- 积分
- 539
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 40
- 听众
- 收听
中级工程师
 
|
300-135考试战报和个人心得0 l3 Z6 a5 L4 _( s8 n
考试内容题库全覆盖,这点大家是可以放心的。
; ~1 U! N. x5 L: |; A先说考试内容,6道选择题完全一样,就是多选的题会选项会改变位置而已。Case题出了两道,其中一道竟然只有一道选择题,但是选择的答案都是和题库一样的。我都查看了一下配置,都是一样的。
4 w& M/ @* W. |9 K3 L o; f+ N在TT题里,有一道题的答案稍微不同。
5 a, i) B+ f3 V8 o" o0 OTicket 13 EIGRP Passive interface 题库的最后一道题答案是A. Remove “Passive interface” in Interface f0/1 and f0/0- g5 R) r- P6 n
但是考试的时候,答案是:Configuration router eigrp 10 no passive-interface default 意思都是一样的,只是改了一下内容而已& ` B" ?/ a3 O/ o3 t, j# Q( h: N
& R3 c/ H' F) V ?" L
下面说一下本人考试的个人理解,仅用于对题库的加深理解。
4 q( W5 F5 e' a! r5 W/ j) TTT题的解题思路是,从pc--aw1--sw1--r4--r3--r2--r1 这样的一个顺序拼上去的* u- y0 P- f( Q. j; I
按照顺序。事实上,我在IPV4的题中,只是需要在PC1,R4,还有R1上使用ping命令,基本就可以锁定出问题的设备。
( e- P# f1 ~( E; h8 G$ _7 ?/ W当PC和交换机连接,在接入层交换机上,有两个问题涉及到接口,一个是端口安全(Port Security),一个是vlan划分。
3 o5 o$ i: c& a4 b1,在AW1上,接口f0/1/0 配置了端口安全(Port Security),这造成的问题就是PC无法通过交换机获取到IP地址。正常情况下,出现这个问题,除了pc1-2外,其他网络设备都可以ping 209.65.200.241 通的。 F4 z5 i' S/ y" P5 `2 }
端口安全一旦在一个交换机的接口启用,默认白名单(可使用的设备MAC地址)只有1个。也是说,在题中出现了一个绑定的MAC地址之后,我们另外接入的PC就无法正常联网,会进入黑名单中,访问被拒绝。
5 L) t( [& d7 i" D- q" i9 S5 A进入接入层交换机AW1,出现的情况如下:* T. a: J' k; w/ ^, J
Interface FastEthernet1/0/16 M3 D, z, L! r# y# x9 r( `
switchport mode access; b6 q4 y, K0 u4 A
switchport port-security4 E) Q# W8 j- K- s2 a& ~& L
switchport port-security mac-address 0000.0000.0001
3 }0 v2 }. X# D: F b3 J. ZInterface FastEthernet1/0/2 c, _7 e9 s! I2 K" m4 b
switchport mode access0 e- Q: C" k( C- p. R5 K! W% f* N0 J
switchport port-security
+ A( R( n0 M/ u( H1 ~switchport port-security mac-address 0000.0000.0002) F# F% C2 f8 c- G! S
这里显示的问题就是说在该交换机的f1/0/1和f1/0/2接口上,已经默认有了一个白名单MAC地址,其他的接入设备在也无法通过该接口访问。解题的方法就是在两个接口上关闭端口安全 :no switchport port-security (端口安全默认是关闭的,如果正常是不会显示有port-security 这个字眼的 )/ t& Y. m9 i G, D" B
通过show pore-security 可以排查。默认都是空的
. K& `: l+ d" f. g3 Z& y 2,至于AW1上的vlan 问题
% q3 `7 A$ E5 L; I+ V# _* [3 S4 E默认在交换机上 接口上都是属于VLAN 1的,在题库中,因为PC1是属于VLAN 10的(所有题都是这个),如果在接口VLAN 划分上,没有正确的划分VLAN,我们的PC也是无法获取ip联网的。7 Q. x5 w5 z0 C/ W, J
VLAN 的划分命令如下:switchport mode access
0 ]8 Y8 A8 c- J Swithport access vlan 10 这里的两个命令缺一不可的。 q U, G* [! ?# X
