在部署或维护一个IS-IS网络时,经常遇到邻居建立或路由学习的问题。往往实战中有很多容易忽略的关键配置点,特别是跨厂商设备对接时的注意事项。所以那些表面配置正确但实际会产生隐蔽故障的场景是我们学习的重点。
IS-IS邻居建立的三大常见问题(Level不匹配、区域地址不一致、认证方式冲突)
需要特别注意几个技术细节:
1)Level匹配规则中,Level-1-2接口可以和任何级别建立邻居,但Level-1接口只能对Level-1/1-2;
2)开销类型不匹配时,narrow和wide组合会导致路由不通;
3)NET地址冲突会破坏LSP传输。
补充两个高级坑:一是IPv6多拓扑场景必须配置multi-topology兼容,二是等价路由需手工调整cost值避免流量负载不均。
在配置IS-IS(Intermediate System to Intermediate System)协议时,常见的“坑”主要源于邻居建立失败、路由学习异常、拓扑收敛问题等。以下是典型故障场景及解决方案,结合配置命令解析说明:
1. 邻居建立失败(Level不匹配)
故障现象
链路正常,但IS-IS邻居无法建立,display isis peer显示无邻接关系。
根因分析
链路两端设备的Level配置不兼容:
Level-1设备只能与Level-1或Level-1-2设备建邻;
Level-2设备只能与Level-2或Level-1-2设备建邻。
配置命令与解析
# 检查设备全局Level
display current-configuration configuration isis | include is-level# 检查接口Level(缺省为Level-1-2)
display current-configuration interface GigabitEthernet0/0/1 | include isis circuit-level
# 修正配置(以华为为例):
[Router] isis 1
[Router-isis-1] is-level level-2 # 全局设为Level-2
[Router-GigabitEthernet0/0/1] isis circuit-level level-2 # 接口强制Level-2
命令解析:
is-level:定义设备全局角色(Level-1/Level-2/Level-1-2)。
isis circuit-level:限制接口仅建立指定级别的邻接关系,避免跨级协商失败。
2. 区域地址不一致(Level-1邻居分裂)
故障现象
同区域设备无法建立Level-1邻居,但Level-2邻居正常。
根因分析
Level-1邻居要求两端区域地址至少有一个相同,否则视为不同区域。
配置命令与解析
# 检查区域地址
display current-configuration configuration isis | include network-entity
# 修正配置(区域地址需一致):
[Router] isis 1
[Router-isis-1] network-entity 49.0001.0000.0000.0001.00 # 区域ID=49.0001
命令解析:
network-entity:定义NET地址,格式为区域ID.系统ID.00。区域ID必须相同才能建立Level-1邻居。
3. 认证方式不匹配(报文丢弃)
故障现象
邻居状态反复震荡,日志报ISIS_AUTH_FAIL。
根因分析
接口或区域认证类型(MD5/Simple)或密码不一致,导致BPDU被丢弃。
配置命令与解析
# 检查接口认证
display current-configuration interface GigabitEthernet0/0/1 | include isis authentication-mode
# 统一认证配置(华为):
[Router-GigabitEthernet0/0/1] isis authentication-mode md5 cipher Huawei123
命令解析:
isis authentication-mode:接口级认证,支持md5/simple,cipher表示密文密码。
区域级认证需用area-authentication-mode,且同一区域内所有设备必须一致。
4. 开销类型冲突(路由学习失败)
故障现象
设备学习不到IS-IS路由,display isis route无输出。
根因分析
两端开销计算模式(Cost Style)不兼容:
narrow模式(0-63)与wide模式(0-16777215)互不识别;
narrow-compatible可收wide报文但只发narrow,与wide设备不通。
配置命令与解析
# 检查开销类型
display isis brief | include cost-style
# 统一为wide模式(推荐):
[Router-isis-1] cost-style wide # 支持大开销值(如100G链路)
命令解析:
cost-style:定义开销值范围。全网需统一为wide或compatible等兼容模式,否则路由计算失效 。
5. 等价路由未优化(流量负载不均)
故障现象
存在多条等开销路径,但未按预期负载分担。
根因分析
默认最大等价路由数为1(部分设备),需手动调整。
配置命令与解析
# 查看等价路由数
display isis brief | include load-balancing
# 启用多路径负载(华为):
[Router-isis-1] address-family ipv4 unicast
[Router-isis-1-ipv4] maximum load-balancing 4 # 允许4条等价路径
命令解析:
maximum load-balancing:在IPv4/IPv6地址族视图下配置,需先进入对应地址族 。
6. IPv6拓扑未独立计算(路由黑洞)
故障现象
IPv6流量被引向仅支持IPv4的设备,导致丢包。
根因分析
IPv4/IPv6共享拓扑时,无法感知对方协议支持能力。
配置命令与解析
# 启用多拓扑路由(MTR):
[Router-isis-1] cost-style wide # 需先切为wide模式
[Router-isis-1] address-family ipv6 unicast
[Router-isis-1-ipv6] multi-topology # 为IPv6创建独立拓扑
命令解析:
multi-topology:在IPv6地址族下启用,使IS-IS为IPv6计算独立最短路径,避开非IPv6设备
避坑指南总结表
|
故障类型 |
关键配置命令 |
验证命令 |
|
邻居Level不匹配 |
is-level+ isis circuit-level |
display isis peer |
|
区域地址不一致 |
network-entity |
display isis brief |
|
认证方式冲突 |
isis authentication-mode |
display current-configuration |
|
开销类型冲突 |
cost-style wide |
display isis brief |
|
等价路由未启用 |
maximum load-balancing |
display isis route |
|
IPv6拓扑未隔离 |
multi-topology |
display isis ipv6 topology |
终极建议:
1.预校验一致性:部署前通过display current-configuration configuration isis核对Level、区域、认证等参数 。
2.开销值规范:全网统一cost-style wide,并手动调整接口开销(如isis cost 50)避免等价路径 。
3.认证分层配置:区域认证(area-authentication-mode)防外部攻击,接口认证(isis authentication-mode)防中间人篡改 。
通过严格遵循 参数强一致、拓扑按协议隔离、开销显式定义 原则,可规避90%的IS-IS配置故障。实际排错时,优先使用display isis error查看协议错误日志 。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...
