鸿鹄论坛鸿鹄论坛鸿鹄论坛832立体万金油.docx

鸿鹄论坛鸿鹄论坛鸿鹄论坛832立体万金油.docx

《鸿鹄论坛鸿鹄论坛鸿鹄论坛832立体万金油.docx》由会员分享，可在线阅读，更多相关《鸿鹄论坛鸿鹄论坛鸿鹄论坛832立体万金油.docx（15页珍藏版）》请在冰豆网上搜索。

鸿鹄论坛鸿鹄论坛鸿鹄论坛832立体万金油

《真实TT解题环境》

TT解题模拟环境：

注意：

点开某个TT，做完三个选择后点击“done”则完成此题，此题也同时被锁定为不可更改的红色。

在某个TT中随时点击“abort”则跳过此题，后续可以继续完成。

《立体万金油》

记住关键现象，以showrun为主判断。

不确认的可以和其他TT的配置比较。

设备

故障点

现象

TT

DSW1

HSRP

题干提示HSRP

1

VACL

C1ping不通网关；

7

ASW1

access-vlan

C1为169.x.x.x；showrun

5

trunk-allowed

C1为169.x.x.x；showrun

6

port-security

C1为169.x.x.x；showrun

4

R4

DHCP

C1为169.x.x.x；showrun

3

Eigrp-passive

C1ping不通R4的两个F口

8

Redistribution

C1ping不通R4的S口

9

Eigrp-AS

C1ping不通R4的S口（据说不考）

14

R2-R3

IPv6-ospf

题干提示IPv6。

Rx的互联接口下没有OSPF申告，只有直连路由，没有ospf路由

2

R1

Bgp-neighbor

C1可以ping通R1的直连外网，但ping不通server，R1上无bgp邻居，无bgp路由

11

L3-acl

R1能ping通server，其余设备都ping不通server

13

NAT

只有C1C2ping不通server，其他的设备都可以ping通server。

少了C1C2网段的NAT

12

OSPF-auth

C1可以ping通R1-R2互联的R2口，但R1的口ping不通

10

《TT解题详解》

第一部分：

找到两个“明显提示HSRP&IPv6”

一．找题干中“HSRP”，标号题号（对应V200的Q20-22）

Hsrp--shrun看到standby条目（在找答案选项的时候，不确认的可以看看），showstandbybrief--看到状态没有up！

！

答案：

1.DSW1

2.HSRP

3.Undertheinterfacevlan10configurationdeletethestandby10track1decrement60commandandenterthestandby10track10decrement60command.

解释：

由特定路由条目的metric值来决定track项目的down或up，从而触发对standby的priority值减小或增加。

此题中，可能没有到达10.1.21.128/16网段的路由，所以trace1的metric肯定大于2，那么vlan10关联了track1的DSW1-vlan10的HSRPPriority=200-60=140，则HSRP-active就变成了DSW2。

当vlan10关联了track10时，由于10.2.21.128/255.255.255.0是R4-lo0，所以track10的metric小于63，那么track10为up状态，DSW1-vlan10的priority=200，DSW1为active。

V200：

InthiscaseweknowthattheproblemiswithHSRPandthatDSW1willnotbecometheactiverouter.SinceweknowthatHSRPcommunicationisworkingbetweenDSW1andDSW2,wecandeducethattheproblemmustbewithDSW1.

二找题干中“IPv6”，标号题号

现象：

ipv6---R2上shipv6router，只有直连和L链路本地没有任何ospf路由

（对应v200的Q56-58）

答案：

1.R2或者R3

2.IPv6OSPFRouting

3.UndertheinterfaceSerial0/0/0.23configurationentertheipv6ospf6area0command.

解释：

UnlikeOSPFonIPv4wherenetworksareaddedundertheroutingprocess,IPv6needsOSPFv3enabledonaper-interfacebasis.ThishasbeendoneontheR3connectiontoR2,butnotontheR2connectionbacktoR3.Wewillneedtoaddthe"ipv6ospf6area0"configurationcommandtothes0/0/0/0.23interfaceofR2.

第二部分：

统一错误特点------依次在client1上ipconfig,找到4个错误的ip：

169.X.X.X（DHCP、port-security、access-vlan、trunk-allowed）

三．在4道题上，分别在R4上showrun找到错误的Dhcp：

"10.2.1.1--10.2.1.253"-----------确认为Dhcp.现象：

C1和C2获得169.x.x.x.地址，互相可以ping通，但是ping不通DSW1&FTP

（对应v200的Q50-52）

答案：

1.R4

2.IPDHCPServer

3.UndertheIPDHCPpoolconfiguration,issuethenoipdhcpexcluded-address10.2.1.110.2.1.253commandandentertheipdhcpexcluded-address10.2.1.110.2.1.2command.

解释：

此题的dhcp规则中ipdhcpexcluded-address10.2.1.110.2.1.253将整个10.2.1.0/24的地址都排除了，导致C1C2都无法获得dhcp的地址。

四．剩下3道，现象：

C1获得169.x.x.x地址，C1C2互相ping不通（考试时可能有bug，C1C2可以互相ping通），且可以在Asw1上，shintf1/0/1，找到

FastEthernet1/0/1isdown,lineprotocolisdown（errdisabled），

switchportport-securitymac-address0000.0000.0001，

并且showrun看到“port-security”信息--------可以确认为port-security问题

（对应v200的35-37）

答案：

1.ASW1

2.PortSecurity

3.InConfigurationmode,usingtheinterfacerangeFa1/0/1-2,thennoswitchportport-security,followedbyshutdown,noshutdowninterfaceconfigurationcommands.

