TS1总结完全冲刺版.doc

上传人：t*** IP属地：四川上传时间：2020-02-14 格式：DOC 页数：18 大小：1MB 积分：15 举报 版权申诉

已阅读5页，还剩13页未读，继续免费阅读

版权说明：本文档由用户提供并上传，收益归属内容提供方，若内容存在侵权，请进行举报或认领

文档简介

1、R22的loopback 0要能telnet R23的loopback 0,R22和R23之间已经配置好做了ospf区域验证,题目没有要求说不能用静态的映射。R22预配:interface Serial1/0 ip address 52 encapsulation frame-relay ip ospf message-digest-key 1 md5 cisco (ospf md5 区域认证) no frame-relay inverse-arp (预配的时候关闭自动映射，所以要手工配置map) frame-relay lmi-type cisco (本链路有效) frame-relay map ip 22 broadcast(对端地址、本地DLCI号、broadcast学习ospf路由)(预配：map 的IP地址和DLCI号是错误的，22和23反了） ip ospf network broadcast（ip ospf network point-to-point）两边必须一样！R23：预配 interface Serial1/0 ip address 52 encapsulation frame-relay ip ospf message-digest-key 1 md5 cisco no frame-relay inverse-arp clock rate 128000 （时钟在路由器上配置！或者show interface查看） frame-relay map ip 23 broadcast ip ospf network broadcast（ip ospf network point-to-point）FR预配： frame-relay switchinginterface Serial1/0 （接r22） encapsulation frame-relay frame-relay lmi-type cisco frame-relay intf-type dce 错误点：FR 缺DCE配置 frame-relay route 22 interface Serial1/1 23 interface Serial1/1 (接r23) encapsulation frame-relay frame-relay lmi-type ansi frame-relay intf-type dce frame-relay route 23 interface Serial1/0 22错误点：在R22和R23各打上对方映射（因为预配有no frame-relay inverse-arp），然后在R23，R22，FRSW上尽量打clock rate，他会自动起来的。还有记住LMI是本链路有效的，就比如R22和FR之间可以是ANSI, FR和R23可以CISCO，所以你不必去删除R22和FR的lmi-type cisco。Show frame-realy routeShow frame-realy pvcShow frame-realy map 2、要R19的loopback 0 能够telnet R16的loopback 0 接口R19是DHCP服务器，R17 R18是客户端，在R19上面有个COPP 策略，对于UDP的流量给DROP了，改成transmit。然后在R17，R18 先把端口SHUTDOWN，然后依次在R17 R18 no shut (R17获取到地址再NO SHUTDOWN R18的) 原因1: DHCP POOL 没有配置或者配置错误 R19: ip dhcp pool DHCP Network 6 52（改为48） Default-router 9 Domain-name interface e0/0 ip address 9 48 R17 and R18: key chain KEY key 1 key-string cisco interface e1/0 ip address dhcp ip authentication mode eigrp 90 md5 -重新配置 ip authentication key-chain eigrp 90 KEY -重新配置原因2 : COPP DORP UDP access-list 100 permit udp any anyclass-map udp match access-group 100policy-map dorp class udpdorp drop原因3: EIGRP 认证没有配置,或者配置错误 *实施eigrp 认证带不带key IDService password-encyptionSolution：检查发现R19，R18，R17之间的eigrp 200的neighbor 没有正常建立，原因在于R19作为DHCP server 为R17、R18分配的IP地址掩码与自身接口掩码不匹配。修改完R19的DHCP pool以后，需要让R17，R18重新通过DHCP获得新的IP地址方法两种：1：shutdown 并且no shutdown R17、R18的E1/0接口重新获得IP地址。2：通过接口命令下“no ip address dhcp”并且“ip address dhcp”来重新获得IP3：要注意一下保证R17获得的地址为7/29，R18获得的地址为8/29原因在于：R17router eigrp 200 network 7 network 7 no auto-summaryR18router eigrp 200 network 8 network 8 no auto-summary4：如果地址获得不正确会导致Eigrp通告失败。R17、R18重新获得地址以后，接口下的Eigrp的认证命令自动会取消，需要重新认证。