|
|
BJ 0822 套餐 223
) R4 X$ ^5 ~7 h8 R6 p+ X( h/ D# J& R+ v8 R
1, SW410上绑定的MAC地址不一致。修改USER4上的MAC与sw410上的绑定地址一致,翻滚接口拿到IP地址。. z! y9 @+ i7 M
2, R14上存在对NAT的ACL,10 deny 10.1.0.0 0.0.255.255,直接no 106 O; n, x& E2 L- ?* c0 ?& p
3, R10上有route-map,匹配了10.2.200和10.2.201的条目,设置loc 200,直接NO掉
* w4 Z3 T2 P- c# w b7 d0 k2 fR22的lo0口宣告ospf进程错误( [. a+ T/ f" e; C2 A; n
4, R20上有团体属性,设置了 set extcommunity cost pre-bestpath 1 200,直接NO掉
$ v5 b' d x+ A; Q5, R14,R51,R60上cry 参数不对,参照补齐。Ip nhrp auth HMcorp …, c1 X) W0 {/ D/ o/ c' J
6, SW111下ipv6 没有在vlan2001下应用 ipv6 dhcp server VLAN2001
7 e; _) B: A6 k; u) Y& F2 J) Q: A7, R3上的MPLS 密码 cisco 与cisc0 就这一个,检查R10上没有修改ospf的DISTANCE
X6 C/ G+ b6 Y' p8, R30上的dhcp网关颠倒,重配下
7 U& B: j9 J3 I2 B. X; n& H9, R71上缺少 ip nhrp map multicast 201.99.24.2
, a1 t/ N" k% _& E% C1 {10, R24上补齐 ip nat outside source static 201.99.70.2 要显示的IP地址。+ H' c- x! E G4 N9 E: u, S
这个预配上多个ip nat 条目,干扰项,我都没有删除,直接看是否存在2条关键IP NAT,ip nat inside是有的,补齐 ip nat ouside source static R70的外网接口 内部要显示的IP。Server2上有acl,我看了下不影响效果就没改。
' y, i1 D4 C( w& h
# `6 h. V$ T) M9 `0 y诊断 D2* C7 t) ~+ R; |
考场给的材料很多,一定要先判断是哪套,再针对性的去看材料,我先抓包,看到是193,大概判定是老二,再看R3的show ip pim rp map,发现没有RP,确定是老二,接着就按解法来做。
; ~5 r7 M6 [7 K6 X2 n& v7 {+ H& I' X' h, r+ L& n0 [3 P9 \
CFG3 |# K ~9 W3 l2 X+ M( Y6 G) K
S13 l" G' @2 E: H# O7 ?
对照题本的二层拓扑,接口都已经加入了VLAN,接口没有配置 sw mode acc,这个要全部交换机上补齐,一个个检查费时费力* r6 W. j0 U$ h/ O2 F% k
SW501和SW500上的portchannel口与其他相反,拓扑图上很清楚8 |8 T: Z6 ] n5 c- m
R70上的没有ip地址,注意命令配全,ip address neg ip mtu 1492等等,如果有遗漏就拿不到地址,没有默认路由,要重启设备
$ Q/ x* H. J- b2 M( ]2 @$ w% h4 ~( Z! _3 x
S2+ v& M: w2 T9 N1 T. h
很多设备的router-id缺失,AS65004和AS65005上全部没配,其他区域也有少的,补齐
1 N. q6 }, o8 n3 d5 k$ ~, A0 K' e7 O: GR31上存在Lo1接口,但是没有ip地址,不管9 c8 S" H! U9 f5 X( f' M
AS65001区域内的OSPF已经配好,router-id也是有的,SW100和SW101上 的Lo1接口没有宣告,做抑制前先检查ospf路由表是否都有,抑制后检查32位的路由,应该是10条(区域内所有设备的lo0口和SW100/101上的Lo1口)
: e4 [" V! ]" q; d
+ I* M. s- ?# Q0 r# F配置OSPF抑制时直接后面的2.4和2.5BGP以及组播命令一并刷入,SW110和SW111上已经将vlan2000和vlan2001宣告进BGP进程,并且ospf下没有passive interface% m. Y, N8 T# K0 t! `4 P- M! v8 h
' b4 b* c t7 U* o/ @穿8路由需求中,R15已经在需求中删除,不需要在做了。只有R10,R11,R14,R20,R21上做
# c M- S- A, t0 ?7 G
; Q! X! U9 p, `: X6 i2 t. M9 wIPv6部分
, q5 \( f. b1 l2 ~) b$ ^' cServer1 trac 2001:CC:1E:1::1时,并没有负载,需求中也没有效果图,只是说能ping通就行,在这我反复检查了好久,在练习时,是可以显示负载的。最后我确认SW111能收2条默认路由,当R14失效时,trac 走R15走,就不管了。后面的同学注意,不要花太多时间这个上面。6 X# b4 K1 r- ^* I% Z
* D- G2 [! e: W) s/ I
组播部分费时间,先做的2.10,后立即做过滤,在做2.11,结果过滤没有生效,根据先前的战报,立即在R10和R11上接口下做过滤。Clear ip pim rp ,没有效果。R31上ping,SW300和SW111上都有回包,检查配置没有问题,先跳过。但是组播对应的效果图是对的。7 u4 H8 l* H; @) B( K3 i
考场上给的图,从2.11上的R13 看出使用了E0/2接口
# {6 [$ r9 m8 p2 k6 Y1 A! sR13#show ip pim rp map
, q; t0 A ^6 R# W6 FPIM Group-to-RP Mappings0 s( E9 p* w# {: l) V
' h! E& q: u8 p4 a. d" uGroup(s) 239.250.0.0/161 w T6 k5 I1 t" F% S/ I
