有关ISIS协议的19个常见的面试问题

1. 解释IS-IS的Level 1和Level 2的区别

• Level 1（L1）：

  • 作用范围：同一区域（Area）内部。

  • 路由信息：仅维护本区域的链路状态数据库（LSDB），不知道其他区域的拓扑。

  • 默认行为：L1路由器通过最近的L1/L2路由器（类似默认网关）访问外部区域。

• Level 2（L2）：

  • 作用范围：骨干区域（跨区域）。

  • 路由信息：维护全网（所有区域）的L2 LSDB，负责区域间路由。

  • L1/L2路由器：同时参与L1和L2路由，类似OSPF的ABR，负责将L1路由泄漏到L2，反之亦然。

---

2. 如何解决IS-IS邻接关系无法建立的问题？

• 常见原因：

  1. 层级不匹配：一端配置为L1，另一端为L2（需同为L1、L2或L1/L2）。

  2. 认证失败：接口或区域认证密钥不一致。

  3. MTU不匹配：两端接口MTU不同，导致LSP分片问题。

  4. System ID冲突：同一区域内的路由器System ID重复。

  5. 网络类型不匹配：如一端为广播网络，另一端为点对点网络。

• 排查步骤：

  • 检查Hello报文交互（show isis neighbors）。

  • 验证认证配置和MTU值。

  • 确认区域ID和System ID唯一性。

---

3. 什么是DIS？它的选举规则是什么？

• DIS（Designated Intermediate System）：

  • 在广播网络（如以太网）中选举，负责生成伪节点（Pseudonode）的LSP，减少泛洪流量。

  • 功能类似OSPF的DR，但无备份DIS（BDR）。

• 选举规则：

  1. 优先级：数值越高越优先（范围0-127，默认64）。

  2. MAC地址：优先级相同时，MAC地址大的路由器胜出。

  • 特点：DIS选举非抢占，仅在当前DIS失效后重新选举。

---

4. 为什么IS-IS的NSAP地址中SEL字段通常为00？

• SEL（NSAP Selector）：

  • 标识服务类型（如路由、CLNS等）。

  • 在IP路由场景中，SEL固定为00，表示“默认服务”（无特定上层协议绑定）。

  • 示例：49.0001.1921.6800.1001.00中的最后两位00即为SEL。

---

5. 如何配置IS-IS实现路由泄漏？

• 路由泄漏（Route Leaking）：

  • 将L2（骨干区域）的路由手动注入到L1区域，解决L1区域默认路由可能导致次优路径的问题。

• 配置示例（以Cisco为例）：

  bash

  复制

  router isis
   redistribute isis ip level-2 into level-1 route-map LEAK_L2_TO_L1
  !
  route-map LEAK_L2_TO_L1 permit 10
   match tag 100  # 按需匹配路由标签或其他属性

---

6. IS-IS的SPF计算是否支持按需触发（类似OSPF的PRC）？

• 支持：

  • IS-IS通过**iSPF（增量SPF）**优化计算：仅重新计算受影响的路径，而非全网拓扑。

  • 类似OSPF的PRC（Partial Route Calculation），但实现机制不同（基于LSP变化类型触发）。

---

7. IS-IS如何扩展以支持Segment Routing（RFC 8667）？

• 扩展方式：

  • 新增TLV（Type-Length-Value）字段传递SR信息：

    • Prefix-SID TLV（Type 3）：分配前缀标签。

    • Adj-SID TLV（Type 31）：分配邻接标签。

  • 支持全局标签（Node-SID）和局部标签（Adj-SID）。

---

8. 如何通过IS-IS分发Segment Routing的标签信息？

• 配置示例（Cisco）：

  bash

  复制

  router isis
   segment-routing mpls
   segment-routing prefix-sid-map advertise-local
   !
   interface GigabitEthernet0/0
    address-family ipv4
     prefix-sid index 100  # 分配Node-SID

