安全性 高 更高认证可以更精确
路由承载能力 强 更强一份LSP可以通过TLV携带更多路由
2、3、5、7类lsa一份对应一条路由
扩展性 弱 强通过新增TLV可以适应网络的变化 应用 适用于异构化严重的网络 适用于对网络性能要求较高并且设备性能较高的网络
中大型企业网 运营商网络
流量控制 流量控制
分类流量过滤、流量转发路径控制
特点1、作用于数据层面/转发层面
2、不会影响路由表针对转发流量生效 实现步骤
1、通过流量匹配工具匹配流量ACL
2、将匹配工具应用到流量控制工具
3、在设备中应用流量控制工具 1traffic-filter
作用用于过滤流量
配置
a、通过ACL匹配流量其中动作为deny的流量会被过滤动作为permit或者没有被匹配的流量均不会被过滤
acl number 3000
rule 5 deny ip source 10.1.12.1 0 destination 7.7.7.7 0 //过滤10.1.12.1到7.7.7.7的流量 b、将ACL调用到traffic-filter并且在接口下调用
interface GigabitEthernet0/0/0
traffic-filter inbound acl 3000 //接口下调用因此只能对接收的流量生效对本地产生的流量不生效 2策略路由PBR
作用控制本地流量转发路径 实现步骤
a、通过ACL匹配需要控制的流量动作为permit的流量会被匹配上
acl number 3000
rule 5 permit ip source 2.2.2.2 0 destination 7.7.7.7 0 b、
[R2]policy-based-route 2to7 permit node 10 //创建策略路由2to7节点10
if-match acl 3000 //指定ACL 3000作为匹配条件
apply ip-address next-hop 10.1.24.4 //将匹配上的流量从下一跳10.1.24.4转发出去 c、在全局下调用
[R2]ip local policy-based-route 2to7 //全局下调用只能对本设备产生的流量生效对接收到的流量不生效 匹配规则
1根据node号由小到大进行匹配
2根据if-match中的内容匹配流量
3通过apply指定执行动作
4如果流量没有配任何node匹配上则执行deny动作默认按照路由表转发
5当配置了多个if-match时必须同时满足了所有if-match条件才能执行动作
if-match之间的关系为与
node之间的关系为或 3 MQC模块化QOS命令行
作用控制接收到的流量的转发路径
实现步骤
a、通过ACL将需要控制的流量匹配出来在流分类中调用
acl number 3000
rule 5 permit ip source 2.2.2.2 0 destination 7.7.7.7 0
rule 10 permit ip destination 7.7.7.7 0 traffic classifier a //创建流分类a
if-match acl 3000 //调用ACL3000作为匹配条件 b、创建流行为定义动作
traffic behavior a
redirect ip-nexthop 10.1.24.4 //将流量发往10.1.24.4 c、创建流策略将流分类以及流行为进行绑定
traffic policy a
classifier a behavior a d、接口下调用
interface GigabitEthernet0/0/0
traffic-policy a inbound //控制流量走向的策略只能在接口的入方向调用 **接口下调用仅能对收到的流量生效无法对本地产生的流量生效 ACL匹配流量时的注意事项
1、根据规则号由小到大进行匹配匹配上执行动作
2、如果应用于traffic-filter默认动作为permit
应用于PBR、MQC时默认动作为deny
—————————— 路由控制
特点作用于控制层面/路由层面
直接影响路由表 步骤
1、匹配工具将需要控制的流量匹配出来ACL、地址前缀列表
2、调用匹配工具到路由控制工具上路由策略、过滤策略
3、设备调用需要在路由协议中调用 匹配工具
1、ACL
注意事项
1ACL匹配路由只能用基本ACL基于源ip匹配
2ACL用于匹配路由时默认动作为deny 2、地址前缀列表
[R5]ip ip-prefix a index 10 permit 6.6.6.6 32 //匹配路由6.6.6.6/32 匹配规则
1根据index号由小到大进行匹配
2默认动作为deny不匹配
3指定的掩码在指定的掩码范围里掩码就参与规则制定
4只指定了greater-equal没指定less-equal less-equal 以32进行计算。
5只指定了less-equal 没指定greater-equalgreater-equal按照0计算。 ip ip-prefix b index 10 permit 192.168.1.0 25 greater-equal 25 less-equal 27 //匹配192.168.1.0掩码为25~27位路由
ip ip-prefix b index 10 permit 192.168.1.0 26 greater-equal 25 less-equal 27 //匹配192.168.1.0掩码为26~27位路由
ip ip-prefix b index 10 permit 192.168.1.0 24 greater-equal 25 less-equal 27 //匹配192.168.1.0掩码为25~27位路由
ip ip-prefix b index 10 permit 192.168.1.0 25 greater-equal 26 //匹配192.168.1.0掩码为26~32位路由
ip ip-prefix b index 10 permit 192.168.1.0 25 less-equal 28 //匹配192.168.1.0掩码为25~32位路由
ip ip-prefix b index 10 permit 0.0.0.0 0 less-equal 32 //匹配所有路由 缺陷无法灵活匹配奇偶路由 1.1.1.1/32
1.1.1.2/32 acl 2000 ——rule 5 p s 1.1.1.1 0.0.0.254 //匹配1.1.1.xx为奇数的路由
.....
1.1.1.100/32 路由策略route-policy
作用可以控制路由的传递以及修改路由的属性
调用ospf isis在引入时调用或者修改优先级时调用
BGP可以peer邻居时调用 配置
[R5]ip ip-prefix a index 10 permit 6.6.6.6 32 //匹配路由6.6.6.6/32 [R5]route-policy a permit node 10 //创建路由策略a节点10动作为permit代表不过滤
if-match ip-prefix a //调用地址前缀列表a作为匹配条件
apply tag 20 //将被匹配的路由打上tag 10
route-policy a permit node 20 //创建空节点20代表匹配所有路由动作为permit不过滤 ospf 1 router-id 5.5.5.5
import-route static route-policy a //引入路由时调用 匹配规则
1根据node号由小到大进行匹配
2根据if-match中的内容匹配流量
3node中指定的permit或者deny决定了流量是否被过滤如果为permit则不过滤deny则过滤
3通过apply指定执行动作可以进行路由属性的修改可选
4如果路由没有配任何node匹配上则执行deny动作代表被过滤
5当配置了多个if-match时必须同时满足了所有if-match条件才能执行动作
if-match之间的关系为与
node之间的关系为或 过滤策略filter-policy
作用只能过滤路由
应用ospf、isis在进程下调用
BGP在peer邻居时调用
配置步骤 1、通过匹配工具将需要过滤的路由deny掉其余无需过滤的路由permit
ip ip-prefix 6 index 10 deny 6.6.6.6 32 //过滤6.6.6.6/32
ip ip-prefix 6 index 20 permit 0.0.0.0 0 less-equal 32 //其余不过滤 2、进程下调用
2.1 入方向
控制路由进入本设备的路由表被匹配工具deny的路由无法进路由表
ospf 1 router-id 1.1.1.1
filter-policy ip-prefix 6 import //入方向配置过滤策略调用地址前缀列表6作为匹配工具 2.2 出方向
控制路由引入动作被匹配工具deny的路由无法引入成功
ospf 1 router-id 5.5.5.5
filter-policy ip-prefix 6 export //出方向配置过滤策略调用地址前缀列表6作为匹配工具
