TS1 DIAG3 H2 总体感受 11/22号7点半到考场,已经有很多人在等了.今天考的人真的很多,都坐满了,最起码有10个.考试前上了个洗手间回来发现大家都已经进考场了,考官确认好身份信息后,就直奔自己的座位去了.都没有发现可以拿笔,有笔的话可以在草稿纸上记录些信息,比记在text里面方便.因为配置的时候会开很多窗口,而且还有点卡,在text文本里面不是很方便.这次好像抽到H2和H2+的比较多,应该也有H3的,光顾着自己敲没注意.但是有2 3个人,一走就走了,我觉得应该是抽到新题了.我运气比较好,抽到了H2. TS是TS1总体不难,不过由于自己比较紧张,第一题愣是10分钟没排出来,没办法只能先skip了.之后比较顺利一直排到第7题,上来写把R15 tun0口没有敲 no ip next-hop-selfeigrp 200这个问题秒了,但是之后发现R19的DMVPN不通,查了半天看不出问题,最后发现authentication key的第一个字母需要大写,花了不少时间.DMVPN搞定后,发现R107ping R106还是不通,调查半天发现R19上有acl,需要添加permit icmp any any.之后排到第8题,发现R7,R8的nat有问题,R7,R8上有一个子接口的IBGP没有配置,配置好后,从R104和R105 trace现象都是一致的,但是如果把R3的e1/0 down掉,R104 trace R105不通,R105 trace 8.8.8.8也不通.排了半天搞不定,只好先放着skip.后面2题比较顺利.看时间花了110分钟,额外的半小时肯定要用了.回过头排第一题,总算发现SW2有port-security的静态MAC地址绑定,改成R101的e0/0的mac,总算可以获取到IP了.接着继续排第8题,试了各种可能.结果发现R6没有和R3,R4,R5建立BGP的vpnv4邻居,调查完,邻居配置好,只剩下2分钟,就直接等交卷了. 诊断是DIAG3,DCHP Snooping和黑客攻击,了解原理,不难. Lab是H2,和平时敲的除了组播没什么太大区别.组播只需要在R19,R20,R21和R17上敲,SW3上明确要求不能启用PIM.由于不是很熟,版本敲完只剩下40分钟了,从后往前进行检查,检查的时候发现IPv6的OSPF漏敲了,难怪IPv6的HSRP一直不出现象.IPv6的OSPF敲完,IPv6的HSRP现象就出了.全部检查完还剩下10分钟,就没有提前交卷了,最终4:10结束考试. TS1: 1. 二层&DHCP) a. SW2上有静态MAC地址绑定switchport port-securitymac-address aabb.cc00.1d00,mac地址和USER e0/0的mac地址不一致 b. R8上DHCP的client-idenfier的mac地址不对 2. PPP) a. R17上缺少ppp ipcp route default 3. OSPF) a. R21还是R22上134.56.78.48的mask不对,应该是29位的mask有一台上配置的mask是30位的.这题在R1上可以看到/29和/30两条134.56.78.48的路由. 4. EIGRP) a. 都没有metricweight 0 1 1 1 1 1 b. R14的e1/0(连R13的口)配置成了passive interface. 5. BGP) a. R22缺少bgp next-hop self,其它都不需要改 6. DMVPN)这是4分的大题 a. R19上有acl 需要permit icmp any any b. R15缺少tun0没有配置no ip next-hop-self eigrp200 c. R19上ip nhrp authentication的key不对,key的第一个字母需要大写 d. 好像R20上没有把200.100.3.129/25网段放进EIGRP 7. IPv6) a. R25上network的路由是network2001:CC1E:BEEF:25::1/128,需要改为network2001:CC1E:BEEF:25::/64,其它不需要改 8. MPLS) a. R7和R8上nat有问题,缺少inside关键字 b. R7没有和R3在建立EBGP邻居(两个子接口一个建了,一个没有,具体记不清楚了) c. R4没有和R3,R5,R6建立vpnv4邻居,这题有点坑,R3,R5和R6也没有和R4建vpnv4邻居,所以ship bgp all sum的时候看都是正常的,容易忽视. · R8上做agg的时候有as-set关键字,R7上没有.