- 积分
- 154
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 20
- 听众
- 收听
助理工程师
 
|
恭喜「冰风」同志拿到CCIE证书,以下战报分享,希望能帮助大家。祝愿大家都能拿到CCIE号码。
: k7 a3 s5 A/ d C1 o- V" ^3 |, ]2 N* t' ^
( X- q7 t/ i+ v; M8 G
TS1 DIAG3++ H2+6 y# P$ W$ ?! Q1 }( \9 @( z
* `, J3 H1 E& j* W0 l% h$ _. f先说说总体感觉:) L( H# G: O) a, e1 r9 b, H/ Q8 o4 ]
这次北京只有3个人考试,1个无线,2个RS,我如愿抽到了H2+,另外一个人我提前15分钟交卷时,他还在做,图是H2的图,估计是H2+。所以抽到H2+的几率很大,准备后面考试的兄弟姐妹还是做好H2+的充分准备再上场。
9 j) r3 r5 |+ C% k6 H) \5 YTS1比较简单,尤其是前面几题,错点很少。考前挺担心TS的,尤其是第一题,可以出的错点其实非常多,3月有个朋友网络经验很足,第一题排了半个多小时,整个TS花了两个半小时,那时候lab没出变种,对lab影响不大。现在抽到变种的几率很大,如果TS花的时间太长,对lab影响就很大了。而且TS节省的时间,可以全部加到lab上,也就是说lab时间是可以超过5个半小时。我是提前半小时结束TS,从10点开始做lab,一直到3点45都没提示我交卷,也没有倒计时。
% s l. B6 \+ t3 {+ m% k. j诊断比较幸运的是,考前2天看战报才了解到有DIAG3++, 备考的诊断资料里都没有提到,幸亏当时记了一下答案。所以考前2天多看战报是很重要的,要是挂在诊断上,岂不是太冤了。% E+ @6 c! g7 A& V9 g' D' W+ r" [
lab抽到H2+, 心情有点小复杂。考前我是带有检验H2+解法的任务来到北京的,前面用我们解法去考H2+的两个兄弟都挂了,大家对解法都不是很有信心。所以做完诊断,还是挺期待抽到H2+的,一方面前面半个月一直在准备变种,另一方面TS和诊断还比较顺利,节约了不少时间给lab。这次能顺利通过,得特别感谢新认识的群友小刘,是他考前2天把我拉到一个新群,让我了解到一个重要的解法:后门用路由拆分(BGP Deaggregate)来实现;和一个重要的新需求:R55/R56不能下放172.0.0.0/8路由到PE,还有其它一些考点的解法讨论,包括如何实现负载等等,让我受益匪浅。
: {2 i j& K5 S$ v: U; D# d! u$ f3 q「欢迎大家关注微信公众号『CCIE战报』,最新最全的战报我会即时更新。」. F& G: S) ^0 J7 n. ?$ ^2 B; Z
「大家想看历史战报可以点击战报-历史目录,战报都是大家血与泪走过来的,希望能帮助大家。」! t: G2 G( T7 j9 q! J
「题主整理了H2+的所有需求和解法以及预配IOU,挂出售卖,希望能给大家节省时间,也能减轻我经济负担。」
' Q p( G& z7 P% U+ J7 X( h「大家不想花钱或者不信任题主的,可以私聊题主,将更新前整理的资料分享给你,虽有偏差,但也能覆盖百分之八十,你在酌情考虑。」0 K: ?* n9 P0 O: c) @
「最后,这个战报很详细,大家好好观看,先匿了,祝你顺风。」7 V7 I- d. A4 Y( e
TS1:
6 J0 ?% G& B3 Y( ^1)两个交换机vlan12是down的,添加vlan12后出现象;' w" z3 {. w. z' z+ X
2)PPP常规错点,删掉R17的ppp auth chap callout,添加ppp ipcp route default,把用户名和密码重新刷一遍后出现象;5 e& P! u: ]; I5 L& f3 u
3)OSPF,R21的e2/0有cost,删掉,R3有两条123.5.5.5的静态(应该影响到是mpls那题),删掉;
' O, \' W- _$ G6 C) w6 B% I4)eigrp,R13有个接口有delay,删掉,验证现象时图上的metric是1703,所以还要把4个路由器的eigrp都刷上metric weight 0 1 1 1 1 1;
2 e! z! d9 o' Y9 @3 s8 X5)BGP,极其简单,R12添加max-path 2出现象,可能R22还有个下一跳问题,记不清了,反正错点很少;
0 s) g. O" r0 L5 t6)DMVPN,常规错点,把4个tunnel的配置对一遍,然后ping R19不通,查看R19的s4/0有acl控制,加一条permit ip any any(应该还有更精细的加法)。加密也有个小错,记不清了。R15还要添加no ip split eigrp 200和no ip next-hop-self eigrp 200。6 `. _, B# b+ m
