IEWB

http://blog.51cto.com/user_index.php?action=creategroup&

TS2 by Liou详解

R6 to R8建立安全的BGP邻居

Logging on//打开logging,查看Log发现密码错误

Show run查看密码:

R6:neighbor 10.1.1.8 password 7 02050D480809

(修改: neighbor 10.1.1.8 password 7 00071A1507545A545C7519)

或

R8:neighbor 10.1.1.6 password 7 00071A1507545A545C7519

(修改: neighbor 10.1.1.6 password 7 02050D480809)

Service pass-encryption//加密密码,一定要打上

 

注意:此处可能用明文加密,且两点加密密码相同.一定注意密码后是否有空格!!!

R28 ping R1回环优选R26(or R27)

查看R1和R28之间链路的路由,发现链路中没有去往R1环回口1.100.100.100的路由

R1:

router bgp 100

neighbor 197.68.1.2 route-map prepend out

route-map prepend permit 10

 set as-path prepend 100 300 500 600

(修改: set as-path prepend 100 500 600)

//此处一定注意不要把这句删除掉,删除300即可

 

R2:

router bgp 200

neighbor 197.68.1.1 filter-list 100 in

ip as-path access-list 100 deny ^100$

(no掉”ip as-path access-list 100 deny ^100$” ,并添加ip as-path access-list 100 permit ^?$)

 

R26或R27添加策略路由//查看ACL控制列表,不要用重了

ip access-list standard 10

permit 10.1.1.1

route-map 10 permit 10

match ip address 10

set metric 200

route-map 10 permit 20

router bgp 300

neighbor 10.1.1.28 route-map 10 out//R27配置雷同,只需配置一边即可

//此处也有解法为修改邻居的权重,如: R28:neighbor 10.1.1.27 weight 300

 

注意:因为路由器有不少EBGP,所以一定注意链路中BGP协议中的RR问题

 

R20回环口 ping R28回环口

查看R20和R28之间链路的路由,发现双向的路由都没有

R16与R8没有ospf邻居

(R16的ospf中添加area 1 nssa)

 

R17

E2/0接口中有: ip ospf network point-to-multipoint (no掉)

 

R16上有一条area 3 virtual-link 10.1.1.18;

R18上有一条area 3 virtual-link 10.1.1.6(修改: 10.1.1.18);

R18中还有area 0 authentication message-digest(在R16上同样认证)

 

注意:大部分战报中提示了:”only can change in one device !!”表示可能只有R17的接口问题,但请详查

 

R13/14/15(最好不动帧中继交换机)全互通

查看OSPF邻居发现R13没有OSPF邻居

查看R13,R14,R15的PVC发现R13通往R14,R15的两条PVC都处于down

查看R13的接口配置:

frame-relay lmi-type ansi (改成cisco,可以相应查看R14,R15配置)

frame-relay intf-type dce (no掉;此条为帧中继交换机专有)

 

R24看到R21重分发的路由负载均衡

R24查看EIGRP外部路由:没有

 

查看R21,R22,R23的EIGRP配置:

R21上有一条 redistribute ospf 1 route-map ospf_eigrp (添加metric 10000 100 255 1 1500)

R22上有一条offset-list 10 in 500000 Ethernet1/0 (no掉)

R24增加maximum-paths 2

 

查看接口配置(统一no掉,或修改成对应格式)

R21: bandwidth 1000000(e1/0); delay 1000(e2/0); shutdown(e2/0)

R22: bandwidth 54321(e0/0)

R23: delay 12345(e1/0)

 

注意:此处可能有链路两端掩码不一致的问题,此问题会导致不能负载均衡!!!

 

R24 ping R10的回环口

查看路由过滤

R21:过滤掉了10.1.1.10的路由

(添加: ip prefix-list From_Ospf seq 20 permit 10.1.1.10/32)

 

R24,R25帧中继建立邻居可能有问题(出自TS2老题)

可能会有帧中继交换机没有宣告”frame-relay intf-type dce”(接口)和”frame-relay switch”(全局)

可能会将两端的HDLC号敲错//保证配置无误的情况下,尝试对调HDLC号

 

R29 ping 10.1.1.10

添加ppp mppe的相关语句(这个问题可能与配中是正确的,所以请先查看路由部分)

R25/R29

inter s1/0

en ppp

ppp authentication ms-chap

ppp encrypt mppe 40 required(如果此处的40改为128的话,则R25和R29 ping不通)

user R29 password cisco(R29配置为: user R25 password cisco)

使用命令 show ppp mppe s1/0查看结果如图表示成功 (等号后为加密数据数)

 

查看R10和R24的相关路由,R10没有R29路由

R25没有将RIP重分布进EIGRP (添加redistribute rip metric 10000 100 255 1 1500)

R25的router rip为version 1 (修改: version 2)

 

R5-R13的tunnel翻滚

R5

R5上有一条ip route 10.1.1.13 255.255.255.255 135.0.0.13的静态路由

(no掉,并添加ip route 10.1.1.13 255.255.255.255 e1/0)

