29/OCT 300-135 香港 939 過

ahbee

首先講變化

MCQ 多了一條新題, 從沒見過, 即使我連舊題都有溫習, 那條是有一個圖, tunnel 已實施了vrf management

而圖裏有很多 ip , loopback, tunnel connect 資料

問題係話個tunnel 連唔到, 答案有五個

呢條亦係取代了 tunnel vrf management should be added to the tunnel config, 因為呢條新題根本就係個 vrf management 的問題

答案部份唔記得太清楚, 大約係Add loopback , 無route 去 tunnel 仲有其它唔知什麼來的

我答了 無 route 去 tunnel destination , 錯了 = ="

0 p1 W- ^1 q3 f. y6 Y( M8 i

另外, 題目永遠只有一個問法就係IPv4 的題目, 即使條問題係答 IPv6

第三條考試就遇到, 起手ping 10.1.1.1 通, 但完全沒有找到R1 錯, 當時就慌了, 難度有新題?

還好心想, c1 ping webserver 竟然通 = =" 那我要Shoot 什麼, 看了十多遍題目都是 ipv4 , 果斷去檢查IPv6 查到R4 才找到IPv6 的錯處

但被嚇一嚇多花十分鐘反覆檢查, 還好TT我已熟到做夢都答得出來 "註: 沒新題的話"

變化主要就這兩個, 另外附上我應考時自己準備的TT流程連解答 (註: 我也是集合各位的大成 尤其以 9.28 神圖為基礎, 再加入自己的理解, 這個版本已是考完後略為修整一下, 相信沒改TT題的情況下, 是很足夠應付了)

1 B# b9 h  S, i8 G$ [. j2 m

另外我自己應考第一題時, 就先將TT18 簡單排程寫出來, 然後在第一題時, 找到錯處也沒有馬上答題

我走遍了其它的器材, 輸入 sh vlan brief , sh mac address-table , sh ip xxx neighbor 等等等指令

另外 sh run 也注意其它器材, 在其它題目的錯誤點, 這動作是應証指令有沒有效, 有效時的輸出會是什麼

這也是我用來確定, 我做下一題時, 只要輸入這些指令, 結果是對應到我排程時想要的結果

如: ASW1 sh vlan brief , 正常 Fa1/0/1-2 是 vlan 10 , 在第一道題時, 並不是 Access Vlan 那條, 所以我真的見到 Fa1/0/1-2 是 vlan 10

到做到 Access Vlan , 輸入 sh vlan brief 已見到 Fa1/0/1-2 是在預設的 Vlan 1 , 再sh run 覆驗, 這樣就不擔心會做錯

, b% _- D; h' w7 S2 k0 c# Q2 j

TT 考的 12 道題跟其它人說的一樣沒變

R1 IP Nat inside , IPv4Layer3 Security, OSPF Routing

R4 EIGRP Redistribution , Routing "Passive Interface"

