華為 IS-IS防環(huán)、泄露

哈嘍，大家好！我是藝博東 ，是一個思科出身專注于華為的網工；好了，話不多說，我們直接進入正題。

點擊上方“藍字”關注我們

文章目錄

• 
  

• 拓撲

• 配置

• 分析

拓撲

配置

AR1

[AR1]isis
[AR1-isis-1]network-entity 49.0001.0000.0000.0001.00
[AR1-isis-1]is-level level-1
[AR1-isis-1]cost-style wide
[AR1-isis-1]q
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 10.1.12.1 255.255.255.0 
[AR1-GigabitEthernet0/0/0]isis enable 1
[AR1-GigabitEthernet0/0/0]isis cost 1
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip address 10.1.13.1 255.255.255.0 
[AR1-GigabitEthernet0/0/1]isis enable 1
[AR1-GigabitEthernet0/0/1]isis cost 1
[AR1-GigabitEthernet0/0/1]q

AR2

[AR2]isis
[AR2-isis-1]network-entity 49.0001.0000.0000.0002.00
[AR2-isis-1]is-level level-1
[AR2-isis-1]cost-style wide
[AR2-isis-1]q
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip address 10.1.12.2 255.255.255.0 
[AR2-GigabitEthernet0/0/0]isis enable 1
[AR2-GigabitEthernet0/0/0]isis cost 1
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip address 10.1.24.2 255.255.255.0 
[AR2-GigabitEthernet0/0/1]isis enable 1
[AR2-GigabitEthernet0/0/1]isis cost 1
[AR2-GigabitEthernet0/0/1]q

AR3

[AR3]isis
[AR3-isis-1]network-entity 49.0001.0000.0000.0003.00
[AR3-isis-1]is-level level-1-2
[AR3-isis-1]cost-style wide
[AR3-isis-1]q
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip address 10.1.35.3 255.255.255.0 
[AR3-GigabitEthernet0/0/0]isis enable 1
[AR3-GigabitEthernet0/0/0]isis cost 1
[AR3-GigabitEthernet0/0/0]int g0/0/1
[AR3-GigabitEthernet0/0/1]ip address 10.1.13.3 255.255.255.0 
[AR3-GigabitEthernet0/0/1]isis enable 1
[AR3-GigabitEthernet0/0/1]isis cost 1
[AR3-GigabitEthernet0/0/1]q

AR4配置類似

AR5

[AR5]isis
[AR5-isis-1]network-entity 49.0003.0000.0000.0005.00
[AR5-isis-1]is-level level-2
[AR5-isis-1]cost-style wide
[AR5-isis-1]q
[AR5]int g0/0/0
[AR5-GigabitEthernet0/0/0]ip address 10.1.45.5 255.255.255.0 
[AR5-GigabitEthernet0/0/0]isis enable 1
[AR5-GigabitEthernet0/0/0]isis cost 10
[AR5-GigabitEthernet0/0/0]int g0/0/1
[AR5-GigabitEthernet0/0/1]ip address 10.1.35.5 255.255.255.0 
[AR5-GigabitEthernet0/0/1]isis enable 1
[AR5-GigabitEthernet0/0/1]isis cost 1
[AR5-GigabitEthernet0/0/1]int g0/0/2
[AR5-GigabitEthernet0/0/1]ip address 10.1.56.5 255.255.255.0 
[AR5-GigabitEthernet0/0/1]isis enable 1
[AR5-GigabitEthernet0/0/1]isis cost 1

AR6配置類似

分析

[AR2]dis ip routing-table protocol isis

[AR2]tracert 10.1.56.6

當R2去往R6的時候，路徑為R2-R4-R5-R6，cost=12；因為R2作為L1路由器并不知道區(qū)域外的路由信息，訪問區(qū)域外的網段會選擇最近的L1/2路由器產生的缺省路由發(fā)送。但實際最佳的路徑是R2-R1-R3-R5-R6，cost=4。（先根據(jù)cost來選路，越小越優(yōu)）

想解決這個問題的話，在level-1-2路由器上進行路由泄露。

AR3、AR4

[AR3-isis-1]import-route isis level-2 into level-1 

[AR4-isis-1]import-route isis level-2 into level-1
[AR4-isis-1]import-route isis level-2 into level-1 filter-policy ?
               acl-name            #配置ACL
               ip-prefix           #配置ip前綴列表
               route-policy        #配置路由策略

AR3、AR4做了泄露之后，L1區(qū)域查看路由條目

[AR2]dis ip routing-table protocol isis

由以上輸出結果可知，去往10.1.56.0/24的網段最優(yōu)的下一跳是10.1.12.1；

后續(xù)問題：在L1/2路由器R3、R4上使能路由滲透功能后，R3、R4會分別收到對方傳來的外部路由進行描述的L1路由。因為L1的優(yōu)先級大于L2的優(yōu)先級，所以會帶來路由環(huán)路和次優(yōu)路徑的問題。

解決方法：使LSP度量值中的distribution字段的UP/DOWN bit，當路由從L2區(qū)域滲透到L1區(qū)域，會將度量值中的DOWN位置位，L1/2路由器收到DOWN置位的LSP能接收但是不會參與計算。這樣就起到了防環(huán)的作用。

[AR2]tracert 10.1.56.6

所以在同一個區(qū)域，選路先看接口的開銷，然后是L1、L2、L1*的路由；

[AR2]dis isis lsdb verbose

泄露進來L2路由是帶有 * 號；

路由優(yōu)先走level 1的，因為level 1優(yōu)于level 2的路由，Level 2大于帶L1*號的；

防環(huán)： Level 2的路由默認不會泄露到 Level 1 區(qū)域，這樣就形成了區(qū)域間的水平分割，這樣就實現(xiàn)了防環(huán)；（換句話說就是，L1沒有L2的明細路由，有默認路由）

AR4上進行泄露，AR3不進行；

路由優(yōu)先走level 1的，因為level 1優(yōu)于level 2的路由，
如果優(yōu)先都是level 1，那么比較開銷，開銷越小越優(yōu)選；

做泄露L2 到 L1了之后，L1已經學到了其明細路由；那么在L1區(qū)域的Level 2的路由會不會傳到骨干Level 2呢？不會，因為這個區(qū)域內存在L1的路由的情況下，并且不帶*號，那么L2 就不會被優(yōu)選。im-route的前提是這條路由是優(yōu)選的。
L1 優(yōu)選 L2的。

Level 2優(yōu)于帶*號的Level 1路由。

選路原則：L1>L2>L1* 帶*號的是泄露進來的路由。

OK

給自己一片懸崖，絕地重生。

好了這期就到這里了，如果你喜歡這篇文章的話，請點贊評論分享收藏，如果你還能點擊關注，那真的是對我最大的鼓勵。謝謝大家，下期見！

往期推薦：

華為 BGP協(xié)議基礎配置與總結

2021-03-11

華為 VRRP和NQA或者是BFD進行聯(lián)動，實現(xiàn)VRRP的快速切換

2021-03-08

華為 DHCP、DHCP中繼、DHCP snooping

2021-03-04

點贊在看養(yǎng)成習慣