March 3, 2026

IS-IS auf Cisco Routern: Enterprise-Design mit L1/L2 und Multi-Topology

IS-IS (Intermediate System to Intermediate System) ist ein robustes Link-State-IGP, das in großen Enterprise- und Provider-Netzen besonders gut skaliert. Der Hauptgrund: klare Hierarchie (Level-1/Level-2), sauberes Flooding-Design und eine stabile Adressierungslogik über NET/NSAP. In Cisco-Umgebungen ist IS-IS außerdem attraktiv, weil es IPv4 und IPv6 elegant zusammenführt und mit Multi-Topology oder Single-Topology gezielt Segmentierung und Migrationspfade ermöglicht. Dieses Tutorial erklärt ein praxisnahes Enterprise-Design mit L1/L2-Hierarchie und zeigt, wie du Multi-Topology sinnvoll einsetzt.

IS-IS Grundlagen: Level-1, Level-2 und warum das skaliert

IS-IS kennt zwei Hierarchieebenen. Level-1 (L1) ist „intra-area“: Router kennen nur ihre Area. Level-2 (L2) ist „backbone“: Router verbinden Areas. L1/L2 Router sind die Grenze (vergleichbar mit ABR-Konzepten, aber nativ im Protokoll).

  • L1: Routing innerhalb der Area, kleine Flooding-Domäne
  • L2: Routing zwischen Areas, Backbone
  • L1/L2: Border-Router, verbindet Area mit Backbone

Merker

L1  →  Area ,   L2  →  Backbone

NET/NSAP: Die „Router-ID“ Welt von IS-IS

IS-IS nutzt keine IP-Router-ID als primären Identifikator, sondern einen NET (Network Entity Title). In Enterprise-Designs ist ein konsistentes NET-Schema entscheidend, weil es Area-Zugehörigkeit und eindeutige System-ID abbildet.

  • Area-ID steckt im NET (IS-IS Area)
  • System-ID ist die eindeutige Identität des Routers
  • NSEL ist meist 00

Beispiel-NET (Schema)

49.0001.0100.2552.5501.00

Interpretation

  • 49.0001 = Area-ID (Enterprise-intern frei definierbar)
  • 0100.2552.5501 = System-ID (12 Hex-Zeichen, oft aus Loopback abgeleitet)
  • 00 = NSEL

Enterprise-Design Pattern: Campus/Metro mit L2-Backbone und L1-Areas

Ein bewährtes Pattern ist: Core/Backbone als Level-2-only, Distribution/Border als L1/L2 und Access/Branches als L1-only. Damit bleiben Access-Änderungen lokal, während der Backbone stabil und „leise“ bleibt.

  • Core: L2-only (Backbone), minimal und stabil
  • Distribution: L1/L2 (Area Border), Summaries und Policies
  • Access/Branch: L1-only (Area), kleiner LSDB-Umfang

IS-IS auf Cisco aktivieren: Minimal-Setup (IPv4/IPv6 vorbereitet)

IS-IS wird global als Prozess definiert und dann pro Interface aktiviert. In Enterprise-Designs nutzt du Loopbacks für stabile Router-Identität und verteilst die System-ID sauber.

Globaler Prozess + NET

router isis CORE
 net 49.0001.0100.2552.5501.00
 is-type level-2-only

Interfaces aktivieren

interface gigabitEthernet0/0
 ip router isis CORE
 isis network point-to-point

L1/L2 Rollen konfigurieren: is-type als Design-Statement

is-type ist die wichtigste Konfigzeile für Enterprise-Hierarchie. Sie verhindert, dass Router „aus Versehen“ am falschen Level teilnehmen.

  • level-1: nur innerhalb Area
  • level-2-only: Backbone-Only
  • level-1-2: Border (Standard, wenn nicht geändert)

Beispiele

router isis ACCESS
 net 49.0010.0100.0000.0010.00
 is-type level-1

router isis DIST

net 49.0010.0100.0000.0100.00

is-type level-1-2


router isis CORE

net 49.0001.0100.0000.1000.00

is-type level-2-only

Default Route Verhalten: L1 braucht einen „Exit“ über L1/L2

L1-Router kennen nur ihre Area. Für Ziele außerhalb der Area brauchen sie einen Default Richtung L1/L2. IS-IS bietet dafür ein klares Mechanismus: L1/L2 Router können eine Default Route in Level-1 injizieren.