R17/R18key chain cisco key 1 -注意检查下密钥ID一致 key-string cisco -密钥是否相同interface Ethernet0/0 ip address dhcp ip authentication mode eigrp 200 md5 ip authentication key-chain eigrp 200 ciscoR19、R17、R18有认证，再重新获得IP的时候接口认证会掉落，补上去，注意检查下key string 密钥和key id5、通过ip dhcp excluded-address控制第一个地址的获取。变种1：EIGRPR16 need to ping R19 9,but it doesnt work , fix this problem and make it can ping each other.原因：R17与R18上使用了自动汇总，导致不连续的子网。R16：Router eigrp 200Auto-summaryR17：Router eigrp 200Auto-summaryR18：Router eigrp 200Auto-summaryR19：Router eigrp 200Auto-summary解法：在所有运行了EIGRP的设备上show run | b r ei，发现Auto-summary。3、NTPR16作为R17和R18的NTP server ，但是时间无法同步，要求时区一致。Solution：检查发现NTP配置有问题，三台设备上做了NTP的认证，可是所有经过7级加密的密钥在三台设备上完全一致的（即便密钥相同，但不同设备经过7级加密以后生产的密钥串是一定不同的）R16show running-config | include clockclock timezone BJ 8 HK 8 PST -8 -根据初始配置选择，保证三台设备一致ntp authentication-key 1 md5 0822455D0A16 7 -no掉当前key 1，重新配置ntp authenticate -可能没有初始配置ntp masterR17clock timezone BJ 8 HK 8 PST -8 -根据初始配置选择，保证三台设备一致ntp authentication-key 1 md5 02050D480809 7 -no掉当前key 1，重新配置ntp authenticate -可能没有配置ntp trusted-key 1 -非初始配置，自己添加ntp clock-period 17179883 -如果修改配置之前就存在，直接no掉ntp server 6 key 1ntp source Loopback0（ntp server 9 key 1 source Loopback0）R18clock timezone BJ 8 HK 8 PST -8 -根据初始配置选择，保证三台设备一致ntp authentication-key 1 md5 02050D480809 7 -no掉当前key 1，重新配置ntp authenticate -可能没有配置ntp trusted-key 1 -非初始配置，自己添加ntp clock-period 17179883 -如果修改配置之前就存在，直接no掉ntp server 6 key 1ntp source Loopback0（ntp server 9 key 1 source Loopback0）NOTE：1：no掉当前某些命令时候严谨复制粘贴的方法2：修改完成后，需要一定时间才可以同步，此时可以先做其他题目。Check：通过“show ntp status”来检查ntp 是否完成同步4、bgp路由表问题：要求4个pe路由器要看到其他3个pe路由器环回口在show ip bgp表里面有2条，就是说要收到r1 r2路由show mpls ldp nei 查看mpls的邻居状态show ip bgp vpnv4 all summary 查看VPNv4邻居建立show ip bgp summary 查看 bgp邻居建立Show ip ospf int briShow bgp vpnv4 un all suVrf的配置查看Show bgp vpnv4 un all 关于MP-BGPMPLS：rd：路由区分符，区分不同的CE端rt：路由对象，import表示接收哪些rd，而export表示发出哪些rd比如说，C网A有rd 100：1和200：1，那么C网B中，如果rt设置为import 100：1和200：1，那么两个rd来的路由都可以注入到C网B中，而export则是表示允许发出哪些路由，比如允许接收100：1和200：1，但是只能发出200：1的，那就是import 100：1import 200：1export 200：1(这题题目明确说明只有2 个错误,一个标签没分发出去！show run 里面有no mpls ldp advertiselabels直接在设备上打上mpls ldp advertiselabels 就好了！还有一个Loopback 没有通告进OSPF！直接接口下 ip ospf x are xxx 就可以了！还有可能LDP 改成TDP 了注意下！)5、R4,R1,R2,R5,R8 运行OSPFV3，R8已经打上ipv6 address auto-config. 需求R8要ping 通R4的lo 200.错误点：R8连R5的接口没有通告到OSPFV3里面。 R4的loobpack 0 接口也没有在R5上启用ipv6 unicast-routing，R8会通过无状态化配置，自动分配到地址。中间r1和r4还有接口没启用ipv6 enable，没加ospfv3进程，沿途查找。 6、EEM(有预配)R27的接口E1/0shut down掉，需要触发EEM事件，执行no shutdown动作错误点：eem触发条件语句interface change state to down改成interface ethernet0/1 changed state to administratively down 在另一台设备上复制粘贴！