记录存档用,现在CCIE的RS已经升级到6.0了,5.0的题没啥太大的实用意义了,不过题还是好题的。但是当时记的笔记,都很混乱,也没什么逻辑关系
lab 2
- 第一部分:先配置vlan,开trunk,设置VTP。vlan都能正确学习到后,划分access接口,保证直连能通。再做port-channel和生成树,最后做portfast到这里属于第一节,后面可以先把第五部分的DHCP服务器的,和HSRP先做了,不急着看现象,这个无所谓。至于IPv6的看情况,方便做就做,不方便就后面顺着来
点击查看代码
SW3-6(snmp服务容易遗漏。生成树类型每个交换机都要配置!!!)
snmp-server enable traps syslog
spanning-tree mode rapid-pvst
SW3/SW4(SW3要求是根,4是备根)
port-channel load-balance src-dst-ip(根据源IP和目的IP均分流量)
spanning-tree vlan 1-1005 pri 0 (SW3)
spanning-tree vlan 1-1005 pri 4096 (SW4)
SW5/SW6
port-channel load-balance src-mac (根据源MAC均分流量)
R58
router eigro 10
summary-metric 0.0.0.0/0 distance 21
- 另外,所有的trunk口下面,不要忘了这个配置,lab1里面没有强调,这里需要
swichport truunk nonegotiate
- 配置standby路由器不难,配置就那样,主要是5.4的要求比较麻烦。失效后HSRP的优先级自动下降10
点击查看代码
track 134 ip route 0.0.0.0 0.0.0.0 reachability
int vlan 100
stan ver 2
stan 134 ip 10.2.100.1
stan 134 pri 101
stan 134 pree
stan 134 timer 10 30
stan 134 track 134 decrement 10
第二部分:
- 除了tunnel口的配置,注意 ip ospf network point-to-multipoint
点击查看代码
*R17
router os 1
area 51 stub no-summary
*R19/20/21
router os 1
area 51 stub
*还有加IPSec的配置
tunnel protection ipsec profile DMVPNPROFILE
*其他就正常配置,IPSec的配置以R17为主
第三部分:
- *R11/12/13/14注意(重分布一条默认路由进ospf,always参数要加上)
点击查看代码
router os 1
default-information originate always
- *R15/16要做ospf和bgp的双向重分布(denytag这个参数还是没弄懂)
点击查看代码
router bgp 65002
add ipv4
redis ospf 1 match inter exter route-map denytag
router os 1
redis bgp 65002 metric-type 1 subnets route-map tag
route-map denytag deny 10
match tag 65001
route-map denytag deny 20
route-map tag per 10
set tag 65001
- *R52(两个route-map,不同的作用,一个用来做loo口重分布,一个是tag)
点击查看代码
route-map CON permit 10
match interface Loopback52
route-map TAG permit 10
set tag 172.172.172.172
router eigrp JACOBS
address-family ipv4 unicast autonomous-system 1
topology base
distribute-list route-map TAG out
redistribute connected route-map CON
- *R9,R10注意,开OSPF和EIGRP,然后做双向重分布(顺便他们的mpls,注意不要忘了还有一个是运行eigrp的口,要手动声明MPLS)
点击查看代码
route-map TAGinOSPF deny 10
match tag 172.172.172.172
route-map TAGinOSPF per 20
router os 1
redis ei 1 sub
distri route-map TAGinOSPF in
router ei JACOBS
add ipv4 au 1
topo base
redis os 1 metr 10000 1000 255 1 1500
第四部分:
- 建立BGP邻居的时候注意,如果状态是Active的,很有可能是nei后面跟的地址不可达,带源ping一下,或者两边互相ping一下。在IBGP里,就有可能是回环口在ospf中漏了通告了。
- R1不要忘了RR的配置(在ipv4和vpnv4里都要做)
nei iBGP route-reflector-client - 其他的R3/4/5/6/7/8不要忘了这个属性。R50/51/52不需要!!!!