7)ipv6,常规错点,R22的route-map下一跳错,R25没有宣告XX:XX:XX:25::/64
1 Q4 F: F. V# ?) C. G \- v, L8)MPLS,错点稍多,R8的接口漏配nat,R3,R4,R5,R6的RT错,R3的125网段没有宣告,R4/R6的标签断裂问题等,虽然稍多,但都是我们平时练习到的。按照思路逐步排查,不难。& R2 ^* ~. y1 _; V; F& j
9)DMVPN+NAT, R23貌似nat有个小错,因为开始R24 ping R7的外网口不通,排查后通了。检查R24和R7的tunnel配置,把两端的加密去掉后,出ospf邻居成功建立的信息,说明加密有问题,R7的第一阶段加密没有配group,加上后ok;
$ K, C% `4 S* f+ N, _/ P5 h+ z10)NAT+DNS, R23的DHCP mac地址配错
2 [* y; Z8 C6 v: G; r1 K- Z 总体TS还是算简单的,第6第8是4个point的分值,其它都是2个point,多花点时间在这2题上。7 X+ m* o9 v! b, x6 q6 ^1 J3 V/ Q
% g# a* F) P4 C$ TDIAG3++:$ T5 J5 r1 r* p5 N
DHCP snooping( h0 [' M7 E3 C3 r0 v& Q
q1 抓包 看了一下 找DHCP包 源是0.0.0.0 选114. m: ?) [- q3 R7 ]5 B
q2 单选题 选 sourse ip add is 0.0.0.0
+ V' \- e# g! N, X" O9 yq3 sw1-sw31 S1 P. H1 W5 @8 h/ ~' q
黑客攻击:
5 [6 ~- g4 J. e+ j& }0 w抓包信息看tcp三次握手信息,判断10.1.1.2是受害者,10.1.1.1是黑客
9 S3 l6 y x6 C5 Q" h4 j4 Eq1:8选4/ l/ C0 T1 b* {/ G3 Q
1)TCP connection to 10.1.1.1, o# B0 T) E. Z& q4 f- o6 I
2)script downloaded from 10.1.1.1
, e/ C- Z% l% P2 g" B3)hacker from a remote host to 10.1.1.2 on port 1337 4 }! i6 a, E z
4)ransomware installed by backdoor
* J* d% j& y# P& cq2: sudo poweroff
" f4 ]6 Q$ i4 m2 m/ g9 mq3: Tclsh http://10.1.1.1.xx.tcl
' J" o( a2 J$ Y这题我有点小纠结,因为有个类似的选项:http://10.1.1.2.xx.tcl.
6 d. h, U7 m B" B' Z
) h, W6 T7 l; ^+ i5 r$ q3 @H2+:
& h# I0 P8 e- ?1 Z8 S- c! z) [1)这里我要重点说一下L2的问题,考前一直听说考场H2+的L2存在大bug,多人碰到做完bund,vlan173,184会down,很多人是通过no掉spanning的一些配置来解决的,这样做的结果只能是fail,而且最后反映的L2的得分都很低。考前我对L2的问题也很犯悚,因为不知道为什么会这样,自己在模拟器一直没这种情况。幸亏考前我们在机构版本室再现了这个问题,SW3和SW5做完bund,直接出接口errdisable的信息,errdisable的原因是bgduguard。我们拉来机构老师一起分析,推测原因是:在定义channel-group的时候,在某些IOS版本里,portchannel35和portchannel46没有继承物理链路的中继配置(swi mode trunk),默认还是access,如果SW3和SW5不是相同的版本,就会出现一侧(SW3)是trunk, 一侧(SW5)是- q4 i& c3 M! h" Q, g4 \; o/ a9 e$ p
access,这时bpduguard就会起作用了,SW3一发bpdu,SW5的接口就会errdisable,造成vlan173起不来的现象。. Y+ d; r" P7 |7 ^% r. a
解决办法:
8 }0 |; r: @* L' w# y在SW3和SW5建portchannel时,两边都把物理接口shutdown,建好portchannel后,确认portchannel的配置是否和物理链路一致,都是trunk,如果portchannel里配置是空的,配上swi tr en do/swi mo tr,之后再把两边接口no shut。: m/ E8 m- Y' |