在这题中,AW1的接口f1/0/1 和f1/0/2 都缺少了下面的这个命令。题库中用SHOW RUN 命令查看。我们也可以用命令show vlan brief 这样更加清晰明白 只要Switch#show vlan brief
4 I+ z c/ X, C+ O0 F2 P! w% ?Switch#show vlan brief
- R6 z2 A; l( HVLAN Name Status Ports
. J/ b( O# b2 v! Y7 w---- -------------------------------- --------- -------------------------------3 _, T& Y; z$ E r% N
1 default active Fa0/1, Fa0/2, Fa0/3,
- u/ l& Z; @& a: U v* d1 l10 VLAN10 active
& y& B3 U$ N2 e# v7 E H- C20 VLAN20 active
( Y# N* M' n7 s% ~. u s- I200 VLAN200 active 1 u$ N* U4 m6 |- |" y
* c9 f0 V: S% p
如果后面vlan10 没有跟接口,那就是本题要考的了。
3 v0 D/ e6 ?" Z1 ~, d* u3 y3,在AW1上的第三个问题就是和trunk 有关6 @2 c7 c, `: e+ b5 ~+ k# X
Trunk 命令中 默认我们自己是配:
6 X1 D5 A5 M' I+ k* `# t; yDW1(config-if)#switchport trunk encapsulation dot1q ( B5 z' [, {6 d8 [8 z" Q$ m
DW1(config-if)#switchport trunk encapsulation dot1q
( Q" R0 `& m5 T- E* X( nDW1(config-if)#switchport trunk allowed vlan +vlanid 这个默认是匹配所有VLAN.
4 y+ k/ G7 p0 k) |1 i( k) \在题库中,实验是使用链路聚合,配置和物理接口一样。考试的时候,命令必须都要在两个聚合接口中修改。本题中,出现问题的是最后的这个命令,在vlan放行中没有添加vlan 10 。! u3 z' g4 z9 C, b0 ^) m
交换机AW1启用了switchport trunk allowed vlan 但是后面跟的vlan中没有vlan10。就是说vlan 10 在这里是被拒绝。解决的方法就是在聚合接口下输入命令:switchport trunk allowed vlan 10 + 放行vlan10 。/ [) Y7 ~; ^, d5 \1 B$ b$ F; Q/ J( K
本题中快速锁定问题的命令是:show interface trunk 这里可以看到交换机放行的vlan 都有那些。& y V8 }* ] i: x. _1 Q
以上三个问题都是在接入层交换机AW1上出现。; I; j3 @) }/ Y b! k& w! Y' a! G
下面DW1上的问题,汇聚层交换机实验中会出现的涉及vlan acl 当然还有一道HSRP 不过基本不考。如果考过300-115的话,应该知道,我们有一道AAA的实验就涉及到这个VLAN ACL。
6 c4 h- P1 | E( j# y8 v/ c% k, W! G题库中涉及到的配置是 vlan filter test1 vlan-list10 这里的理解的意思就是说做一个名称是“test1”的vlan ACL来运用于vlan10,其中vlan-list10这里代表的就是vlan10* f0 B3 T1 e! s$ M
交换机中具体的 VLAN ACL 参数如下:
% ~6 z2 C* {% o* r& ?vlan access-map test1 10' Y' I( }7 q, g9 i' m
action drop% x: Y/ R6 S! M
match ip address 10
% _5 m; {9 k) g
0 H, Y3 E% O1 L8 aaccess-list 10 permit 10.2.1.3
* n) C& X! h% b& S! }9 R" y! Naccess-list 20 permit 10.2.1.46 m" _+ |, L6 k- S
access-list 30 permit 10.2.1.0 0.0.0.2555 ^7 ~! q7 C5 S7 V/ R- u
以上的命令中,如果 action drop的命令改成 action forword 就不会有问题了。action drop的意思就是所有匹配的配置丢弃,而下面的配置抓取的就是实验中的PC1 和PC2的IP :10.2.1.3和10.2.1.4。就是说,我们的PC在这个命令下,在不改变IP的情况下,所有的流量被ACL抓取后都会被丢弃。# C' Y* H0 C- O4 ?