预配：event manager applet cisco event syslog pattern Interface Loopback0, changed state to down action 1.0 cli command enable action 2.0 cli command config t action 3.0 cli command inter Loopback0 （注意接口要统一） action 4.0 cli command no shu7、R20 loopback 0 要ping通R26的错误点：1 、R26重分发rip到ospf缺subnet 2 、R20没用通告lo口，network进IGP（貌似那部分是OSPF）R24:router ospf 1area 1 nssa -可能为非初始配置，自己添加network area 1R26R25:router ospf 1area 1 nssa -可能为非初始配置，自己添加network 0 area 1变种1：R22不能ping通R26 RIP下的主机（loopback1接口）原因：RIP重发布进OSPF时调用了route-map，并且接口匹配错误。R26：route-map xxx permit 10match interface E0/0route-map xxx deny 20解法：增加一条match lo1的route-map就可以了。（R26： route-map xxx permit 15 match interface loopback 1）8、r14上 ping so lo 0 要成功 R14 要 ping 通R8（直连）， R14 和R8之间分别接了SW2，SW1。错误点：SW1，SW2上show vtp sta ,show vtp pass, 两边的vtp pass不一样，导致不同步，SW1是SERVER,R8是在VLAN 78，R14是VLAN 114，按交换的VLAN表配置。参考交换物理图和 vlan 逻辑图。（这题跟3.28 的战报类似,但是有不同！交换机上VTP 密码是错的！有一个接入接口是Trunk,改成access vlan 114!有个Trunk(都是802.1Q)的本征VLAN 不匹配！!还有2 台交换机之间有swi trunk all vlan 20！需要改成VLAN 114 也能通过！没有遇到有自反列表的！）(这题开始我觉得很白给，我1分钟就看出交换机vlan接口化错了和vtp 域名错了。把域名改了，加个vlan 删个vlan 发现同步了。然后改接口，我的操作“inter E1/2(连接R14那口)”“sw acc vlan 114”然后发现直连还是不通，然后再回到交换机，show vlan 发现 vlan 114里啥接口都没有，于是以为自己没打上，就又做了次加口入vlan 114 发现还是不行，我重复了很多次，最后我随意进个口 sw acc vlan 114 发现还是不行，这vlan 114 死活加不了端口，最后这题放弃，下一题。)上去看了下两台交换机互联口，修改了trunk 配置,确保vtp同步,其间利用之前战报的方法，在sw1上增加vlan,看sw2上是否有该vlan,随便show vtp status show vtp pass 没看出异常，但是还是手工修改了vtp password,在交换机上show cdp neighbor 查看两台交换机和R10和R14,R8的互联接口,划入vlan 搞定，连R14的口配置了很多trunk配置，全干掉,立刻出现full的信息说下我的思路：1、先到R14上show ip route，没有路由一看OSPF邻居没起来，那就是二层的问题了，因为R14到R8是先通过，R10 的，所以我到R10上一看路由是有的，那肯定就是R14和R10之间的问题了。2、这时候确定问题是在交换机上就好办了，首先确保SW1和SW2的trunk通信没问题，上去直接把两台交换机的password改成一样的，再加VLAN测试。3、 Trunk没问题了，分别到R14和R10看看两个接口的IP地址，掩码是否在同一子网，OK没问题了，再show cdp nei查看本接口和对端交换机在是哪个口连接的，再进去划分好VLAN，完了OK，这时候正常的话你的邻居应该马上Full了，我个人认为这个题目比较容易，和Lab上面排TR一样。这题目我没怎么看拓扑，我直接show cdp这样最准确！9、TELNETR14无法使用自己的环回口telnet R7的回环口。原因：R10上policy-map下有2个drop动作，1个是conform-action drop，1个是exceed-action drop阻止了telnet的流量（！注意，需求明确要求只能在一台设备上修改现有配置，并且只能修改一行现有配置）show access-listsshow class-mapshow policy-mapshow policy-map interfaceR10:access-list 100 permit tcp any any eq telnetclass-map match-all telnet match access-group 100policy-map telnetclass telnetpolice rate percent 1conform-action drop (正常情况下的流量 drop)exceed-action drop（特殊情况下的流量 drop）解法：R10：policy-map telnetclass telnetpolice rate percent 1no conform-action drop conform-action tranmitexceed-action drop10、R15 R16之间Eigrp neighbor 无法建立Solution：检查发现R15，R16之间存在的ppp chap 认证。