TP - IS-IS Configuration de Base CFI_Site_Paris
Schéma du réseau Loopback0: 192.168.20.1/24 R2 Fa0/0 .2 VLAN 1: 172.16.0.0/24 Fa0/3 R1 Fa0/0 Fa0/0 R3 .1 Fa0/1 Fa0/5 .3 Loopback0: 192.168.10.1/24 Loopback0: 192.168.30.1/24 - Objectifs Configurer et vérifier le fonctionnement de IS-IS sur un routeur Configurer un NET identifiant un domaine, une zone et un système intermédiaire Configurer et vérifier les adjacences Level 1 et Level 2 Vérifier et comprendre la table topologique IS-IS Manipuler les timers d'adjacence IS-IS Implémenter l'authentification de domaine et de liaison IS-IS - Scénario Le protocole de routage IS-IS est devenu très populaire avec un usage très étendu parmi les fournisseurs de services. La société ITA (International Travel Agency) est en train de réflé- chir à la mise en place de IS-IS car c'est un protocole état de lien qui permet une convergen- ce rapide avec une grande évolutivité et flexibilité. Mais avant de prendre une décision fina- le, la direction veut un réseau de test hors production pour tester le protocole de routage IS-IS. Le backbone de production WAN de ITA est constitué de trois routeurs connectés par un cœur Ethernet. Comme les routeurs sont également connectés à Internet, l'authentification est nécessaire pour éviter que des routeurs non autorisés participent au processus de rou- tage IS-IS CFI_Site_Paris
- Etape 1: Adressage et connectivité de base Construisez et configurez le réseau d'après le schéma mais ne configurez pas IS-IS de sui- te. Configurez les interfaces loopback et les adresses. Utilisez ping pour tester la connectivité entre les interfaces FastEthernet directement con- nectées. Vous pouvez également utiliser le script TCL suivant pour pinguer les interfaces FastEthernet. foreach address { 172.16.0.1 172.16.0.2 172.16.0.3 } { ping $address } - Etape 2: Configuration IS-IS de Base IS-IS (ISO/IEC 10589) est implémenté avec des adresses de point de service réseau (NSAP) constituées de trois champs: adresse de zone (Area), Système ID et NSEL (connu également comme N-selector, identifieur du service ou ID du processus). Le champ adresse de zone peut avoir de un à treize octets, le système ID a usuellement six octets (doit avoir six octets pour l'IOS Cisco) et NSEL identifie un processus sur un équipement. C'est un peu une équivalence avec le port ou le socket dans IP. Le champ NSEL n'est pas utilisé dans les décisions de routage. Quand le champ NSEL est fixé à 00, le NSAP est référencé comme Network Entity Title ou NET. Les NETs et les NSAPs sont représentés en hexadécimal et doivent commencer et se terminer à une limite d'octet tel 49.0001.1111.1111.1111.00. Le routage IS-IS Level 1 ou L1 est basé sur le "System ID". par conséquent chaque routeur doit avoir un System ID unique dans la zone. Le routage IS-IS L1 équivaut à un routage intra-area. Il est de coutume d'utiliser soit une adresse MAC du routeur ou pour IS-IS intégré de coder l'adresse IP d'un interface loopback dans le system ID. Les adresses de zone commençant par 48, 49, 50 ou 51 sont des adresses privées. Ce groupe d'adresses ne doit pas être annoncé aux autres réseaux CLNS (ConnectionLess Network Service). L'adresse de zone (area) doit être la même pour tous les routeurs dans l'area. Sur un LAN, un des routeurs est élu DIS (Designated Intermediate System) sue la base de la priorité d'interface. La valeur par défaut est 64. Si toutes les interfaces ont la même priorité, le routeur avec l'adresse de SNPA (SubNetwork Point of Attachment) la plus élevée est choisi. L'adresse MAC sert d'adresse SNPA pour les réseaux LAN Ethernet. Le DIS a le même rôle que celui du routeur désigné dans OSPF. L'ingénieur réseau de ITA décide que le routeur R1 est le DIS aussi sa priorité devra être plus élevée que celles de R2 et de R3. CFI_Site_Paris
