TS1错点总结带思路.doc

1.frame-relay : 1.R22和R23的网络类型不一样（broadcast,或者p-to-p)，记得在R22上补 ip ospf network broadcast 2.R22和R23的frame-relay map写错（对端地址，本地dlci） 3.R22的lmi-type和FRW的必须一样（R23也是） 4.FRW的lmi,intf type必须补齐 5.FRW的frame-relay swithing必须打上 这时检查FR是否起来，ping对端172.16.10.1/2。如果起来，则FR无问题，还是不能telnet，则检查ospf的设置，关于ospf可能的错点： 6.R22或者R23的ospf认证类型不一样（一边为MDD5，一边为普通） 7.在s1/0接口下的认证的密码有问题（No掉之后自己写） 检查sh ip ospf nei查看邻居的建立。Sh ip route 可以看到R23的lo0口 最新TR点： EEKFR中LMI的一个feature，称之为end to end的keepalive。 配置在map-class下，有四种模式： bidirectional-端到端的keepalive为双向模式 request模式 reply模式 passive-reply-被动的回复，即收到request才发送reply 和可以up； 和可以up； 和可以up 具体配置： (config)#map-class frame-relay Ender-定义map-class (config-map-class)# frame-relay end-to-end keepalive mode bidirectional 考试的时候查看一端的模式，配置另一端的模式，实在做不通了再no掉。2. 二层（R14 telnet R8)1. 按照物理拓扑检查各个接口的划分，包括端口类型。注意的是端口下的 sw trunk enca dot1q 必须no掉，后面的ospf才能起来。2. Sw1和sw2之间的生成树问题，被mst阻塞的那个端口恰巧是放行vlan114的端口，而active的端口阻塞vlan 114 在被阻塞的那个端口上修改spanning-tree mst 1 cost 20（要注意到vlan114属于哪个mst实例） 这里的顺序是：1.sh int trunk 查看哪些接口是放行114的流量的。 2.sh spanning-tree mst 查看端口的阻塞情况。 最新TR点 MST上允许vlan114的接口被阻塞 3.三层 OSPF ip prefix-list permit 0.0.0.0/0 le 32 1.查看R20上的lo0接口是否宣告进ospf area 0 2查看R21和R24的fr有没有起来，有没有建立邻居，假如没建立邻居，查看fr和access prfix-list的调用。 3.查看R24上的route-map 的下一跳是不是匹配的R26到R20，是否下一跳配置正确。 4.查看R25上的LO1接口是不是宣告了192.16.20.2/30 5.查看R26上的OSPF和RIP配置还有策略 最新TR点 R21上的ospf进程下有no-ad，改成ad就行了。在R21的ospf进程下配置：area 1 nssa translate type7 suppress-fa，作用是在ABR R21上，将7类的外部路由转换成5类的时候不携带FA地址。从而使外部路由从新进入路由表。另一种解法就是把not-advertise改成advertise，不过这样做感觉没啥意义。这一题的思路是从R20上一步步查看路由的配置是否正确，由于配置内容过多，要使用sh run | sec 命令查看具体的配置情况 注意这一题在R21上有个access 1 deny 200.20.20.20 deny 192.168.20.1 这个没有调用的话没有影响。R25 lo1口不需要shutdown，只要把ptp线路no掉就可以。 最新战报：NSSA区域有接口宣告了area 0 R27上的接口宣告进AREA 0，导致双ABR，还有area 1 range 4. DHCP(eigrp) 这里关于access 100 拒绝掉UDP的流量之后，加小号放行所有。Permit ip any any 1.R19上可能出现的关于DHCP的错误有：dhcp pool有问题，exculded ip配置有问题，直接no掉。（从19开始）2.R19上的COPP策略drop掉UDP的流量，access-list 100 deny掉UDP的流量3.R19 上出现的关于eigrp的问题：1. Router-id配置错误 2. 策略deny 掉eigrp的流量5. R17.18上出现的问题：eigrp自动汇总，连接R19的接口的md5认证没配或者配置错误6. R16上的问题：lo0口没有宣告进eigrp 关于no-auto:先不要起，先排其他错。如果不行再配。Default-router如果配置错误可以直接No掉。5. EEM1.注意的是在抓取端口shutdown的信息之前，要开logging on logging consleAction的顺序是：action 1.1 command enable Action 1.2 command “conf t” Action 1.3 command “int e0/0” Action 1.4 command “no shutdown” Action 1.5 command “exit” 整个只有一句的命令可以不用引号6. BGP 记得permit Tcp udp的646端口（mpls)这一题的步骤是先在R1和R2上sh ip bgp sum 查看是否都建立BGP邻居，排完错之后再sh ip bgp 查看bgp路由表。