1、1、R22 的 loopback 0 要能 telnet R23 的 loopback 0,R22 和 R23 之间已经配置好做了 ospf 区域验证,题目没有要求说不能用静态的映射。R22 预配:interface Serial1/0ip address 172.16.12.1 255.255.255.252encapsulation frame-relayip ospf message-digest-key 1 md5 cisco (ospf md5 区域认证)no frame-relay inverse-arp (预配的时候关闭自动映射,所以要手工配置 map)frame-relay l
2、mi-type cisco (本链路有效) frame-relay map ip 172.16.12.2 22 broadcast(对端地址、本地 DLCI 号、broadcast 学习 ospf 路由)(预配:map 的 IP 地址和 DLCI 号是错误的,22 和 23 反了)ip ospf network broadcast(ip ospf network point-to-point)两边必须一样!R23:预配 interface Serial1/0ip address 172.16.12.2 255.255.255.252encapsulation frame-relayip osp
3、f message-digest-key 1 md5 ciscono frame-relay inverse-arpclock rate 128000 (时钟在路由器上配置!或者 show interface 查看)frame-relay map ip 172.16.12.1 23 broadcastip ospf network broadcast(ip ospf network point-to-point)FR 预配: frame-relay switchinginterface Serial1/0 (接 r22)encapsulation frame-relayframe-relay
4、lmi-type ciscoframe-relay intf-type dce 错误点:FR 缺 DCE 配置frame-relay route 22 interface Serial1/1 23interface Serial1/1 (接 r23)encapsulation frame-relayframe-relay lmi-type ansiframe-relay intf-type dceframe-relay route 23 interface Serial1/0 22错误点:在 R22 和 R23 各打上对方映射(因为预配有 no frame-relay inverse-arp)
5、 ,然后在R23,R22,FRSW 上尽量打 clock rate,他会自动起来的。还有记住 LMI 是本链路有效的,就比如 R22和 FR 之间可以是 ANSI, FR 和 R23 可以 CISCO,所以你不必去删除 R22 和 FR 的 lmi-type cisco。Show frame-realy routeShow frame-realy pvcShow frame-realy map2、要 R19 的 loopback 0 能够 telnet R16 的 loopback 0 接口R19 是 DHCP 服务器,R17 R18 是客户端,在 R19 上面有个 COPP 策略,对于 UD
6、P 的流量给 DROP 了,改成transmit。然后在 R17,R18 先把端口 SHUTDOWN,然后依次在 R17 R18 no shut (R17 获取到地址再 NO SHUTDOWN R18 的)原因 1: DHCP POOL 没有配置或者配置错误 R19: ip dhcp pool DHCP Network 172.16.10.16 255.255.255.252(改为 255.255.255.248) Default-router 172.16.10.19 Domain-name interface e0/0 ip address 172.16.10.19 255.255.25
7、5.248 R17 and R18: key chain KEY key 1 key-string cisco interface e1/0 ip address dhcp ip authentication mode eigrp 90 md5 -重新配置 ip authentication key-chain eigrp 90 KEY -重新配置 原因 2 : COPP DORP UDP access-list 100 permit udp any anyclass-map udpmatch access-group 100policy-map dorpclass udpdorpdrop原因
8、 3: EIGRP 认证没有配置,或者配置错误 *实施 eigrp 认证带不带 key IDService password-encyptionSolution:检查发现 R19,R18,R17 之间的 eigrp 200 的 neighbor 没有正常建立,原因在于 R19 作为DHCP server 为 R17、R18 分配的 IP 地址掩码与自身接口掩码不匹配。修改完 R19 的 DHCP pool 以后,需要让 R17,R18 重新通过 DHCP 获得新的 IP 地址方法两种:1:shutdown 并且 no shutdown R17、R18 的 E1/0 接口重新获得 IP 地址。2