ASW1 Access Vlan , Swith-to-Switch Connectivity

DSW1 Vlan ACL/ Port ACL "Vlan Filter" , DHCP IP Helper

IPV6 R2,R3,R4

Client 1 ping 10.1.1.1 OK

sh ip bpg neighbor 有的話就係 ip nat 果兩條, 無就係 BGP , IPv4 Layer3 Security

R1	BGP	(Wrong BGP Neighbor IP Address) sh ip bgp neighbor 會顯示 no  neighbor , sh ip bgp route 無任何 bgp route, c1 可能可以  ping 通 209.65.200.226 但 ping  唔通  web-server (題外話, bgp 夾腳方法是係對接的interface  度打對面的  ip address 同埋屬於的as)
R1	IP NAT	“呢題同 T17 都係 IP  NAT 問題, 同埋呢題應該唔考,  不過考都無難度,  呢題個問題係  nat 的 access list 少左  10.2.0.0 呢個network, 所以正常係  DSW1,2 同埋其它Router 都應該可以直接ping  通  web-server, 如果係咁就必然係呢題" ip access-list  standard_nat_traffic 發覺少了 10.2.0.0 0.0.255.255 所以client  1,2 攞10.2.x.x 會ping 唔到
R1	IP NAT	"sh run 會見到連接 R2 的  interface s0/0/0.12 下面會見到 ip nat outside 而按照TT圖  s0/0/0.12 係連去R2 所以正常應該係  ip nat inside,  而題目就將佢設成  ip nat outside 正常應該係 s0/0/0/1 先係 ip  nat outside
R1	IPv4 Layer3 Security	(ACL) "sh run check interface s0/0/0/1 按TT圖,  駁出去BGP個interface  , 會有 ip access-list edge_security 少了  permit ip 209.65.200.224 0.0.0.3" , 雖然佢同 Wrong BGP 一樣會無  neighbor 但問題係, 佢雖然有放web-server  但就無放到同屬的  209.65.200.224 0.0.0.3 呢個網段, 導致BGP  Packet 被閘左, 無法建立BGP  Neighbor

Client 1 ping 10.1.1.2 OK

R1

IPv4 OSPF Routing

(OSPF Authentication) R1,R2 sh run , 會見到 R2  有  ip ospf authenication message-digest, 而 R1 係沒有呢句,  而且係Router  1 sh ip ospf , 同埋 neighbor 係無任何  ospf route 同 neighbor, 主要原因睇返  sh run R1,R2 連接的 interface "可以睇s0/0/0/0.12  R1並沒有 ip ospf authenication  message-digest 而R2果邊有, 這也是解釋了點解  c1 ping 唔到 10.1.1.1 但 ping  到  10.1.1.2

Client 1 ping R4 not work but ping gateway 10.2.1.254 ok

"可以通過 sh ip eigrp nighbor 判斷是邊條,如果有Neighbor則會係EGIGRP Redistribution, 無 Neighbor 則會係另外兩條"

R4	IPv4 EIGRP Routing	錯AS No. "按 TT圖,  DSW1,2 係行EIGRP 10 , 而 R4 係設左做1,  考試可以  sh run DSW1,2 驗證一下eigrp as no. 不過呢題基本上唔考
R4	IPv4 EIGRP Redistribution	"用 sh run 會見到係  router eigrp 10 下面有做 redistribute ospf 1 metric 100  10 255 1 1500 route-map OSPF->EIGRP, 做redistribute ospf 而且有落  route-map, 但再往下看時, 會發覺route-map  後面的Route-map  名係錯/或者無呢個名,  考試呢題會有大量Route-map  去干擾,  可以先睇下Q3要求我地改的route-map  名,  然後再睇返sh  run 果個route-map 邊個係放  permit 10.0.0.0 同埋 209.0.0.0
R4	IPv4 EIGRP Routing	(EIGRP Passive Interface) 呢題,  sh run 係 router eigrp 10 下面會見到  passive-interface default ,題庫的答案係 Remove "Passive  interface" in interface f0/1 and f0/0 , 但考試實際可能沒呢個答案,  要選呢個  Enable EIGRP on the FastEthernet0/0 and FastEthernet0/1 interface using the  no passive-interface

Client 1 ping R4,Gateway,Ftp not work but C2 work

DSW1

VLan ACL / Port ACL

(Vlan filter) "sh run , Check Vlan filter statement" vlan  filter這一題選擇DSW1之後，第二選擇錯誤類型，需要點擊右側滑下來找到vlan  acl/port acl，vlan filter的配置在show  run裡上面，配置可以找到vlan filter test1  vlan-list 10的，需要no vlan filter test1 vlan-list  10, 因為 acl 10 的  permit 10.2.1.3 正正係 Client1 IP

DSW1 IP DHCP Helper (這個可能極較大, 因為新題而且很多人都有遇到)

