6.20 -TS1++&K1 CCIE考试

cfsky

先说感谢的话吧，所有人！！
BJ TS1++ & K1
上午TS1++，一个半小时排除了所有错误，其实现在的TS1++基本稳定了，只是错误稍微多一点而已。不过还好，Yeslab准备了N套机架来应对TS
TS一句话，分解实验要做足。
0 W; \8 w# N1 y+ x* l$ p' T把我之前准备的TS1++分享给各位战友吧，写的多也比较乱，不过如果做了实验就明白了。如果有问题，大家随时探讨哟
1.   R22的loopback 0要 能 telnet R23的loopback 0,R22和R23之间已经配置好做了ospf区域验证。题目没有要求说不能用静态的映射。
, y7 {8 Y, |$ J! I( v
                  
  R22预配:
         Int s1/0
        Enca fram
        No fram inver
9 p" s# h" H) m        ip add 172.16.12.1 255.255.255.252
        no shutdown
" d7 w1 n  _/ Q& u6 \" ^        ip os authentication (ospf 验证)
! O4 K, ~% H% E( E7 T        frame-intf lmi cisco
   
% v$ Z' N2 \, B0 KFR预配：           fr switching
               Int s2/0(接R22)
               Enc fr
               Fram route 22 int s1/0 23
* {3 V; v- D; W# M% G               No shutdown
               Fram lmi-type cisco
               Fram intf dce
. w' P" x+ Y3 r               
; Z' S9 T, N* f# Z4 s1 @. `               Int s1/0
9 i% l! C0 X7 a3 ?' E5 G               Enc fr
               Fram route 22 int s1/0 23
+ T/ C  P$ |) A0 B8 [1 T               No shutdown
               Fram intf dce
R23：            int s1/0
             Enc fr
             No fram inv
             No shut
             Ip add 172..16.12.2 255.255.255.252
) e, d# Y$ N; {1 W& q) r8 q             ip os authentication (ospf 验证)
               
错误点：在R22和R23各打上FRAM MAP IP 对方映射（因为预配不是有no fram inv），然后在R23，R22，FR上打clock rate ,能打上就打，打不上就算了，他会自动起来的。还有记住LMI是本链路有效的，就比如R22和FR之间可以是ANSI,  FR和R23可以Q933，所以你不必去删除R22和FR的lmi-type cisco,我估计以前很多挂的原因就是因为都no掉，不符合题意！这道题就是考帧中继——OSPF网络类型
1 B( v5 w7 X. a0 \  c% K7 h- e2..现需求各PE设备都能够通过R1，R2学到其他3个PE的设备loopback 1路由！
比如：（考试中会有举例R3最终的结果应该是是怎么样的）
9 A! D$ S6 f$ m% i6 nR15 lo1 171.22.22.22
5 C# d8 ?( Y# j+ l2 \R7  lo1 171.11.11.11
" Y& i8 m" a7 D& ^domain-ID
/ ~. `3 q/ B1 Y3 {2 B区域ID相同，这种情况下可能会出现分割区域0
! `; Y* d: x) J9 R! H* }基于重分布原则
可以在PE上更改不同的process-ID或者不同的domain-id
sh mpls ldp nei
sh bgp vpv4 un all (summ,如果是被反射的会有originator 和 cluster list)
# Z2 r$ P5 r  R8 ]5 O注意查看重分布
+ e* u+ _( ^2 C- C注意查看vrf的interface和RT
9 ^0 X7 S* O0 h  p. j, H$ \. h如果CE是EIGRP注意AS号码、no-au包括address-family
: V4 N6 w. q6 t6 ^
每台路由器上address family 下
1 S' f4 i2 T0 h+ N宣告自己的换回口
! _8 X+ |6 `4 Z" b2 d在RR上指定client并且宣告环回口
*> 10.1.1.3/32      0.0.0.0                  0         32768 i
r>i10.1.1.4/32      10.1.1.4                 0    100      0 i
6 z3 @" O( C- y! F5 Z. }: [: ?r i                 10.1.1.4                 0    100      0 i
r>i10.1.1.5/32      10.1.1.5                 0    100      0 i
r i                 10.1.1.5                 0    100      0 i
r>i10.1.1.6/32      10.1.1.6                 0    100      0 i
r i                 10.1.1.6                 0    100      0 i
0 ^1 p  Z+ c- c2 Y  Z- V; r6 G            

