◆郭慧慧 宋媛媛 胡曦明,2 劉勝?gòu)?qiáng)

（1.陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院 陜西 710119；2.現(xiàn)代教學(xué)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室 陜西 710119；3.廣東省電信規(guī)劃設(shè)計(jì)院有限公司 廣東 510630）

IS-IS協(xié)議可靠性原理與技術(shù)研究

◆郭慧慧1宋媛媛1胡曦明1,2劉勝?gòu)?qiáng)3

（1.陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院 陜西 710119；2.現(xiàn)代教學(xué)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室 陜西 710119；3.廣東省電信規(guī)劃設(shè)計(jì)院有限公司 廣東 510630）

本文針對(duì)IS-IS協(xié)議在區(qū)域設(shè)計(jì)時(shí)的可靠性問(wèn)題，利用華三模擬器搭建局域網(wǎng)環(huán)境，進(jìn)行了區(qū)域組網(wǎng)設(shè)計(jì)。通過(guò)實(shí)驗(yàn)分析了在動(dòng)態(tài)路由過(guò)程中，IS-IS鏈路狀態(tài)PDU對(duì)于默認(rèn)路由所采取的ATT字段置位，以及為避免路由滲透形成環(huán)路所采取的路由滲透標(biāo)識(shí)的機(jī)制。研究結(jié)果顯示，IS-IS協(xié)議在運(yùn)行過(guò)程中的可靠性，可以為電力、交通等行業(yè)構(gòu)建運(yùn)營(yíng)支撐網(wǎng)絡(luò)的設(shè)計(jì)與規(guī)劃提供可靠性實(shí)驗(yàn)數(shù)據(jù)支持。

IS-IS；動(dòng)態(tài)路由協(xié)議；鏈路狀態(tài)；內(nèi)部網(wǎng)關(guān)協(xié)議

0 引言

IS-IS是 CLNS網(wǎng)絡(luò)環(huán)境中的一部分，用于提供在該環(huán)境中自動(dòng)及動(dòng)態(tài)地對(duì)數(shù)據(jù)包進(jìn)行路由選擇的功能。它是一種鏈路狀態(tài)路由選擇協(xié)議，因此會(huì)通過(guò)鄰接關(guān)系獲得路由選擇信息并將這些信息放入鏈路狀態(tài)數(shù)據(jù)庫(kù)，采用SPF算法確定到達(dá)網(wǎng)絡(luò)中各個(gè)目的最優(yōu)路徑[i]。在運(yùn)行鏈路狀態(tài)路由協(xié)議的網(wǎng)絡(luò)內(nèi)，合理的區(qū)域劃分既可以控制鏈路狀態(tài)數(shù)據(jù)庫(kù)的規(guī)模，也可以降低因計(jì)算、維護(hù)和更新路由信息而消耗鏈路帶寬和路由器軟、硬件資源[ii]。因此，區(qū)域設(shè)計(jì)的可靠性就顯得尤為重要。文獻(xiàn)[3]提出了基于數(shù)字證書(shū)的安全擴(kuò)展方法提高了 IS-IS的安全性[iii]。本文主要針對(duì)IS-IS的可靠性，分析了 IS-IS的默認(rèn)路由產(chǎn)生的問(wèn)題和解決方法，以及引入路由滲透的原因和避免產(chǎn)生環(huán)路的機(jī)制。

1 IS-IS區(qū)域設(shè)計(jì)

1.1 路由等級(jí)

在OSI中把路由劃分了4個(gè)級(jí)別，分別是Level 0路由、Level 1路由、Level 2路由、Level 3路由。Level 0路由相當(dāng)于TCP/IP中的ARP表項(xiàng)，Level 1路由相當(dāng)于OSPF中的區(qū)域內(nèi)路由，Level 2路由相當(dāng)于區(qū)域外路由，Level 3路由實(shí)際上相當(dāng)于自治系統(tǒng)外路由[iv]。