DSW1

IP DHCP IP-Helper

"sh run, 於 vlan 10 下面 檢查 ip helper-address 10.2.21.129 , 如果係  10.2.x.x 好大機會係呢題, 因為其它題目的 sh run 見到 ip  helper-address 係 10.1.21.129 而唔係10.2開頭的,  但亦可以用R1去驗,  正常IP  Helper-address 係指R4 個Loopback  IP "TT圖有寫DHCP係  R4" R1正常係可以ping 通正確的  helper address, 所以答到Q3時, 答案要求將helper  address 由 10.2.21.129 轉成另一個  10.1.x.x Address時, 用R1去ping  答案個Address係ping  得通的,  ping 得通就一定係呢條    Helper-Address 10.2 係錯的原因, 按圖 DHCP係R4  , 而R4 只會係10.1.x.x    10.2.x.x 只會係C1,C2, FTP Server       注意: 配置會很像PortSecurity  那題,  同樣在ASW1  Fa1/0/1-2 有落 Port-Security 但check  mac address-table 同埋 sh int fa1/0/1 brief 佢端口係應該要正常的,  如果ASW1  的Fa1/0/1  mac address 正常, 端口無被封,  就應該檢查DSW1  的  ip-helper address “尤其唔肯定係PortSecurity  或  IP Helper, 優先以 IP Helper 排錯”

Client 1 ping R4,Gateway,Ftp,C2 not work

先檢查 ASW1 有無找到ASW1 的三個錯誤分別係

主要使用 sh vlan brief, sh macaddress-table

"另外 sh vlan brief , 正常會列出端口被分配到那個vlan如果ASW1 Fa1/0/1-2 並沒係 vlan10 基本上就係錯 Access Vlan, 反之係 Vlan10 就錯係Trunk Allow 10,200, no shut, 但也有可能係 PortSecurity 不過好大機會唔考,而且PortSecuirty 的出現同 DHCP IP-Helper 會好似, 都落左 portsecurity 的 statement"

ASW1	Port Security	Port Security "sh mac address-table" sh run 集中檢查  interface Fa1/0/1,2 有無落 switchport port-security 按  TT圖 ASW1 Fa1/0/1-2 係連R4 的,  正常用  sh mac address-table 係應該無bind 到 用    Q3 interface range fa1/0/1-2 , no switchport security, shutdown, no  shutdown
ASW1	Access Vlan	(SwitchPort Vlan) "sh vlan, OK" "sh run 檢查  int Fa1/0/1 Fa1/0/2 有沒有 assign vlan , 只有  switchport mode access 而下面並沒有 switchport access vlan 10 又或打錯  switchport access vlan 1 就係呢題, 即係只要check  到  ASW1 fa1/0/1-2 的端口唔係屬於 vlan 10 就係呢題"
ASW1	Switch to Switch Connectivity	(SwitchPort Trunk) "sh run 主力檢查 inteface  portchannel13,23 睇下佢的 switchport trunk allowed vlan 號碼係唔係10,200  只要唔係  10,200 而且見到Fa1/0/1 有落到  swithport access vlan 10 就係呢一題, switchport trunk這題有小改動，發現ASW1的f0/1口配置下有shutdown，第三選擇還要加上followed  by f0/1 no shutdown，不難發現, 另外  switchport trunk allow 題庫寫要放10,200 按L2 TT圖, EtherChannel 13,23 係屬於vlan  10同200的 , 另外題庫寫係 allow vlan1-9 考過的人係sh  run 會見到係 allow vlan 20,200

5 {! f' K5 j4 s  V# C: x/ T4 {

If not ASW1 3 questions then check R4 DHCP

R4

DHCP

"因為DHCP設定了  1-253 都唔派Address, sh run 見到 ip  dhcp excluded-address 10.2.1.1 10.2.1.253 , 唔知考試打  sh ip dhcp bind 有無用, 呢個command  用來睇dhcp  bind 左邊d mac address 比邊d  mac address, 但考試唔知有無得用, 正常用到的話,  唔會見到佢識派  10.2.1.x 出去, 因為被excluded  晒