" v0 s) \2 E9 c0 a& s考试中PE看到的路由只有从R2（RR）学到的，看不到从R1路由学到，登陆到R1发现R1对PE的路由不优，少了no sy.
6 j9 n8 O! A# G; d  f3 B9 g
                   只要在IPV4的地址组下打no sy 就可以了  
                   Address ipv4
                   No sy
1、题目要求R3能看见R4 R5 R6 lo1口 下一跳各2条，哪条最优无所谓，还要求能在路由表里看见lo1的B路由。
( h0 l0 n4 y/ w* R2、R1或者R2的ipv4下上少了RR，注意RR配置是否完整，加了表项就正常了。
3、R2的ipv4下的synchronization，要关同步
- Q6 _/ M  q( A7 G8 }. o7 M7 g* `4、R3这PE上有一个remote as指错了
5、R1、R2 update-source指向loopback是否有错，as号是否有错
6、各路由器MPLS端口、vrf功能及值是否有开启或重复

! P* J! V( c6 ?; h2 r* [$ n 3. R20 LO 1 171.12.1.1   要ping通R8 LO 1  （地址就忘记了）
( [( O, I1 M  l) R- k9 s( o
错误：我出现的问题比较简单，在R20上没有network  lo 1地址（show run | s router ospf    类似这样的语法，可以帮你节省很长时间，不论在TS，还是在LAB），还有R4运行的好像是LDP，而R1，R2是TDP， 你把R4改成 TDP就行（在R4只要改一条命令总比你到R1，R2各改一条容易吧）。
! x! R$ @& _& Q5 T可能的错误：
1、R4的RT是10:10，R5上RT是100:100
6 Y' u- E4 E0 z8 w# n2、R1和R2对R4的如接口有acl，需要添加permit tcp an an eq 646
3、接口没打mpls ip
4、tdp -> ldp
5、R1和R2都没有放行ldp流量，
6、R1和R2vpnv4的RR没有打
7、R20与R4之间ospf重分发进BGP缺subnet
8、R20的171.2.2.2没有重发分进ospf进程
: [8 Y* v2 i) C8 I9、R5与R4没有开启ip cef
10、R4与R1 R2 ldp邻居没起来 查了ip cef tdp 环回口 还有环回口可达 R1 R2面向R4接口都挂有acl，看acl里面没有屏蔽646端口，后来回来看是 acl里面放行了
# Y7 Q4 M: v! _. Ztcp any eq bgp
# o: |" V2 N9 u% Atcp any any eq bgp
, s3 O7 b, U0 Y) m5 V; d) Nospf any any
0 i6 [9 `" h4 L5 j" N7 pudp any any  ----------------------------- ldp - 1、discovery 阶段 - udp s-port:646 d-port:646
$ e2 ]/ Y- }; d8 n/ l) S                                                 2、session   阶段 - tcp s-port:xx  d-port:646
icmp any any
5 _5 ~' j1 ~! w" n里面没有646端口，在acl里加了tcp any any eq 646邻居就起来了，其他的都没错2端能直接ping通
也就是说udp any any 和 tcp any any eq 646 是必须的。
Extended IP access list 100
1 |1 P: J; ?$ O1 H% o    10 deny tcp any any eq 646 (103 matches)
    20 deny udp any any eq 646 (25 matches)
- @4 P& E1 ?& C0 Q9 C    30 permit ip any any (23 matches)
interface Ethernet0/2
) Z  [$ a+ Y2 k. |9 U    ip access-group 100 in
****************可以在sequence 10之前per tcp 和 UDP
Extended IP access list 100
" b* J4 l# V" Z; q* C    5 permit tcp any any (30 matches)
  p. }5 Z7 _% W- p9 H: O1 Y! V* d  O    6 permit udp any any (2 matches)
    10 deny tcp any any eq 646 (312 matches)
, F4 S  M6 u, c" D3 f    20 deny udp any any eq 646 (74 matches)
    30 permit ip any any (63 matches)
! P% }5 U& k9 [0 ^* L
4. 要R19的loopback 0 能够telnet R16的loopback 0 接口