有的战报上说要把as-set去掉,我测试下来,去掉后从R104 ping 8.8.8.8走R7的时候路由就不通了.所以感觉不能把as-set去掉. 9. DMVPN+NAT) a. R24上crypto ipsec transform-set配置的是modetunnel需要改成mode transport 10.NAT+DNS) a. R24的e0/0 secendary IP和R108的IP冲突,需要No掉 b. R21上需要敲上ip domain lookup DIAG3 1. DHCPSnooping a. 查看抓到的包,找第一个dhcp discover包,我的是第133号包 b. 问在哪台上通过什么命令可以知道问题所在,选dhcprelay server.我考的时候SW1是relay server,SW3是snoop server,不过可能会互换.反正要记住是选dhcp relay server.命令是sh ip dhcp relay information trusted-sources c. 选SW3和SW1之间那条线,这个是固定的 2. 黑客攻击 a. 通过抓到的包确定谁是受害者,谁是黑客,9选4,排除法 b. sudo power off H2 1. L2) a. 二层接口默认都是在vlan999,并且是shutdown的,所以我们要做的就是根据二层拓扑,把接口划出来,并且no sh.不需要根据VLANmapping一个个对照,这样很费时间,也没有必要. b. PPPoE,我做的时候R20一直无法获取IP,最后我是通过no int dia1之后重新配置int dia1解决的. c. 我做的时候做portchannel的时候没有遇到errdisable的问题 2. L3) a. OSPF是常规配置,就是R19,R20和R21上不能有除了默认外其它的3类LSA,这就需要在R17上配置area 51 stub no-summary,配置了这条命令后R17会自动下发一条默认路由给R19,R20和R21. b. EIGRP R52上要重分布Loopback52,R50,R51,R52要给路由打tag 172.172.172.172 c. R15,R16上重分布ospf到bgp的时候不带external.这样在R11上ship bgp 10.2.0.0 就和题目要求一模一样. d. 所有PE上要配置as-override和soo e. 通过route-map使用tag172.172.172.172在R9和R10上防环 f. R18和R57之间建立EBGP,做agg,并把BGP重分布进IGP g. R55,R56,R58重分布EIGRP到BGP,重分布BGP的默认到EIGRP.R55,R56重分布EIGRP到BGP的时候可以用现成的route-mapEIGRP. h. 改R51的local-preference确保trace的时候优先走R51 i. 配置ipv6的OSPF,我做的时候把这一节漏了,所以后面ipv6 hsrp一直出不了现象.后面检查的时候配置好IPv6的OSPF后现象就出了. j. 组播,只需要在R19,R20,R21和R17上配置,题目明确给出的需求是SW3上不能配置PIM 3. VPN) a. 没什么特殊的,在敲L3的时候已经cover了,就是DC区域接收所有的路由,其它site之间相互不接收. 4. Security) a. 看被人的战报一直提到配置完dhcpsnooping可能会导致SW3挂掉.我这边运气比较好,没有出问题.我看题目上好像有说明为什么配置了DHCPsnooping后会出问题. 5. Feature) a. R17的e0/0配置ip nat outside后会卡好长一段时间,其它没什么. 此次考试能够通过真的是很幸运,没有抽到K3,虽然时间很紧,但还是能在规定的时间内把TS和LAB敲完.要感谢很多人,机构的老师,前辈的指导,还有一起备考的同学.机构的老师和前辈给了很多的指导,节省了很多准备的时间. 和一起备考的同学讨论,整理了解题的思路,这样才能在规定的时间内完成TS. $ B0 M8 c: Y# v: k) ^' P
|