IS-IS ルーティングに関する情報
Integrated Intermediate System-to-Intermediate System(IS-IS)は、ISO ダイナミック ルーティング プロトコルの一つです(ISO 105890 を参照)。IS-IS をイネーブルするには、IS-IS ルーティングプロセスを作成し、それをネットワークではなく特定のインターフェイスに割り当てる必要があります。マルチエリア IS-IS コンフィギュレーション シンタックスを使用することで、レイヤ 3 デバイスごとに複数の IS-IS ルーティングプロトコルを指定できます。その後、IS-IS ルーティングプロセスのインスタンスごとにパラメータを設定する必要があります。
小規模の IS-IS ネットワークは、ネットワーク内にすべてのデバイスが含まれる単一のエリアとして構築されます。このネットワークは、その規模が大きくなるにしたがって、ローカルエリアに接続されたままの、接続済みのレベル 2 デバイスのセットで構成されるバックボーンエリア内に再編成されます。ローカル エリアの内部では、デバイスがすべてのシステム ID に到達する方法を認識しています。エリア間では、デバイスはバックボーンへの到達方法を認識しており、バックボーン デバイスは他のエリアに到達する方法を認識しています。
デバイスは、ローカルエリア内でルーティングを実行するために、レベル 1 の隣接関係を確立します(ステーションルーティング)。デバイスは、レベル 2 隣接関係を確立して、レベル 1 エリア間でルーティングを実行します(エリアルーティング)。
1 つの Cisco デバイスは、最大 29 エリアのルーティングに参加でき、バックボーンでレベル 2 ルーティングを実行できます。一般に、ルーティング プロセスごとに 1 つのエリアに対応します。デフォルトでは、設定されているルーティングプロセスの最初のインスタンスが、レベル 1 ルーティングと レベル 2 ルーティングの両方を実行します。追加のデバイスインスタンスを設定できます。このインスタンスは、自動的にレベル 1 エリアとして扱われます。IS-IS ルーティング プロセスの各インスタンスごとに個別にパラメータを設定する必要があります。
IS-IS マルチエリア ルーティングでは、シスコの各装置に対して最大 29 個の レベル 1 エリアを定義できますが、レベル 2 ルーティングを実行するプロセスは 1 つだけ設定できます。レベル 2 ルーティングが任意のプロセス上に設定されている場合、追加のプロセスは、すべて自動的にレベル 1 に設定されます。同時に、このプロセスがレベル 1 ルーティングを実行するように設定することもできます。デバイスインスタンスにレベル 2 ルーティングが必要でない場合は、 グローバル コンフィギュレーション モードで is-type コマンドを使用してレベル 2 の機能を削除します。別のデバイスインスタンスをレベル 2 デバイスとして設定する場合にも is-type コマンドを使用します。
IS-IS 認証
無許可のデバイスがリンクステートデータベースに誤ったルーティング情報を挿入することを防ぐために、インターフェイスごとにプレーンテキストのパスワードを設定するとともに IS-IS エリアごとにエリアパスワードを設定するか、IS-IS 認証を設定することができます。
プレーンテキストのパスワードは、無許可のユーザーに対するセキュリティを提供しません。プレーンテキストのパスワードを設定すると、無許可のネットワーキングデバイスがルータと隣接関係を形成することを防ぐことができます。このパスワードはプレーンテキストで交換されるため、アクセスして IS-IS パケットを表示できるエージェントによって参照されます。
新しい IS-IS 認証方式には、プレーンテキストパスワード設定コマンドに比べて次のような利点があります。
-
ソフトウェア設定が表示されるときにパスワードが暗号化されます。
-
パスワードの管理や変更がより容易になります。
-
ネットワークの運用を中断させることなく、新しいパスワードに変更できます。
-
中断なしで認証を移行できます。