: e$ {2 S# V/ p) I/ R- R) F如果DHCP的错误，可以在17ping19，会发现不通
A、COPP（只是把policy-map调用到control-panel）:
5  deny udp any any eq 67/68
- z6 l/ ]% l0 G7 deny eigrp any any
, @$ h2 C; q+ F3 h5 K% V5 |10 access 100 per ip any any
class DHCP
" {" ]6 Z6 D0 hmatch access 100
- u6 l# K6 Z4 Z9 \policy-map MQC
5 b+ k: k+ N( C: Z( L& F9 w" h class DHCP
* n( Q- |* ?+ U- x: q, E0 A6 ` drop
control-panle
service-policy out MQC(show policy-map control)
B、ip dhcp excluded-address 172.16.10.1 172.16.10.255错误
更改不能分配的地址范围，切记要NO掉上面的命令再分配，如ip dhcp excluded-address 172.16.10.1 172.16.10.15
所有设备要no au
如果router-id相同则不会传路由
* r/ \. d$ u4 U7 E4 Q! H8 _) F- J. u
R19是DHCP服务器，R17 R18是客户端，在R19上面有个COPP 策略，对于UDP的流量给DROP了，你改成transmit就行啦，sh run | i control-panle。然后在R17，R18 先把端口SHUTDOWN，然后依次在R17 R18 no shut(R17获取到地址再NO SHUTDOWN R18的，或者no ip add dhcp,再加上ip add dhcp),注意查收有无过滤
, O8 Q/ g. q( o% z8 A9 O1、DHCP POOL中没有networks
; d. o! r. u8 g& v% Y8 z2 O2、全局：ip dhcp exclude-add 172.16.*.0/24，no掉，留意IP地址是172.16.200.16、29的地址池
# C) z( q* G! J6 n& A! d3、全局：R19 CoPP denied UDP，把相应的drop udp那个policy map找出来改成transmit
$ G. i: @2 X2 P$ j/ {% r0 f4、eigrp在R17、R18、R19相连的接口上有认证
5、eigrp四个路由器关auto-summary
6、R16与R19的router-id重复
5.R20 telnet  R23的下面的某个地址，好像是172.10.5.1，要求在R20 telnet 172.10.5.1 转换到 S1/0 地址和 R20 telnet 172.10.5.1 80  转换到loopback 地址，产生要求的NAT表要跟需求的表是一样的（题目有表的），R22是做NAT 路由器（这题是跟FR相关的，如果你FR，没做成功，那这题你也只能放弃了）


  _3 O. c  C) ?, z/ n; _R22 大概配置：
   预配：
0 K; ?$ G5 j5 w2 Lip nat pool cisco 1.1.1.1 1.1.1.1(这个地址是R22的loobpack 地址) netmask 255.255.255.0
ip nat inside source route-map telnet interface S1/0 （接其他外部设备接口）overload
ip nat inside source route-map web pool cisco
route-map telnet permit 10
3 R) d8 Z# b. G8 x7 V: _5 [) n1 [ match ip address 10
' n4 M0 u$ Q- c$ u# S' w% t$ |% C7 w# y!
route-map web permit 10
match ip address 20
  p' n; T  b5 i
access-list 10 per  R20
access-list 20 per R20
  Y9 u! b0 x4 X& q, A& ^***********************************
自己实验的配置
  j6 Q! \( _( U  |4 o- B- \ ip nat inside
0 P+ J8 f" r3 ^: {' v ip nat outside
ip nat pool S1/0 172.16.12.1 172.16.12.1 netmask 255.255.255.0
ip nat pool Lo0 10.1.1.22 10.1.1.22 netmask 255.255.255.0
ip nat inside source list 100 pool S1/0
ip nat inside source list 101 pool Lo0
! G. X3 ~' B3 x0 bR22#sh ip access-lists  
Extended IP access list 100
    10 permit tcp host 10.1.1.20 host 10.1.1.23 eq telnet (1 match)
Extended IP access list 101
- p% u! q  q2 \" E) |    10 permit tcp host 10.1.1.20 host 10.1.1.23 eq www (1 match)