集成IS-IS協(xié)議是運(yùn)行在IP網(wǎng)絡(luò)中的，所以在集成IS-IS中就只有Level 1路由和Level 2路由，而Level 0路由相當(dāng)于被IP網(wǎng)絡(luò)中的ARP、ICMP和DHCP取代了，Level 3路由被IP網(wǎng)絡(luò)中的BGP取代了。IS-IS協(xié)議支持2層分層體系，以管理和規(guī)劃大型網(wǎng)絡(luò)中的路由選擇，這種層次化的路由選擇結(jié)構(gòu)使域中的路由選擇效率更高[v]。

1.2 路由器角色

在IS-IS中可以把區(qū)域分為兩個(gè)層次，分別是Level 1區(qū)域和Level 2區(qū)域，相應(yīng)的IS-IS中的路由器可劃分為三個(gè)角色，分別是Level 1路由器（Level 1-only）、Level 2路由器（Level 2-only）、Level 1和Level 2路由器（Level 1-2）。

1.3 區(qū)域劃分

在OSPF中會(huì)把區(qū)域分為兩個(gè)層次：骨干區(qū)域和非骨干區(qū)域。并且規(guī)定區(qū)域0（Area 0）為骨干區(qū)域，其他非骨干區(qū)域可以通過(guò)區(qū)域邊界路由器ABR來(lái)連接到骨干區(qū)域，則ABR既屬于骨干區(qū)域，也屬于非骨干區(qū)域[vi]。因此，OSPF的區(qū)域劃分是基于ABR的接口的。而在IS-IS中一個(gè)路由器只能屬于一個(gè)特定的區(qū)域，它也會(huì)有類(lèi)似OSPF的骨干區(qū)域和非骨干區(qū)域之說(shuō)，不過(guò)在IS-IS中并沒(méi)有嚴(yán)格指明哪一個(gè)區(qū)域?yàn)楣歉蓞^(qū)域，在IS-IS中所有建立L2的鄰接關(guān)系構(gòu)成了Level 2子域，相當(dāng)于一個(gè)骨干網(wǎng)。因此IS-IS中的區(qū)域劃分是基于路由器之間的鏈路的[vii]。

2 IS-IS鏈路狀態(tài)數(shù)據(jù)庫(kù)

IS-IS協(xié)議的主要目標(biāo)包括路由選擇信息的收集與擴(kuò)散以及在網(wǎng)絡(luò)的節(jié)點(diǎn)之間選擇最佳路徑，因此IS-IS鏈路狀態(tài)數(shù)據(jù)庫(kù)是實(shí)現(xiàn)IS-IS協(xié)議目標(biāo)的基礎(chǔ)。存儲(chǔ)在鏈路狀態(tài)數(shù)據(jù)庫(kù)中的信息元稱(chēng)為鏈路狀態(tài)數(shù)據(jù)包（LSP），LSP中包含著IS-IS路由器生成的描述其當(dāng)時(shí)所處環(huán)境的路由選擇信息。LSP的類(lèi)型有4種，分別是IS-IS Hello（IIH）、鏈路狀態(tài)PDU（LSP）、完全序列號(hào)PDU（CSNP）、部分序列號(hào)PDU（PSNP）。對(duì)IS-IS來(lái)講，Hello數(shù)據(jù)包起三個(gè)作用[viii]：發(fā)現(xiàn)鄰居路由器、協(xié)商并建立鄰接關(guān)系、鄰接關(guān)系“?；睢?，其余數(shù)據(jù)包在鏈路狀態(tài)數(shù)據(jù)庫(kù)同步過(guò)程中主要的作用是進(jìn)行數(shù)據(jù)庫(kù)的同步與泛洪。

3 默認(rèn)路由的產(chǎn)生

3.1 實(shí)驗(yàn)拓?fù)鋱D及其配置

圖1 實(shí)驗(yàn)拓?fù)鋱D

圖2 RTB的配置過(guò)程

如圖1所示，把IS-IS區(qū)域劃分為Area 10和Area 20，Area 10中的RTA為L(zhǎng)1路由器，RTB和RTC都是L1/2路由器，可以連到區(qū)域外，在Area 20中的RTD和RTE路由器都是L2路由器。這里只給出 RTB路由器的配置過(guò)程，其余路由器的配置過(guò)程與其相似。