nei 10.255.1.1 send-community both - R50/51/52和R1/2之间起正常的IBGP邻居就行了,属性只有 up lo0这个。但是他们之间互相的IBGP邻居就要加上next-hop-self这个属性。也就是说,IBGP邻居之间基本都是要加上next和up lo0这两个属性的,只有lab1+的那个没要求next-hop-self
- 配置Vpnv4的时候,把vrf口一起做了(可以先顺手把vpnv4的做了,再折回来弄vrf口)(3.4)
之后,建vrf的EBGP邻居,不要忘了这两条属性 (2.5)
点击查看代码
nei 10.254.0.xx as-override
nei 10.254.0.xx soo 65002:x (防环大家都一样)
R50/51/52建的EBGP邻居的属性不太一样
nei 172.18.253.xx local-as 6500+ no-prepend
nei 172.18.253.xx soo 6500x:x(防环大家都一样)
- 根据3.4的题目要求,所有的vrf都要学到65002:2,除此之外,其他的都是相互隔离互不干扰,全部通过65002:2的网络来做中转
点击查看代码
R3,R4 65002:2 GREEN
R5,R6 65002:3 GREEN
R7,R8 65002:1 RED
R50,R51 65005:18 GREEN
R52 65007:17 BLUE
- R11/12/13/14注意建邻居的时候,要汇总通告,并且在BGP中重分布ospf(这里的汇总要带as-set这个属性,lab3的全是summary就行了)
点击查看代码
aggregate-address 10.1.0.0 255.255.0.0 as-set summ
redis ospf 1 match in ex 1 ex 2
nei 10.254.0.xx prefix-list out out
第五部分:
- *注意2.6,R18和R57之间建EBGP邻居,两边都做双向重分布
点击查看代码
R18
router ospf 1
redistribute bgp 65002 subnets metric-type 1
router bgp 65002
aggregate-address 10.0.0.0 255.0.0.0 as-set
redistribute ospf 1 match internal
R57
router eigrp 10
redistribute bgp 65005 metric 1 1 1 1 1
router bgp 65005
redistribute eigrp 10
排错点:切换到MPLS网络的时候,tra卡在了R16到R4这一段。实际上是因为R4这边的MPLS网络传不过去才导致卡在这里的,看一下中间是不是有设备或接口没有开MPLS。学到路由了,说明下面是没有问题的,只能是MPLS的问题
第六部分:
点击查看代码
R17
ip multicast-routing
int e 0/1
ip pim sp
int tunn0
ip pim sp
int lo0
ip pim sp
ip pim bsr-candidate lo0
ip pim rp-candidate lo0
R19/20/21
ip multicast-routing
int tunn0
ip pim sp
int e 0/1
ip pim sp
ip igmp join-group 239.1.1.1
第七部分:
*安全部分的,不太懂
点击查看代码
R17
ip access-list extended TTL
deny udp any any eq isakmp
deny udp any any eq non500-isakmp
deny gre any any
deny esp any any
deny ospf any any
deny pim any any
deny igmp any any
deny tcp any eq bgp any
deny tcp any any eq bgp
permit ip any any ttl eq 0
permit ip any any ttl eq 1
!
class-map match-all TTL-map
match access-group name TTL
!
policy-map COPP
class TTL-map
drop
class class-default
control-plane
service-policy input COPP
- *另外就是DHCP snooping部分的配置,PC机的接入口不设置为信任端口(接入也没法信任的吧...)
点击查看代码
SW5/6
ip dhcp snooping vlan 100-101 (设置DHCP snooping作用于哪些vlan)
ip dhcp snooping information option allow-untrusted (设置汇聚交换机将接收从非信任端口收到的接入交换机发来的带有option 82的DHCP报文)
no ip dhcp snooping information option (设置交换机是否为非信任端口收到的DHCP报文插入option 82字段,默认开启。这边关闭)
ip dhcp snooping
ip dhcp snooping verify mac-address (检测非信任的端口收到的请求报文的源MAC和CHADDR字段是否相同,默认开启)
int rang e 0/1-3
ip dhcp snooping limit rate 10 (DHCP报文限速,每秒10个)
int port-channel 35/46
ip dhcp snooping trust (设置这个接口为DHCP信任接口)
SW3/4
ip dhcp relay information option(设置交换机是否为非信任端口收到的DHCP报文插入option 82字段,默认开启。这里不同于汇聚层,需要开启了)
-
给R101配置DHCP服务器(5.1)之前,先做5.3的HSRP,把两台交换机虚拟化做一下。且SW3和SW4的vlan100中,都要配ip help-address。
-
还有2.10的IPv6的HSRP也一起先做了可以
-
配置R17与R19,20,21的ospf的时候,注意,因为题目要求不能收到3类的LSA,所以要配置成完全末节区域。完全末节是在末节区域的基础上,R17要配置 area 51 stub no-summary ,19,20,21要配 area 51 stub。不然邻居无法建立,路由无法交换
