拓扑图
配置
sysname AR1
#
isis 1
is-level level-1
cost-style wide
network-entity 49.0001.0000.0000.0001.00
#
interface GigabitEthernet0/0/0
ip address 12.1.1.1 255.255.255.0
isis enable 1
#
interface GigabitEthernet0/0/1
ip address 13.1.1.1 255.255.255.0
isis enable 1
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
isis enable 1
#
sysname AR2
#
isis 1
cost-style wide
network-entity 49.0001.0000.0000.0002.00
#
interface GigabitEthernet0/0/0
ip address 12.1.1.2 255.255.255.0
isis enable 1
isis circuit-level level-1
#
interface GigabitEthernet0/0/1
ip address 24.1.1.2 255.255.255.0
isis enable 1
isis circuit-level level-2
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
isis enable 1
sysname AR3
#
isis 1
cost-style wide
network-entity 49.0001.0000.0000.0003.00
#
interface GigabitEthernet0/0/0
ip address 13.1.1.3 255.255.255.0
isis enable 1
isis circuit-level level-1
#
interface GigabitEthernet0/0/1
ip address 34.1.1.3 255.255.255.0
isis enable 1
isis circuit-level level-2
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
isis enable 1
sysname AR4
#
isis 1
is-level level-2
cost-style wide
network-entity 49.0000.0000.0000.0004.00
#
interface GigabitEthernet0/0/0
ip address 24.1.1.4 255.255.255.0
isis enable 1
#
interface GigabitEthernet0/0/1
ip address 34.1.1.4 255.255.255.0
isis enable 1
#
interface LoopBack0
ip address 4.4.4.4 255.255.255.255
isis enable 1
验证ATT置位的条件
- 骨干路由器
- 连接2个或2个以上的区域
查看AR2、AR3连接的区域
查看ATT位置1的level-1 LSP
如果不想让Level-1-2路由器生成ATT置1的level-1 LSP,可以配置不置位ATT位的Level-1的LSP
L1路由器不会产生默认路由
isis
attached-bit advertise never
#
如果不希望Level-1-2所连接的Level-1设备都因为ATT比特位生成缺省路由,可以通过以下两种方式实现:
- 在Level-1-2设备上配置attached-bit advertise never命令,使得其不会发布ATT比特位置位的LSP。
- 在与Level-1-2设备相连的Level-1设备上配置attached-bit avoid-learning命令。
查看AR1的路由表,没有生成指向AR3的默认路由
路由渗透
查看AR1到AR4的路由,通过ATT置位的Level-1 LSP生成默认路由指向Level-1-2路由器
如果修改AR3的G0/0/1接口的cost为20,通过默认路由访问AR4,可能会出现次优路径
如果让AR1访问AR4,走AR2,可以把明细Level-2 LSP渗透到Level-1
isis
import-route isis level-2 into level-1
#
查看AR1的路由表,出现4.4.4.4/32的明细路由,下一跳AR2
查看level-1的LSDB,可以查看到渗透的路由信息
认证
接口认证
对Hello报文进行认证
在AR1和AR2互联的接口开启认证
interface GigabitEthernet0/0/0
isis authentication-mode md5 plain huawei
#
AR1的G0/0/0接口抓包可以看到TLV 10 的认证字段
区域认证
对Level-1的SNP和LSP进行认证
isis
area-authentication-mode md5 cipher huawei
#
查看Level-1的LSDB,可以看到认证字段
AR1的G0/0/1接口抓包
CSNP报文可以看到认证字段
路由域认证
对Level-2的SNP和LSP进行认证
查看Level-2的LSDB,可以看到认证字段
isis
domain-authentication-mode md5 cipher huawei
#