3.2 實(shí)驗(yàn)結(jié)果分析

圖3 RTA ping 10.2.2.1

圖4 RTA 的is-is route

圖5 RTB的LSDB

我們用RTA去ping 10.2.2.1，如圖3所示，發(fā)現(xiàn)可以ping 通，但查看RTA的IS-IS轉(zhuǎn)發(fā)表中并沒(méi)有10.2.2.0/24網(wǎng)段的路由，根據(jù)我們?cè)贗P路由中所學(xué)的知識(shí)可知，RTA一定是通過(guò)了一條默認(rèn)路由到達(dá)了區(qū)域外。在RTA的LSDB中會(huì)有3條LSP條目，一條是RTA自己的LSP，另外兩條是他的鄰居RTB和RTC生成的LSP。在RTB和RTC生成的LSP中ATT字段置為1，而RTA的LSP中ATT并不置1，在RTB生成的L2的LSP中該位也不置1。

在IS-IS中ATT字段的作用就是L1區(qū)域內(nèi)的路由器會(huì)通過(guò)LSP中該字段的置位情況，來(lái)識(shí)別已建妥L2鄰接關(guān)系的L1/2路由器。需要注意的是，如圖5所示，L1/2路由器只會(huì)在L1 LSP中把ATT置1，不會(huì)在L2 LSP中把ATT置1，因?yàn)樗泥従勇酚善魅绻盏搅怂l(fā)送的L1 LSP中ATT置1了，它的鄰居就知道自己也可以通過(guò) L1/2路由器到達(dá)區(qū)域外。而且他的鄰居如果有L1的鄰接關(guān)系，它的鄰居也會(huì)把自己的ATT置1向其他路由器表明自己可以到達(dá)區(qū)域外。

4 路由滲透

觀察如圖1所示的實(shí)驗(yàn)拓?fù)淇芍?，在IS-IS L1區(qū)域內(nèi)，L1路由器在轉(zhuǎn)發(fā)目的網(wǎng)絡(luò)為本區(qū)域之外的數(shù)據(jù)包時(shí)，只能遵循默認(rèn)路由，因此會(huì)喪失路由選擇的精確性。若IS-IS L1區(qū)域內(nèi)只部署了一臺(tái)通往外部區(qū)域的 L1/2路由器，其實(shí)也并不影響路由選擇的精確性?？梢遣渴鹆硕嗯_(tái)L1/2路由器，L1路由器在轉(zhuǎn)發(fā)目的網(wǎng)絡(luò)為本區(qū)域之外的數(shù)據(jù)包時(shí)，則只能把數(shù)據(jù)包交給在同一區(qū)域離本機(jī)最“近”的L1/2路由器。然而，這臺(tái)L1/2路由器實(shí)際到目的網(wǎng)絡(luò)可能最近，也可能不是最近。因?yàn)長(zhǎng)1路由器無(wú)法得知區(qū)域外的鏈路狀態(tài)，所以在轉(zhuǎn)發(fā)目的網(wǎng)絡(luò)為本區(qū)域之外的數(shù)據(jù)包時(shí)只能依靠默認(rèn)路由。

默認(rèn)路由會(huì)產(chǎn)生次優(yōu)路由，在IS-IS中默認(rèn)情況下L1/2路由器是不會(huì)把本機(jī)所連L2區(qū)域的路由，或?qū)W自L(fǎng)2鄰居的路由，通告進(jìn)L1區(qū)域。因此，次優(yōu)路由的解決辦法就是在L1/2路由器上配置路由滲透的命令，將L2區(qū)域內(nèi)的路由通過(guò)L1/2路由器通告進(jìn)L1區(qū)域。

4.1 實(shí)驗(yàn)配置及其結(jié)果分析

圖6 路由滲透后的結(jié)果

在RTB上輸入了路由滲透的命令（只有在L1/2路由器上配置路由滲透才有意義）后，查看RTA的isis route，這時(shí)路由表中出現(xiàn)了10.2.2.0/24網(wǎng)段，如圖6所示，說(shuō)明配置成功了。如果在RTB和 RTC上都配置了路由滲透命令后，則 RTA在去往10.2.2.0/24目的網(wǎng)絡(luò)時(shí)自然而然的選擇開(kāi)銷(xiāo)最短的鏈路去往區(qū)域外。