9、:通过接口命令下“no ip address dhcp”并且“ip address dhcp”来重新获得 IP3:要注意一下保证R17 获得的地址为 172.16.10.17/29,R18 获得的地址为 172.16.10.18/29原因在于:R17router eigrp 200network 10.1.1.17 0.0.0.0network 172.16.10.17 0.0.0.0no auto-summaryR18router eigrp 200network 10.1.1.18 0.0.0.0network 172.16.10.18 0.0.0.0no auto-summary4:如果
10、地址获得不正确会导致 Eigrp 通告失败。R17、R18 重新获得地址以后,接口下的 Eigrp 的认证命令自动会取消,需要重新认证。R17/R18key chain ciscokey 1 -注意检查下密钥 ID 一致key-string cisco -密钥是否相同interface Ethernet0/0ip address dhcpip authentication mode eigrp 200 md5ip authentication key-chain eigrp 200 ciscoR19、R17、R18 有认证,再重新获得 IP 的时候接口认证会掉落,补上去,注意检查下 key s
11、tring 密钥和 key id5、通过 ip dhcp excluded-address 控制第一个地址的获取。变种 1:EIGRPR16 need to ping R19 10.1.1.19,but it doesnt work , fix this problem and make it can ping each other.原因:R17 与 R18 上使用了自动汇总,导致不连续的子网。R16:Router eigrp 200Auto-summaryR17:Router eigrp 200Auto-summaryR18:Router eigrp 200Auto-summaryR19:R
12、outer eigrp 200Auto-summary解法:在所有运行了 EIGRP 的设备上 show run | b r ei,发现 Auto-summary。3、NTPR16 作为 R17 和 R18 的 NTP server ,但是时间无法同步,要求时区一致。Solution:检查发现 NTP 配置有问题,三台设备上做了 NTP 的认证,可是所有经过 7 级加密的密钥在三台设备上完全一致的(即便密钥相同,但不同设备经过 7 级加密以后生产的密钥串是一定不同的)R16show running-config | include clockclock timezone BJ 8 HK 8 P
13、ST -8 -根据初始配置选择,保证三台设备一致ntp authentication-key 1 md5 0822455D0A16 7 -no 掉当前 key 1,重新配置ntp authenticate -可能没有初始配置ntp masterR17clock timezone BJ 8 HK 8 PST -8 -根据初始配置选择,保证三台设备一致ntp authentication-key 1 md5 02050D480809 7 -no 掉当前 key 1,重新配置ntp authenticate -可能没有配置ntp trusted-key 1 -非初始配置,自己添加ntp clock-
14、period 17179883 -如果修改配置之前就存在,直接 no 掉ntp server 10.1.1.16 key 1ntp source Loopback0(ntp server 10.1.1.19 key 1 source Loopback0)R18clock timezone BJ 8 HK 8 PST -8 -根据初始配置选择,保证三台设备一致ntp authentication-key 1 md5 02050D480809 7 -no 掉当前 key 1,重新配置ntp authenticate -可能没有配置ntp trusted-key 1 -非初始配置,自己添加ntp c
15、lock-period 17179883 -如果修改配置之前就存在,直接 no 掉ntp server 10.1.1.16 key 1ntp source Loopback0(ntp server 10.1.1.19 key 1 source Loopback0)NOTE:1:no 掉当前某些命令时候严谨复制粘贴的方法2:修改完成后,需要一定时间才可以同步,此时可以先做其他题目。Check:通过“show ntp status”来检查 ntp 是否完成同步4、bgp 路由表问题:要求 4 个 pe 路由器要看到其他 3 个 pe 路由器环回口在 show ip bgp 表里面有 2 条,就是说
16、要收到 r1 r2 路由show mpls ldp nei 查看 mpls 的邻居状态show ip bgp vpnv4 all summary 查看 VPNv4 邻居建立show ip bgp summary 查看 bgp 邻居建立Show ip ospf int briShow bgp vpnv4 un all suVrf 的配置查看Show bgp vpnv4 un all 10.1.1.1关于 MP-BGPMPLS:rd:路由区分符,区分不同的 CE 端rt:路由对象,import 表示接收哪些 rd,而 export 表示发出哪些 rd比如说,C 网 A 有 rd 100:1 和 2