考场我就是这么做的,没有出任何问题,当然我也是步步小心,整个L2花了我40分钟时间。7 Z7 D: t2 ^' k3 ? x8 r
2)R17/R19/R20/R21的vrf解法,我就不说了,各机构都有,唯一区别的是有的机构解法里,没有配area 51 stub,理由是要传10.2.0.0/16汇总到area 51。其实配了area 51 stub,也能传,只是R17不能配成stub no-summary。另外提醒一下,配完tunnel以后,R19/R20/R20都把对方的路由前缀trace几次,确保只有1跳,不经过hub,路由表的相应前缀前会多一个%。
7 v) {0 u3 U( t" d/ ?4 c3)OSPF的配置没什么说的,DC区域没有预配,不能用network,不能有2类LSA;其他几个65002区域,OSPF预配都有,只需要在SW1,SW2里passive掉vlan100(题目没要求,属于优化配置); E. y* p7 s' B5 Q- Q: L1 r4 u
4)EIGRP要用64bit命名方式,要解决L052(bandwidth 1K)进路由表的问题,没有限制刷K值还是改rib-scale,推荐用rib-scale,因为用rib-scale=153,出来的metic和现象图里一模一样。1 [2 C/ f. {9 L1 x9 s
5)BGP CE配置,R15/R16汇总10.0.0.0/8,并要下发默认到PE,我用的是network 0.0.0.0。重分布要注意,OSPF重分布到BGP时,用redistribute ospf 1就可以了,后面什么也别跟,他的作用就是在bgp里产生明细,使汇总生效就可以了。R11/R12/R13/R14和老版本一样。验证时要注意,现象图里的as号是65001 65002,不是原来的65001 65001。说明以前通过as-override的方式不行了,要在CE上配nei XXX allowas-in。
! m+ i: ~/ u/ b! A5 C6)BGP PE配置,防环没限制方式,用SOO最简单
/ J9 O4 X; f5 v4 n" U7)R9和R10的防环,有一堆限制,用distance ospf ext 171可以实现- T5 O: w5 ^8 t
8)重点来了,R18和R57之间的后门,我仔细看了几遍需求,agg+summary only是明确的,但没有说只能放一条前缀到对端,理论上用反抑制列表和路由拆分都可以。推荐用路由拆分,防止需求理解错了。这里推荐做个优化:R18 BGP重分布到OSPF时,做个过滤,只放2个前缀过去:172.0.0.0/8和172.18.1.0/24;同理R57上BGP重分布到EIGRP时,只放2个前缀过去:10.0.0.0/8和10.2.100.0/24;我在配完所有配置,检查现象的时候,发现一个奇怪的问题,R18收到了R57回传的10.0.0.0/8,因为这条路由比不过R18汇总产生的10.0.0.0/8,也不影响现象,我因为时间有点紧张,就没有再做优化。建议有时间还是做个优化比较好。6 d9 B; a5 K: j( w" N
9)R55/R56也是容易犯错的地方,单纯实现题目的需求不难,但要实现题目隐含的后门需求,还是要做一番优化的。首先要把10.0.0.0/8的路由过滤掉,不能回传给PE;其次172.0.0.0/8这条路由,要看需求,最早的变种只是要求不能在R55/R56做汇总,那时是可以放172.0.0.0/8到PE,并传给DC区域,这样在DC区域要做的优化是在R15/R16上改OSPF的重分布type为OE1,以达到DC区域优选R15/R16方向的172.0.0.0/8的目的;现在新的需求是,不允许把172.0.0.0/8传到PE,这样势必要把172.0.0.0/8这条路由也过滤掉,同时把172.0.0.0/8 le 32这段的明细都下放给PE,并传到DC区域,这样在DC区域要做的优化就变了,要在R18上改OSPF的重分布type为OE1,以达到DC区域访问172.18.1.0/24优选R18的后门链路;其他还有172.17.x.x的路由,经过双点双向重分布,也要防止回传给PE;过滤的方法有很多种,要理解它们的不同点,比如可以在eigrp重分布到bgp的时候过滤,也可以在nei PE后面加过滤,但对这个场景,必须在重分布的时候过滤,我这里不说原因,备考的同学自己要想明白为什么,我说一下在nei PE后门加过滤的现象:SW10的10.0.0.0/8路由,刚开始是优选R55/R56方向(这是正确的方向),过段时间就会变成优选R57方向。SW10重启SVI口后,会短暂恢复到优选R55/R56方向,之后还是会回到R57方向。3 z- ?/ l$ o, _& m5 M
关于SW10的10.0.0.0/8路由,要实现优选R55/R56方向,最简单的方法是R57重分布的时候设置的K值,与R55/R56重分布的时候设置的K值,完全一样。因为SW10与R55/R56之间是SVI接口,和R57之间是eth口,SVI接口本身就比eth口的delay小,在K值设置相同的情况下,自然就会优选R55/R56方向。
