|
|
请先登录
您需要 登录 才可以下载或查看,没有账号?论坛注册
x
TS1:; l. z/ v3 D7 J2 k9 a
1)两个交换机vlan12是down的,添加vlan12后出现象;
- J1 \' ?# A4 f' }4 T2 `; b2)PPP常规错点,删掉R17的ppp auth chap callout,添加ppp ipcp route default,把用户名和密码重新刷一遍后出现象;$ h7 ]" A/ j) P$ v7 z2 t5 Z
3)OSPF,R21的e2/0有cost,删掉,R3有两条123.5.5.5的静态(应该影响到是mpls那题),删掉;/ |9 \& o& d8 i) v* _
4)eigrp,R13有个接口有delay,删掉,验证现象时图上的metric是1703,所以还要把4个路由器的eigrp都刷上metric weight 0 1 1 1 1 1;1 D, m `+ L" X' r0 t
5)BGP,极其简单,R12添加max-path 2出现象,可能R22还有个下一跳问题,记不清了,反正错点很少;! y+ c3 T# L* u; u' n" U+ K
6)DMVPN,常规错点,把4个tunnel的配置对一遍,然后ping R19不通,查看R19的s4/0有acl控制,加一条permit ip any any(应该还有更精细的加法)。加密也有个小错,记不清了。R15还要添加no ip split eigrp 200和no ip next-hop-self eigrp 200。$ b, L) z! C! @ J/ s6 Y
7)ipv6,常规错点,R22的route-map下一跳错,R25没有宣告XX:XX:XX:25::/64; D& D9 d' ^+ ?7 u$ n
8)MPLS,错点稍多,R8的接口漏配nat,R3,R4,R5,R6的RT错,R3的125网段没有宣告,R4/R6的标签断裂问题等,虽然稍多,但都是我们平时练习到的。按照思路逐步排查,不难。7 D8 f7 N6 A" \0 Q$ k: V
9)DMVPN+NAT, R23貌似nat有个小错,因为开始R24 ping R7的外网口不通,排查后通了。检查R24和R7的tunnel配置,把两端的加密去掉后,出ospf邻居成功建立的信息,说明加密有问题,R7的第一阶段加密没有配group,加上后ok;+ p' V6 D3 R; ]( R: p" E6 d9 @) `
10)NAT+DNS, R23的DHCP mac地址配错
' u. Z1 h$ S1 |+ b, {$ W2 } 总体TS还是算简单的,第6第8是4个point的分值,其它都是2个point,多花点时间在这2题上。+ T1 {' P% m! x" |) o: ?, o. k" j
8 m9 J. O* N- ^2 }3 g7 o
DIAG3++:* t% o1 s6 s6 t
DHCP snooping4 ?! M8 q& J, T/ G+ B
q1 抓包 看了一下 找DHCP包 源是0.0.0.0 选114
- B7 J% Q8 A0 Y/ U" ^q2 单选题 选 sourse ip add is 0.0.0.00 @0 V& u1 u' ]9 A# F6 s
q3 sw1-sw3
, l3 {8 i [( x( Q+ \, C黑客攻击:
3 i; v7 H% a+ L( H X抓包信息看tcp三次握手信息,判断10.1.1.2是受害者,10.1.1.1是黑客
# e& B: P- f% k' F; ?1 mq1:8选4
5 Z0 x6 r9 S; @; G1)TCP connection to 10.1.1.12 t. y) ?; `3 y' ?
2)script downloaded from 10.1.1.1 & M/ W1 q8 D/ ^+ v e ]% t4 S! G
3)hacker from a remote host to 10.1.1.2 on port 1337
( x2 M0 [% c! V' N1 v4)ransomware installed by backdoor 8 Q/ r, }; {/ |0 I% D5 ~. y. X6 P+ Z
q2: sudo poweroff
. I N2 h2 R G( |q3: Tclsh http://10.1.1.1.xx.tcl* L( y! D* D$ {4 N6 D
这题我有点小纠结,因为有个类似的选项:http://10.1.1.2.xx.tcl.7 u7 E' p8 _! \7 c* Z. d
% x/ V$ {# d0 C
H2+:
/ U- G) N8 _" ^1)这里我要重点说一下L2的问题,考前一直听说考场H2+的L2存在大bug,多人碰到做完bund,vlan173,184会down,很多人是通过no掉spanning的一些配置来解决的,这样做的结果只能是fail,而且最后反映的L2的得分都很低。考前我对L2的问题也很犯悚,因为不知道为什么会这样,自己在模拟器一直没这种情况。幸亏考前我们在机构版本室再现了这个问题,SW3和SW5做完bund,直接出接口errdisable的信息,errdisable的原因是bgduguard。我们拉来机构老师一起分析,推测原因是:在定义channel-group的时候,在某些IOS版本里,portchannel35和portchannel46没有继承物理链路的中继配置(swi mode trunk),默认还是access,如果SW3和SW5不是相同的版本,就会出现一侧(SW3)是trunk, 一侧(SW5)是% ~; E$ \0 i; M4 y6 P. H! E