& z' ~/ Z  {' Q, o0 t ip nat inside
" Q$ _/ Y& t8 M3 @) R! b ip nat outside
ip nat pool Telnet 172.16.12.1 172.16.12.1 netmask 255.255.255.0
- M8 M7 e& Z4 s! J& n- Y6 |ip nat pool Web 10.1.1.22 10.1.1.22 prefix-length 24
0 P: t" ]. s; W- x- @$ l3 P) J% {ip nat inside source list 100 pool Telnet
ip nat inside source list 101 pool Web
2 P+ y# i, F  n  |R22#sh access
R22#sh access-l
# ]' M4 O8 c' }8 n2 w, r4 }Extended IP access list 100
5 [3 ?9 Y0 q* l3 S% i; r) m8 m    10 permit tcp host 10.1.1.20 host 10.1.1.23 eq telnet (1 match)
4 b2 `% ~( Z. D: n) mExtended IP access list 101
    10 permit tcp host 10.1.1.20 host 10.1.1.23 eq www (2 matches)
***********************************
& Y; M1 v2 D, t. X考试的时候R22 接了一台host28（没有TG1），只有两条nat source用来条用route-map，这个正确，错误出现在E口（连接HO
28）应该是nat outside，而预陪做在了S口（连接R23）同时连接20的口也是out side，这也是错误的
错误：R22接在R20的接口少打了ip nat inside , S1/0 的少打了ip nat outside,需要注意的一点是千万不要在R22 的loobpack 打ip nat outside,我想这也是很多人挂TS1++的原因。
/ Q8 Z0 `; y* X  e* w7 [. Z查看是匹配的路由还是用ACL匹配
6.EEM （有预配），大概是说当E0/1端口人为手工shutdown的时候，自动执行no shutdown
一定要开logging on,注意接口，注意enable
具体设备就忘记啦：
预配：
event manager applet EEM
. W( w/ U3 c2 q$ E6 F. h event syslog pattern "Interface E0/0, changed state to  down"
, _0 @* d4 ]" h action 1.0 cli command "enable"
action 2.0 cli command "configure terminal"
action 3.0 cli command "interface f0/0"
action 4.0 cli command "no shutdown"

- v0 p) m  R. l错误：你把E0/0改成E0/1，其实你可以在E0/1 先no shutdown  然后SHUTDOWN  复制黏贴就可以！
0 H- ^! t2 L' n' b【event manager applet CISCO
event syslog pattern " Interface Ethernet0/0, changed state to down"
action 1.1 cli command "enable"
% H, ^  E0 M0 p. f& y, y* V action 1.2 cli command "config t"
action 1.3 cli command "Interface Ethernet0/0"
action 1.4 cli command "no shut"】
7.