17、00:1,那么 C 网 B 中,如果 rt 设置为 import 100:1 和 200:1,那么两个 rd 来的路由都可以注入到 C 网 B 中,而 export 则是表示允许发出哪些路由,比如允许接收100:1 和 200:1,但是只能发出 200:1 的,那就是import 100:1import 200:1export 200:1(这题题目明确说明只有2 个错误,一个标签没分发出去!show run 里面有no mpls ldp advertiselabels直接在设备上打上mpls ldp advertiselabels 就好了!还有一个Loopback 没有通告进OSPF!直接接口
18、下 ip ospf x are xxx 就可以了!还有可能 LDP 改成 TDP 了注意下!)5、R4,R1,R2,R5,R8 运行 OSPFV3,R8 已经打上 ipv6 address auto-config. 需求 R8 要 ping 通 R4 的lo 200.错误点:R8 连 R5 的接口没有通告到 OSPFV3 里面。 R4 的 loobpack 0 接口也没有在 R5 上启用 ipv6 unicast-routing,R8 会通过无状态化配置,自动分配到地址。中间 r1 和 r4 还有接口没启用 ipv6 enable,没加 ospfv3 进程,沿途查找。6、EEM(有预配)R27
19、 的接口 E1/0shut down 掉,需要触发 EEM 事件,执行 no shutdown 动作错误点:eem 触发条件语句“interface change state to down“改成“interface ethernet0/1 changed state to administratively down“ 在另一台设备上复制粘贴!预配:event manager applet cisco event syslog pattern “Interface Loopback0, changed state to down“action 1.0 cli command “enable“a
20、ction 2.0 cli command “config t“action 3.0 cli command “inter Loopback0 “(注意接口要统一)action 4.0 cli command “no shu“7、R20 loopback 200.20.20.20 要 ping 通 R26 的 192.168.20.1错误点:1 、R26 重分发 rip 到 ospf 缺 subnet2 、R20 没用通告 lo 口,network 进 IGP(貌似那部分是 OSPF)R24:router ospf 1area 1 nssa -可能为非初始配置,自己添加network 172.
21、16.10.9 0.0.0.0 area 1R26R25:router ospf 1area 1 nssa -可能为非初始配置,自己添加network 172.16.10.10 0.0.0.0 area 1变种 1:R22 不能 ping 通 R26 RIP 下的主机 198.168.20.1(loopback1 接口)原因:RIP 重发布进 OSPF 时调用了 route-map,并且接口匹配错误。R26:route-map xxx permit 10match interface E0/0route-map xxx deny 20解法:增加一条 match lo1 的 route-map
22、就可以了。(R26:route-map xxx permit 15match interface loopback 1)8、r14 上 ping 10.1.1.8 so lo 0 要成功 R14 要 ping 通 R8(直连) , R14 和 R8 之间分别接了 SW2,SW1。错误点:SW1,SW2 上 show vtp sta ,show vtp pass, 两边的 vtp pass 不一样,导致不同步,SW1 是SERVER,R8 是在 VLAN 78,R14 是 VLAN 114,按交换的 VLAN 表配置。参考交换物理图 和 vlan 逻辑图。(这题跟3.28 的战报类似,但是有不同
23、!交换机上 VTP 密码是错的!有一个接入接口是Trunk,改成access vlan 114!有个Trunk(都是802.1Q) 的本征VLAN 不匹配!!还有2 台交换机之间有swi trunk all vlan 20!需要改成VLAN 114 也能通过!没有遇到有自反列表的!)(这题开始我觉得很白给,我 1 分钟就看出交换机 vlan 接口化错了和 vtp 域名错了。把域名改了,加个 vlan 删个 vlan 发现同步了。然后改接口,我的操作“inter E1/2(连接 R14 那口) ”“sw acc vlan 114”然后发现 直连还是不通,然后再回到交换机,show vlan 发现
24、 vlan 114 里啥接口都没有,于是以为自己没打上,就又做了次加口入 vlan 114 发现还是不行,我重复了很多次,最后我随意进个口 sw acc vlan 114 发现还是不行,这 vlan 114 死活加不了端口,最后这题放弃,下一题。)上去 看了下 两台交换机 互联口 ,修改了 trunk 配置,确保 vtp 同步,其间利用之前战报的方法,在 sw1上增加 vlan,看 sw2 上是否有该 vlan,随便 show vtp status show vtp pass 没看出异常,但是还是手工修改了vtp password,在交换机上 show cdp neighbor 查看两台交换机