最後題目直接有寫HSRP問題的, 就只會得一條HSRP題目會寫DSW1做唔到ActiveRouter

DSW1

HSRP

答案係 standby 10 track 1 dec 60 改成  standby 10 track 10 dec 60, 由track 1 改成  track 10

IPv6 三條"必問" cline 1   直接 ping webserver 通, 就一定係 IPv6

IPv6的題粗暴的show run R2,R3,R4，記住關鍵的詞，ipv6ospf 6 area0,tunnel mode ipv6,和剩下的 redistribute rip RIP_ZONE includeconnected

R2	IPv6 OSPF Routing	問題主要R2同R3 的Area  0, R2無將同R3連接的端口宣告做area  0, 按IPv6 TT圖, R2 連去  R3的 ip係  2026::1:1 sh run 搵邊個interface 係落呢個  ip address, 然後睇下呢個interface 有無  ipv6 ospf 6 area 0, 無的話就係呢條, 順便check  埋r3  sh run, 會見對接的ip 2026::1:2 的  interface 有宣告 area 0,  順帶一題ospf 夾腳方法係直接入去interface  然後用  ipv6 ospf 6 area 來宣告呢個端口的area, 並唔係像v4咁係用network  command 夾
R3	IPv4 & IPv6 interoperability	IPv4 and IPv6 interopability "在 R3 show ipv6 ospf neighbor  , 會發覺只有R2 Neighbor 然後主要睇 R3 sh run 後的  Tunnel 部份, 對比 R4 的  Tunnel 部份, 會發覺多了句  tunnel mode ipv6, 就係呢個原因所以令到R3 同 R4 的Tunnel  Mode Mismatch
R4	IPv6 OSPF Routing	IPv6 OSPF Routing (Redistribution 問題) 應證呢部份,  主要係  R4 , R3 show ipv6 route, 會發覺 R4 係有RIP路由,  而R3並沒有,  原因係R4  無做到RIP  Redistribute 去 OSPF v3, under ipv6 router ospf 6  , redistribute rip RIP_ZONE included-connected

見有其它人反映IPv6 的快速定位, 可以試試

於R3
& A8 h7 G3 L5 }& lshow IPv6 ospf neighbor

只有R4， 就是R2問題'

只有R2，就是R3問題

兩個都有， 就是R4問題

祝各位考試順利

Rockyw

恭喜，恭喜

wyang9311

恭喜!

tsunghui

William.H

DT1640759

空空空

s2123213

10.1.1.2 是谁的IP？神图中不是说先PING R4吗？R4：10.1.10啊？

s2123213

很多人说在考试中PING10.1.1.2 ？10.1.1.2 考试中是哪个的IP？R4的IPI不是10.1.1.10吗？如果WEB SERVER 的I不通，不是先PING R4的IP吗？还有DSW1的IP是10.2.1.254吧？

ahbee

s2123213 发表于 2017-10-30 17:54
, w$ g. b+ I" z6 O& P( }7 v8 x很多人说在考试中PING10.1.1.2 ？10.1.1.2 考试中是哪个的IP？R4的IPI不是10.1.1.10吗？如果WEB SERVER 的I ...

; u; F3 W. p: w好吧~ 我就回你一下
* u$ S/ b% z+ S* T1 S7 Q
+ d; @1 g* l$ c6 v' M- f8 q* @; p$ \第一, 你可以看 TT 圖, 有圖的話你就知在ping 什麼
10.1.1.2 就是 R2 對接  R1那個端口, 正因為R1設漏了 ospf authenication , 所以 c1 只可以 ping 到R2 接R1的端口, 而 ping 唔到 R1 10.1.1.1

如果Web Server 唔通, 你是用什麼邏輯去 Ping R4?? c1 能 ping 通最接近web server 的器材, 那就證明中間部份沒錯, 你去 Ping R4 也不會知 R1,2,3 有沒有問題??
8 w0 g, l, i0 F4 G4 d0 E9 a: N由遠到近不是比較好嗎??