! q8 b; I. |1 v. S10)做完以上配置,路由互通就差不多完成了,接着就是验证路由是否与现象图完全一致:
$ n6 V# l# @9 `5 G! qa. R101 trace 172.18.1.254) ~% T. g' Q1 H0 U
==>走后门
) I9 t* t5 C% Mb. R101 trace 172.18.2.254
. F2 U8 ]3 X( C( j4 A) ^+ e) K==>走MPLS区域
8 C& g8 z8 e2 ?1 U1 Fc. SW10带源trace 10.2.100.100- x/ f) @1 _1 L/ }
==>走后门
' O2 w+ @+ j7 d% S, r% B8 [d. SW10 trace 10.2.101.253
9 v! s$ i8 e4 f6 C: ]+ d7 k: D==>走MPLS区域,全负载,但只走R3,不走R4(意味着不需要在R50/R51配maxpath ibgp 2)。如果碰到第3跳开始不负载,有两个方法解决:一个是在R50/R51的e0/0配:ip load-share per-packet;还有一个是在R50/R51的e0/1上配:no ip route-cache cef;两个方法任选一个都行。如果配了这两条还不负载,不要怀疑方法,一定是路由有问题。我考场就碰到了,当时立马有点头晕,冷静下来考虑是不是有条路本身就不通,看trace的路径,走的是R10,把R10的e0/1断开再trace,果然不通了。因为考场有预配mpls,我就没配,检查了几台设备的mpls配置,觉得很花时间,索性把所有设备的mpls重新刷了一遍。刷完就通了,负载现象也出来了。强烈推荐mpls即使有预配也全部重新刷一遍。
. d8 r& w: F" ~9 p1 Je. SW1/SW2 trace 10.2.100.1006 C" Z- h1 S2 ` |
==>走mpls区域,全负载,一条路径走R3,一条路径走R4,不需要做任何配置,这个选路是BGP选路原则第8条起作用,所以配maxpath是不起作用的。不负载一定是BGP配的有问题。
" ]3 s6 q# e# \; f& s- S2 r11)最后验证后门切换,R18上断开e0/0接口,把上面的a,b,c,d再跑一遍。都要能跑通,走MPLS。我在平时练的时候,这个切换要花2分钟以上,丢十几个包后才通。考场不知道为什么,切换极快,丢几个包就通了。没有时间细究到底什么原因。反倒是切换回来挺花时间的,好像路由拆分要花一段时间路由明细才出来。3 z6 K! A/ A" M- ?* ?0 o t
12)组播要注意一点,因为题目要求R19带source e0/1 ping组播地址,这时候R19就不是源了,而是最后一跳路由器,所以所有的组播配置都要在R19上配。这和H2不同,H2是明确要求SW3没有任何组播配置,但能ping通组播地址,这是因为SW3没有带source ping。
% b( m3 }* K4 A13)其他的ipv6和feature就没什么说的了,有些需求的小变化,解起来不难。
2 S B) b9 J; u5 Y/ H14)最后提一点,我在平时练习的时候就发现,只要同时配了HSRPv6和DHCP snooping,R101就ping不出去了(地址还是能拿到),SW3同时也会变的很不稳定。我在考场的时候也担心出现这个问题,所以我一直没配DHCP snooping,把所有配置都验证完以后,才配的DHCP snooping,结果果然拿到地址后ping 8.8.8.8就开始丢包了,5个包丢了3个。接着SW3就出现TRC=XX这类平时我们认为模拟器挂了的信息。看来正如题目要求的,需要解决广播风暴的问题。这个好像我还没看到有好的解决方案,只在SW6上的e1/0上配了一条ip dhcp snooping limit rate 10,但显然没起什么作用。幸好SW3 reload以后,所有路由都恢复了,还顺便验证了一把track的配置。此时还剩半个小时,赶紧花了十几分钟用SW4和所有站点都验证了一遍路由,没问题就赶紧交卷了。2 p" L% W. T, o- y3 r% e3 c
. E+ I5 g1 U9 f$ ~0 q
这次能顺利通过,需要感谢的人很多,机构的老师,一起备考的同学,各位无私分享的群友,等等,还要感谢考官,没怎么tr我,貌似就是shut down了我几个接口,还让我们提前10分钟进入考场进行考试。所以建议备考的同学当天最好提前半小时到场,能提前考试总是有帮助的。- ?" X7 U0 J* {6 x. G( Z0 R
0 u; x7 f3 N$ J. a7 A- g
/ Y& O i/ r# Z1 D
0 z/ `, q8 ^/ L
; d3 E" B3 \0 X |
|