RP 10.250.250.250 (DC1-RP), v2v18 c' U. q1 ^; U3 T) N& \
Info source: 10.1.113.2 (?), elected via Auto-RP
: ?& K% Z1 A3 d& P4 G//在SW100上使用了e0/2地址,并且宣告了10.1.113.0/30的地址进BGP
7 x; F+ C' K6 s i Uptime: 2d01h, expires: 00:02:07( B) T# _6 o) m- D# I& g% I* }
# m4 N7 J/ x; O: [
SW300#show ip pim rp map
0 k+ j/ Q* J# V8 i" E* kPIM Group-to-RP Mappings
* M; R0 G. j9 X/ h1 C
) C! ` j) b! X. ? ?Group(s) 239.130.0.0/162 S* y/ t) c! o
RP 10.3.250.250 (HQ-RP), v2v1
: `; j$ w% J* ?( ` y Info source: 10.3.250.250 (HQ-RP), elected via Auto-RP/ z, ^6 q4 K' R1 F7 U3 n o5 Q
Uptime: 2d01h, expires: 00:02:43
' s5 [4 i- }+ M' i4 nGroup(s) 239.250.0.0/16
2 ]% N$ F G4 X, @, Y RP 10.250.250.250 (DC1-RP), v2v13 L' u; }* @: }7 Z0 P3 i& M3 t
Info source: 10.250.250.250 (?), elected via Auto-RP
4 h$ N3 U2 V& g% h//没错,这边就是显示的? Ip host已经配置了的' M" f3 j: K4 n- [6 m4 ?
Uptime: 2d01h, expires: 00:02:59% a* p+ K& A: X% U& s3 v* j" Z
因为source地址在上面的显示中存在了不一致的地方,e0/2和lo1口都有。所以采用了这样的配置
! @3 W, v+ g i: z' U5 `SW 100上
, Y$ [0 N7 o( K9 c/ yip pim send-rp-announce Loopback1 scope 255 group-list 10" j" v6 Z# {, E
ip pim send-rp-discovery Ethernet0/2 scope 2551 I$ d* n0 k$ V u& J
: ~+ g" L2 i- O) h" i( ^SW101上
, N, V P$ I; E1 |9 b$ Aip pim send-rp-announce Loopback1 scope 255 group-list 101 n# _ x# q* \" k
ip pim send-rp-discovery Loopback1 scope 255+ o V" j j6 i& X1 A6 E
这样配置后,show ip pim rp map时,info source会在10.250.250.250和10.1.113.2上跳动,才能与题本效果图显示不一致对上。& H' C4 e1 R7 g; e) ~# P
组播过滤出现象太慢了,先前也有战报提到过。等组播效果我花了1小时,什么也没做后面就好了,R31只有SW300的回包,SW100上的回包消失了。* H0 X; ]9 {. H& l. o" \; ^8 @
组播不建议留到最后做,这样即使出现象慢,也不会浪费时间。5 V7 G+ p, z6 D- K
组播R14和R15上接口没有预配 ip pim sparse-mode 我也没有加组播的命令
; U& I( K G0 |) ^- }R12上接口是启用了的,所有正常配置组播。
8 S9 \7 f2 Q) c1 L# U0 ], h+ A
- \. _: k0 I; d4 n! T1 Y0 `, ]
8 d/ [$ M' F9 o* G/ g5 O3 k& m' uMPLS VPN
% @2 w- |7 u* G我的版本里居然还是只有一种颜色,表明了vpnv4的邻居关系,还是没有iBGP。正常配置,不知道是自TR还是被TR,用的是peer group建立关系,但是R4,5,6上与R3的bgp邻居都没有了。后面检查时赶紧补上,show ip bgp vpnv4 vrf HollyMaya 检查有100.10这样的4条路由; |5 S# i! |+ J% I4 X* Z3 X
内部ospf路由正常的,R1与R2之间的接口没有预配mpls ip,补上。- E! I3 B; k7 f8 L3 }0 ]4 ~
5 W# R7 W$ v+ K. O' a
DMVPN
+ E! |9 J7 z2 F( \5 E注意R51和R60上与R14的bgp是配置了邻居关系,但是没有local-as 65100,建议先补上,不然配置R14 dmvpn邻居后,会不停报错,对等AS号不匹配。不要忘记allowas-in
# ^: r7 i3 O$ i0 C9 u) d% g3 U: ?5 \5 k" P" W* E
R60上注意接口下 no ip pro1 F& N4 i; B5 B- }5 W
9 _2 {6 Z M$ V9 i) b
R71上nat的acl已经配好,使用的是10.7.0.0/16位的匹配
8 m- |$ l# C* I4 d0 v直接复制的R24上的crypto策略,ACL,修改目标IP地址和调换acl的源目地址,跟版本一致,ipsec 感兴趣流是 10.7.0.0/24
! k& K0 \6 Y6 f- c" u
; F3 Y, {3 j, H4-5部分没啥,直接按版本配
- i1 S, \( ?2 @5 D' Y$ C- ~/ m- s- E- ^Hop max是2跳
; u8 R) c. S" J9 Y. k4 o1 z
1 W3 M& D: u+ q% U5 M6 o e2 _2 A
5 M2 H2 i5 Q8 n" M3 o/ R5 e# w. z- h" U
|
-
BJ 22/08
评分
-
查看全部评分
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2019-8-29 14:32:33
置顶卡
喧嚣卡
变色卡
千斤顶
