这份来自香港的CCIE lab考试总结,值得好好研究
組合:TS2、D3、H3
TS:
1.SW410的e0/0做了port-secturity且mac錯誤
SW401的stand 2001 pre delay min 3600需刪掉後面的delay min 3600 ,否則SW400上show stand br 會看到 vl 2000跟vl2001都是active ,不符合需求的active/standby。
2.SW111需要宣告vl2001進ospf (常規錯點),刪除lease 0 1 3
3.SW110不管去10.2.200.254或10.2.201.254都是往R10傳且在R10丟包,原因在於R10對100.10.0.3掛了route-map 強制所有路由LP設定200,且mpls 還有問題不通 所以在R10丟包。刪除route-map下的set local-preference 200 後,可以正常導向R12跟R13。(看似簡單,考場上我研究了大概20分鐘…考場壓力大啊);SW210往DC1的部分則是R22的lo0配錯ospf號(常規錯誤,sh ip os int br一條指令就能看出)
4.R20跟R21有配好的route-map LP 分別是100根1000掛上去,但問題還沒完,軟清後Server2還是走R20,如果你在SW210 sh ip bg 10.4.100.0 你會看到R20 best 但LP是100還有一個怪屬性 pre-ad..path 1:200,這東西是R20對100.20.0.1(R4)掛route-map in方向附加在所有路由上,所以讓SW210無視LP也要優選R20,一樣在route-map下幹掉set ip pre-ad..path 1:200。
5.R60的crypto trslation後面的參數不一致,改掉就好。但記得從tunnel、profile層層剝離,改完後在一層層套回去。
6.SW111 在Vl2001下需要ipv6 dh server XXX,Server1 需要開ipv6 unicast-routing。(ipv6 enable、ipv6 add dh、ipv6 nd auto defal都已配好)
7.R1、R3的mpls password不一致 CISCO跟CISC0,你懂得。考場上會緊張容易看走眼。
8.R30的dhcp pool裡面的defautl-router把10.3.100.254寫成10.3.101.254,其他沒問題。
9.記不太清楚了,應該也是常規錯誤。Sorry…
10..我在R25做了out so nat,但無法成功。後來在Server2開了per any看到來源還是201.99.70.2,題目要求轉成201.99.25.70。有在SW210 show ip bg 201.99.25.70優選是R25回包沒錯。後來有想到會不會是反過來走,流量由R24進去由R25出來。所以兩台都需要設out so nat,但那時候已經在diag了,所以無法驗證。Sorry again…我錯在沒有先trace確認一下路徑。
Diag 3: 沒什麼好講的 你只要會
bootp 找dhcp discovery 來源0.0.0.0的第一個包
cdp->看出在 SW1-SW3的包
tcp.port==1337 找出Server的ip
其他都跟spoto一樣。
CFG H3:
1.1the same as spoto
1.2the same as spoto,建議直接用duplex full,SW510跟SW310、SW410的P1、P2是相反的要注意,看一下L2的圖很重要,看圖配。沒意外的話,SW300跟SW301分別有e3/0-1在vl2000、vl2001且4個port裡面會有3個up,你需要把剩下的那個port給no sh。
1.3the same as spoto,但SW300跟SW301有一條no spanning-tree mst simulate pvst global,你需要在SW300、301、310上 sh sp mst 1、2 看一下有沒有任何port被block,.有的話需要刪除那條指令。考場上我的SW300 mst 1 的P1就被block,不囉嗦直接幹掉。Mst 3 不管是因為他只有跑vl 3001。題目要求2000-2009不能被block。
1.4the same as spoto
-----------------------------------------------------------------------------------------------------------------
2.1 the same as spoto
2.2 考場ospf都配好了,甚至RID也配了 就差prefix-suppression,且留意一下SW110跟SW111有沒有pa vl 2000跟pa vl 2001,如果沒有就不用去int vl 2001、2000下ip ospf pre。另外SW111 有個vl 2001 ip是10.1.X.X 記得要補,SW100跟SW101的lo1組播要用 也要補宣告。另外R14跟R15有個lo1的樣子ip是123.X.X.X 就不用理了。