考试中的解决方法就是 no vlan access-map test1 10* E0 A% }$ e3 G& h
6 p, {, h& @: q7 ~以上的这些问题都是属于二层的范畴,基本上都是属于ping 10.2.1.254 不通的。在往上就到路由了。在ipv4的几个实验中,出问题的路由器就是R4/R1。考试的时候重点看这两个就是。3 I# @7 Y5 B3 F0 L$ H' }
我考试的时候,都是在ping 10.2.1.254通之后,习惯的在R4在ping 209.65.200.241。不过,在ipv4的实验中,涉及R4的问题DHCP 和EIGRP的AS号问题就没怎么考。这里涉及到的问题就是路由重分发。
* N( ^! g' p( U3 i我在考这道题的时候,发现R4的配置里面,发现他里面有好多路由协议都有做重分发 ,刚开始差点没看出来。* H4 J& W3 A# Q' o+ e7 ^- s
出现错误的是:
& \+ }, O# ?- k- ^; [( j" @7 irouter eigrp 10 9 j p# E' I8 ?) H
network 10.1.4.5 0.0.0.0 $ `3 h$ Q1 g9 M/ O g
no auto-summary
% n) D4 r4 F1 a: Vredistribute ospf 1 metric 100 10 255 1 1500 route-map EIGRP_to_OSPF. Z* Q- S6 u' [# |$ ]
% f# Y; v: Z W% L4 ?route-map EIGRP->OSPF & S# s5 i/ q9 x; t8 i, l; x
match ip address 1 !; s9 q: a# S# @3 o4 O/ ?
2 ]- H! ?) q0 b% x, [( p8 Q
access-list 1 permit 10.0.0.0 0.255.255.255
& m( ?- v- C1 Paccess-list 1 permit 209.0.0.0 0.255.255.255
3 q0 e( w; a2 Y" ~0 \" {这道题中,注意看EIGRP 10 的重分发,他的宣告的route-map 的名字是错误。考试的时候,配置里面好多路由重分发都是正确的route-map EIGRP->OSPF 只有一个是错误的。这点大家需要注意。* \! u3 L. U" b) y" @* X/ t
这道题造成的问题就是 R4 可以正常pin 209.65.200.241 而DW1不行。因为DW1上运行的是EIGRP协议,本身没有OSPF那边的地址。在R4重分发OSPF出错的情况下,PC1 和DW1等设备因为没有路由而对外访问。
) z4 R/ }; O4 ?: ^2 M6 G2 G在这里可以这么说,R4ping 209.65.200.241 通的,就属于三层路由问题,不通的就属于二层交换机的问题。* X$ r" ~8 T0 R- W# |
下面的R1问题。 G: k% o6 {$ P, f% {" q
R1 ping 209.65.200.241 不通 就是BGP和IP ACL 问题。
, x# ?4 \/ Q& l( Y N/ D5 N# O) e$ |% s无法对外ping 通,一个就是没有BGP路由,不能建立BGP邻居。造成这些问题的,要么就是BGP宣告出错,造成无法建立邻接,也就无法正常通信。还有一个就是路由器对外接口的限制,比如ACL配置了错误的参数,拦截了对外的通信。/ w6 k. [$ M4 }; V8 r4 ]
BGP neighbor ; d4 l+ O7 b- j5 x( {) r
router bgp 65001( d% e! w9 L, w/ u( s
no synchronization 4 ?: J, J" h" Z+ `# ^; L' s
bgp log-neighbor-changes 7 r- l/ M6 j# X/ A- K9 x
network 209.65.200.224 mask 255.255.255.252