25、和 R10 和 R14,R8 的互联接口,划入 vlan 搞定,连 R14 的口配置了很多 trunk 配置,全干掉,立刻出现 full 的信息 说下我的思路:1、 先到 R14 上 show ip route,没有路由一看 OSPF 邻居没起来,那就是二层的问题了,因为 R14 到 R8 是先通过,R10 的,所以我到 R10 上一看路由是有的,那肯定就是 R14 和 R10 之间的问题了。2、 这时候确定问题是在交换机上就好办了,首先确保 SW1 和 SW2 的 trunk 通信没问题,上去直接把两台交换机的 password 改成一样的,再加 VLAN 测试。3、 Trunk 没问题了,
26、分别到 R14 和 R10 看看两个接口的 IP 地址,掩码是否在同一子网,OK 没问题了,再 show cdp nei 查看本接口和对端交换机在是哪个口连接的,再进去划分好 VLAN,完了 OK,这时候正常的话你的邻居应该马上 Full 了,我个人认为这个题目比较容易,和 Lab 上面排 TR 一样。这题目我没怎么看拓扑,我直接show cdp 这样最准确!9、TELNETR14 无法使用自己的环回口 telnet R7 的回环口。原因:R10 上 policy-map 下有 2 个 drop 动作,1 个是 conform-action drop,1 个是 exceed-action dr
27、op 阻止了 telnet 的流量(!注意,需求明确要求只能在一台设备上修改现有配置,并且只能修改一行现有配置)show access-listsshow class-mapshow policy-mapshow policy-map interfaceR10:access-list 100 permit tcp any any eq telnetclass-map match-all telnetmatch access-group 100policy-map telnetclass telnetpolice rate percent 1conform-action drop (正常情况下的
28、流量 drop)exceed-action drop(特殊情况下的流量 drop)解法:R10:policy-map telnetclass telnetpolice rate percent 1no conform-action drop conform-action tranmitexceed-action drop10、R15 R16 之间 Eigrp neighbor 无法建立Solution:检查发现 R15,R16 之间存在的 ppp chap 认证。因为认证失败导致链路协议 up down正确配置如下:R15aaa new-modelaaa authentication ppp
29、EIGRP localusername EIGRPR16 password ciscointerface Serial1/0encapsulation pppppp authentication chap EIGRPppp chap hostname EIGRPR15ppp chap password ciscoR16aaa new-modelaaa authentication ppp EIGRP localusername EIGRPR15 password ciscointerface Serial1/0encapsulation pppppp authentication chap E
30、IGRPppp chap hostname EIGRPR16ppp chap password ciscoNOTE:1:接口下设置的发送 hostname 一定是与自己相关的,比如 EIGRPR15,不能发送 EIGRPR16,R16 不能发送 EIGRPR15(取决于对面所写 username) 。2:全局的 username 一定是对端发送的 hostname。3:接口下设置的 password 实际上无效,不用处理。4:如果初始配置中没有启用 AAA,那么接口下通过“ppp authentication chap”开启 chap 认证。Check:检查 R15,R16 之间是否可以 pi
31、ng 通,以及 neighbor 建立。11、NATR20 telnet R23 的下面的某个地址.要求在 R20 telnet 10.1.1.23 转换到 S1/0 地址 R20 telnet 10.1.1.23 80 转换到 loopback 地址产生要求的 NAT 表要跟需求的表是一样的(题目有表的) ,R22 是做 NAT 路由器根据给的一个 nat 转换表来补充相应的命令 (接口 ip nat outside ,inside)错误点 1:NAT 策略已经有预配而且应该是正确的 2:R22 连接 pc28 的口 ip nat outside3:连接 R20 的接口缺 ip nat in
32、side注意的一点是千万不要在 R20 的 loobpack 打 ip nat outside.验证:telnet outside globe 地址 23 ,telnet outside globe 地址 80 就会出现希望的 nat 转换表Show ip nat translationsR22 预配:ip nat pool cisco 10.1.1.22 10.1.1.22(这个地址是 R22 的 loobpack 地址)netmask 255.255.255.0ip nat inside source route-map telnet interface s1/0(接其他外部设备接口)ov
33、erloadip nat inside source route-map web pool ciscoroute-map telnet permit 10match ip address 10route-map web permit 10match ip address 20access-list 10 per R20access-list 20 per R20R22#show ip nat translations Pro Inside global Inside local Outside local Outside globaltcp 172.16.12.1:30408 10.1.1.2
