记录存档用,现在CCIE的RS已经升级到6.0了,5.0的题没啥太大的实用意义了,不过题还是好题的。但是当时记的笔记,都很混乱,也没什么逻辑关系
lab 1
图是反的,我也很绝望
LAB1+
-
1.1是创建vtp。1.2是创建vlan,划分接口。1.3是生成树和端口安全部分,生成树采用msp的方式,以单数双数来定义根树。1.4是wan的ppp认证。lab1+没有涉及链路聚合,设备冗余问题,就不要管那么多了。
-
SW1/2的vtp设置为透明模式,要有密码和名字。不要忘了mac地址在重新刷新前要保留三小时(也就是10800秒),3/4不用。
mac address-table aging-time 10800
另外,没有用的端口全部划分到vlan 999里面,然后关闭
检查端口划分的时候,区域1(12345)可以顺手把MPLS和OSPF的做了
点击查看代码
mpls ldp router lo0 force
mpls label pro ldp
router os 12345
mpls ldp au area 0
- SW3的VTP是server模式,SW4的是client模式,开之前先把vlan宣告好,trunk口开好。1,3是奇数根,2,4是偶数根。端口安全那两条命令记得也要打。
顺手也可以把34567区域的EIGRP给做了(普通的EIGRP 34567)
loo口是,另外加上选路规则
点击查看代码
SW3/4
int vlan 34
delay 100
- ppp认证部分,因为IP地址是手动配置上去的,所以不用管太多,配正常的账号密码就好了。像 ip ipcp route default 这种的获取默认路由的就不用了,没要求。最好打上一个关闭自动发送明细
no peer neighbor-route
*2.1 ospf基本在前面都配完了,主要注意一个需求,就是R1要求是stub路由器,给R1单独加一条命令
router ospf 12345
max-metric router-lsa
其他的,第一步就顺带做过了,宣告网段的时候都可以宣告0.0.0.0 0.0.0.0的
*2.2 同上面,配SW3/4,验证vlan接口划分的时候就一起做了。配置RID,宣告全部接口,特殊要求就是在vlan34里面delay 100。
*2.3 配置45678的EIGRP,要求是命名的,同时启用最强认证。SW5/6也要启用认证,在vlan55/66下面启用。确保SW5上没用的端口处于vlan5(后面的要求,可以先提到前面来做)
点击查看代码
SW5
router ei CCIE
add ipv4 au 45678
ei ruoter-id 123.xx.xx.xx
net 123.0.0.0 0.255.255.255
af vlan 55
auth mode hm 7 CCIE
*2.5 跳过2.4,先建BGP吧,建立12345区域里的ipv4的IBGP,R1是RR。顺便把3.2的vpnv4的ibgp邻居一起建了。使用对等体IBGP的名字来建立。iBGP邻居老生常谈的几个问题了,up lo0和next-hop-self(参考答案里面没有写下一跳自己...那就不写了吧.....)。在vpnv4的邻居里就不要写什么了。ac就好了,两端都是
还有这句经常忘写....
点击查看代码
add ipv4
nei IBGP route-reflector-client
add vpnv4
nei IBGP route-reflector-client
- 接下来是R2/3和R20建EBGP邻居,并且去往1.2.3.4的INET的路由优选R3,在R20上配置。R20像所有EBGP邻居通告默认路由(除了10.120.99.1&10.120.99.5)R20向他们通告两台汇总
点击查看代码
net 123.20.20.20 mask 255.255.255.255
net 10.120.12.2 mask 255.255.255.255
agg 10.0.0.0 255.0.0.0 summ
agg 123.0.0.0 255.0.0.0 summ
-
注:建邻居不使用对等体,R20只有ipv4的,就那么一个个去写....不要忘了默认路由(nei 10.120.99.1&10.120.99.5不写这句)
nei xxx default-originate -
R2/3就show ip vrf后,对照着vrf的接口名称,一个个进到bgp里面去配置邻居
至于优选R3就直接用weight来控制
R20
router bgp 65112
add ipv4
nei 10.120.99.5 weight 100
*2.6 配置34567区域的IBGP和EBGP。R9要求是最优出口,R11是备份,不能在BGP中使用network。
4台BGP路由器必须重分布EIGRP进BGP
add ipv4
redis eigrp 34567
- R9/11只重分布BGP的默认路由进EIGRP
点击查看代码
access-list 1 per 0.0.0.0
route-map default per 10
mat ip add 1
router ei 34567
redis bgp 34567 route-map default metric 10000 1000 255 1 1500
- R9是唯一的将默认路由作为BGP路由的路由器,其他都将默认路由作为外部EIGRP
点击查看代码
R9
router bgp 34567
bgp default local-preference 300
R11
router bgp 34567
bgp default local-perference 200
注:这里的IBGP邻居又要加上next-hop-self了
*2.7 做45678和65222的EBGP。R15和AS10003建EBGP,接收一条默认路由,通告一条123.20.1.0/24的前缀。R15的EIGRP和BGP要做双向重分布。R16/17/18/19只建邻居,不做任何通告
点击查看代码
R15
router bgp 45678
no bgp def ipv4
add ipv4
redis eigrp 45678
net 123.20.1.1 mask 255.255.255.255
agg 123.20.1.0 255.255.255.0 summ
router ei CCIE
add ipv4 au 45678
topo base
redistribute bgp 45678 metric 10000 1000 255 1 1500
R17是带vrf口的vrf ipv4邻居
*3.1 直接跳第三部分开始做吧。基本上该做的前面都一起配了,就差一个地方,差不多是边界禁ping吧
R2/3/6/7
no mpls ip propagate-ttl forwarded
*3.2 最重要的部分,路由器和外界,各个vrf口的EBGP邻居。vpnv4的邻居上面建过了。
R2/3的,各五个vrf
R6的三个,具体看题 show ip vrf
R7的三个
*3.3 做DMVPN,虽然不难,但是都快有心理阴影了.....