; ~1 ?' Q$ t9 f8 oneighbor 209.56.200.226 remote-as 65002
/ ?! H; a9 E$ f, g3 `# C在这里可以看到是BGP的宣告错误 正确的应该是neighbor 209.65.200.226 remote-as 65002 在这里他把65错写成56了。
8 E; E8 S! X+ _6 f6 Z/ h; o3 a! W. u
; v& v" H4 M2 b0 S
; E% V4 ?2 l+ z, I: NR1 ACL IPv4 layer 3 security& [, ~6 `- N: ^1 v
这道题中,
8 O" A) z& V' p ?interface Serial0/0/0/1
, N8 r. x; B2 J I8 o: Bdescription link to ISP
* Q3 T1 x: I- p ip address 209.65.200.224 255.255.255.252
3 V) D% w0 U/ r5 Rip access-group edge_security in% [; u3 o0 V ]+ Q) Q
1 {2 I! m0 T; _' D! r4 p4 I' a- Z/ ~7 h Q( n, `1 w2 P v
ip access-list edge_security deny ip 10.0.0.0 0.255.255.255 any
0 V5 f5 Y; z) j' rip access-list edge_security deny ip 172.16.0.0 0.15.255.255 any $ K9 i7 a% D, Z& z& Y i
ip access-list edge_security deny ip 192.168.0.0 0.0.255.255 any + w4 P3 T9 q3 W5 g# d
ip access-list edge_security deny ip 127.0.0.0 0.255.255.255 any7 E$ e9 Y; a+ d
ip access-list edge_security permit ip host 209.65.200.241 any- b h: z" G( ^
在这里可以看出,在接口S0/0/1 中,R1是启用了一个命名为“edge_security”的ACL 。而这个ACL访问控制列表的参数在下面,我们可以看到,他只放行了peimit ip host 209.65.200.241 any 这里少了一条方形209.65.200.224的命令。而没有的命令,默认都是DENY 拒绝的。6 b9 H+ {4 h0 k) Q
根据这里的配置,在R1的对外接口上是拒绝209.65.200.224这个网段的通信的,而R1对外的信息必须走209.65.200.224这条路劲。这里拒绝了,肯定无法PING通。
/ K8 D2 Z/ t3 t5 S# D5 A# ]5 d/ e0 k所以必须要加入这条命令Under the ip access-list edge_security configuration add the permit ip 209.65.200.224 0.0.0.3 any command' P0 a* {" N4 H8 z. M
0 c. B0 M+ h( L* O- ]# F如果R1ping 209.65.200.241 通,这里就剩下两个问题。一个是NAT ACL,一个是OSPF Authentication
4 N5 V3 f% A I8 Z- }/ i8 O) q9 ]5 y
OSPF Authentication 的问题,其实很好排查,只要在R1和R2上show ip ospf neighbor 如果显示是空的,那就是这个问题无疑的了。因为在这几个路由器中,他们都是运行OSPF路由协议的,正常情况下都是有邻接表的。只要看看他们有没有邻居,就可以排查了。所以本题的关键也是看两个路由器之间的接口配置。不过,很不幸的告诉你,考试中R1的接口都是这个配置!!