34、0:30408 10.1.1.23:80 10.1.1.23:80tcp 172.16.12.1:54254 10.1.1.20:54254 10.1.1.23:23 10.1.1.23:23(错误!)access-list 100 permit tcp 10.1.1.20 host 10.1.1.23(目的地址) eq telnet access-list 101 permit tcp 10.1.1.20 host 10.1.1.23(目的地址)eq www ip nat pool s1/0 172.16.12.1 172.16.12.1(s1/0 地址) prefix-length 24
35、ip nat pool lo0 10.1.1.22 10.1.1.22(lo0 地址) prefix-length 24 ip nat inside source list 100 pool s1/0 ip nat inside source list 101 pool lo0注意 INSIDE OUTSIDE 方向 不用 POOL 的时候就是简明表项R22#show ip nat translations Pro Inside global Inside local Outside local Outside globaltcp 172.16.12.1:18335 172.16.11.5:1
36、8335 10.1.1.23:23 10.1.1.23:23tcp 10.1.1.22:36018 172.16.11.5:36018 10.1.1.23:80 10.1.1.23:80(ip nat inside source route-map lo0 interface Loopback0 overloadip nat inside source route-map s1/1 interface Serial1/1 overload !access-list 100 permit tcp host 1.1.1.1 host 3.3.3.3 eq telnetaccess-list 101
37、 permit tcp host 1.1.1.1 host 3.3.3.3 eq www!route-map lo0 permit 10match ip address 101!route-map s1/1 permit 10match ip address 100)(这题先看配置全不全,然后看表的需求去改配置,www 的可能不是 lo0,看表需求)12、PBR用 R11,R12 的 loopback0 为源 ping R8 的 loopback 0,要求路径为 R9R7R8Solution:在 R9 上初始配置中有 PBR,但是配置有错误,需要进行修改R9route-map for11 pe
38、rmit 10match ip address 101set ip next-hop x.x.x.x(R7 连接 R9 的以太口 IP 地址)初始配置错误route-map for12 permit 10match ip address 101set ip next-hop x.x.x.x(R7 连接 R9 的以太口 IP 地址)初始配置错误access-list 101 permit ip host 10.1.1.11 host 10.1.1.8 -list 101 初始配置有误access-list 101 permit ip host 10.1.1.12 host 10.1.1.8int
39、erface Ethernet 0/1ip policy route-map for11 -检查接口调用是否正确interface Ethernet 0/2ip policy route-map for12 -检查接口调用是否正确13、rate-limit 限制率以 R5 的 loopback 0 为源,R4 的 loopback 0 为目的。做 ping ,每个包大小为 46Byte ,连续 ping100个包,成功率为 97%,要求找出原因,并且使得成功率为 100%Solution:检查发现,中间节点 R1 存在 CAR(承诺信息速率)的配置对以上流量做了速率限制导致丢包。简单说就是直接
40、把 drop 改成 transmitR1interface Ethernet2/0 (连接 R4 的接口)rate-limit output access-group 101 8000 1500 2000 conform-action(执行下一步操作) transmit exceed-action(超出) dropaccess-list 101 permit ip host 10.1.1.5 host 10.1.1.4将接口的 CAR no 掉 ,并且重新配置。R1interface Ethernet2/0 (连接 R4 的接口)rate-limit output access-group 1
41、01 8000 1500 2000 conform-action transmit exceed-action transmitaccess-list 101 permit ip host 10.1.1.5 host 10.1.1.4Check:按照题目要求从 R5 发起扩展 ping,检查是否成功率 100%这题上说了可以用“any way”解决,所以直接改成 transmit 就好了! *删掉重配还有的做法是改参数为 80000 15000 2000014、KRONR27 的 OSPF 邻居处于不稳定状态, UP/DOWN,不停的翻滚,要求 1 条命令解决。原因:存在 Kron R27:k