题目要求的参数对应的配置
点击查看代码
bandwidth 1000
ip mtu 1400
ip nh ip nhrp authentication 45678key
ip nhrp map multicast dynamic
ip nhrp network-id 45678
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel vrf LOCALSPrp holdtime 300
ip tcp adjust-mss 1380
delay 1000
其他要求大多是常规配置,就不多说了
点击查看代码
ip nhrp authentication 45678key
ip nhrp map multicast dynamic
ip nhrp network-id 45678
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel vrf LOCALSP
在两边的BGP都是正常的情况下,参数正确就能双up,然后这个时候再加上IPSec的要求,也就是3.4的
*3.4
- 第一阶段:使用预共享密钥CCIE,密钥必须明文出现在配置中,使用DH算法的密钥为1024位,使用优先级为10的单一策略。
- 第二阶段:使用CCIEXFORM作为transform-set的名字,使用DMVPNPROFILE作为Ipsec profile的名字,使用传输模式,使用esp和aes。
点击查看代码
!
crypto keyring LOCALSP vrf LOCALSP
pre-shared-key address 0.0.0.0 0.0.0.0 key CCIE
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto ipsec transform-set CCIEXFORM esp-aes
mode transport
!
crypto ipsec profile DMVPNPROFILE
set transform-set CCIEXFORM
- 最后在tunn口里调用就好了,17/18/19都要配
int tunn0
tunnel protection ipsec profile DMVPNPROFILE
*2.4 折回来做2.4的EIGRP互通
这里其实也没做什么了,就是给R18/19正常开EIGRP,然后把除了外网口以外的所有口(包括tunnel口)都宣告进去,另外设置为stub区域。R17也宣告一下tunnel口(之前直接宣告123.0.0.0的好处...),然后关闭水平分割。虽然R17是用64位的EIGRP,但是R18/19用普通的也行的,方便
点击查看代码
R18/19(配置大概这样)
router eigrp 45678
network 10.2.19.1 0.0.0.0
network 123.0.0.0
eigrp router-id 123.19.19.19
eigrp stub connected summary
!