認証モード(IS-IS 認証またはプレーンテキストパスワード)は、特定の範囲(IS-IS インスタンスもしくはインターフェイス)またはレベルのいずれかで設定できますが、両方を設定することはできません。ただし、異なる範囲およびレベルに対して、異なるモードを設定することができます。混合モードが設定されている場合は、異なるモードには異なるキーを使用して、プロトコルデータユニット(PDU)で暗号化されたパスワードが危険にさらされないようにする必要があります。
クリアテキスト認証
IS-IS クリアテキスト認証は area-password コマンドまたは domain-password コマンドによって提供される機能と同じ機能を提供します。
HMAC-MD5 認証
IS-IS は、クリアテキスト認証より安全性の高いメッセージ ダイジェスト アルゴリズム 5(MD5)認証をサポートしています。
ハッシュメッセージ認証コード(HMAC)は暗号学的ハッシュ関数を使用するメッセージ認証符号(MAC)のためのメカニズムです。HMAC-MD5 認証では、各 IS-IS PDU に HMAC-MD5 ダイジェストを追加します。ダイジェストによって、不正なルーティング メッセージがネットワーク ルーティング ドメインに入り込むのを防御できるため、IS-IS ルーティング プロトコル レベルでの認証が可能になります。
HMAC-MD5 認証の利点は次のとおりです。
-
パスワードは、ルーティングメッセージを中断させずに新しいパスワードに変更できます。
-
中断なしで認証を移行できます。デバイスは、認証情報のない PDU や古い認証情報を持つ PDU を受け入れ、現在の認証情報を持つ PDU を送信します。このような移行は、認証なしの状態からあるタイプの認証に移行するとき、認証タイプを変更するとき、また認証キーを変更するときに便利です。
HMAC-SHA 認証
IS-IS では、MD5 認証またはクリアテキスト認証よりも安全性の高いセキュア ハッシュ アルゴリズム(SHA)認証(SHA-1、SHA-256、SHA-384、および SHA-512)がサポートされています。
HMAC-SHA 認証方式を有効にすると、共通ネットワークに接続されているすべてのデバイスで共有秘密キーが設定されます。各パケットでは、このキーを使用して、パケットに追加されるメッセージダイジェストを生成および検証します。メッセージダイジェストはパケットおよび秘密キーの単方向機能です。
ヒットレス アップグレード
使用するセキュリティ認証をあるタイプから別のタイプに移行する前に、次の手順を実行する必要があります。
-
すべてのデバイスに、その新しい認証タイプをサポートする新しいイメージをロードする必要があります。デバイスは、すべてのデバイスが新しい認証方式をサポートする新しいイメージでロードされ、さらにすべてのデバイスがその新しい認証方式を使用するように設定されるまで、元の認証方式を使用し続けます。
-
現在のキーと新しいキーの両方を含むキーチェーンを追加します。たとえば、HMAC-MD5 から HMAC-SHA1-20 に移行する場合、現在のキーは HMAC-MD5 であり、新しいキーは HMAC-SHA1-20 です。IS-IS が現在のキーを送信しつづけるように、現在のキーが新しいキーよりも send-lifetime フィールドの終了日が遅いことを確認してください。IS-IS が両方のキーを受け入れるように、両方のキーの accept-lifetime 値を infinite に設定してください。
-
手順 2 が完了したら、リンクまたはエリア内のすべてのデバイスについて、現在のキーをキーチェーンから削除できます。
NSF 認識
統合型 IS-IS ノンストップ フォワーディング(NSF)認識機能は IPv4G でサポートされています。この機能により、NSF を認識する顧客宅内機器(CPE)デバイスが、NFS 対応デバイスによるパケットのノンストップ フォワーディングを実現します。ローカルデバイスでは、必ずしも NSF を実行している必要はありませんが、その NSF を認識機能により、スイッチオーバープロセス時にルーティングデータベースの完全性と精度、および隣接 NSF 対応デバイス上のリンクステートデータベースが保持できます。
統合型 IS-IS ノンストップ フォワーディング(NSF)認識機能は自動的に有効になり、設定は不要です。
IS-IS グローバル パラメータ
次に、設定可能なオプションの IS-IS グローバルパラメータを示します。
-