42、ron occurrence ospfcounter in 1 recurring (1 分钟)policy-list Xkron policy-list Xcli clear ip ospf countercli clear counterscli clear ip ospf processcli yes解法:通过“show kron schedule ”查看 kron 的状态,还有这台设备 logging console 没开,不过可以用show log 看到信息。单独删除 map 下面的 cli clear ip os pro题目需求是不能删除所有的 policy,那唯一的选择就是删除
43、cli clear ip ospf p 了logging console,可以看到进程被清。sh kron sc 检查是否还会清除 OSPF 邻居。15、以 R14 的 loopback0 口为源到 R7 的 loopback 0 流量,初始配置是 precedence critical,要求在到达 R7 的时候被 remark 为 ip precedence priority。Solution:检查发现 R13 上存在 CB-marking 的配置,但是有错误。R13:Ip cefaccess-list 101 permit ip host 10.1.1.14 host 10.1.1.7(p
44、recedence critical)class-map match-all TEMP(class-map 一定 match-all 的关系)match access-group 101match ip precedence 5(初始配置可能有错,如果在 ACL 中匹配了优先级,那么这里不需要 match)match packet length max 500(多余命令,no 掉)- 初始配置可能有误,检查 ACL 的源,目的是否有误,以及是否匹配了优先级policy-map MQCclass TEMPset ip precedence 1 -初始配置可能有误interface E1/0ser
45、vice-policy output MQC -调用方法错误,改为 input完成以上修改后,检查发现 R14 上没有 marking 的配置,也就是说从 R14 到 R7 的流量初始的 ip precedence 可能并不是 critical ,所以在 R14 上添加 marking 相关配置R14Ip cefclass-map match-all TEMP -class-map 一定 match-all 的关系match access-group 101access-list 101 permit ip host 10.1.1.14 host 10.1.1.7 policy-map MQC
46、class TEMPset ip precedence 5interface E1/0no ip addressserial restart-delay 0service-policy output MQCCheck:以 R14 的 loopbcak 0 为源 ping R7 的 loopback 0,并且在 R7 的接口下通过 ACL 来检查收到的数据的 precedence 但是注意检查完毕后,no 掉多余的 ACL接口检查:Ip access-group 100 inAccess 100 permit any any precedence 5Access 100 permit any a
47、ny precedence 1Access 100 permit any anyShow ip access-list16、攻击R20 lo3(200.20.20.20) is being attack from two sources, use mostly specific access-list to actch the traffic and filter it before into area 2.解法:在 R22 上面 s1/0 的接口调用访问控制列表 inaccess-list 100 per ip any host 200.20.20.20 log-inputaccess-li
48、st 100 per ip any anyNo access-list 100 立刻看到日志信息,试着 trace 地址,找到攻击源的位置!在 R23 上根据查出的入向接口在入向接口上建立一个 ACL 过滤掉攻击流量access-list 110 deny ip host XX1 host 200.20.20.20 有战报说攻击一个为 UDP 一个为 TCP,注意实时观察access-list 110 deny ip host XX2 host 200.20.20.20access-list 110 per ip any any解法:R22 上会出现两个攻击源一个是 tcp,一个 udp在 R23access-list 100 deny tcp host x.x.x.x host 200.20.20.20access-list 100 deny udp host x.x.x.x host 200.20.20.20access-list 100 permit ip any any int e3/0(R23 上有一个有 ip address 的接口且 UP UP,图中没画出所连设备)ip access-group 110 indebug ip packet 120 可查看到攻击源的端口。(老样子,在 r20 上:access-list 100 ip pe