" z, B4 b* H$ B: N! O+ \5 `5 t这道题你单记错点就会吓死你自己的!( s6 Z+ s8 [8 f# v8 J. [
R1和R2的接口中的配置如下- j5 V% ~' [+ q3 F
interfaceSerial0/0/0/0.12 point-to-point: Q+ `9 e& I) B
ip address 10.1.1.1 255.255.255.252
6 r: k: _% R: O( x t0 @ip nat inside ip ospf message-digest-key 1 md5 TSHOOT
7 G# G" Y3 w: B+ c5 fR2和R1的接口配置如下:7 ]- h' e6 F8 d" U
interfaceSerial0/0/0/0.12 point-to-point % c$ y; r5 N. u- _8 V- B: r) E
ip address 10.1.1.2 255.255.255.252 ' e: F# }7 Y& B3 F* D8 }9 Z
ip ospf authentication message-digest
" P1 U: Z) {/ _ e' p5 bp ospf message-digest-key 1 md5 TSHOOT
* X! v+ }1 I: C问题就是R1的接口配置那里少了命令:ip ospf authentication message-digest
$ r0 |8 r6 ?. c4 U 9 s- Y8 L. F% j F
NAT ACL 的问题
+ Y- C$ ]; ^% t/ V这里是因为R1在NAT里面配置的时候少配了一个10.2.0.0的网段。在整个拓扑图中,我们可以发现,一共有两个网段:10.1.0.0和10.2.0.0
) x2 U* H) w7 }, Y( ~, Q% v, w- H在R1中
' M; y- L9 v& zip nat inside source list nat_pool interface Serial0/0/0/1 overload !0 S3 I2 x; w3 N; S* f+ x7 {& `8 \
ip access-list standard nat_pool0 P, S3 _, Z; l0 s
permit 10.1.0.05 k9 Z" c1 [6 o' k
很明显,在ACL这里少了10.2.0.0的网段。和我之前说的一样,没有写的命令,在ACL默认都是deny 拒绝的!! D. {) V9 n6 M
这里造成的影响就是PC和AW1是无法访问外网的。验证的方法就是在DW1上用tracertout 209.65.200.241 source 10.1.4.6 和tracertout 209.65.200.241 source 10.2.1.1 的命令去试试。可以发现第一个命令是通的,第二个命令是不通的。/ g3 G5 J/ g1 F
以上就是关于IPV4方面的个人理解。对于IPV6问题,本人基本用show ipv6 ospf neighbor 就可以了, T( q. D; W) A# }8 P
在整个拓扑中,我们知道,R1-R4的几个路由器都是运行OSPFV3的协议的,也是说,在正常情况下他们都是有相互的邻居的。7 \' n5 ~ ~, s2 }) h5 ?: v4 a
在这里出问题的几个设备分别是R2,R3,R4。所有只需要在他们之间SHOW 一下查看邻接就可以了。正常情况下,R3要有两条邻接信息。如果少了一条,看看少的是那条,就是和那个的路由器有问题1 T' q r7 W S* k% [( K
在考试中,路由ID 分别是X.X.X.2和X.X.X.3,X.X.X.4表示R2,R3,R4的路由器。具体的路由ID我忘记了。+ D2 X9 {' O0 r9 p: T2 S3 s
我的解题思路是,如果R2没有R3的邻接,就是IPv6 OSPF。重点依旧是看两个路由器之间接口的信息就可以了。0 E, H3 K" f; l
R2上
9 @" `8 d% e ?* i6 d, Cinterface s0/0/0/0.23
: T2 ~1 e: \& t7 B3 ]( [- @- f8 cipv6 address 2026::1:1/122* A7 f4 ]" H$ z$ J4 t
R3上
2 A; `0 [$ ~& t- u) r' C3 r# Xinterface s0/0/0/0.23; Q# }% ?4 m D
ipv6 address 2026::1:2/122- D5 l* u$ B9 c9 A* D% ]
ipv6 ospf 6 area 00 [5 m: o+ ?' c5 d
很明显就是R2 少了ipv6 ospf 6 area 0 命令。
# T6 N0 q1 |* p ]' N2 u% O同理,如果R3上没有R4的邻接,那就是他们之间的问题了。
1 |. J: E1 Z/ _在题中,R3 R4是通告隧道连接,所以看他们的隧道接口的配置就是了
6 G7 m9 D2 B+ x! ~( ]在R3上,' d9 G& Q1 u* q. g% J6 D1 b, s
Interface Tunnel 341 H5 T0 {1 z- n, d- c! s( O7 E+ k1 ]
No ip address0 v6 g3 q' D5 x! D
Ipv6 address 2026::34:1/122& n* @) s* T3 U! q. H
Ip ospf 6 area 34! V; p @8 e7 O0 }
Tunnel mode ip v6
* G0 l# m& [& G7 |Tunnel source serial0/0/0.34
: R1 q3 i# X b/ B9 OTunnel destion 10.1.1.108 ~" c) B5 _9 W0 u
在R4上; O# W4 e1 w" E! W/ M0 R. ?