ルートマップによって制御されるデフォルトルートを設定することで、デフォルトルートを IS-IS ルーティングドメイン内に強制的に設定できます。ルートマップで設定可能な、その他のフィルタリングオプションも指定できます。
-
内部チェックサムエラーとともに受信された IS-IS リンクステートパケット(LSP)を無視したり、破損した LSP を消去するようにデバイスを設定できます。これにより、LSP の発信側は、LSP を再生成します。
-
エリアおよびドメインにパスワードを割り当てられます。
-
ルーティングテーブルでサマリーアドレスによって表される(経路集約に基づいた)集約アドレスを作成できます。他のルーティングプロトコルから学習したルートも集約できます。サマリーをアドバタイズするのに使用されるメトリックは、すべての個別ルートにおける最小のメトリックです。
-
過負荷ビットを設定できます。
-
LSP リフレッシュインターバルおよび LSP がリフレッシュなしでデバイスデータベース内にとどまることができる最大時間を設定できます。
-
LSP 生成に対するスロットリング タイマー、最短パス優先計算、および部分ルート計算を設定できます。
-
IS-IS 隣接関係(アジャセンシー)がステートを変更(アップまたはダウン)する際に、デバイスがログメッセージを生成するように設定できます。
-
ネットワーク内のリンクが、1500 バイト未満の最大伝送ユニット(MTU)サイズの場合、それでもルーティングが行われるように LSP MTU の値を低くできます。
-
partition avoidance コマンドを使用して、レベル 1-2 境界デバイス、隣接レベル 1 デバイス、およびエンドホスト間で完全な接続が失われた場合に、エリアがパーティション化されるのを防ぐことができます。
IS-IS インターフェイス パラメータ
任意で、特定のインターフェイス固有の IS-IS パラメータを、付加されている他のデバイスとは別に設定できます。ただし、デフォルト値(乗数およびタイムインターバルなど)を変更する場合、複数のデバイスおよびインターフェイス上でもこれを変更する必要があります。ほとんどのインターフェイス パラメータは、レベル 1、レベル 2、またはその両方で設定できます。
設定可能なインターフェイスレベルのパラメータは次のとおりです。
-
インターフェイスのデフォルトメトリック:Quality of Service(QoS)ルーティングが実行されない場合に、IS-IS メトリックの値として使用され、割り当てられます。
-
hello インターバル(インターフェイスから送信される hello パケットの間隔)またはデフォルトの hello パケット乗数:インターフェイス上で使用されて、IS-IS hello パケットで送信されるホールド タイムを決定します。ホールド タイムは、ネイバーがダウンしていると宣言するまでに、別の hello パケットを待機する時間を決定します。これにより、障害リンクまたはネイバーが検出される速さも決定し、ルートを再計算できるようになります。hello パケットが頻繁に失われ、IS-IS 隣接に無用な障害が発生する場合は、hello 乗数を変更してください。hello 乗数を大きくし、それに対応して hello インターバルを小さくすると、リンク障害を検出するのに必要な時間を増やすことなく、hello プロトコルの信頼性を高めることができます。
-
その他のタイム インターバル:
-
Complete Sequence Number PDU(CSNP)インターバル:CSNP は、データベースの同期を維持するために指定デバイスによって送信されます。
-
再送信インターバル:これは、ポイントツーポイントリンクの IS-IS LSP の再送信間隔です。
-
IS-IS LSP 再送信スロットルインターバル:これは、IS-IS LSP がポイントツーポイントリンク上で再送信される最大レート(パケット間のミリ秒数)です。この間隔は、同じ LSP の連続した再送信の間隔である再送信インターバルとは異なります。
-
-
指定デバイスの選択の優先順位:マルチアクセスネットワークで必要な隣接数を削減し、その代わりに、ルーティング プロトコル トラフィックの量およびトポロジデータベースのサイズを削減できます。
-
インターフェイス回線タイプ:指定されたインターフェイス上のネイバーに必要な隣接タイプです。
-
インターフェイスのパスワード認証。