因为认证失败导致链路协议up down正确配置如下：R15aaa new-modelaaa authentication ppp EIGRP localusername EIGRPR16 password ciscointerface Serial1/0 encapsulation ppp ppp authentication chap EIGRP ppp chap hostname EIGRPR15 ppp chap password ciscoR16aaa new-modelaaa authentication ppp EIGRP localusername EIGRPR15 password ciscointerface Serial1/0 encapsulation ppp ppp authentication chap EIGRP ppp chap hostname EIGRPR16 ppp chap password ciscoNOTE：1：接口下设置的发送hostname 一定是与自己相关的，比如EIGRPR15，不能发送EIGRPR16，R16不能发送EIGRPR15（取决于对面所写username）。2：全局的username一定是对端发送的hostname。3：接口下设置的password实际上无效，不用处理。4：如果初始配置中没有启用AAA，那么接口下通过“ppp authentication chap”开启chap认证。Check：检查R15,R16之间是否可以ping通，以及neighbor建立。11、NATR20 telnet R23的下面的某个地址.要求在R20 telnet 3转换到 S1/0 地址 R20 telnet 3 80 转换到loopback 地址产生要求的NAT表要跟需求的表是一样的（题目有表的），R22是做NAT 路由器根据给的一个nat转换表来补充相应的命令（接口 ip nat outside ，inside）错误点 1:NAT策略已经有预配而且应该是正确的 2:R22连接pc28的口ip nat outside 3:连接R20的接口缺ip nat inside注意的一点是千万不要在R20 的loobpack 打ip nat outside.验证：telnet outside globe地址 23 ，telnet outside globe 地址 80 就会出现希望的nat转换表Show ip nat translationsR22 预配：ip nat pool cisco 2 2(这个地址是R22的loobpack地址)netmask ip nat inside source route-map telnet interface s1/0（接其他外部设备接口）overloadip nat inside source route-map web pool ciscoroute-map telnet permit 10 match ip address 10route-map web permit 10 match ip address 20access-list 10 per R20access-list 20 per R20R22#show ip nat translations Pro Inside global Inside local Outside local Outside globaltcp :30408 0:30408 3:80 3:80tcp :54254 0:54254 3:23 3:23（错误！）access-list 100 permit tcp 0 host 3（目的地址） eq telnet access-list 101 permit tcp 0 host 3（目的地址）eq www ip nat pool s1/0 （s1/0地址） prefix-length 24 ip nat pool lo0 2 2(lo0地址) prefix-length 24 ip nat inside source list 100 pool s1/0 ip nat inside source list 101 pool lo0注意 INSIDE OUTSIDE 方向不用POOL的时候就是简明表项R22#show ip nat translations Pro Inside global Inside local Outside local Outside globaltcp :18335 :18335 3:23 3:23tcp 2:36018 :36018 3:80 3:80(ip nat inside source route-map lo0 interface Loopback0 overloadip nat inside source route-map s1/1 interface Serial1/1 overload !access-list 100 permit tcp host host eq telnetaccess-list 101 permit tcp host host eq www!route-map lo0 permit 10 match ip address 101!route-map s1/1 permit 10 match ip address 100)(这题先看配置全不全，然后看表的需求去改配置，www的可能不是lo0，看表需求)12、PBR用R11，R12的loopback0为源ping R8的loopback 0，要求路径为R9R7R8Solution：在R9上初始配置中有PBR，但是配置有错误，需要进行修改R9route-map for11 permit 10 match ip address 101 set ip next-hop x.x.x.x（R7连接R9的以太口IP地址）初始配置错误route-map for12 permit 10 match ip address 101 set ip next-hop x.x.x.x（R7连接R9的以太口IP地址）初始配置错误access-list 101 permit ip host 1 host -list 101初始配置有误access-list 101 permit ip host 2 host interface Ethernet 0/1ip policy route-map for11 -检查接口调用是否正确interface Ethernet 0/2ip policy route-map for12 -检查接口调用是否正确13、rate-limit 限制率以R5的loopback 0为源，R4的loopback 0为目的。