Maintenant configurez IS-IS sur chaque routeur et fixez la priorité à 100 pour l'interface FastEthernet 0/0 de R1: R1(config)# router isis R1(config-router)# net 49.0001.1111.1111.1111.00 R1(config-router)# interface fastethernet 0/0 R1(config-if)# ip router isis R1(config-if)# isis priority 100 R1(config-if)# interface loopback 0 R2(config)# router isis R2(config-router)# net 49.0001.2222.2222.2222.00 R2(config-router)# interface fastethernet 0/0 R2(config-if)# ip router isis R2(config-if)# interface loopback 0 R3(config)# router isis R3(config-router)# net 49.0001.3333.3333.3333.00 R3(config-router)# interface fastethernet 0/0 R3(config-if)# ip router isis R3(config-if)# interface loopback 0 1. Identifiez les différentes parties des adresses NSAP/NET. a. Adresse d'Area: b. System ID de R1: c. System ID de R2: d. System ID de R3: e. NSEL: - Etape 3: Vérification des adjacences IS-IS et du fonctionnement Vérifiez le fonctionnement de IS-IS en utilisant les commandes show sur un des trois rou- teurs. Voici la sortie de ces commandes pour R1: R1# show ip protocols Routing Protocol is "isis" Invalid after 0 seconds, hold down 0, flushed after 0 Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Redistributing: isis CFI_Site_Paris
Address Summarization: None Maximum path: 4 Routing for Networks: FastEthernet0/0 Loopback0 Routing Information Sources: Gateway Distance Last Update 192.168.30.1 115 00:00:36 192.168.20.1 115 00:00:36 Distance: (default is 115) Comme vous travaillez également avec la suite de protocole OSI en mode non connecté, utilisez la commande show clns protocols pour voir la sortie du protocole IS-IS: R1# show clns protocols IS-IS Router: <Null Tag> System Id: 1111.1111.1111.00 IS-Type: level-1-2 Manual area address(es): 49.0001 Routing for area address(es): Interfaces supported by IS-IS: FastEthernet0/0 - IP Loopback0 - IP Redistribute: static (on by default) Distance for L2 CLNS routes: 110 RRR level: none Generate narrow metrics: level-1-2 Accept narrow metrics: level-1-2 Generate wide metrics: none Accept wide metrics: none R1# Notez que les timers de mise à jour sont fixés à zéro. Les mises à jour ne sont pas trans- mise s à intervalles réguliers car elles sont générées sur évènement. Le champ Last Update indique combien de temps s'est écoulé depuis la dernière mise à jour en heures:minutes: secondes. Entrez la commande show clns neighbors pour voir les adjacences: R1# show clns neighbors System Id Interface SNPA State Holdtime Type Protocol R2 Fa0/0 0004.9ad2.d0c0 Up 9 L1L2 IS-IS R3 Fa0/0 0002.16f4.1ba0 Up 29 L1L2 IS-IS Les voisins IS (Intermediate Systems) et les voisins ES (End Systems) sont affichés, si ap- plicable. Vous pouvez utiliser le mot-clé detail pour afficher des informations plus complè- tes sur les voisins. CFI_Site_Paris
R1# show clns neighbors detail System Id Interface SNPA State Holdtime Type Protocol R2 Fa0/0 0004.9ad2.d0c0 Up 24 L1L2 IS-IS Area Address(es): 49.0001 IP Address(es): 172.16.0.2* Uptime: 00:07:30 NSF capable R3 Fa0/0 0002.16f4.1ba0 Up 27 L1L2 IS-IS IP Address(es): 172.16.0.3* Uptime: 00:07:00 Le System ID des voisins IS est le nom de host respectif des routeurs voisins. Depuis l'IOS Cisco Release 12.0(5), les routeurs Cisco supportent le mapping dynamique de nom de host. Cette fonctionnalité est validée par défaut. Comme on peut le voir dans cet exemple de sortie, le System ID 2222.2222.2222 configuré a été remplacé par le nom de host R2. De manière similaire R3 remplace 3333.3333.3333. Le type d'adjacence pour les deux voisins est L1L2. par défaut l'IOS Cisco valide la négo- ciation d'adjacence L1 et L2 sur les