Default in L1 generieren (Border Router)

router isis DIST
 default-information originate

Summarization: Routen klein halten (L1 ↔ L2)

Wie bei OSPF ist Summarization ein Skalierungshebel. In IS-IS steuerst du Summaries typischerweise am Border (L1/L2), damit im Backbone weniger Details erscheinen.

Summarization (Prinzip, je nach Plattformsyntax)

router isis DIST
 summary-address 10.10.0.0 255.255.240.0 level-2

Multi-Topology: Segmentierung oder Migrationspfad

Multi-Topology (MT) erlaubt es, mehrere logische Topologien innerhalb eines IS-IS-Prozesses zu führen. Ein typischer Enterprise-Use-Case ist die Trennung von IPv4 und IPv6 oder die kontrollierte Migration, ohne zwei komplett getrennte IGPs betreiben zu müssen.

  • Use-Case: IPv6 eingeführt, aber IPv4 bleibt dominant
  • Use-Case: getrennte Forwarding-Topologien für bestimmte Traffic-Klassen
  • Pitfall: MT erhöht Komplexität – nur einsetzen mit klarem Requirement

Multi-Topology aktivieren (Konzept)

router isis CORE
 address-family ipv6 unicast
  multi-topology

Single-Topology für IPv4/IPv6: Oft einfacher als Multi-Topology

In vielen Enterprise-Designs ist Single-Topology mit IPv6-Extensions ausreichend und betrieblich einfacher. Multi-Topology ist dann sinnvoll, wenn du Topologien wirklich trennen willst, nicht nur Protokolle.

  • Single-Topology: weniger State, weniger Debug-Aufwand
  • Multi-Topology: echte Trennung, aber mehr Komplexität

IS-IS Netzwerktypen: Point-to-Point als Best Practice

Auf vielen Enterprise-Links ist point-to-point ein sauberes Pattern, weil es Designated IS (DIS)-Themen reduziert und Adjacencies deterministischer macht. Auf Multiaccess-Segmenten kann DIS sinnvoll sein, aber im Core werden PtP-Links bevorzugt.

Interface Best Practice

interface gigabitEthernet0/0
 isis network point-to-point

Security: IS-IS Authentication und L2-Schutz

Auch IS-IS braucht Authentifizierung, damit nicht „irgendein“ Router auf dem Link Nachbar werden kann. Ergänzend ist L2-Schutz (Port-Security/ACLs) wichtig, weil IS-IS direkt auf Layer 2 arbeitet.

  • IS-IS Authentication auf Interfaces (Key-Chain)
  • Nachbarschaften nur auf erwarteten Links erlauben
  • Management-/Control-Plane schützen (CoPP)

IS-IS Auth (Prinzip)

key chain ISIS_KEYS
 key 1
  key-string StrongKey

interface gigabitEthernet0/0

isis authentication mode md5

isis authentication key-chain ISIS_KEYS

Troubleshooting: Die wichtigsten Show-Befehle

IS-IS Troubleshooting folgt einem klaren Muster: Nachbarn, Datenbank, Routen, dann Interface-Details. Damit findest du 80% der Probleme ohne Debug.

show isis neighbors
show isis database
show isis interface
show ip route isis
show ipv6 route isis

Typische Pitfalls im Enterprise-Design

IS-IS ist stabil, aber Designfehler schlagen stark durch. Die häufigsten Probleme sind inkonsistente Level-Rollen, unsauberes NET-Schema und unkontrollierte Summaries/Defaults.

  • Level-Mismatch: L1-only trifft L2-only → keine Adjacency
  • NET/Area falsch: Router landen in falscher Area
  • Zu viele Multiaccess-Segmente: DIS/LSDB unnötig komplex
  • Default/Summary falsch: Blackholes oder unerwartete Exit-Pfade

Quick-Template: Enterprise L1/L2 Baseline (kompakt)

Dieses Template zeigt ein typisches Border-Router-Setup (L1/L2) mit Default in L1 und PtP-Links.

router isis DIST
 net 49.0010.0100.0000.0100.00
 is-type level-1-2
 default-information originate

interface loopback0

ip address 10.255.10.1 255.255.255.255

ip router isis DIST


interface gigabitEthernet0/0

ip router isis DIST

isis network point-to-point

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)