access,这时bpduguard就会起作用了,SW3一发bpdu,SW5的接口就会errdisable,造成vlan173起不来的现象。' f1 i y& T4 L+ V8 v
解决办法:0 I h8 `; Q; ^( ^' c
在SW3和SW5建portchannel时,两边都把物理接口shutdown,建好portchannel后,确认portchannel的配置是否和物理链路一致,都是trunk,如果portchannel里配置是空的,配上swi tr en do/swi mo tr,之后再把两边接口no shut。
$ V2 |" G* C/ U( u( j, z考场我就是这么做的,没有出任何问题,当然我也是步步小心,整个L2花了我40分钟时间。
8 I0 b, h/ [& C! b& C3 s7 A2)R17/R19/R20/R21的vrf解法,我就不说了,各机构都有,唯一区别的是有的机构解法里,没有配area 51 stub,理由是要传10.2.0.0/16汇总到area 51。其实配了area 51 stub,也能传,只是R17不能配成stub no-summary。另外提醒一下,配完tunnel以后,R19/R20/R20都把对方的路由前缀trace几次,确保只有1跳,不经过hub,路由表的相应前缀前会多一个%。
$ L2 c; _. R. e$ J7 V: T! q3)OSPF的配置没什么说的,DC区域没有预配,不能用network,不能有2类LSA;其他几个65002区域,OSPF预配都有,只需要在SW1,SW2里passive掉vlan100(题目没要求,属于优化配置)/ y2 `2 `* J+ D, ]/ {% S, ^) g1 R$ B/ L
4)EIGRP要用64bit命名方式,要解决L052(bandwidth 1K)进路由表的问题,没有限制刷K值还是改rib-scale,推荐用rib-scale,因为用rib-scale=153,出来的metic和现象图里一模一样。* I4 C) e5 K% g, D( z( f8 U% a
5)BGP CE配置,R15/R16汇总10.0.0.0/8,并要下发默认到PE,我用的是network 0.0.0.0。重分布要注意,OSPF重分布到BGP时,用redistribute ospf 1就可以了,后面什么也别跟,他的作用就是在bgp里产生明细,使汇总生效就可以了。R11/R12/R13/R14和老版本一样。验证时要注意,现象图里的as号是65001 65002,不是原来的65001 65001。说明以前通过as-override的方式不行了,要在CE上配nei XXX allowas-in。
6 p& n! a# a N, `6)BGP PE配置,防环没限制方式,用SOO最简单
2 i% X- [, S( ~& ]7)R9和R10的防环,有一堆限制,用distance ospf ext 171可以实现$ g9 i6 Z4 Q4 T7 i/ b
8)重点来了,R18和R57之间的后门,我仔细看了几遍需求,agg+summary only是明确的,但没有说只能放一条前缀到对端,理论上用反抑制列表和路由拆分都可以。推荐用路由拆分,防止需求理解错了。这里推荐做个优化:R18 BGP重分布到OSPF时,做个过滤,只放2个前缀过去:172.0.0.0/8和172.18.1.0/24;同理R57上BGP重分布到EIGRP时,只放2个前缀过去:10.0.0.0/8和10.2.100.0/24;我在配完所有配置,检查现象的时候,发现一个奇怪的问题,R18收到了R57回传的10.0.0.0/8,因为这条路由比不过R18汇总产生的10.0.0.0/8,也不影响现象,我因为时间有点紧张,就没有再做优化。建议有时间还是做个优化比较好。! {/ n1 ^8 l& X; n" Z a
9)R55/R56也是容易犯错的地方,单纯实现题目的需求不难,但要实现题目隐含的后门需求,还是要做一番优化的。首先要把10.0.0.0/8的路由过滤掉,不能回传给PE;其次172.0.0.0/8这条路由,要看需求,最早的变种只是要求不能在R55/R56做汇总,那时是可以放172.0.0.0/8到PE,并传给DC区域,这样在DC区域要做的优化是在R15/R16上改OSPF的重分布type为OE1,以达到DC区域优选R15/R16方向的172.0.0.0/8的目的;现在新的需求是,不允许把172.0.0.0/8传到PE,这样势必要把172.0.0.0/8这条路由也过滤掉,同时把172.0.0.0/8 le 32这段的明细都下放给PE,并传到DC区域,这样在DC区域要做的优化就变了,要在R18上改OSPF的重分布type为OE1,以达到DC区域访问172.18.1.0/24优选R18的后门链路;其他还有172.17.x.x的路由,经过双点双向重分布,也要防止回传给PE;过滤的方法有很多种,要理解它们的不同点,比如可以在eigrp重分布到bgp的时候过滤,也可以在nei PE后面加过滤,但对这个场景,必须在重分布的时候过滤,我这里不说原因,备考的同学自己要想明白为什么,我说一下在nei PE后门加过滤的现象:SW10的10.0.0.0/8路由,刚开始是优选R55/R56方向(这是正确的方向),过段时间就会变成优选R57方向。SW10重启SVI口后,会短暂恢复到优选R55/R56方向,之后还是会回到R57方向。