9 h, D  a, R% y  m" p: Q
R20（loobpack 0） 要ping 通R26下的一个主机 200.20.20.20 (地址忘记了)，R26重发布的时候少了subnet 还有R20的该接口地址没有network/.
R20 loopback 200.20.20.20 要ping通R26的192.168.20.1
- R1 H! P1 F$ k" C, k错误点：1 、R26重分发rip到ospf缺subnet
( K" z( {# D+ t; N; ^, J        2 、R20没用通告lo口，network进IGP（貌似那部分是OSPF）
0 ]8 Z% b* p8 v/ {, T; I1 M2 aArea 1 filter-list
R24:router ospf 1
area 1 nssa                ------可能为非初始配置，自己添加
network 172.16.10.9 0.0.0.0 area 1
R26
R25:router ospf 1
area 1 nssa                ------可能为非初始配置，自己添加
network 172.16.10.10 0.0.0.0 area 1
变种1：
5 L. a. E# C" w5 t/ U% g' WR22不能ping通R26 RIP下的主机198.168.20.1（loopback1接口）
! V! R7 S+ M' V6 A% X. b( R4 W- b原因：RIP重发布进OSPF时调用了route-map，并且接口匹配错误。
. ~" h+ P6 `7 X. C. KR26：
: h. M+ G! q$ L* B$ c3 Droute-map xxx permit 10
$ _- r5 ?& V1 K  \! ?match interface E0/0
' Z4 |8 r* z* O+ iroute-map xxx deny 20
解法：增加一条match lo1的route-map就可以了。
（R26：
  route-map xxx permit 15
  match interface loopback 1）
变种2：中间21和24用的静态map，但是map反了. r25上也是错的，但是25不影响需求，所以不改25的也可以。
R21上重发布路由，route-map使用prefix-list来匹配198.168.20.1，但是prefix-list匹配错了
新错误：R24上有PBR，下一跳指向了R26，造成环路
/ q( c/ c8 t. m. u6 r& {# ~
8.R4,R1,R2,R5,R8 运行OSPFV3，R8已经打上ipv6 address auto-config. 需求R8要  ping 通R4的lo 200.

ipv6 r8 ping r4 lo200 CC1E:1000:100::100 (注意前4位CC1E 不是CCIE）
故障点：
1 R8 没有ipv6 router ospf 1【很可能需求上R8就不让运行IPV6的OSPF路由协议】
" _; X% q3 D; u8 c8 H& Q, W2 连接R5 的接口没有ipv6 地址也没有加ospf进程
; F$ d' H' O. M  T3 R4 的lo200 也没加进程
4 N" E: [' I, t: m9 n; \  1、题目上说R8上不能跑任何ipv6的路由协议，最后说可以用任何方法解决，解法是直接用默认路由，并且no ipv6 unicast-routing【用得到么？】
( I/ K" x" c+ H" H2、题目上说可以路任何ipv6的路由协议，那么sh ipv6 os int bri看缺少的接口，有缺ipv unicast的设备和没宣告的接口
3、接口没有ipv6地址的，也都会有autoconfig
% N  ~* t2 d- q( q( c4、R4 接口没宣告进ipv6 ospf
5、中间路由器(R1/R5)接口没宣告
6、题目不能起IPV6协议，也不能使用any静态路由，没要求用环回口ping，指了ipv6 PBR 在R5面向R8接口宣告ospf v3重分发直连就ping通了，不过R8上是没有路由的
% Z: @8 Q. N. J错误点：R8连R5的接口 没有通告到OSPFV3里面。 R4的loobpack 接口也么有
9. R14 要 ping 通R8（直连）， R14 和R8之间分别接了SW2，SW1，（R10 你把当做SW1，R13当成SW2），
. G+ O1 f2 J. O7 K! G  
错误点：这题题目我压根就没有看，我在SW1，SW2上show vtp sta ,show vt pass, 两边的vtp pass不一样，导致不同步，还有SW1是SERVER,R8是在VLAN 78，R14是VLAN 114，我把R8划分114，其实应该有个交换的VLAN表，我找不到，你明天问考官，如果你找不到。
" j: K- V. u8 Q7 M% E R14 telnet R8不通 （R14----SW2----SW1----R10----R8）
1、面向R10的交换接口 全部配成trunk了，要改正
5 a; j+ h5 O9 ?6 O1 u4 @        switchport trunk en dot1q
& Z9 f; g5 U" B% q" R3 P        switchport mode trunk
( m2 `6 t* g' t        switchport trunk allow vlan 114
  T/ V9 x' G; m$ H! V" ^) P   我都no了改成access就通了
7 G6 S* S- l& [/ ]' H% H, F. J2、连接R14、R10的交换机接口需要划入vlan114
4 j* p" G% d; k8 E: W3、vtp password 不匹配，改正后需要调高server的版本号，client才能学到
2 D7 A: R8 T4 t. q' v/ _" o4、一个应该access的接口配成了trunk，好像是连R14的
5、SW1、SW2之间的trunk被配成了access
6、如果调整两台SW后没能更新VLAN表，就在SEVER端随便新建一个VLAN作触发，然后删除即可
) O1 r; I3 ^* `, b% U8 S( ^9 [也有可能不在同一网段，所以ping不通
+ M! _/ g1 D6 Q) D10. 要求R12,R11 ping R7 R8 的流量优先级从4变成5，但题目中预配（R9）只有一个output接口接在R7上，题目中R9预配有个PBR，强制下一跳到R7！
' U, I; ^% L5 E* J% i% |2 Y

