战报-28日--BJ

ny3259

地点：BJ

TS2  +  K1

PASS

感谢生哥、发哥、凯子；没有你们绞尽脑汁的trouble 就没有我的号码，谢谢！

感谢群攻默默、嘟嘟嘟；还有27号在BJ考过的哥们，27号晚上给我的战报很新鲜，虽然最终考的是K1，但还是非常感谢！

下面说下考试情况：

LAB

K1 需求稳定，没什么好说的；

考试时需求给的拓扑很详细，包括接口号、接口地址、掩码、所属VLAN等等

考试时OSPF的进程号说可以随便，但是EIGRP得进程号要求预rack号统一，还有一个EIGRP100。

预配错误：VTP 域名、密码；还有就是SW2的F0/10下的switch backup ，删掉就好了

之前说的trunk下的配置错误没有了，但是还是注意点比较好

Frank现在也不怎么tr人，感觉他一天都挺忙的；不过可以看得出来，这个人要是想tr人的话，应该会特别狠，看着就很严厉的样子……

TS2

TS2也稳定，没有什么变化；下面是TS2故障点总结

红字是我考试时的情况

1、BGP选路

a、一条指令，在R27上使用weight

================================================================================

2、Virtual-link authentication  OSPF路由器接受不到路由条目

a、检查virtual-link 的Router-ID 有没有指错

b、检查virtual-link有没有配置认证；

   虚链路的认证是建立在area0 的认证基础之上的，所以要配置虚链路认证必须先配置area 0 的认证。

c、检查OSPF的区域认证配置；

d、检查OSPF的接口认证配置

☆☆☆☆详细了解OSPF的各种认证配置

OSPF 的认证包括三个部分：

1、接口认证：

a、明文认证

b、MD5认证

2、区域认证：

a、接口下不做配置的明文认证；

b、接口下做配置密码的明文认证；

c、接口下不做配置的MD5认证；

d、接口下配置密码的MD5认证；

3、虚链路认证：

虚链路认证是建立在 area 0 的认证基础之上的，要开启虚链路的认证，必须先开启area 0 的认证。

area 0 的认证和OSPF的区域认证一样配置；

再加上虚链路认证的指令：

area x virtual-link 10.0.0.2 authentication message-digest-key 1 md5 cisco

area x为虚链路的中转区域

（把上面的OSPF认证搞清楚就肯定没问题了；我考时是：router-id配置错误，还有一个路由器上的area0 认证没配；OSPF认证理解了就很简单；顺便说一下：TS2里面的所有OSPF都配置了认证，包括接口认证，和区域认证！但是其他的都不在需求范围内，我也就没管他是对是错）

================================================================================

3、SSH 题目要求使用2009端口访问

☆☆☆☆详细了解SSH的配置

1、定义用户名

username cisco password cisco

2、定义域名

ip domain-name ccie.com

3、生成密钥

crypto key generate rsa generate-keys

4、开启SSH

ip ssh port 2009 ratory 1

5、在line vty 0 4 下应用SSH

line vty 0 4

transport input ssh

rotary 1

login local / login authentication xxxx(AAA定义的认证)

按照需求配置完了从R7上测试一下就可以了；AAA部分可以不用管，端口号配上，在vty下写上rotary就可以了

================================================================================

4、MPPE  

a、查看接口配置，将MPPE接口两边都配置成stateful

战报的配置是：

一台路由器的接口是 ppp encryption mppe 40 required stateful

        另一台的几口配置是 ppp encryption mppe 40 passvie stateful

☆☆☆☆b、如果题目有需求要配置认证的话，那接口下就要配置ppp authen ms-chap；并且需要注意username xxxx  password xxxx配置是否正确

（我考时不需要配置认证）

================================================================================

5、OSPF邻居关系

a、FR配置错误导致；

b、FR封装格式

c、lmi-type 封装格式

d、FRSW接口frame-relay intf dce 没配

e、FRSW接口clock rate没配

f、FRSW 接口frame-relay route 没配

  g、还要注意FRSW上有可能连frame-relay switching都没配

h、注意接口的类型 ip ospf network-type broadcast

（我考时是FRSW上的错误，具体不记得了；上面列出的点搞明白肯定没问题）

================================================================================

6、EIGRP邻居关系

a、 同上

（我考试时是FRSW上的错误，一个是接口没有fram intf dce，一个是接口下压根没做配置；全局下的fram swi也没配）

================================================================================

7、EIGRP负载均衡

a、路径上的路由器接口下的delay

b、variance值也会影响到EIGRP 的负载均衡

c、router eigrp 100

maximum-path 1

如果eigrp得maximum-path的值设置为1的话，也不会有负载均衡的！

Delay

================================================================================

8、multicast

a、相应接口下的 ip pim spare-mode （题目拓扑给的是spae-mode但是实际所有的接口都配置的spae-dense-mode，所以全部要改）

b、scope 15

c、对应的group-list 匹配的地址是否正确；RR-list是否正确

d、删掉某台路由器上的deny x.x.x.x

================================================================================

9、SNMP

a、snmp-server trap-source lo0

b、在要求的接口下输入snmp trap link-status

☆☆☆☆c、在全局模式下腰输入snmp-ser enable traps snmp linkup linkdown

（我考试时只要求接口down时发送SNMP信息，所以在SNMP的配置中只有

snmp-ser enable traps snmp linkdown）

☆☆☆☆开debug 验证

================================================================================

10、remark 和TS1中的一题很象

a、检查感兴趣数据流是否匹配正确，即ACL匹配是否正确

b、class-map 的match-all还是match-any；并且是否匹配了正确的IPP

c、policy-map中set的precedence是否正确

d、policy配置在正确的路由器上和正确的接口上

e、policy在接口上的应用方向

可以这样验证：在源路由器上用扩展ping 设定目的、源并设定ping100个包，然后再最后的那个接收路由器上使用show ip policy-map  interface来查看是否match 得包个数也是100个。

☆☆☆☆验证，从源ping目的。

现在的具体需求是要求R24 loopback 0 去往R3 loopback 0 的流量在经过EIGRP区域时precendence 为1 ，在经过OSPF区域时precendence 为 5 ，在到达BGP100时，要求precendence变为6；policy都是在区域边界路由器上做的，注意题目所要求的precendence值可能会有所变化。（这题是之前香港的战报；我考试时是：数据流在EIGRP区域要求设定一个precendence，在OSPF的area2和area0的precendence要求为5，在OSPF area3要求precendence为6；这部分OSPF的区域划分和我们的TS2拓扑有点不同，但是不用担心，设置precendence就那几条指令）

================================================================================

11、privilege

a、题目需求是某账户进入路由器不能使用config terminal/show run指令要求修改使其能够使用

   配置如下：

☆☆☆☆   privilege exec level 2 show running-config

   如果题目要求加入多个可以使用的指令的并且要求使用一条指令实现的话就直接采用b 方法

b、有可能题目要求同时可以使用show run 和 config t 但是有要求只能使用一条指令实现，那就作如下修改：

  username cisco privilege 15 password cisco

（要求一条指令搞定）

光光-Fox

JamesSmith001

JamesSmith001

111111111111111111111111

JamesSmith001

111111

ycyingcai

从前辈的帖子这里吸吸运气，自己会加油的