Interface Tunnel 34; \; V$ P, z. B) \- G7 o2 L
No ip address+ t" X0 l& L& F+ _1 T0 w* E' ?
Ipv6 address 2026::34:2/122
: x# e# Y$ _5 G# g1 DIp ospf 6 area 34
' k2 H# {! g; s, E5 _7 n; U0 T- DTunnel source serial0/0/0.34; ]0 j K9 g5 o
Tunnel destion 10.1.1.10$ q' H) }0 q1 L" V
很明显的,这里R3这里多了一条Tunnel mode ip v6 的命令。解题的办法就是在R3上删除多出的这条命令
2 Y R$ \% j; c7 y A ~& ~% \+ E# w# {; R! W
如果在R3上可以看到两条邻居,那么就是IPv6 Redistribution 的问题 直接在R3 show ipv6 route 查看
& n* f8 G4 W5 {6 ^) V你会发现路由表中少了R 2026::102:0/122 这个路由 而在R4上面就有带R的这个路由。
# [, o0 m1 U, u8 ?$ o7 j% g+ j1 F在IPV6的问题中,整个拓扑有两个路由协议,分别是RIP 和 OSPFV3 正常情况,R3要获取非OSPF的路由,必须R4通告给他才可以。
! y8 a7 Q1 I9 o4 O/ G# i' \而本题中,R4在OSPF中明显没有重分发RIP的路由: I, P Y# }! E" a$ n
R4的配置如下
, h; \4 c# _; G! b8 r+ }2 ZIpv6 route ospf 60 E" U& |) V* h5 T5 q
Log-adjacency-changes0 D4 n' O, H3 F- J' Q6 _/ ^
$ n! v* m* Y) A4 V! c4 z' LIpv6 router rip rip-zone6 E! D7 c1 e& j% R- N0 P
Redistribute ospf 6 metric 2 include-connected 0 c: g6 I! Y; h5 A; g! i
因为是设计到路由分发,所以在这题中,几个路由的OSPF邻居都是正常的。所以看到R3显示两个邻居,就是R4的重分发问题。: I) K+ P* D% _1 k! R1 s/ ^
以上纯个人的理解,希望对大家有用。! R& j. a+ ^" {$ t) ^8 H- c# W5 W
关于确定ipv4 和ipv6问题
' ?/ `, d! V( n+ Y3 z! k很多题库战报有讲:ping 209.65.200.241 通的就是ipv6问题,不通的就是ipv4问题!ping 10.2.1.254 通的就是三层路由方面的问题,不通就是二层交换的问题。
+ \( f( |8 x/ g( l: v' Z3 s8 g本文为本人考试总结,不涉及具体的解题方法,想要快速解题通关的,请参考下面的连接:' H6 ~4 p0 }7 f, y7 b9 e
http://bbs.hh010.com/forum.php?m ... digest%26digest%3D1
% h/ f% n. d1 o% u/ S# L$ b. k& yPS 原创内容,费了三个钟来总结。嘿嘿,好在CCNP通关,开心•••
) s" q% a1 t: _8 f- w# G% V+ Q8 q |
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2016-6-18 22:32:49
置顶卡
喧嚣卡
变色卡
千斤顶
楼主
