魏　紅　韓　冰

[摘要]IS-IS是一種等級式的、鏈路狀態(tài)式的路由通訊規(guī)程。它是通過向整個(gè)網(wǎng)絡(luò)廣播連路狀態(tài)信息，以此建立一個(gè)完整的網(wǎng)絡(luò)結(jié)構(gòu)信息。要設(shè)計(jì)、操作一個(gè)IS系統(tǒng)，IS-IS分為第一級和第二級系統(tǒng)。第一級系統(tǒng)將只與同一區(qū)域內(nèi)的其它第一級系統(tǒng)通訊。而第二級系統(tǒng)將把屬于不同區(qū)域的路由器連接起來。IS-IS與OSPF非常類似，例如，它們都屬于鏈路狀態(tài)，使用不同的區(qū)域，分級式路由通訊規(guī)程。OSPF已經(jīng)被使用的非常廣泛。幾年前，IS-IS還沒有受到如此廣泛的重視，最近以來，越來越多的英特網(wǎng)服務(wù)提供商，以及IPV6的應(yīng)用都對IS-IS這項(xiàng)功能提出要求。對IS-IS和OSPF的功能、為什么要引入IS-IS及其優(yōu)點(diǎn)進(jìn)行論述。

[關(guān)鍵詞]路由通訊規(guī)程 IS-IS OSPF IPv4 IPv6

中圖分類號：TN91文獻(xiàn)標(biāo)識碼：A文章編號：1671－7597（2009）0310007－02

一、引言

Intermediate System-to-Intermediate System(IS-IS)是一種鏈路狀態(tài)的分級式路由規(guī)程。它是廣播網(wǎng)路鏈路狀態(tài)信息到整個(gè)網(wǎng)絡(luò)，從而建立一個(gè)完整的一致網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)數(shù)據(jù)庫。為了路由器的設(shè)計(jì)和操作，IS-IS分為第一級和第二級。第一級路由器只與同一區(qū)域內(nèi)其他第一級路由器通訊。第二級路由器用于連接不同區(qū)域的第一級路由器。IS-IS與OSPF兩者有眾多相似之處，如：同屬于鏈路狀態(tài)式路由通訊規(guī)程，都是使用不同的分區(qū)，分級式路由通訊規(guī)程。由于OSPF已經(jīng)獲得了極為廣泛的應(yīng)用，而IS-IS在以前較少為人們所用，尤其是在IPV4領(lǐng)域。但隨著近期較多來自ISP(Internet Service Provider)的要求，尤其是IPV6的越來越廣泛的應(yīng)用，使得IS-IS逐漸引起了人們的注意。本文作者想就IS-IS的一些特點(diǎn)，以及它與OSPF的比較論述一下自己的觀點(diǎn)。

二、IS-IS不像OSPF那樣需要設(shè)定邊界

所有的消息由特殊類型標(biāo)題加上type/length/value(TLV)的這種結(jié)構(gòu)組成。這樣一來，就帶來了結(jié)構(gòu)上的靈活性、可擴(kuò)展性、兼容性方面的優(yōu)勢。但也帶來了運(yùn)算上的復(fù)雜性，給CPU帶來了較多的負(fù)擔(dān)。

三、IS-IS路由規(guī)程是工作在數(shù)據(jù)鏈路之上而不是工作在IP層之上

所以來自于外部的基于IP基礎(chǔ)上的攻擊對于IS-IS是無能為力的。但是這也引入了另一個(gè)問題--信號傳輸?shù)膬?yōu)先順序選擇。在擁塞的情況下，當(dāng)信息包不能被馬上傳遞時(shí)，路由器會(huì)將它們先放在隊(duì)列上。很明顯尋路規(guī)程的信息包應(yīng)該得到最高的優(yōu)先級。這對于OSPF來說，因?yàn)樗褂肐P來進(jìn)行路由規(guī)程的通訊，所以是沒有問題的。但對于使用數(shù)據(jù)鏈路層的IS-IS路由規(guī)程來說，優(yōu)化這種信息比較復(fù)雜了。

四、相對應(yīng)于OSPF的AID（區(qū)域ID），RID（路由器ID）這兩項(xiàng)是被分開表述的。而IS-IS AID和SysID（系統(tǒng)ID）則是被統(tǒng)一表述在NET(Net working Entity Title)一項(xiàng)下。

五、IS-IS使用三種Hello消息，而OSPF后則使用一種Hello消息

首先，IS-IS在始發(fā)于點(diǎn)對點(diǎn)，和廣播鏈路上是使用不同的Hello信息的。在廣播鏈路上Hello類別的不同是建立在“一個(gè)潛在的鄰居”是否在同一個(gè)區(qū)域或在不同的區(qū)域。在某種局域網(wǎng)鏈路上傳送哪一種Hello是取決于該路由器接口的不同配置。