R17
router ei CCIE
add ipv4 au 45678
af tunn0
no split-horizon
*2.8 回归正轨,这部分做路由策略的,就是限制某些路由条目的进出。
- 题目要求要在所有的区域边缘过滤掉像题目的SP通告的BGP路由,并且允许A类的123.0.0.0/8的所有路由。
只能使用前缀列表。 - 让R13优选AS20002来进行路由流量。
- R2/3/6/7/8/9/10/11(没有vrf的就进普通的ipv4,有两个邻居的要写两条)
点击查看代码
ip prefix-list asf seq 5 permit 123.0.0.0/8 le 32
router bgp xxxx
address-family ipv4 vrf INET
neighbor 202.2.123.1 prefix-list asf out
R12/13/14(地址根据情况改)
router bgp 65111
bgp router-id 123.12.12.12
no bgp default ipv4-unicast
add ipv4
neighbor 201.1.12.1 remote-as 20001
network 123.12.12.12 mask 255.255.255.255
network 10.1.12.0 mask 255.255.255.0
注:但凡涉及到R12来ping看现象的,都要等这边做了才行。预配里可能是建了邻居,但是network不一定宣告了,所以之前无法通。另外,要带loo口ping
- 关于R13优选AS20002的,也是调整weight值
点击查看代码
R13
router bgp 65111
add ipv4
nei 202.2.13.1 weight 1000
*2.9
- IPv6 OSPF domain规划,考场可能变化。SW4是vlan34的DR,SW3是vlan34的BDR
SW3-SW4(Area0)
SW3-R10(Area10)
SW4-R11(Area11) - 主要注意题目要求,任意两个点之间要通,最好还是所有预配了IPv6地址的都宣告一下,都在接口下面宣告。
点击查看代码
交换机进入ospfv3
ipv6 router ospf 1
路由器进入ospfv3
router ospfv3 1
宣告路由
ospfv3 1 ipv6 area 10
另外R10/11要在ospfv3里面重分布bgp
router ospfv3 1
add ipv6
redistribuute bgp 34567
*2.10 和2.9是一起的,单独没什么好说的,建ipv6的BGP邻居
点击查看代码
R10/11
router bgp 34567
add ipv6
nei 2001:CC1E:8BAD:1061::1 remote-as 20001
redis ospf 1 in match in ex
R12/14要重分布直连,就这样
router bgp 65111
add ipv6
nei xxx remote-as xxx
redis connected
*2.11 R15的lo0口必须是RP,使用标准的方式的动态分发RP。R16/17必须参与组播路由,确保SW5上没用的端口处于vlan5。R18/19的0/0加入组232.1.1.1
(不是特别懂,反正照着来是没问题的)
点击查看代码
R15
ip multicast-routing
int rang lo0,e0/1,e0/2
ip pim sp
ip pim rp-candidate lo0
ip pim bsr-candidate lo0
SW5
ip multicast-routing
int rang vlan55,vlan 5
ip pim sp
SW6
ip multicast-routing
int vlan66
ip pim sp
R16/17
ip multicast-routing
int rang e0/1,e0/2,tunn0(17有tunnel口,也要开组播)
ip pim sp
R18/19
ip multicast-routing
int tunn0
ip pim sp
int e0/0
ip pim sp
ip igmp join-group 232.1.1.1
*4.1 显示提示信息(就一条命令,更没什么好说的了)
点击查看代码
R20:
banner login #
WARNING! ACCESS RESTRICTED!
#
*4.2 SW3的端口安全类的,每个端口必须动态只学习一个MAC地址,并且必须将MAC地址保存在开始的配置中,如果任意着四个端口(e0/0-3)发生了安全违规,SW3必须关闭端口
点击查看代码
SW3
int range e0/0-3
shutdown
switchport port-security
switchport port-security mac-address sticky
switchport port-security maximum 1
switchport port-security violation shutdown
no shutdown
*5.1 配置R20的....远程登陆吧?
- 确保用SSH访问R20使用域名 acme.org
ip domain-name acme.org - 在同一时刻,SSH可以接收5个远程连接
点击查看代码
crypto key generate rsa
1024
ip ssh maxstartups 5
- 创建用户test和密码test,当认证通过,test必须获得等级1的授权
username test privilege 1 secret test
- R20必须为SSH的尝试连接产生syslog,不论接收或者拒绝
ip ssh logging events
- 在R20上不能启用aaa new-model
no aaa new-model
- 确保R20上只有ssh这一种远程登陆,确保R20只能够接收源IP123.10.2.0/24的连接
点击查看代码
access-list 1 per 123.10.2.0 0.0.0.255 log
line vty 0 4
access-class 1 in
transport input ssh
login local
*5.2 做NAT,在R20上定义inside和outside
点击查看代码
accress-list 11 per 10.1.0.0 0.0.255.255
access-list 11 per 10.2.0.0 0.0.255.255
ip nat inside source list 11 int lo0 overload
除了两个99的接口以外,其他的都是inside口,99的是outside口
PS:我怀疑这玩意真的会自动tr.....R12突然就ping不通了,突然他就没有收到默认路由了,再往下看...R1的所有BGP邻居配置突然就没了....过分了啊
*5.3 不考跳过
*5.4 配置时钟源的,完全,无法理解
点击查看代码
SW3
ntp source loopback0
ntp master 1
R10/R12(R14不用起NTP)
ntp server 2001:CC1E:BEEF::203 so lo0
以上可能已配置。
以下必配
点击查看代码
SW3:
ntp authenticate
ntp authentication-key 1 md5 CCIE
ntp trusted-key 1
ntp source Loopback0
R10:
ntp authenticate
ntp authenticate-key 1 md5 CCIE
ntp trusted-key 1
ntp source Loopback0
R12:
ntp authenticate
ntp authenticate-key 1 md5 CCIE
ntp trusted-key 1
ntp source Loopback0