routeurs IS-IS. Vous pouvez utiliser la commande is-type en mode de configuration routeur ou la commande isis circuit-type en mode de configuration interface pour spécifier comment le routeur doit opérer pour le routage L1 et L2. Vous pouvez utiliser les commandes show isis database et show clns interface fa0/0 pour obtenir le DIS et les informations liées. D'abord entrez la commande clear isis * sur tous les routeurs pour forcer IS-IS à rafraîchir ses bases de données état de lien et recal- culer toutes les routes. Une minute ou deux sont nécessaires pour que tous les routeurs mettent à jour leurs bases de données respectives. R1# clear isis * Entrez la commande show isis database pour afficher le contenu de la base de données IS-IS. R1# show isis database IS-IS Level-1 Link State Database: LSPID LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL R1.00-00 * 0x00000008 0x088F 1191 0/0/0 R1.01-00 * 0x00000002 0x9B60 1192 0/0/0 R2.00-00 0x00000001 0x8736 1190 0/0/0 R3.00-00 0x00000002 0x39A1 1195 0/0/0 IS-IS Level-2 Link State Database: R1.00-00 * 0x00000017 0x4E1B 1195 0/0/0 R1.01-00 * 0x00000002 0x4D37 1192 0/0/0 R2.00-00 0x00000010 0xF4B9 1191 0/0/0 R3.00-00 0x00000002 0xD703 1195 0/0/0 CFI_Site_Paris
IS-IS garde deux bases de données séparées pour le routage L1 et L2 IS-IS garde deux bases de données séparées pour le routage L1 et L2. Comme IS-IS est un protocole de routage "état de lien", les bases de données "états de lien" doivent être les mê- mes sur les trois routeurs. Comme cela a déjà été indiqué, si la priorité de l'interface FastEthernet 0/0 de R1 n'avait pas été augmentée, le DIS aurait été élu sur la base du SNPA le plus élevé. L'élection du DIS est préemptive contrairement à OSPF. La commande isis priority 100 assure que le R1 sera élu DIS quelque l'ordre de démarrage des routers. Mais est-ce qu'on peut détermi- ner avec la sortie de la commande show isis database que R1 sera élu DIS? Regardez les entrées sous la colonne LSPID (Link State Protocol data unit ID). Les six pre- miers octets forment le System ID. Comme cela a déjà été mentionné, a cause de la fonc- tionnalité de mapping dynamique de nom de host, les noms des routeurs respectifs sont listés à la place de la valeur numérique du System ID. Deux octets suivent le System ID. Le premier octet est le pseudonode ID qui représente un LAN. Le pseudonode ID est utilisé pour distinguer les LANs ID sur le même DIS. Quand cette valeur n'est pas égale à zéro, la LSP associée est une pseudonode LSP générée par le DIS. Le DIS est le seul système qui génère des pseudonode LSPs. Le DIS crée une pseudonode LSP pour L1 et une pour L2 comme le montre la sortie précédente. Le pseudonode ID varie au démarrage du routeur comme une fonction de création ou de retrait d'interfaces virtuelles telles que les interfaces loopback. Le System ID et le pseudo- node ID forme ensemble le circuit ID. Un exemple est R1.01. Une LSP non pseudonode représente un routeur et se distingue par le fait que la valeur sur deux octets dans le circuit ID est égale à 00. Le second octet est le numéro de fragmentation de LSP. La valeur 00 indique que toutes les données entrent dans une seule LSP. S'il y a plus d'informations qui ne rentrent pas dans une seule LSP, IS-IS créera des LSPs additionnelles avec des numéros croissants tels que 01, 02, 03,…L'astérisque (*) indique que cette LSP a été générée par le système local. Entrez la commande show clns interface fastethernet0/0: R1# show clns interface fastethernet 0/0 FastEthernet0/0 is up, line protocol is up Checksums enabled, MTU 1497, Encapsulation SAP ERPDUs enabled, min. interval 10 msec. CLNS fast switching enabled CLNS SSE switching disabled DEC compatibility mode OFF for this interface Next ESH/ISH in 8 seconds Routing Protocol: IS-IS Circuit Type: level-1-2 Interface number 0x0, local circuit ID 0x1 Level-1 Metric: 10, Priority: 100, Circuit ID: R1.01 DR ID: R1.01 Level-1 IPv6 Metric: 10 Number of active level-1 adjacencies: 2 CFI_Site_Paris