DSW1 是網關 Gateway, 你大可以在 c1 打 ipconfig
不就會出現 gateway ip??

TT圖 L2 不是寫了 DSW1 有 10.2.1.1 同 10.2.1.254 嗎??
你其實可以不 ping 254 , 你 ping 10.2.1.1 也有同樣效果喔~~ 只是我個人認為 ping gateway ip
" V1 ]! P: g; E) ]$ m4 q& N5 v才是正確的思想

s2123213

) C4 v+ B; P% c/ s! p

ahbee 发表于 2017-10-30 18:10
好吧~ 我就回你一下

, L: E, v6 ]( _8 v" Z6 }: J  g第一, 你可以看 TT 圖, 有圖的話你就知在ping 什麼

. C, @$ F: }2 F7 d( C# p感谢回复，说几点：1：是的。我也在想为何要PING254.PING10.2.1.1 不也一样？
2。DHCP的题目的确用ipconfig就知道了，获取不到IP就是DCHP或ASW1中端口问题。
, c2 b: \/ z! I/ K( m( `! j5 u: X: b3。就是我一开始问的。按题库中的神图是这样的：WEB SERVER不能 。先PING R4，R4通了就是R1的问题啊。就是我还是不懂为何要PING R2的10.1.1.2？WEB SERVER是通的就是IPV6问题，那就R2,R3,R4一个个的排查。WEB SERVER不通就从R4开始PING起。R4通了就R1问题。不通再PING DSW1的254. 也看OSPF 认证这道目需要PING一下10.1.1.2吧？因为这道题目R1不通但10.1.1.2能通。其它题目应该不需要PING 10.1.1.2吧？

ahbee

s2123213 发表于 2017-10-31 09:42
感谢回复，说几点：1：是的。我也在想为何要PING254.PING10.2.1.1 不也一样？
2。DHCP的题目的确用ipcon ...

1) 其實很多人也說 828的神圖比較難理解, 若按快速定位也難以去背誦
首先, 828神圖並沒有問題, 但如果只針對考試, 828 神圖就不夠容易, 而且828神圖的題號也不對
所以928有用戶說出他自己的快速定位流程, 這也是其它人說的928神圖
我這篇開首已說以928神圖為基礎, 而針對考試, 你看ASW/DSW1加起來的題量是比IPv4少, 所以針對考試的話
會先ping 10.1.1.1 , 10.1.1.2 , 10.2.1.254 之後才檢查Layer2
2 b5 x- Z% `) O: n  C- f# ~但我不排除神圖作者是以現實操作的考量, 因為連Gateway 都ping 唔通的話, 那也不用想後面的連接
而Gateway 唔通往往都是L2問題多過L3, 所以現實排程的話, 是有人偏愛先ping gateway
& D. i: t# M0 j  {
/ I) X) R, X% {8 o2) DHCP 那條並不是用client 1 打 ipconfig 來判斷的, 因為考試的情況是, 即使Client1通唔到DHCP server
- J  h9 Q" a* ]. _% z; y% W$ h' M它都會有有效的ip address, 這也是很多人吐嘈Cisco 為了增加考試難度, 亂來的, 所以很坦白說, 你即使很會路由了, 沒去看神圖的話, 要考合格的話...........