2.3 基本上也配得差不多了,就是補RID 看接口有沒有漏,R100 已經有router os 10,但考場的圖要求ospf 2 a 0,所以不囉嗦 no router os 10,建一個router os 2 重新宣告接口關閉lo1,其他the same as spoto。
2.4 the same as spoto
2.5 the same as spoto
2.6幾乎全部的eBGP都預配好了,你的工作就是補缺的 RID、bgp agg 0、宣告環迴、聚合路由、某幾台設備需要補next-hop-self。
2.7 the same as spoto
2.8 AS65004、AS65005的部分the same as spoto;
但需要在R14做以下操作:
ip prefix-list LOW-LP seq 5 permit 10.5.0.0/16
route-map LOW-LP permit 10
match ip address prefix-list LOW-LP
set local-preference 99
route-map LOW-LP permit 20
router bgp 65001
neighbor 10.1.13.13 route-map LOW-LP out
來確保DC1的所有iBGP都能優選R10走mpls透過R50進入AS65005
注意:User4 trace 8.8.8.8 如果走65002出去,可以在R21硬清一下。
這邊R11跟R21的選路是透過最老路徑優先,考場上小心考官tr這點。
2.9 the same as spoto,記得sw111需要開ipv6 unicast-routing
2.10 the same as spoto,記得除了SW100、SW101外都需要開ip multicast-routing,且R14跟R15 不跑組播(因為它們自身接口都沒配ip pim sparse-mode之外,SW110跟SW111跟他們介接的port也沒配),所以可以不用刷這兩台。但如果你要刷的話也請把相關接口配上ip pim sparse-mode。我自己是沒刷這兩台。
2.11 我修改的部分如下:
ip pim send-rp-announce Loopback1 scope 1 group-list 1
ip pim send-rp-discovery Loopback1 scope 2 <-最小只能設定成2
增加R10的e1/0 in方向deny 224.0.1.39跟40,其他the same as spoto
3.1 環回口是100.3.3.3這類的,跟練習不太一樣,另外這裡有兩張圖可參考。一張BGP,裡面這塊的關係是ipv4+vpnv4,另一張VPN,標示vpnv4。
所以我把ipv4也一併建起來了。預設有no bgp def ipv4,可以先刪掉指完鄰居在補回去。
R1、R2的e0/0缺mpls ip,補上後,我每一台都刷下面的指令
Ip cef
Mpls ip
Mpls lab pro ldp
Mpls ldp router lo0
Do clear mpls ldp nei *
Do sh mpls ldp nei | in Peer
剩下的就the same as spoto
3.2 這塊基本上就是把R14、R60、R51缺的部分補起來,不外乎 ip nh au HMcorp、ip nh red、ip nh sh、ip nh map mul dy、tunnel vrf INTERNET…等等。Crypto就是缺keyring下面的密碼跟address可以直接給他0.0.0.0。
加密前先ping通,分兩階段測試,這樣有問題比較好釐清哪一段出問題。
3.3 the same as spoto
3.4 預配已經設定好nat跟acl,你可以用user7 ping一下8.8.8.8,你需要做的只是在R71寫感興趣流跟ipsec VPN,然後R24要補一條靜態路由10.7/16。
基本上沒難度,多在lab練練。
----------------------------------------------------------------------------------------------------------------4.1 SW111的e0/0-3都在vl 2001下但只有e0/0有 sw mo acc,請把e0/1-3一併補上,其他的the same as spoto。
4.2 the same as spoto
5.1 the same as spoto
5.2 the same as spoto
5.3 the same as spoto
5.4 the same as spoto
最後要感謝,波波、沈根、俊鑫和高升等老師與助教,還有各位還在努力打拼的同學們,永遠不要放棄,你就會是下一位CCIE。希望這份戰報能稍微幫助到各位。