Level-2 Metric: 10, Priority: 100, Circuit ID: R1.01 DR ID: R1.01 Level-2 IPv6 Metric: 10 Number of active level-2 adjacencies: 2 Next IS-IS LAN Level-1 Hello in 803 milliseconds Next IS-IS LAN Level-2 Hello in 2 seconds Notez que le circuit ID est R1.01, lequel est composé du System ID et du pseudonode ID, identifie le DIS. Les informations Circuit Types, Levels, Metric et Priority sont également affichées. Vous pouvez obtenir des informations supplémentaires au sujet d'une LSP particulière en ajoutant le LSPID et le mot-clé detail à la commande show isis database comme le mon- tre la sortie suivante. Le nom de host est sensible à la casse. Vous pouvez utiliser égale- ment cette commande pour voir la base de données IS-IS pour un routeur voisin en in- cluant son nom de host dans la commande. R1# show isis database R1.00-00 detail IS-IS Level-1 LSP R1.00-00 LSPID LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL R1.00-00 * 0x0000000B 0x0292 831 0/0/0 Area Address: 49.0001 NLPID: 0xCC Hostname: R1 IP Address: 192.168.10.1 Metric: 10 IP 172.16.0.0 255.255.255.0 Metric: 10 IP 192.168.10.0 255.255.255.0 Metric: 10 IS R1.02 Metric: 10 IS R1.01 IS-IS Level-2 LSP R1.00-00 R1.00-00 * 0x0000000D 0x4703 709 0/0/0 Metric: 20 IP 192.168.30.0 255.255.255.0 Metric: 20 IP 192.168.20.0 255.255.255.0 La métrique IS-IS par défaut est égale à 10 pour chaque liaison mais notez que les métri- ques pour les réseaux 192.168.20.0 et 192.168.30.0 sont toutes les deux égales à 20. Ceci est du au fait que ces réseaux ne sont pas directement connectés mais sont connectés sur les routeurs voisins. CFI_Site_Paris
Entrez la commande show isis topology pour afficher les chemins vers les autres systè- mes intermédiaires. R1# show isis topology IS-IS paths to level-1 routers System Id Metric Next-Hop Interface SNPA R1 -- R2 10 R2 Fa0/0 0004.9ad2.d0c0 R3 10 R3 Fa0/0 0002.16f4.1ba0 IS-IS paths to level-2 routers Les entrées surlignées de la colonne SNPA sont les adresses MAC des interfaces FastEther- net0/0 des routeurs R2 et R3. Entrez la commande show isis route pour voir la table de routage IS-IS L1: R1# show isis route IS-IS not running in OSI mode (*) (only calculating IP routes) (*) Use "show isis topology" command to display paths to all routers Cette commande n'est pas très utile car elle est spécifique au routage OSI. Rappelez-vous que IP IS-IS a été validé sur chaque routeur. Si CLNP avait été configuré dans le réseau, des informations plus intéressantes auraient été affichées. Entrez la commande show clns route pour voir la table de routage IS-IS L2: R1# show clns route Codes: C - connected, S - static, d - DecnetIV I - ISO-IGRP, i - IS-IS, e - ES-IS B - BGP, b - eBGP-neighbor C 49.0001.1111.1111.1111.00 [1/0], Local IS-IS NET C 49.0001 [2/0], Local IS-IS Area De nouveau cette commande n'est pas très utile car elle s'applique au routage OSI et non au routage IP. CFI_Site_Paris