六、IS-IS“鄰接”的建立

當(dāng)IS-IS雙向通訊建立起來以后，IS-IS鄰居就認(rèn)為他們進(jìn)入了“鄰接”狀態(tài)。這是發(fā)生在數(shù)據(jù)庫同步之前，而此之后就可以同步它們的數(shù)據(jù)庫了。IS-IS數(shù)據(jù)庫的同步是一個(gè)相對簡單、靈活的過程。OSPF使用復(fù)雜的狀態(tài)機(jī)來同步它的數(shù)據(jù)庫，受嚴(yán)格的狀態(tài)機(jī)來控制。

七、IS-IS DIS(Designated Intermediate System)系統(tǒng)

IS-IS的DIS(Designated Intermediate Systems)與OSPF DR有以下明顯的區(qū)別：

1．沒有備份DIS。

2．一個(gè)有高優(yōu)先級的IS將會(huì)直接換掉已有的DIS。

3．設(shè)置優(yōu)先級為“0”并不意味著此路由器不可能成為DIS。

4．是一個(gè)廣播網(wǎng)絡(luò)的網(wǎng)狀網(wǎng)“彼鄰”連接，而不是只與DIS發(fā)生連接。

5．在一個(gè)廣播網(wǎng)絡(luò)上，不同的DIS能夠同時(shí)擁有L1和L2“鄰接”。

八、IS-IS區(qū)域和路由器類別

同OSPF一樣，IS-IS使用兩極式結(jié)構(gòu)。所有的區(qū)域之間的交通量必須經(jīng)由更高一級區(qū)域來連接，以避免環(huán)路。較高一級稱作L2(LEVEL 2)，較低一級被稱為L1(LEVEL 1)。沒有預(yù)留的骨干區(qū)域(0.0.0.0)。這點(diǎn)與OSPF是不同的。

九、IS-IS 數(shù)據(jù)庫的同步

在OSPF和IS-IS之間，數(shù)據(jù)庫同步唯一的相似點(diǎn)是：在一個(gè)廣播網(wǎng)絡(luò)上，所有的OSPF 的路由器將與DR來同步；而IS-IS的路由器將與DIS來同步。一個(gè)最大的不同點(diǎn)是：OSPF在DR、BDR和DROTHER上是使用不同的組播地址的。而IS-IS只是在L1和L2的“鄰接”信號類別上加以區(qū)別。而CSNP、PSNP、和LSP都是用組播加以傳送，并且所有在廣播網(wǎng)絡(luò)上的路由器都會(huì)收到同樣的這些信號。

十、區(qū)域的設(shè)計(jì)

為了在兩個(gè)區(qū)域(L1，L2)之間傳送路由信息，至少需要一個(gè)路由器來連接兩個(gè)區(qū)域，并保留每個(gè)區(qū)域的鏈路狀態(tài)數(shù)據(jù)庫，同時(shí)在每一個(gè)區(qū)域運(yùn)行分立的SPF運(yùn)算。OSPF把這種路由器稱為ABR（區(qū)域邊界路由器）。在IS-IS中，L1/L2就類似于OSPF的ABR。

通常情況IS-IS的L1區(qū)域是“totally stubby”區(qū)域。不會(huì)從L2區(qū)域傳播路由信息到L1區(qū)域（但也有例外，請看下文11、L2 to L1路由的滲透）。L1/L2路由器將它所連接的L1區(qū)域路由信息傳入到與它相連的L2區(qū)域。

十一、地址的匯集(Address Summarization)

IS-IS可以在一個(gè)L1區(qū)域內(nèi)匯集路由，以簡化L2 LS數(shù)據(jù)庫。同時(shí)，L1-only路由器不能總結(jié)自己的路由，因?yàn)檫@樣一來將會(huì)引起L1區(qū)域內(nèi)數(shù)據(jù)庫的不穩(wěn)定。這點(diǎn)和OSPF一樣。只有L1/L2路由器可以總結(jié)L1區(qū)域的路由，然后傳送到鄰接的L2鄰居。

十二、L2 to L1路由的滲透

假如一個(gè)L1區(qū)域只有一個(gè)L1/L2出口路由器，那么就會(huì)只有一條缺省出去的道路。這不會(huì)引起問題。但假如有多個(gè)L1/L2路由器，而可供L1-only路由器使用的信息是有限的，就會(huì)限制它們選擇最好的出去的道路。所以這時(shí)最好從L2區(qū)域滲透一些特殊信息到L1區(qū)域。RFC 1195是禁止這樣做的。所以又制定出了RFC2966，用于新增功能，以允許這樣做。