做ping ，每个包大小为46Byte ，连续ping100个包，成功率为97%，要求找出原因，并且使得成功率为100%Solution：检查发现，中间节点R1存在CAR（承诺信息速率）的配置对以上流量做了速率限制导致丢包。简单说就是直接把drop改成transmitR1interface Ethernet2/0 （连接R4的接口）rate-limit output access-group 101 8000 1500 2000 conform-action（执行下一步操作） transmit exceed-action（超出） dropaccess-list 101 permit ip host host 将接口的CAR no 掉，并且重新配置。R1interface Ethernet2/0 （连接R4的接口）rate-limit output access-group 101 8000 1500 2000 conform-action transmit exceed-action transmitaccess-list 101 permit ip host host Check：按照题目要求从R5发起扩展ping，检查是否成功率100%这题上说了可以用“any way”解决，所以直接改成transmit就好了！ *删掉重配还有的做法是改参数为80000 15000 2000014、KRONR27的OSPF邻居处于不稳定状态, UP/DOWN,不停的翻滚，要求1条命令解决。原因：存在Kron R27：kron occurrence ospfcounter in 1 recurring （1分钟） policy-list Xkron policy-list Xcli clear ip ospf countercli clear counterscli clear ip ospf processcli yes解法：通过“show kron schedule ”查看 kron的状态，还有这台设备logging console没开，不过可以用show log看到信息。单独删除map下面的 cli clear ip os pro题目需求是不能删除所有的policy，那唯一的选择就是删除cli clear ip ospf p了logging console,可以看到进程被清。sh kron sc检查是否还会清除OSPF邻居。15、以R14的loopback0口为源到R7的loopback 0 流量，初始配置是 precedence critical，要求在到达R7的时候被remark 为ip precedence priority。Solution：检查发现R13上存在CB-marking的配置，但是有错误。R13：Ip cefaccess-list 101 permit ip host 4 host （precedence critical）class-map match-all TEMP(class-map 一定match-all的关系)match access-group 101match ip precedence 5(初始配置可能有错，如果在ACL中匹配了优先级，那么这里不需要match)match packet length max 500(多余命令，no 掉)- 初始配置可能有误，检查ACL的源，目的是否有误，以及是否匹配了优先级policy-map MQC class TEMP set ip precedence 1 -初始配置可能有误interface E1/0 service-policy output MQC -调用方法错误，改为input完成以上修改后，检查发现R14上没有marking的配置，也就是说从R14到R7的流量初始的ip precedence 可能并不是critical ，所以在R14上添加marking相关配置R14Ip cefclass-map match-all TEMP -class-map 一定match-all的关系 match access-group 101 access-list 101 permit ip host 4 host policy-map MQC class TEMP set ip precedence 5interface E1/0 no ip address serial restart-delay 0 service-policy output MQCCheck：以R14的loopbcak 0为源ping R7的loopback 0，并且在R7的接口下通过ACL来检查收到的数据的precedence 但是注意检查完毕后，no掉多余的ACL接口检查：Ip access-group 100 inAccess 100 permit any any precedence 5Access

人人文库> 全部分类> 应用文书 > 年终总结

温馨提示

1. 本站所有资源如无特殊说明，都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2. 本站的文档不包含任何第三方提供的附件图纸等，如果需要附件，请联系上传者。文件的所有权益归上传用户所有。
3. 本站RAR压缩包中若带图纸，网页内容里面会有图纸预览，若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对用户上传分享的文档内容本身不做任何修改或编辑，并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容，请与我们联系，我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

TS1总结完全冲刺版.doc

文档简介

温馨提示

最新文档

评论

TS1总结完全冲刺版.doc

文档简介

温馨提示

最新文档

评论

相关文档