# l: @4 T& R1 u3 o _关于SW10的10.0.0.0/8路由,要实现优选R55/R56方向,最简单的方法是R57重分布的时候设置的K值,与R55/R56重分布的时候设置的K值,完全一样。因为SW10与R55/R56之间是SVI接口,和R57之间是eth口,SVI接口本身就比eth口的delay小,在K值设置相同的情况下,自然就会优选R55/R56方向。* j' X) n) ~/ s5 M9 i* x- C9 Y
10)做完以上配置,路由互通就差不多完成了,接着就是验证路由是否与现象图完全一致:1 y/ ~* s6 H5 @; R
a. R101 trace 172.18.1.254
g* e% v: V; C$ z# f9 u$ X==>走后门
8 a. ~1 V5 N. a; R4 o, mb. R101 trace 172.18.2.2545 g( e) K! }0 Z$ ~, `7 |
==>走MPLS区域# c) P1 |6 f7 j* e) J; {5 I2 }* X
c. SW10带源trace 10.2.100.1002 e' M6 W4 \2 _" P) \& w8 X8 \7 N+ }
==>走后门" r$ `( }5 Z4 u7 y# A& f
d. SW10 trace 10.2.101.253; U1 b7 J0 C: ^+ S" e' t" N0 _
==>走MPLS区域,全负载,但只走R3,不走R4(意味着不需要在R50/R51配maxpath ibgp 2)。如果碰到第3跳开始不负载,有两个方法解决:一个是在R50/R51的e0/0配:ip load-share per-packet;还有一个是在R50/R51的e0/1上配:no ip route-cache cef;两个方法任选一个都行。如果配了这两条还不负载,不要怀疑方法,一定是路由有问题。我考场就碰到了,当时立马有点头晕,冷静下来考虑是不是有条路本身就不通,看trace的路径,走的是R10,把R10的e0/1断开再trace,果然不通了。因为考场有预配mpls,我就没配,检查了几台设备的mpls配置,觉得很花时间,索性把所有设备的mpls重新刷了一遍。刷完就通了,负载现象也出来了。强烈推荐mpls即使有预配也全部重新刷一遍。
: [8 a2 @5 K# U. R# W- Je. SW1/SW2 trace 10.2.100.100* k, X* y+ U# l0 f3 ~7 i
==>走mpls区域,全负载,一条路径走R3,一条路径走R4,不需要做任何配置,这个选路是BGP选路原则第8条起作用,所以配maxpath是不起作用的。不负载一定是BGP配的有问题。4 Z W1 Z3 Z7 M" w+ i
11)最后验证后门切换,R18上断开e0/0接口,把上面的a,b,c,d再跑一遍。都要能跑通,走MPLS。我在平时练的时候,这个切换要花2分钟以上,丢十几个包后才通。考场不知道为什么,切换极快,丢几个包就通了。没有时间细究到底什么原因。反倒是切换回来挺花时间的,好像路由拆分要花一段时间路由明细才出来。
3 T! D1 J h$ K12)组播要注意一点,因为题目要求R19带source e0/1 ping组播地址,这时候R19就不是源了,而是最后一跳路由器,所以所有的组播配置都要在R19上配。这和H2不同,H2是明确要求SW3没有任何组播配置,但能ping通组播地址,这是因为SW3没有带source ping。
! C+ P& K2 ^4 X# `7 K, ^1 ?) j13)其他的ipv6和feature就没什么说的了,有些需求的小变化,解起来不难。5 t" o; C: y7 q% e3 b1 V( n
14)最后提一点,我在平时练习的时候就发现,只要同时配了HSRPv6和DHCP snooping,R101就ping不出去了(地址还是能拿到),SW3同时也会变的很不稳定。我在考场的时候也担心出现这个问题,所以我一直没配DHCP snooping,把所有配置都验证完以后,才配的DHCP snooping,结果果然拿到地址后ping 8.8.8.8就开始丢包了,5个包丢了3个。接着SW3就出现TRC=XX这类平时我们认为模拟器挂了的信息。看来正如题目要求的,需要解决广播风暴的问题。这个好像我还没看到有好的解决方案,只在SW6上的e1/0上配了一条ip dhcp snooping limit rate 10,但显然没起什么作用。幸好SW3 reload以后,所有路由都恢复了,还顺便验证了一把track的配置。此时还剩半个小时,赶紧花了十几分钟用SW4和所有站点都验证了一遍路由,没问题就赶紧交卷了。
0 {4 G0 Z, L: P$ q' a' z8 h
3 e( {' \6 S2 W7 A6 S9 [ 这次能顺利通过,需要感谢的人很多,机构的老师,一起备考的同学,各位无私分享的群友,等等,还要感谢考官,没怎么tr我,貌似就是shut down了我几个接口,还让我们提前10分钟进入考场进行考试。所以建议备考的同学当天最好提前半小时到场,能提前考试总是有帮助的。( R; B8 }+ J8 E% {0 c/ o; m& s9 V
|
评分
-
查看全部评分
|