4.2 路由滲透可能產(chǎn)生的問(wèn)題

在設(shè)計(jì)IS-IS區(qū)域時(shí)，要想追求更高的靈活性和可靠性，就得把更為精確的路由信息從L2區(qū)域泄露進(jìn)L1區(qū)域，讓L1路由器更好地了解外部區(qū)域。那么，當(dāng)IP前綴A（隸屬于L1區(qū)域之外的L2區(qū)域）由某臺(tái)L2路由器通告給了RTA，RTA再把這條IP前綴置入自生成的L1 LSP的IP內(nèi)部可達(dá)信息TLV，然后通告進(jìn)L1區(qū)域。RTB收到了這條L1 LSP后，會(huì)認(rèn)為該IP前綴隸屬于本L1區(qū)域，然后再將其置入自生成的L2 LSP的IP內(nèi)部可達(dá)信息TLV，并通告回L2區(qū)域，路由環(huán)路就此形成[ix]。

在IS-IS協(xié)議中解決路由環(huán)路的機(jī)制是，在路由滲透之后，路由表中出現(xiàn)的 10.2.2.0/24網(wǎng)段的標(biāo)志位出現(xiàn)了一個(gè)新的標(biāo)志U，U是路由滲透狀態(tài)表識(shí)符，如果設(shè)置為“UP”則可避免由L2區(qū)域發(fā)送到 L1區(qū)域的 LSP又返回給 L2區(qū)域。雖然 RTA的IP-Internal字段中有10.2.2.0/24（因?yàn)槁酚蓾B透后RTB和RTC發(fā)送的L1 LSP的IP-Internal中有10.2.2.0/24），但RTB和RTC不會(huì)把那條IP前綴放進(jìn)自己的L2 LSP的IP-Internal中然后通告給L2路由器，因?yàn)樗吹搅薝p/Down置1 的路由。當(dāng)L1/2路由器將一條IP前綴從L2區(qū)域通告進(jìn)L1區(qū)域時(shí)，會(huì)將該IP前綴相關(guān)聯(lián)的 Up/Down置 1.若 L1/2路由器從 L1路由域收到了一條Up/Down置1的IP前綴，則不會(huì)將其通告給L2的鄰居路由器。因此，標(biāo)志U可以避免在路由滲透后產(chǎn)生環(huán)路。

4.3 LSP幾個(gè)中重要的協(xié)議字段

圖7 LSDB中顯示的LSP的字段

圖8 查看is-is協(xié)議的基本信息

如圖7所示，LSDB表中包含LSP數(shù)據(jù)包的摘要信息，如LSP ID、序列號(hào)、校驗(yàn)和、剩余生存時(shí)間、長(zhǎng)度等字段。如圖8所示，LSP的最大生存時(shí)間（LSP-max-age）是1200 秒，LSP的刷新間隔（LSP-refresh）是900秒。

剩余生存時(shí)間字段（HoldTime），表示LSP在“壽命到期”之前尚能存活的時(shí)間。在HoldTime值為0之前，該LSP會(huì)被其源路由器刷新。如果該路由器從網(wǎng)絡(luò)中移除，則不能刷新此LSP，該LSP的HoldTime值會(huì)一直遞減至0（網(wǎng)絡(luò)中的所有IS-IS路由器上其值必須一致）。在 HoldTime值遞減的過(guò)程中，HoldTime值從1200秒遞減到0秒后，該LSP還會(huì)在LSDB中存活60秒。因?yàn)樵贗S-IS協(xié)議中，定義了一個(gè)零壽命生存時(shí)間（Zero Age Life time），當(dāng)LSP剩余生存時(shí)間為0時(shí)，則所有擁有此LSP拷貝的路由器在經(jīng)過(guò)60秒的寬限時(shí)間后最終會(huì)將此LSP從其LSDB中清除。