Entrez la commande show ip route pour afficher la table de routage IP. R1# show ip route <partie supprimée> Gateway of last resort is not set i L1 192.168.30.0/24 [115/20] via 172.16.0.3, FastEthernet0/0 C 192.168.10.0/24 is directly connected, Loopback0 172.16.0.0/24 is subnetted, 1 subnets C 172.16.0.0 is directly connected, FastEthernet0/0 i L1 192.168.20.0/24 [115/20] via 172.16.0.2, FastEthernet0/0 Notez que les routes vers les réseaux 192.168.20.0 et 192.168.30.0 ont été apprises. Les commandes show clns neighbors, show isis database, show clns interface, show isis topology, show isis route et show clns route illustrent la nature confuse de la vé- rification et de la résolution de problème IS-IS. Il n'y a pas de motif très clair pour incor- porer le mot-clé isis ou clns dans une commande show. - Etape 4: Conversion du backbone Les routeurs L1 communiquent avec les autres routeurs L1 de la même zone tandis que les routeurs L2 routent entre zones L1 formant un backbone de routage interdomaine. Ce scénario de lab n'illustre pas la composition typique multi-area de l'ensemble de routeurs L2 dans un domaine IS-IS car ces routeurs résident tous dans l'Area 49.0001. Comme la fonction principale des routeurs de San José est de router entre areas dans le réseau ITA, ils doivent être configurés comme routeurs L2-only comme suit: R1(config)# router isis R1(config-router)# is-type level-2-only R2(config)# router isis R2(config-router)# is-type level-2-only R3(config)# router isis R3(config-router)# is-type level-2-only Pour voir l'effet de la commande is-type, entrez les commandes suivantes: show ip protocols, show clns neighbors, show isis database, show clns interface fastethernet 0/0, show isis database R1.00-00 detail, show isis topology et show ip route. Voici les sorties de ces commandes: R1# show ip protocols Routing Protocol is "isis" Invalid after 0 seconds, hold down 0, flushed after 0 Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Redistributing: isis Address Summarization: None Maximum path: 4 CFI_Site_Paris
Routing for Networks: Loopback0 FastEthernet0/0 Routing Information Sources: Gateway Distance Last Update 192.168.30.1 115 00:08:48 192.168.20.1 115 00:00:09 Distance: (default is 115) R1# show clns neighbors System Id Interface SNPA State Holdtime Type Protocol R2 Fa0/0 0004.9ad2.d0c0 Up 26 L2 IS-IS R3 Fa0/0 0002.16f4.1ba0 Up 22 L2 IS-IS R1# show isis database IS-IS Level-2 Link State Database: LSPID LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL R1.00-00 * 0x00000001 0x623C 1086 0/0/0 R1.01-00 * 0x0000000F 0x3344 1092 0/0/0 R2.00-00 0x00000001 0x13AA 1091 0/0/0 R3.00-00 0x00000002 0xD703 1096 0/0/0 Si le LSPID est affiché avec un LSP Holdtime égal à 0 suivi par une valeur entre paren- thèses, cette entrée invalide peut être purgée avec la commande clear isis *. R1# show clns interface fastethernet 0/0 FastEthernet0/0 is up, line protocol is up Checksums enabled, MTU 1497, Encapsulation SAP ERPDUs enabled, min. interval 10 msec. CLNS fast switching enabled CLNS SSE switching disabled DEC compatibility mode OFF for this interface Next ESH/ISH in 16 seconds Routing Protocol: IS-IS Circuit Type: level-1-2 DR ID: R1.02 Level-2 IPv6 Metric: 10 Interface number 0x0, local circuit ID 0x1 Level-2 Metric: 10, Priority: 100, Circuit ID: R1.01 Number of active level-2 adjacencies: 2 Next IS-IS LAN Level-2 Hello in 2 seconds Bien que le type de circuit soit level-1-2, les entrées suivant le Circuit Type montrent que les opérations sont uniquement de type L2. CFI_Site_Paris
R1# show isis database R1.00-00 detail IS-IS Level-2 LSP R1.00-00 LSPID LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL R1.00-00 * 0x00000001 0x623C 892 0/0/0 Area Address: 49.0001 NLPID: 0xCC Hostname: R1 IP Address: 192.168.10.1 Metric: 10 IS R1.02 Metric: 10 IS R1.01 Metric: 10 IP 192.168.10.0 255.255.255.0 Metric: 10 IP 172.16.0.0 255.255.255.0 Cette sortie montre que les IDs, R1.01 et R1.02 sont utilisés pour numéroter les interfaces du routeur participant à IS-IS. Ceci peut être également vu avec la commande show clns interface. R1# show isis topology IS-IS paths to level-2 routers System Id Metric Next-Hop Interface SNPA R1 -- R2 10 R2 Fa0/0 0004.9ad2.d0c0 R3 10 R3 Fa0/0 0002.16f4.1ba0 