3) 你看我表格的流程, 已是目前我個人認為最快速的流程了, 當中是有很多前人慘烈的敗陣下來獲得的寶貴資訊, 在這也很感謝一眾前人, 無論考過還是沒過都來這留言, 才有這份較完整的流程
+ d0 o9 R. X% _6 R( X1 s1 N6 X
* C) {9 y) O5 w) I變化題的部份, 表格已有解釋, 有的連新答案都有寫了, 其它沒特別寫就一樣

7 _% [% |. I+ O" m3 d快速定位還是
c1 ping webserver 通 ipv6
c1 ping 10.1.1.1 , 10.1.1.2 , 10.2.1.254 , client 2

3) 對的, 只有一題 OSPF Auth. 是 ping 唔通 R1, 但 ping 通R2 的 10.1.1.2 那必然是這題 "如果沒有新題的話"

8 P8 |5 Q9 a9 B" n( Z5 Z& T# x希望能夠幫各位解惑, 剩下的就靠你們自己了

1250chen

楼主，考试过程你有修改设备的配置来验证自己的答案吗？可以这么做吗？对成绩有影响吗？

ahbee

1250chen 发表于 2017-10-31 10:41
% x( h% C  [& J* r5 i  \4 Z楼主，考试过程你有修改设备的配置来验证自己的答案吗？可以这么做吗？对成绩有影响吗？

4 I3 ]6 p5 V( G+ s2 [0 O朋友, 考試你是不可以修改設備的配置來驗証
0 `  Z& `; `, E) y4 D這也是為什麼我做第一道題時, 即已馬上找到了錯處, 也沒有去答
反而是走遍各器材, 輸入 sh ip xxx neighbor , sh vlan brief, sh mac address-table 等等等指令
6 I. g, B5 |4 r$ H+ u5 L0 S( |3 U
  e0 X* p* Y6 e8 y+ U$ n目的是想知道, 如果正常不是那個地方出錯時, 那些指令的結果是否也能正一確顯示
我之前已寫了, 像 Access Vlan 那題, 如果在不是那題出錯的題目, 於ASW1 輸入 sh vlan brief
就真的會見到 fa1/0/1-2 都是 vlan 10

, W' X) @' i! Q9 m5 `. @這個結果是讓我當真的做到 access vlan 時, 再輸入 sh vlan brief
3 u+ K2 F# p9 C+ w5 A真的會見到 fa1/0/1-2 是在 vlan 1 , 這就讓我更加有信心肯定錯處了

, A( [+ k- [. j$ U之前看很多人在L2 被搞混了, 我不排除是因為他們只用 sh run 去看錯處
但考試時, 實際他們也會加入很多配置, 跟別題錯處很像
/ I5 h- t* T, B像Port Security , 同 DHCP IP Helper, 你會發覺ASW1 同樣都有落 port security
. p9 Y1 E- T- U& y但IP Helper , 那題的 mac address 是正確的
輸入 sh mac address-table 會見到有對應到的端口
% Q& m+ z' K- r+ J; `/ |
坦白說, 有很多人都說了現在TT 只考那12道, 如果只針對去溫那12道題的話, 實際反而不會搞混 = ="
起碼 ip nat 你不會選錯, port security 同 ip helper 都唔會錯

我除了遇到新MCQ外, 就真的其它完全一樣, 除了連ipv6 都用 ipv4 題目來問...有夠混
* h& c4 i0 w+ _6 |* O7 e1 F
我應考是, 先快速定位, 然後輸入每個定位的 sh xxx "我表格有寫"
之後已幾乎肯定錯什麼, 最後我才 sh run 去看錯點
0 l9 w' u. z! J
希望幫到大家

1250chen

ahbee 发表于 2017-10-31 10:57
朋友, 考試你是不可以修改設備的配置來驗証
4 `) R; D  J3 L! l這也是為什麼我做第一道題時, 即已馬上找到了錯處, 也沒有去 ...

楼主所的“, 除了連ipv6 都用 ipv4 題目來問...有夠混”的意思是说题目说是IPv4问题 ，但真去找故障点发现IPV4是正常的，即使client可以ping通webserver是吧？然后选择题有新题是吗？最后恭喜楼主高分通过考试