在這個(gè)字段的設(shè)計(jì)上IS-IS要比 OSPF更加靈活。OSPF的LSA中也有一個(gè)類(lèi)似的字段叫做“壽命字段”，說(shuō)到“壽命”，顯而易見(jiàn)，它是從0開(kāi)始到某個(gè)規(guī)定值，然后壽命結(jié)束了。因此，在OSPF中規(guī)定了不同的最大生存時(shí)間，那么LSA的壽命字段結(jié)束值也就不同。而在 IS-IS中定義的最大生存時(shí)間是 HoldTime字段的初始值，不管定義的多少，都會(huì)從這個(gè)初始值開(kāi)始遞減至0，可以認(rèn)為L(zhǎng)SP壽命結(jié)束值是一個(gè)常量。所以區(qū)域中的路由器看到該字段的值為0，就知道該LSP已失效，然后在規(guī)定的時(shí)間內(nèi)把它清除掉。

5 結(jié)束語(yǔ)

IS-IS本身是一個(gè)網(wǎng)絡(luò)層協(xié)議，運(yùn)行在數(shù)據(jù)鏈路層之上，可以免受 IP數(shù)據(jù)包欺騙和類(lèi)似的拒絕服務(wù)攻擊。用于 IP路由的IS-IS協(xié)議的成功使用和廣泛接受歸功于IS-IS協(xié)議的靈活性、可靠性和可擴(kuò)展性。另外，IS-IS協(xié)議不依賴(lài)IP層，在IPv4、IPv6路由的混合承載時(shí)，給運(yùn)營(yíng)商網(wǎng)絡(luò)平滑遷移提供了便捷。在IS-IS協(xié)議中，ATT置1產(chǎn)生默認(rèn)路由，默認(rèn)路由產(chǎn)生次優(yōu)路由，次優(yōu)路由的解決辦法是路由滲透，路由滲透后Up/Down置位出現(xiàn)標(biāo)志U，Up/Down置位可以避免路由環(huán)路，這樣就保證了協(xié)議的可靠性。與OSPF相比較，IS-IS可以容納更多的路由條目，當(dāng)通告相同的路由條目時(shí)，ISIS的LSDB的規(guī)模明顯比OSPF更小。因此，IS-IS更受大型網(wǎng)絡(luò)運(yùn)營(yíng)商的青睞。

[1]李彥剛，鄧文平，王宏，劉亞萍.域內(nèi)路由協(xié)議 OSPF與IS-IS差異性的研究與分析[J].計(jì)算機(jī)科學(xué)，2015.

[2]康京山，韓春剛.集成IS-IS路由選擇協(xié)議的研究[J]. 無(wú)線(xiàn)電通信技術(shù)，2007.

[3]劉玉貞，李珩，李炳彰.一種基于數(shù)字證書(shū)的安全I(xiàn)S-IS路由協(xié)議[J].無(wú)線(xiàn)電工程，2016.

[4]張?chǎng)?，朗?網(wǎng)絡(luò)規(guī)劃中路由協(xié)議選擇[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[5]李天佑，許敏.基于集成 IS-IS路由協(xié)議網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)初探[J].計(jì)算機(jī)應(yīng)用，2007.

[6]楊敏.基于Packet Tracer的OSPF仿真實(shí)驗(yàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.

[7]翁國(guó)梁.IS-IS路由協(xié)議分析與大型網(wǎng)絡(luò)路由設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[8]劉海濤.淺析內(nèi)部網(wǎng)關(guān)協(xié)議 IS-IS[J].邢臺(tái)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2016.

[9]孫余強(qiáng)譯.Jeff Doyle.OSPF和IS-IS詳解[M].北京：人民郵電出版社，2014.

[10]殷文珊.城域網(wǎng)下發(fā)缺省路由導(dǎo)致路由環(huán)路的故障分析[J].中國(guó)新通信，2014.

中央高?；究蒲袠I(yè)務(wù)費(fèi)專(zhuān)項(xiàng)資金資助項(xiàng)目（GK201503065），現(xiàn)代教學(xué)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室開(kāi)放課題資助項(xiàng)目（SYSK201501），陜西師范大學(xué)非師范拔尖創(chuàng)新人才培養(yǎng)計(jì)劃2017年度項(xiàng)目。