R1# show ip route <partie supprimée> Gateway of last resort is not set i L2 192.168.30.0/24 [115/20] via 172.16.0.3, FastEthernet0/0 C 192.168.10.0/24 is directly connected, Loopback0 172.16.0.0/24 is subnetted, 1 subnets C 172.16.0.0 is directly connected, FastEthernet0/0 i L2 192.168.20.0/24 [115/20] via 172.16.0.2, FastEthernet0/0 Quels types de route sont placés dans la table de routage? - Etape 5: Manipulation des timers d'interface IS-IS La valeur par défaut de l'intervalle Hello est de 10 secondes et la valeur par défaut du mul- tiplieur Hello est 3. Le Multiplieur Hello spécifie le nombre de PDUs Hello IS-IS qu'un voi- sin doit perdre avant que le routeur déclare que l'adjacence est perdue. Avec un intervalle Hello égal à 10 secondes, cela prend 30 secondes pour qu'une adjacence soit déclarée per- due à cause de PDUs Hello non reçus. Les timers OSPF analogues sont contrôlés par les commandes d'interface ip ospf hello-interval et ip ospf dead-interval. Une décision est prise pour ajuster les timers IS-IS pour que les routeurs du backbone détectent une défaillance plus rapidement. Cela accroît le trafic mais cela n'a pas de con- séquence sur le backbone Ethernet haut débit. Il est déterminé que le besoin de conver- gence rapide sur le backbone équilibre l'effet négatif du trafic de contrôle supplémentaire. Changez le Hello interval à 5 secondes sur toutes les interfaces FastEthernet comme cela est montré sur le routeur R1: CFI_Site_Paris
R1(config)# interface fastethernet 0/0 R1(config-if)# isis hello-interval 5 3. Combien de temps cela prendra-t-il pour déclarer qu'une adjacence est perdue avec le nouvel intervalle Hello? - Etape 6: Implémenter l'authentification L1-L2 sur le backbone IS-IS Il ne doit avoir aucun routeur non autorisé formant des adjacences dans le cœur de réseau IS-IS. L'ajout de l'authentification sur chaque interface avec IS-IS validé peut aider à respecter cela. Configurez l'authentification d'interface sur R1: R1(config)# interface FastEthernet 0/0 R1(config-if)# isis password cisco level-2 Cette commande évite que des routeurs non autorisés forment des adjacences level-2 avec ce routeur. Important: Assurez-vous d'avoir ajouté le mot-clé level-2 lequel fait référence à la base de données level-2 et non à un niveau de cryptage. Si vous ne spécifiez pas de mot-clé, la va- leur par défaut est level-1. Gardez en mémoire que les mots de passe sont échangés en texte clair et fournissent une protection limitée. Attendez 20 secondes et entrez la commande show clns neighbors sur R1: 4. Est-ce que R1 montre qu'il a toujours des voisins IS-IS? Justifiez. Entrez la commande debug isis adj-packets pour vérifier que R1 ne reconnaît pas ses voi- sins car il requiert l'authentification qui n'a pas encore été configurée sur R2 et R3. R1# debug isis adj-packets IS-IS Adjacency related packets debugging is on 03:22:28: ISIS-Adj: Sending L2 LAN IIH on FastEthernet0/0, length 1497 03:22:29: ISIS-Adj: Sending L2 LAN IIH on Loopback0, length 1514 03:22:30: ISIS-Adj: Sending L2 LAN IIH on FastEthernet0/0, length 1497 03:22:31: ISIS-Adj: Rec L2 IIH from 0004.9ad2.d0c0 (FastEthernet0/0), cir type L2, cir id 1111.1111.1111.01, length 1497 03:22:31: ISIS-Adj: Authentication failed Les routeurs IS-IS ne communiquent plus sauf si les paramètres d'authentification corres- pondent. Cependant plusieurs autres paramètres IS-IS spécifiques interface peuvent va- rier sans interrompre la communication tels que ceux fixés par les commandes isis hello- interval, isis hello-multiplier, isis retransmit-interval, isis retransmit-throttle-inter- val et isis csnp-interval. Bien sur il est sensé que ces paramètres soient cohérents sur un même segment. Corrigez le problème d'authentification en configurant l'authentification d'interface sur R2 et R3. Après que la configuration ait été effectuée, vérifiez que les routeurs peuvent com- muniquer en utilisant la commande show clns neighbors sur R1. CFI_Site_Paris
