运营商最爱、网工必懂：一文吃透 IS-IS 协议基础，含典型配置指令

ICT系统集成阿祥

发布于 2026-05-26 19:13:42

380

文章被收录于专栏：数通数通

做运营商、大型园区网的工程师，ISIS 绝对是绕不开的核心协议。

今天我们把华为 ISIS 基础讲透：概念、分层、报文、配置、认证、常见坑，一次性讲清。

一、ISIS 到底是什么？

IS-IS（Intermediate System to Intermediate System）

中间系统到中间系统路由协议，链路状态路由协议，用 SPF 算法算路由。

核心特点

直接封装在数据链路层，不依赖 IP 封装 → 稳定、扩展强
分Level-1 / Level-2 两层架构，适合大规模骨干网
运营商 WAN 主流，企业网较少见
支持 IPv4/IPv6，叫集成 ISIS

与 OSPF 的核心区别

二、必懂核心概念：NET 地址

华为设备跑 ISIS，第一步必须配 NET

NET（Network Entity Title）

特殊 NSAP 地址，SEL=00
长度 8~20 字节
格式：区域 ID + System ID + SEL (00)
华为固定：System ID=6 字节，全网唯一

示例：49.0001.0000.0000.0001.00

49：私有 AFI
0001：区域 Area ID
0000.0000.0001：System ID
00：SEL 固定

三、网络分层与路由器类型

两层架构

Level-1（L1）：非骨干区域，仅本区域路由
Level-2（L2）：骨干区域，全网路由
骨干区域 = 所有L2 + L1-2路由器，必须物理连续

路由器分类

1. Level-1 路由器
- 仅同区域 L1/L1-2 建邻
- 维护 L1 LSDB（仅本区域）
- 必须通过 L1-2 访问外部

2. Level-2 路由器
- 可跨区域建邻
- 维护 L2 LSDB（全网路由）
- 构成骨干网

3. Level-1-2 路由器（等价 OSPF ABR）
- 维护L1 + L2 两个 LSDB
- 同时连接区域内与骨干
- 可与 L1、L2、L1-2 建立邻接

四、邻接关系建立规则

1. 建立必满足条件

路由器级别一致（L1↔L1、L2↔L2、L1-2 兼容）
L1 必须 Area ID 相同；L2 不要求 Area ID 相同
链路网络类型一致（广播 / P2P）
默认接口 IP 同一网段
System ID 全网唯一
Hello 报文类型匹配

2. 不同链路建邻差异

广播网络（Ethernet）
- 三次握手
- 必须同网段、同掩码
- 选举 DIS
P2P 网络（PPP/HDLC）
- 默认三次握手，支持改为两次
- 可配peer-ip-ignore忽略网段检查
- 不选举 DIS

3. Hello 报文（IIH）

L1 LAN IIH：广播网 L1 邻居
L2 LAN IIH：广播网 L2 邻居
P2P IIH：点到点链路
组播 MAC
- L1：01-80-C2-00-00-14
- L2：01-80-C2-00-00-15
- P2P：09-00-2B-00-00-05

五、4种报文与 LSDB 同步

1. IIH（Hello）

发现、保活邻居
分L1 LAN IIH、L2 LAN IIH、P2P IIH
广播：10s 发一次；DIS 3s 发一次
P2P：默认 10s，失效 30s

2. LSP（链路状态 PDU）

发布链路状态，类似 OSPF LSU
分 L1 LSP / L2 LSP
用 LSP ID 唯一标识
判断新旧：序列号 > 剩余时间 > 校验和

3. CSNP（完全序列号 PDU）

LSDB 全摘要，类似 OSPF DD
广播网由 DIS 每 10s 发
P2P 仅邻居刚建立时发

4. PSNP（部分序列号 PDU）

请求缺失 LSP、确认收到 LSP
类似 OSPF LSR + LSACK

5. LSP 关键规则

LSP ID：System ID.伪节点ID-分片号
- 伪节点 ID=00：实节点路由 LSP
- 伪节点 ID=01：DIS 伪节点 LSP

新旧判断
1. 序列号 Seq 越大越新
2. Seq 相同，Remaining Lifetime=0 最新
3. 再比 Checksum，越大越新
更新机制
- 触发更新：链路变化立即更新
- 周期更新：1200s 老化，900s 刷新