十三、IS-IS虛擬鏈路

在OSPF中，虛擬鏈路是用于通過非主干區(qū)域，修復(fù)被分開的主干區(qū)域。IS-IS正好相反，使用虛擬鏈路是用于修復(fù)被分開的L1區(qū)域，而這卻要通過L2主干區(qū)域。IS-IS是主要應(yīng)用于ISP的，而ISP要么根本不需要L1區(qū)域，要么即便有L1區(qū)域，L1區(qū)域也是完整設(shè)計(jì)的，所以也許根本就沒有用戶需要這項(xiàng)功能。

十四、同等費(fèi)用多條路由(ECMP)

假如有多條路由到一個(gè)終點(diǎn)，所有路由費(fèi)用相等，這叫ECMP，那么像OSPF一樣，IS-IS支持ECMP。這時(shí)，將會(huì)停止工作SPF的運(yùn)算。

十五、抗攻擊性

IS-IS是可以被很多種網(wǎng)絡(luò)攻擊手段攻擊的，例如：

1．惡意的改變某些Hello消息中的數(shù)據(jù)，可以用于斷開或欺騙鏈路那邊的IS-IS 路由器。

2．送出哄騙式的LSP消息，例如，假裝是從某個(gè)已存在的域里發(fā)過來的，這樣可以引起巨大的交通量、運(yùn)算量。

3．一個(gè)假的或無效的Hello消息，并設(shè)置為高優(yōu)先級，可以引起DIS的重新選擇，甚至接受一個(gè)根本不存在的DIS。

等等，都可以對之造成攻擊。但是我們再仔細(xì)想想，這些攻擊必須來自于網(wǎng)絡(luò)內(nèi)部。因?yàn)椋琁S-IS信令消息是工作在數(shù)據(jù)鏈路層的，所以IS-IS是免疫于任何外部網(wǎng)絡(luò)的IP式的攻擊的。而OSPF在這方面卻是望塵莫及的。

十六、身份鑒別

IS-IS的身份鑒別類型、數(shù)據(jù)是被封裝在TLV(type/length/value)。TLV類型是10。而后TLV可以被裝載在所有種類的IS-IS PDU中。ISO 10589只申明了明文傳送密碼鑒別方式。其它可用的域值還屬于預(yù)留區(qū)，將來可用?，F(xiàn)在已有很多路由器廠家使用這些區(qū)域了。有些已經(jīng)支持下MD5功能了。

十七、平滑重啟動(dòng)

在RFC 3847中，IS-IS平滑重啟動(dòng)使用一個(gè)新的TLV，被稱做成“啟動(dòng)TLV”，裝在Hello消息中傳輸，這與OSPF相似。

十八、IS-IS 可擴(kuò)展性

事實(shí)上，新功能的引入只需加入新的TLV到一個(gè)LSP中，因此IS-IS比OSPF更容易擴(kuò)展，而LSP自身的結(jié)構(gòu)保持不變。這就比給OSPF定義一個(gè)新的LSA簡單。而且，當(dāng)IS-IS碰到一個(gè)新的、不知道的TLV時(shí)，只是不改變它，繼續(xù)傳送。而OSPF卻是將它扔掉。這樣一來，在IS-IS網(wǎng)絡(luò)中引入新功能時(shí)，尤其是在一個(gè)子網(wǎng)中，就很方便有效了。

十九、向IPv6的擴(kuò)展、升級

IS-IS向IPV6擴(kuò)展時(shí)，只需在現(xiàn)存的規(guī)程中加入兩個(gè)新的TLV。它們是：IPV6 Reachability，IPV6 interface Address TLV。當(dāng)一個(gè)路由器支持IPV6時(shí)，它需要將“Protocols Supported TLV”的IPv6 NLPID的值設(shè)置為“142(0x8E)”。

參考文獻(xiàn)：

[1]捷夫多 艾多，路由TCP/IP，第一卷：CCIE專業(yè)最終版[M].美國：Cisco出版社出版，2005.

[2]湯姆 托馬斯，OSPF網(wǎng)絡(luò)設(shè)計(jì)解決方案[M].美國：Cisco出版社出版，硬皮本，第二版，2003年4月，ISBN：1587050323.

[3]汗奈斯 格來德勒、沃爾特 高若斯基，完全的IS-IS路由規(guī)程[M].美國：斯普林格出版社，2004年12月出版.ISBN：1852338229.