HK 223 Package
前言
备战接近4个月,TS、DIAG、CFG每一套考试前基本都烂熟于心,其中版本
H3、H1+花了最多的时间,H3练进了2个半小时,H1+练进了2个小时(这里推
荐卡神的懒人包,群里有得下载,CFG拼得就是速度,后面可以有更多的时间检
查错误)。TS有熟练的排错思路,1个小时内能排查全部错点。DIAG熟悉辨别每
一套,懂得怎么抓包,怎么辨别攻击者和服务器。
本次香港考试抽到的套餐是:223
TS2:
上来就秒错点,群里的TS错题库非常稳定,30分钟内解决,1个小时交卷。
考场中有些题目有明确多少个错点的,…………………
Q1:SW400/401no10,no30
R40dhcp租期lease020,no掉
user4pingR40时断时续,SW400:nopassvlan2000
Q2:SW111e1/2口cost值是9,no掉即可。
之前有战报说e2/0口有设置比10大的cost值,都是同样道理,R12上show
ipbgp0.0.0.0可以看到去往R14的metric值大,SW110/111上showipospfintbri
一目了然。
这里SW111有个地址租期lease040,我看到时间够用就没no掉。
Q3:R23把lo0口的ospf进程号改为1
R22奇数路由起源属性=imcomplete偶数路由起源属性=igp
R23奇数路由起源属性=igp偶数路由起源属性=imcomplete
这里同时也有设置metric值,考虑起源属性选路级别更高,改起源属性。
Q4:R20/21调用route-mapLP
在neiDC2out方向做策略
Q5:R60tunnel口IP地址掩码改成24位
Q6:………………..
…………..
DIAGH2
按照题库进行选择,跟思博解法一致。
CFGH3
交卷的标准:大现象全部做出来,每题的小现象都吻合,showrun硬查都没
查出问题。能做到这一点,都不过的话,建议下次不用再来考了(我交卷那一刻
的心里就是这样想的)。
配置跟思博提供的一致,不再赘述,这里详细讲一下配完后的检查思路以及
H3中的各种坑。
一、大现象、小现象+showrun硬查
1、先查session3
(1)3.1(只建立vpnv4,没有ipv4)
r3:………………..
r4:……………….
r5:……………….
r6:……………….
这里的现象要跟需求完全一致,包括路由负载、下一跳、as-path…………….
(2)3.2+DMVPN互访
r14:DMVPN这里就是找茬,51跟60的tunnel0接口除了地址,其他都是一
样的,………………….
====================附一下DMVPN没起来的解决方式====================
a.……………….
b.……………….
c.……………….
d.……………….
e.……………….
(3)3.3
S……………….
(4)3.4
User7能ping通8.8.8.8。
R71这里的配置除了cryptomap部分,其他……………….Cryptomap部分的配置
跟思博的一致。
2、再查session2
(1)2.1
……………….
(2)2.2
R14/SW100:showiprouteospf只能看到loopback口的路由。
该区域ospf预配基本都有,我补充了:SW100/101的lo1口、SW110/111
的vlan2000/2001口……………….
(3)2.3
……………….
(4)2.4
R13:showipbgpsum。9个带*的邻居,其中收到110/111/100各1条路由条
目。
100这里我将e0/2口的路由顺便宣告了进来……………….
(5)2.5
R13/SW110:showipbgp看一下路由条目有没有打上mia
SW100:tracer10.3.100.254。注意这里是敲trace,然后再一步步敲dstsournum
这些,直接tracer不带源lo0口是不会负载的。
(6)2.6
R10/20:showiproutebgp|s10.*/16检查条目是否齐全,下一跳是否正确。
特别是R20的10.4路由,下一跳必须是R4。如果是R21,肯定是route-map配
置错误……………….
(7)2.7
……………….
(8)2.8
65004/65005区域只能通告本地路由,所以可以检查:AS10000区域,是否
有GLOABALSP#2的直连路由;SW600,是否有AS10000区域的直连路由。
……………….
(9)2.9(建议跟4.1ipv6的安全、5.3ipv6dhcp一起做,可以直接用server1去
测现象了)
(10)2.10和2.11
R31/R13:shippimrpmap
RP和MA(个人觉得是最稳妥的配置方式)
SW100配置:
ippimsend-rp-anlo1scoep255gr1
ippimsend-rp-di……………….
……………….----这一步必须得配,否则R31上showipmroute,会看不到
(10.1.113.1,224.0.0.39)组播路由条目,这也是R13ping239.250.1.1收不到
65003区域回应的原因。
SW101配置:
ippimsend-rp-anlo1scoep255gr1
ippimsend-rp-dilo1sco255
做完第一题后,紧接着四台设备做过滤,再做第二题的组播。可实现免清rp,一次出
现象。rp清理的命令是cleippimrp。
另外预配中我看了,lo1口没有地址,不用管。r14和r15没一个接口加入sparse模
式,其他设备的接口都加入的,连外口r10,r11,r12的e0/0口都加入了。考场的需求和
思博提供的需求一模一样,R14/R15的接口均激活Pim,加入组播。
3、最后测session1/4/5
(1)session1
18台交换机:showspansum/showerrre……………….
(2)session4
……………….
(3)session5
……………….
二、检查二层和各种漏掉的配置
1、二层vlan&生成树……………….
……………….
……………….
……………….
最后讲几句
1、所有的设备都end到最后,再write。Dowrite有时会不生效,举个例子:H3eem那
里,我dowrite,重启后会发现eem的配置全没了。end到最后再write后恢复正常。
2、CFG要做到:大现象全出,每题的小现象全部吻合,还有showrun硬查一遍。
3、新人入手建议先做TS部分,建立一套自己的排错思路,再去敲版本。还有1个原因是
TS练熟了,你考场上可以提前交卷,这样省下来的时间可以用在CFG上。
4、每次敲完版本后,记得用文本对比软件对比一下标配,详细记录自己每一次敲错的地方。
我感觉思科也是用这种方法+人工审核(我下午4点半交的卷,4点40分就出成绩了),而
且为啥群里的大佬大现象都出了,但最后还是挂了呢?个人认为是少敲了一些命令或者敲多
了一些没用的命令,所以多用文本对比软件对比是很有好处的。
5、多跟老师和群里的大佬交流,配完CFG后,找老师、找大佬帮你加错点。我印象比较深
刻的是,我H3敲完,找了好多人帮我加错点,学了好多的排错思路。印象最深刻的是,陈
老师的20连tr,最后我还是有2处错点没排出来,用文本对比软件才发现的。
6、最后要感谢太多的人。包括家里人、同事、领导的鼓励,思博(特别是陈老师、群里的
卡神、君好几位大神)的帮助,几个月没日没夜的备战,沉迷版本日渐消瘦,除了工作,基
本跟外界失去联系了,这次考完得好好放松一下。