• 关键点：

  • Node-SID（Prefix-SID）全局唯一，Adj-SID本地有效。

  • IS-IS通过LSP泛洪标签信息。

---

9. IS-IS的TE扩展（RFC 5305）如何传递带宽、延迟等链路属性？

• 实现方式：

  • 新增TLV传递TE信息：

    • Extended IS Reachability TLV（Type 22）：携带带宽、延迟、资源等级等。

    • Traffic Engineering TLVs：

      • 最大/预留带宽（TLV 11/12）。

      • 未预留带宽（TLV 13）。

      • 链路保护类型（TLV 20）。

  • 应用场景：支持MPLS流量工程（TE）路径计算。

---

10. 如何配置IS-IS支持MPLS TE（流量工程隧道）？

• 配置步骤（Cisco）：

  1. 启用IS-IS TE扩展：

     bash

     复制

     router isis
      mpls traffic-eng level-2  # 在L2启用TE
      mpls traffic-eng router-id Loopback0

  2. 接口启用TE属性：

     bash

     复制

     interface GigabitEthernet0/0
      mpls traffic-eng tunnels
      isis metric 10 level-2
      isis mpls traffic-eng level-2

---

11. 广播网络与点对点网络的配置差异

• 广播网络（Broadcast）：

  • 需要选举DIS。

  • 接口配置示例（Cisco）：

    bash

    复制

    interface GigabitEthernet0/0
     ip router isis
     isis network point-to-point  # 显式修改为点对点（可选）

• 点对点网络（Point-to-Point）：

  • 无需选举DIS。

  • Hello报文类型为P2P IIH。

---

12. 点对点链路是否需要选举DIS？为什么？

• 不需要：

  • DIS仅用于广播网络（如以太网），用于优化LSP泛洪。

  • 点对点链路直接交换LSP，无需伪节点。

---

13. 在ISP网络中，为何常由L2骨干路由器生成默认路由？

• 原因：

  • L2路由器连接全网骨干，知晓所有区域的路由。

  • L1区域路由器通过默认路由（0.0.0.0）访问外部区域，减少L1 LSDB规模。

  • 配置命令：default-information originate（在L2路由器上）。

---

14. 何时使用单区域（Flat ISIS）？何时采用分层设计？

• 单区域（Flat）：

  • 小型网络（如单一数据中心或企业分支）。

  • 所有路由器为L2，无区域划分，简化管理。

• 分层设计：

  • 大型ISP或跨地域网络。

  • 通过L1/L2分层控制LSDB规模，提高扩展性。

---

15. 大规模网络中如何避免LSP洪泛问题？

• 优化方法：

  1. 路由汇总：在L1/L2边界汇总路由，减少LSP数量。

  2. 分层设计：限制L1区域范围，避免全网上泛洪。

  3. 调整LSP生成间隔：避免频繁触发LSP更新。

---

16. 为什么ISP网络常将IS-IS作为IGP，BGP作为EGP？

• IS-IS优势：

  • 扩展性强，适合大规模拓扑。

  • 分层设计灵活，支持TE和SR。

• BGP角色：

  • 处理外部路由（跨AS），策略控制更精细。

  • IS-IS确保AS内部路由可达性（BGP下一跳解析）。

---

17. 如何通过IS-IS实现BGP下一跳的可达性？

• 关键点：

  • BGP的下一跳地址（通常为Loopback接口）必须通过IS-IS宣告。

  • 确保IS-IS LSDB中包含下一跳地址的路由。

  • 示例：将BGP邻居的Loopback地址加入IS-IS进程。

---

18. 为何某些数据中心选择IS-IS作为Underlay路由协议？

• 原因：

  • 简洁性：IS-IS协议头部开销小，适合高速转发。

  • 扩展性：支持大规模Leaf-Spine架构。

  • 与SDN结合：易于集成Segment Routing和流量工程。

---

19. 如何通过认证和ACL防御IS-IS攻击？

• 认证配置（Cisco）：

  bash

  复制

  router isis
   authentication mode md5
   authentication key-chain MY_KEY

  bash

  复制

  key chain MY_KEY
   key 1
    key-string securepassword

• ACL防御：

  • 限制IS-IS报文源IP和接口：

    bash

    复制

    interface GigabitEthernet0/0
     ip access-group ISIS_ACL in

    bash

    复制

    ip access-list standard ISIS_ACL
     permit 192.168.1.0 0.0.0.255  # 允许合法邻居
     deny any