R2(config)# interface FastEthernet 0/0 R2(config-if)# isis password cisco level-2 R3(config)# interface FastEthernet 0/0 R3(config-if)# isis password cisco level-2 R1# show clns neighbors System Id Interface SNPA State Holdtime Type Protocol R2 Fa0/0 0004.9ad2.d0c0 Up 23 L2 IS-IS R3 Fa0/0 0002.16f4.1ba0 Up 26 L2 IS-IS En même temps les System IDs ont été résolus avec les noms de routeurs. Ceci est fait au travers de la fonctionnalité de mapping dynamique de nom de host validée par défaut sur les routeurs Cisco. - Etape 7: Implémenter l'authentification de domaine IS-IS IS-IS fournit deux couches supplémentaires d'authentification, les mots de passe area pour L1 et les mots de passe domaine pour L2. afin d'éviter les adjacences non autorisées entre routeurs. Les options mots de passe interface, area et domaine utilisent toutes une authentification avec texte en clair et par conséquent ont un usage limité. A partir de l'IOS Cisco Release 12.2(13)T, l'authentification MD5 est disponible pour IS-IS. La commande pour l'authentification mot de passe L1 est area-password password. L'uti- lisation de cette commande sur tous les routeurs empêche les routeurs non autorisés d'in- jecter de fausses informations de routage dans la base de données L1. La commande pour l'authentification mot de passe L2 est domain-password password. L'utilisation de cette commande sur tous les routeurs L2 du domaine empêche que les routeurs non autorisés injectent de fausses informations de routage dans la base de don- nées L2. Comme les routeurs du backbone opèrent au L2, implémentez l'authentification mot de passe domaine comme suit: R1(config)# router isis R1(config-router)# domain-password cisco Le mot de passe est sensible à la casse. Si vous avez du temps, configurez intentionnelle- ment des mots de passe différents sur les interfaces. Faites de même pour les mots de passe area et domaine. En voyant de quelle manière le routeur réagit, il sera plus aisé pour vous de remarquer cette erreur quand vous configurerez des mots de passe non con- cordants de manière non intentionnelle dans un réseau en production. Rafraîchissez la base de données d'état de lien IS-IS pour recalculer les routes en utilisant la commande clear isis * sur tous les routeurs. Cela peut prendre une ou deux minutes pour que les bases de données soient mises à jour. Router# clear isis * CFI_Site_Paris
Utilisez la commande show isis database pour voir les changement sur la base de données état de lien de R1: R1# show isis database IS-IS Level-2 Link State Database: LSPID LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL R1.00-00 * 0x00000004 0xDCB5 1155 0/0/0 R1.01-00 * 0x00000007 0xB4C1 1156 0/0/0 Modifiez les autres routeurs pour qu'ils aient la nouvelle politique d'authentification: R2(config)# router isis R2(config-router)# domain-password cisco R3(config)# router isis R3(config-router)# domain-password cisco Affichez la base de données d'état de lien de R1 pour vérifier que les LSPs ont été propagés: R1# show isis database LSPID LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL R1.00-00 * 0x00000001 0xE2B2 1189 0/0/0 R1.01-00 * 0x00000002 0xBEBC 1195 0/0/0 R2.00-00 0x00000002 0x5A59 1190 0/0/0 R3.00-00 0x00000002 0xF3DD 1185 0/0/0 Lancez ce script TCL pour vérifier la connectivité après l'implémentation de l'authentifica- tion L2: foreach address { 192.168.10.1 172.16.0.1 192.168.20.1 172.16.0.2 192.168.30.1 172.16.0.3 } { ping $address } CFI_Site_Paris