: W4 A/ S9 I$ T- L2 G7 {R9：预配
   Class  xx
Mat ip add 10
( j- f2 ~, q3 ]! F! g& R   Class yy
Mat ip add 20
5 Z3 V9 e3 s9 Z( V  M8 C0 L   Class zz ()
8 C8 }1 M% M: oMat ip add 30
Access 10 per ip any any   pre 3
Access 20 per ip any any  pre 2
Access 30 per ip any any pre 4
Police map
Class XX
2 E) ^7 \, b6 Q/ Y  Bandwidth percent  10
8 s8 E: B5 W4 R% ?+ W# j$ Z( D! iClass yy
  Bandwidth percent 20
Class zz
  Bandwidth percent 30
  set ip precedence 5
  PBR：route-map PBR permit 10
match ip address 101
1 ?. S) ^" B5 p" V6 U set ip next-hop 10.10.10.9
& c  c) Y  c# }0 b6 n
2 Y6 O3 d' _; J0 A错误点，你只要在class zz下面打set ip pre 5就可以拉。
access-list 100 permit ip any any precedence flash-override
/ z. }0 M- {/ W  F4 s3 w验证：在11上扩展PING，Type of service [0]: 128
( @4 n% C/ S4 x0 K; WExtended IP access list 101
# ^: r* i" B( f: m* r    10 permit ip host 10.1.1.11 host 10.1.1.8 (19 matches)
. @7 ^1 @3 K7 h( B7 ^ Class Map match-all P4 (id 1)
8 X6 L& }4 a" ?: F* U) W   Match ip  precedence 4
  t; F; b3 Z6 H* d; Y1 I  W   Match input-interface Ethernet0/2
! l( \) v, W( ?; @* _& x! q+ e+ JR9#sh policy-map int e0/0
7 T5 y% y1 F( f+ r) g# L Ethernet0/0
  Service-policy output: MQC
6 ?" a7 s, i* F4 i" ?    Class-map: P4 (match-all)
      5 packets, 570 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: ip precedence 4
2 e; K' d, v' J: q: w      Match: input-interface Ethernet0/2
6 I7 ?; T/ o* n( r$ n      QoS Set
        precedence 5
% [: p+ g' ~& `! l          Packets marked 5
K1的有些需求终于明了了，比如ospf区域0去往BB3要优化走R3，也就是不能有次优路由。GLBP那题我是在weight后面加了降100（仅供参考，请勿乱用）。
EEM那道题我想还是不得分的，因为要把前十行放入mail传出去，解法不是很完美。二层呢，vlan没有大TAG，题目仅仅需要允许topo中出现的vlan通过就好，其实我们什么都不做就是这样的，当然题目很明确的提到不需要考虑VLAN1
图呢，请参考TS1总结里的那个分解图，请恕不能共享图片，这个是带版权的，sorry！预祝大家通过CCIE考试

卡西诺

fulltimes

wjb123

togoto

chantor5

恭喜楼主

passccie

111111111111111111111111

micyew

Hao....good stuff...thanks...

霜之哀伤

以此报感谢前面发战报的战友，这个月很稳定，后面的兄弟放心吧。
5 J$ c. p& f  V) U3 ?4 N0 e
3 P; [4 D4 _' M+ @4 |; P借用前辈格式，最近这套TS考的很多，我先说一下我遇到的问题：

NSTcisco

谢谢分享~~支持

ccna201204

thanks

cdjwj028

{:soso_e100:}

shidi

谢谢楼主分享！！！！！

张力元

ycyingcai

#在这里快速回复#从前辈的帖子这里吸吸运气，自己会加油的