H3CTE考题讲解课件

HCTE考试简介考试时间：一天（8:45a.m.——4:30p.m.）考试地点：很多考试方式：做实验+写报告（很重要）考试设备：5台路由器、1台S3526三层交换机、3台S3026交换机、5台PC机通过分数：800HCTE实验室测试拓扑图IP地址大学ARTAE0/24Virtual-Template1/24Virtual-Template2/24S3526VLAN1/24VLAN2/24VLAN3/24VALN4/24ISPRTBE0/24S2/24LoopBack1/24Virtual-Template1/24CERNETRTCE0/24E1/24S0/24LoopBack1/24Tunnel0/24大学CRTDE0/24S0/24大学BRTEE0/24S0/24Tunnel0/24组网要求RTC用LOOPBACK1模拟CERNET,RTB用LOOPBACK2模拟INTERNET;大学A和大学B直接连到CERNET,大学B通过ISP建立到CERNET的GRE&IPSEC/VPN;大学A和大学B直接访问INTERNET;大学C通过CERNET访问INTERNET;大学A和大学B访问INTERNET需要做NAT;大学A通过RTA访问INTERNET,通过S3526访问CERNET;组网要求（续1）各大学的主机全部通过DHCP获得IP地址；各大学的接入交换机全部启用DOT1X功能；大学A的拨号用户拨入ISP的RTB上，建立到大学A的RTA的L2TP/VPN；大学A的拨号用户只能访问大学A的资源，不能访问其它的资源;（大概是的）大学C的用户不能访问大学A的FTP服务器；（大概是的）组网要求（续2）大学A的FTP服务器需要在RTA上的DHCP地址池中进行IP和MAC绑定；大学A、B、C和CERNET组成1个OSPF自治系统；大学A为AREA1、大学B为AREA3、大学C为AREA2；CERNET为骨干区域，即RTC、RTD、RTE和S3526组成AREA0；除了前面的要求，各校的主机能够互相访问。故障现象各学校的主机都无法获得DHCP服务器分配的IP地址。网络各个部分都有问题。排错总结1HOST1/2/3和FTPSERVER无法获得各DHCPSERVER分配的IP地址。北邮考场的计算机里有保护卡，可能根本就无法获得地址。3026交换机上联的端口的dot1x命令需要去掉需要将所有DHCPSERVER上的已经使用的IP地址从DHCP里摘出来，用dhcpserverforbidden-ip命令RTA上将FTPSERVER的MAC与IP绑定命令里的MAC地址需要修改为FTP真正的MAC地址3526交换机上需要配置DHCPRELAY功能，需要在全局视图下增加：dhcp-server1ip在VLAN2和VLAN3的interface视图下增加命令

dhcp-server1为了测试需要，应该直接在几台计算机上指定DHCP范围内的IP地址，不用自动获得排错总结2RTE和RTB之间的frame-relay链路不通。在RTE的S0接口上有loopback的环路命令，应去掉；需要在RTE的S0和RTB的S2接口上分别增加到对端的帧中继MAP命令：frammapipdlci100和

frammapipdlci100排错总结3RTE和RTC之间的VPN不通。IKESA和IPSECSA都没有建立。RTE和RTC上的ikepre-shared-keyichmaghaetherremotex.x.x.x中的pre-shared-key不一致，需修改为相同的KEY；需要在RTE的interfaceTunnel0和RTB的interfaceTunnel0接口上分别增加到对端的OSPF邻居指定命令：ospfpeer和

ospfpeer-需要注意的是VPN两端的ACL有可能会被设置成不匹配，如果上两步都不能解决问题，可以检查ACL然后即可观察到OSPF邻居建立，并互相交换路由，VPN连通。排错总结4大学C（RTD）无法访问到INTERNET。在RTC和RTD上用disiprout命令查看路由表，会发现在RTD上有缺省的路由指到RTB（）上去，而在RTC上没有解决办法有多种：在RTD上增加到INTERNET的静态路由指到RTC在RTD上增加缺省路由指到RTC在RTC上的OSPF进程里增加importstatic命令，将静态或缺省路由注入OSPF进程中，RTD即可学到至INTERNET的路由。建议最好选择第三种方法！！！排错总结5大学A无法访问到CERNET，即S3526与RTC不通。在RTC和S3526上用disinter命令查看相关接口，会发现接口状态都正常，但就是无法互相ping通。直接查看config，可以发现S3526的E0/17端口被配置为TRUNK端口，确省的PVLAN为vlan1，而用于同RTC相连的IP地址属于vlan4的。解决办法有2种：将S3526的E0/17端口改为属于vlan4；直接在S3526的E0/17端口上增加porttrunkpvidvlan4，将该接口的PVLAN设置为vlan4即可。建议最好选择第二种方法！！！排错总结6关于大学A里的FTPSERVER资源的访问限制和CERNET的访问限制问题。具体的限制内容要求忘了好象是针对拨号用户和大学C的，需要仔细检查针对这两个用户的ACL，看是否有问题。如果要求拨号用户限制访问CERNET，还需要在S3526或RTC上进行ACL的配置排错总结7拨号的主机拨到RTB上无法通过身份验证，该问题没有彻底解决，需要现场仔细排查。在LAC（RTB）上的l2tp-group1中的

startl2tpipdomain中的LNSIP地址应该是对端路由器（RTA）的地址，需要改为RTA的interfaceVirtual-Template1地址。在RTA的interfaceVirtual-Template2接口上增加pppauthentication-modepap命令，看是否能够通过拨号用户的身份认证看RTA和RTB上是否已经建立了L2TP的VPN，如果没有建立，可能需要在RTB上增加一条到RTA的Virtual-Template1的静态路由可以尝试将RTA上的l2tp-group1中的强制认证命令mandatory-chap

去掉建议将培训中的“安全故障排除实验”中的config与考试的config仔细对比，看是否有问题没有发现。排错考试建议首先要熟悉网络拓扑和IP地址分配情况其次把所有设备的DEBUG功能打开在开始排错前，把所有设备的config内容copy到一个.txt文件上，好随时查看原始config是否有问题，省去反复拔插console线的时间，也便于排错不成恢复成原来的config如何判断网络故障用disiprout看各路由器和S3526上的路由表是否正常用ping