6. LSDB 同步流程

广播网
1. DIS 周期发 CSNP
2. 其他设备对比本地 LSDB
3. 用 PSNP 请求缺失 LSP
P2P
1. 建邻后互发 CSNP
2. PSNP 请求 / 确认
3. LSP 重传靠定时器保障

六、广播网必知：DIS 选举

广播链路（以太网）要选 DIS，类似 DR，但区别巨大：

DIS 规则

每条链路一个 DIS，无 BDIS
可抢占：优先级大→MAC 大胜出
优先级 0 也参与选举
L1 DIS、L2 DIS分开选
DIS 发 Hello 更快（3s），故障快感知

为什么要 DIS？

生成伪节点，简化拓扑
统一发 CSNP，保证 LSDB 同步
减少 LSP 泛洪风暴

七、Cost 开销与选路

1. Cost 规则

默认所有接口 Cost=10，与带宽无关
路径 Cost = 沿途所有链路 Cost 总和
优先级：接口开销 > 全局开销 > 自动计算

2. 自动计算开销

命令：auto-cost enable
公式：(bandwidth-reference / 接口带宽) ×10
仅在cost-style wide下生效

3. 选路优先级

L1 路由 > L2 路由
内部路由 > 外部路由
Cost 越小越优

八、ATT 位与默认路由

1. ATT 位作用

L1-2 路由器在L1 LSP中置位ATT=1
告诉 L1 设备：我能去骨干 / 其他区域
L1 收到后自动生成0.0.0.0/0 默认路由指向 L1-2

2. ATT=1 条件

L1-2 在 L2 LSDB 中存在其他区域的 L2 LSP
本区域内 L1-2 不学习彼此 ATT 默认路由，防环

3. 控制命令

attached-bit advertise always：强制 ATT=1
attached-bit advertise never：强制 ATT=0
attached-bit avoid-learning：L1 忽略 ATT，不生成默认

九、路由渗透（Leaking）

1. 问题

默认 L1→L2 可通，L2 不主动下发明细到 L1
L1 只能靠默认路由，易出现次优路径

2. 解决方案：路由渗透

在L1-2 路由器配置：

import-route isis level-2 into level-1

可配合filter-policy前缀列表过滤
实现 L1 学习跨区域明细，走最优路径

十、ISIS 三种认证（安全必备）

1. 三类认证

接口认证
- 认证对象：Hello 报文
- 影响：邻居无法建立
区域认证
- 认证对象：L1 的 LSP/CSNP/PSNP
- 影响：邻居正常，学不到 L1 路由
路由域认证
- 认证对象：L2 的 LSP/CSNP/PSNP
- 影响：邻居正常，学不到 L2 路由

2. 四种认证模式

simple（明文）
MD5
HMAC-SHA256
keychain（密钥链，定时切换）

3. 典型配置

# 接口认证
interface GigabitEthernet0/0/0
 isis authentication-mode md5 plain Huawei@123
# 区域认证(L1)
isis 1
 area-authentication-mode md5 plain Huawei@123
# 域认证(L2)
isis 1
 domain-authentication-mode md5 plain Huawei@123

十一、华为常用命令速查

# 启用IS-IS
isis 1
 network-entity 49.0001.0000.0000.0001.00
 is-level level-1-2
# 接口启用
interface g0/0/0
 isis enable 1
 isis circuit-level level-1
# 修改Cost
interface g0/0/0
 isis cost 20
# 自动计算Cost
isis 1
 cost-style wide
 auto-cost enable
 bandwidth-reference 1000
# 路由渗透
isis 1
 import-route isis level-2 into level-1
# 查看
dis isis peer
dis isis interface
dis isis lsdb
dis ip routing-table protocol isis