IS-IS 2 层映射
IS-IS 是一种使用以太网逻辑链路控制 (LLC) 封装格式进行信息交换的第 2 层协议。IS-IS 第 2 层映射可确保转发下一跃点解析由拓扑驱动,而不是流量驱动,这在激活以太网链路时将流量损失降至最低。
通常,IS-IS 会将指向第 2 层下一跃点的第 3 层路由安装到转发表。Junos OS 使用第 3 层锚点地址符号来标准化下一跃点的描述。IS-IS 使用地址解析协议 (ARP) 将这些 IPv4 第 3 层下一跳锚点映射到第 2 层媒体访问控制 (MAC) 地址,并将第 2 层 MAC 地址安装在以太网网络的转发表中。对于 IPv6 路由,Junos OS 使用邻居发现解析 IPv6 第 3 层下一跳锚点。路由引擎为转发表表中的路由安装第 3 层前缀和第 3 层下一跳锚点集。这种在 IS-IS 网络中使用第 3 层锚点地址引用第 2 层下一跃点的方法具有以下不良影响:
将新路由添加到内核中时,其转发下一跃点可能尚未解决。
由于下一跃点解析由流量驱动且始终是被动的,因此当您激活以太网链路时,会丢失非零流量。
启用第 2 层映射有助于克服 IS-IS 网络中这些意外后果。IS-IS LAN 和点对点 Hellos 提供所有相关的第 2 层和第 3 层绑定地址信息,接收端的设备甚至可以在路由安装时间之前填充内核的 ARP 或邻接方发现缓存。启用第 2 层映射后,IS-IS 会将 ARP 或邻接方发现下一跃点条目安装到转发表。由于此功能可提前提供第 2 层下一跃点绑定,因此 IS-IS 网络在启动链路时不会遇到流量丢失的问题。每个条目都会被加入为半静态 ARP 或邻接方发现条目,以便通过崩溃或重新启动的路由协议进程 (rpd) 简化垃圾收集。因此,每个条目都会定期刷新。
使用 IS-IS Hello 消息解析地址的优势如下:
转发下一跃点解析由拓扑驱动,而不是流量驱动。
减少核心链路上的第 2 层解析,因为 IS-IS 已携带此信息。
更高的安全性,因为 IS-IS 提供 HMAC-MD5 和 HMAC-SHA1 摘要。
用于地址解析的 ARP 和邻接方发现方法容易受到 MAC 地址欺骗攻击。
Junos OS 支持所有基于以太网的接口类型。但是,不支持基于以太网的非接口类型。不支持未编号的 IPv4 和 IPv6 地址,因为目前 IS-IS 无法从环路接口生成 IP 地址邻接方 TLV #132 和 #232,并在未编号的接口上播发这些地址。