R13

R13上有一条ip route 10.1.1.5 255.255.255.255 135.0.0.5的静态路由

(no掉,并添加ip route 10.1.1.5 255.255.255.255 e1/0)

改tunnel源为lo0

验证:tunnel互相ping通

 

R13的s0/0 down后给SNMP(R4)发trap消息

检查R13是否可以ping通R4回环口

R13

Snmp-server enable traps snmp linkdown

Snmp-server trap-source lo 0//常考

Snmp-server host 10.1.1.4 public

R13的S0/0接口

Snmp trap link-status

检验:R13 : debug snmp packt 结果如下:

 

R9 telnet R10,要求不能删除修改ACL(可以添加ACL条目)

查看R9和R10的路由条目,结果完整

查看VTY连接设置: transport input none (修改: transport input telnet)

查看访问控制列表及相应策略:

添加ACL: access-list 100 deny tcp any any eq telnet ,方法如下:

Ip access-list 100

1 deny tcp any any eq telnet

 

组播R3 R5 R9 R11 R13通

所有路由打上Ip pim autorp listener

 

所有接口默认为Ip pim sparse -dense-mode (修改: R3/R5/R9/R11上Ip pim sparse-mode)

R3

原配置

ip access-list standard GROUP

permit 224.1.1.2

ip pim send-rp-announce Loopback0 scope 1 group-list GROUP

ip pim send-rp-discovery Loopback0 scope 1

修改:

ip access-list standard GROUP

permit 224.1.1.1

ip pim send-rp-announce Loopback0 scope 15 group-list GROUP

ip pim send-rp-discovery Loopback0 scope 15

R9

原配:

ip access-list extended 100

10 deny ip any host 224.0.1.40

添加:

ip access-list extended 100

1 permit ip any host 224.0.1.40

 

Show ip pim rp mapping, 保证所有运行组播协议的路由结果如下:

 

R8的SSH(出自TS2老题)

aaa new-model

aaa authentication login default none

aaa authentication login SSH local-case //记住AAA定义的SSH登录名称

crypto key generate rsa general-keys modulus 1024 //可能需要明明一个domain

(命令: ip domain name ccie)

ip ssh port 2009 rotary 1 //考试时,注意这个端口是否开了

ip ssh source-interface Loopback0

line vty 0 4

login authentication SSH

transport input ssh

rotary 1

 

测试：

Rack30R8(config)#crypto key generate rsa general-keys modulus 1024

模拟器里的SSH没激活，采用上面的命令激活。

Rack30R7#ssh –l (此处为英文字母L) Rack30R7 (用户名) –p 2009 10.1.1.8

//具体的用户名在R8查看获得。

 

12. 对10.1.24.1到10.1.1.4的流量做标记。在经过EIGRP区域将流量标记为priority （1），经过OSPF区域将流量标记为critical（5），流量出OSPF区域时标记为internet control（6）。(出自TS2老题)

看清题意，需求标记成什么级别。

network Set packets with network control precedence (7)

internet Set packets with internetwork control precedence (6)

critical Set packets with critical precedence (5)

flash-override Set packets with flash override precedence (4)

flash Set packets with flash precedence (3)

immediate Set packets with immediate precedence (2)

priority Set packets with priority precedence (1)

routine Set packets with routine precedence (0)

 

分析: 首先有一个EIGRP和RIP边界设备R25在进EIGRP的地方没有做标记为1，

第二设备R21是进OSPF区域匹配错了流量，修改过来。

第三个地方是R20执行的行为是drop，应该是标记为6，修改过来。

模拟实验里是从R26(10.1.24.1)到R4（10.1.1.4），考试的时候是从10.1.1.24到10.1.1.4。考试时请注意。

 

解法：(完整配置)

R25 (这台设备上的配置都没有,要自己加上去的)

access-list 101 permit ip host 10.1.24.1 host 10.1.1.4

class-map To_EIGRP

match access 101

policy-map To_EIGRP

class To_EIGRP

set ip precedence 1

interface S1/0

service-policy output To_EIGRP

 

R21

access-list 101 permit ip host 10.1.24.1 host 10.1.1.4

class-map match-all To_R5

match access-group 101

match ip precedence 1 //考试里匹配的是4,应该在这里是匹配1

match packet length min 1000 //这个要删除,不然匹配不到

policy-map To_R5

class To_R5

set ip precedence critical //进EIGRP标记为critical就是优先级5

interface E0/0

service-policy output To_R5

 

R9

access-list 101 permit ip host 10.1.24.1 host 10.1.1.4

class-map match-all To_R4 //原配置是match-any,应该为match-all

match access 101

match ip precedence 5

policy-map To_R4

class To_R4

set ip precedence internet //原配置是drop丢弃,应该标记internet（6）

interface E1/0

service-policy output To_r4

 

测试:

这里主要列出可以用到的排错命令

Rack30R9#show ip access-lists 检查ACL匹配从10.1.24.1到10.1.1.4的流量

Rack30R9#show class-map 检查class-map中匹配的ACL和precedence以及match-all

Rack30R9#show policy-map interface 检查MQC中设置的优先级，和接口应用方向

Rack30R9#show run | section XXX 检查相关部分的配置