网络工程师割接ISIS时必须要知道的方法

今天跟大家说一说在割接时ISIS几种好的过渡方法。

ISIS协议现阶段用在城域网或运营商网络比较多，有些大的企业现在也开始使用ISIS+BGP的网络架构，但是平常看到的对于ISIS的一些技术讨论的比较少。

下面我们来仔细讨论下ISIS在割接时可以用到的几种方法。

第一种情况 需要把一台设备换下来或重启一台设备

比如这么一个拓扑，R1、R2之间链路的接口为cost 20，其他接口cost值为10。那么R1访问R3的时候从R4走。

如果这时我们要替换下R4这台设备，直接关机的话，很显然会造成ISIS的收敛，数据包会丢包，如果我们要想尽量减少丢包的话，在关设备之前，首先要把流量旁路，然后再关设备，换设备。

那么怎么做呢？一种方法是把接口cost值改大。

这种方法在设备接口非常多的情况下，很显然是没有什么效率的，但是可以实现目的。

有没有简便的方法呢？

很显然是有的，ISIS在LSP中有8个bits属性位标记，其中第2位为overload位（低位为0，高位为7这样算）。

这一个比特在路由器的LSDB满的情况下会自动设置，告诉同一个区域内部的其他路由器，本路由器的LSDB超载了，你们进行SPF算法计算的时候，不要通过本路由器走，因为我的数据库有可能是不完整的，计算出的路径有可能出错。

这个比特除了可以路由器自动设置以外，还可以通过手工设置，这样在割接的时候，可以通过命令让其他路由器的流量从本路由器旁路，从而尽量减少设备切换或换设备的丢包。

华为设备： 思科设备：

另外思科、华为设备上还可以通过命令，让路由器在启动时，自动设置OL位，后面有两种选项： 一种是当启动后多长时间消除OL位； 一种是当启动后，BGP路由完毕后，消除OL位。

思科华为都有这个参数，个人感觉wait-for-bgp这个参数，在运营商网络里面很不错。

假设在一种情况下如下图：R1-R4在同一个AS，分别与RR建立iBGP邻居关系。

一开始R4处于down状态，R1访问R3的loopback0（3.3.3.3）的时候选择从R2走，R3那里有大量的BGP路由，会传递给RR，然后RR传递给区域内部其他路由器，这时R1访问这些BGP路由网络的时候，经过递归，下一跳3.3.3.3（iBGP通常使用loopback0建邻居），所以R1访问R3连接的BGP网络时走R2。

这时R4重启了，重启完之后，首先IGP会收敛，这时R1上去往R3的loopback0（3.3.3.3）从R4走比较近。

但是BGP收敛比较慢，如果这时R1访问R3连接的BGP路由网络时，数据包发往R4，而R4路由器的BGP路由表还没有收敛，这时会造成丢包。

所以在设备上启用set-overload-bit on-startup wait-for-bgp命令可以减少丢包，启动后，先设置overload-bit，然后等BGP收敛完毕后，再将overload-bit给自动取消，这时沿路所有路由器都有BGP路由，这样就起到了减少丢包的效果。 注：如果是mpls网络，可能还需要考虑mpls ldp sync问题。

第二种情况 不是换整台设备，而是换设备上的某块板卡，其他板卡接口需要正常转发。

在这种情况的时候，如果使用overload-bit，会把所有板卡的接口上的流量全部旁路，这个就没有必要了，这时可以将这块板卡上所有接口的metric值改大。

那么改多大能保证所有流量都不从本路由器的这块板卡上通过呢？

思科在metric-style为narrow时，最多配置63；在metric-style为wide时，可以配置

这条命令配置完成后，其他路由器在计算SPF算法的时候，不会使用这个接口作为SPF算法的备选路径。

这样可以使流量从这个路由器上的特定板卡旁路，这样在割接时是不是很方便呢？ 注：由于华为模拟器的VRP版本比较低，所以很多命令测试不了。

第三种情况 修改metric-style（华为cost-style）

一些老的网络在部署ISIS的时候，可能并没有修改metric-style，默认是narrow模式。

这样在支持一些新的诸如MPLS TE的功能时，必须要把metric-style变为wide模式，这时会产生一些新的TLV将老的TLV进行替代（比如TLV 22替代TLV2，TLV 135替代TLV128和TLV130），并且可以支持一些新的TLV。

但是在改metric-style的时候，窄带风格和宽带风格的路由器之间，邻居关系可以建立，但是路由并不能计算出来，这样会导致某些网络不可达。

这个在ISIS里面有一种过渡方案，就是既发送和接收窄带的路由信息，也发送和接收宽带的路由信息。

是不是有点类似于RIP的V1、V2的区别，RIP是不是也可以在接口上控制发送和接收的路由信息。

这个在网络迁移期间（需要从narrow变为wide期间）可以尽量做到不丢包。 思科命令：

华为命令：

当然我们现阶段部署ISIS的时候，建议都使用metric-style的方式运行，扩展性更好。

第四种情况 是需要给ISIS设置认证的时候

ISIS的认证很有意思，接口的认证只支持对IIH（hello包）的认证，进程下的认证支持对LSP和SNP报文的认证。

所以可能会出现邻居关系建立，但是路由计算不成功的情况（进程认证的时候，配置密钥错误）。

在配置认证的时候，很显然会造成，要么邻居关系down掉，要么就是路由会计算不出来。那么配置好的网络如果要加认证，需要怎么做呢？

在思科设备里新的ISIS认证配置方法中，支持isis authentication send-only，这个命令的意思为，在发送IIH或LSP和SNP时加上认证信息（TLV10），但是在接收这些PDU的时候忽略认证。

意思是不管对方发来的PDU中是否包含TLV10，都可以建立邻居，计算路由。

但是最后全部设备的认证配置完成后，要把这条命令删除，这样所有的设备就可以支持认证了，并且不会导致ISIS邻居关系的断裂或某些路由计算不出来，尽量减少丢包。

创作：http://www.ie-lab.cn/