1. R6上没有指10.1.1.2的neighbor，注意后面的address-fam 也要做，注意no-sy2. R1上的防控列表拒绝掉基数的BGP路由3. R3上的address-fam ipv4下的network 写错，应该为精确宣告。4. R3上写有weight，所以路由只往一个方向走。 5. R6上写有静态路由，导致BGP路由不通 最新TR点： COPP（新TR点）在R2上可能做了COPP把四台PE的ip地址都干掉了根据copp挂接项，加小号permit即可。 首先检查R1的BGP邻居，如果一个都没有，那说明就是这个错点。control-plane，发现match any ，策略是drop，直接上去no drop，然后OSPF邻居起来假如TR点找出来了还是没有起路由，检查NO-SY，这个很容易忽略根据战报，有一个TR点是R1上的router-map匹配掉四条路由后，next-hop null，战报解法是直接NO掉7. MPLS/VPN 经常忘记R1上的策略policy 这一题的思路是首先检查路由的连通性： 1. R4到R20的路由不通，可能是R20上的接口没有进行宣告 2.R5到R8的路由不通，R5自己没有起ip vrf forwarding Site-A1 ,vrf的RD和R4的不一样，修改完RD之后要重新写 target （200：1）要跟R4不一样，然后在连接到R8的接口上起 vrf，起完VRF之后要重新写IP地址。 3.R5上的BGP和OSPF没有互相重分布 这些做完之后可以在R20R8上sh ip route vrf *看到对方路由，接下来处理mpls层的问题 1.R1上的mpls配置有问题R1的两个接口没有起mpls ip ，R1上的策略漏掉R4。R1上的mpls协议错误，应该为ldp。R1上的策略拒绝掉ldp的UDP端口，在policy-map下直接改成transmit。此时sh mpls ldp nei应该可以看到和R4的邻居 2.R2上的mpls配置问题：在接口下没有起mpls ip。并且acc没有指向R4。R2使用Lo1通告ldp，但是因为其他路由没有到lo1的路由，所以导致不通，解法是在全局下：mpls ldp route-id lo0 force。使用Lo0进行通告。 结束后在两端sh mpls ldp nei最后，根据战报，出现比较多的错误都是在R1和R2上，最多的是均没有指向R4，还有mpls ip在接口下没有启用，注意的是ip cef也会被no掉。其次是R1上的策略有问题，很多都是set next-hop null。拒绝掉udp的流量之类的。 部分战报说R1上有no mpls ldp ad-label 直接no掉即可。R1，跟R2连接R4的接口上都有ACL，没有放行TCP 646，我是直接permit tcp any any（这一点在IOU上是直接pemrit tcp 646,但是策略是drop）。8. IPV61.ipv6部分非常简单，大部分的错点集中在R85上，上只有一个错点，就是ipv6 address autoconfig 没有在后面加上default，注意的是要把ipv6 address autoconfig给no掉才能加上。2.R5上的错点都在与R8直连的接口上，ipv6 nd ra suppress 这句话是的意思是不打开自动获取地址，类似IPV4的关闭DHCP，还有就是没有加入OSPF，导致到R8的lo口不通。另外接口调用策略，拒绝掉的icmp流量，所以ping不通。注意R5和R8的接口要加入ospf 200.，R5上的ipv6 access直允许了IPV6OSPF的流量，ICMP流量被拒绝，加小号permit。最新TR点：R5R4没有开启ipv6 unicast-routing9. QOS 这一题的思路的严格按照CP列表的顺序，即access-list列表首先要正确调用，然后class-map要匹配上，最后policy-map要正确放行，由于根据题目要求，只有pre 5的流量能通过，所以要在policy-map里set pre 5。最后在接口调用。 根据战报，最新TR点是：在class-map下直接调用 match pre 4，改成5,然后将policy-map里的pre 4 也要改成5.class silverpolice 8000 1500 conform-action set-prec-transmit 4 exceed-action set-prec-transmit 4改成：police 8000 1500 conform-action set-prec-transmit 5 exceed-action set-prec-transmit 4正确的应该是class-map match 4 ,policy中改成5，如果是policy 300 500 l两个都改成5，上图所示。考场原配： Extended IP access list 134 10 permit ip any any precedence flash20 permit ip any any precedence flash-overrideClass Map match-all silver (id 1) Match access-group name silver Match access-group 107 (match access-group this) Match access-group 134 Match precedence 5Policy Map SILVER Class silver police cir 8000 bc 1500 be 1500 conform-action set-prec-transmit 4 改为5 exceed-action set-prec-transmit 4 violate-action set-prec-transmit 410. NAT NAT这一题的思路是首先查看access-list抓取的流量对不对，考场最多的错是将目的IP写成源IP，所以要注意，然后做