解释：

ASW1上的端口安全策略限制了C1和C2连接ASW1的端口通信（触发安全策略后处于error-disable状态）。

ToallowClient1toaccessthenetwork,wemustremovetheportsecurityconfigurationcommandthatisallowingonlythedevicewithaMACaddressof0000.0000.0001.Sincethisportwillstillbeinanerrdisablestateafterthis,wemustalsoissueashutdown/noshutdowntoenabletheport.

五．其余2道，现象：

C1和C2获得169.x.x.x.地址，互相可以ping通，但是ping不通DSW1&FTP，shvlanbrief和shrun，F1/0/1和F1/0/2在默认vlan1中，没有划进任何vlan-------确认为Vlan10

（对应v200的Q38-40）

答案：

1-ASW1

2-Accessvlans

3-InConfigurationmode,usingtheinterfacerangeFastethernet1/0/1-2,thenswitchportaccessvlan10command.

解释：

The"switchportaccessvlan10"changeontheportsconnectingtheclientswillcorrectlyaddbothclientstothecorrectVLANandmovethemfromVLAN1toVLAN10.

六．直接shrun-----在channel13和23下，不是vlan10，200-----------确认trunk！

！

现象：

C1和C2获得169.x.x.x.地址，互相可以ping通，但是ping不通DSW1&FTP

（对应v200的Q41-43）

答案：

1-ASW1

2-Switch-to-SwitchConnectivity

3-InConfigurationmode,usingtheinterfaceport-channel13,port-channel23,thenconfigureswitchporttrunkallowedvlannonefollowedbyswitchporttrunkallowedvlan10,200commands.

解释：

Po13和Po23的trunkallowedvlan必须包括vlan10,200否则C1和C2的信息出不了ASW1

第三部分：

分别找寻错误特点：

七．剩下7道，分别从client1ping网关10.2.1.254—DSW1，只要遇见有不通，--VACLFilter

现象：

C1ping不通自己的网关和ftp，即可确定为VACL。

（对应V200的Q32-34）

答案：

1.DSW1

2.VLANACL/PortACL（考试时此题选项很多，正确答案需要点击下拉框显示）

3.Undertheglobalconfigurationmodeenternovlanfiltertest1vlan-list10command.

解释：

C1ping不通自己的网关DSW1，则故障肯定在DSW1上，查看配置可见vacltest1的配置中首先对所有ip执行了drop动作，导致ping不通。

八剩下6道，现象：

client1pingR4的2个F口,只有一个TT的不通，（使用showipprotocol出现passiveinterface下有端口存在）------------Eigrppassive（eigrpAs一定不考）

（对应v200的53-55）

答案：

1.R4

2.IPEIGRPRouting

3.UnderEIGRPProcessenternopassive-interfacefa0/0andnopassiveinterfacefa0/1

解释：

passive的配置禁止相关接口收发eigrp报文

九剩下5道，现象：

client1pingR4的串口：

10.1.1.10，不通--------------Eigrp-OSPF重分布

（对应v200的47-49）（或者是Eigrp-AS，对应v200的44-46，据说不考）

答案：

1.R4

2.IPv4RouterRedistribution

3.UndertheEIGRPprocess,deletetheredistributeospf1router-mapOSPF_to_EIGRPcommandentertheredistributeospf1route-mapOSPF->EIGRPcommand.

解释：

R4-eigrp中重分布到ospf路由时引用的route-map名称与下面定义的不一致。

十．剩下4道，现象：

client1pingR1的串口：

10.1.1.1，不通------------OspfAuth认证

Client1isabletoping10.1.1.2butnot10.1.1.1.InitialtroubleshootingshowsthatR1doesnothaveanyOSPFneighborsoranyOSPFroutes

（对应v200的17-19）

答案：

1-R1

2-IPv4OSPFRouting

3-EnableOSPFAuthenticationontheS0/0/0.12interfaceusingtheipospfauthenticationmessage-digestcommand.

解释：

R1上的ospf认证配置不全，所以导致R1-R2ospf不正常。

R2iscorrectlyconfiguredforOSPFauthentication,includingthe"ipospfauthenticationmessage-digest"commandlistedproperlyunderthesub-interfaceSerial0/0/0.12.R1ismissingthiscommand.

第四部分：

剩下三道依次R1上showrun特征很明显！

3道题下的shrun结果完全不同

十一.为了验证：

R1下shipbgpnei-----------看到209.56.200.226，再shrun看到bgpneighbor指错-----Bgp

现象：

Client1isabletoping209.65.200.226butnottheWebServerat209.65.200.241.InitialtroubleshootingshowsandR1doesnothaveanyBGProutes.R1alsodoesnotshowanyactiveBGPneighbor

（对应v200的23-25）

答案：

1.R1

2.BGP

3.UndertheBGPprocess,deletetheneighbor209.56.200.226remote-as65002commandandentertheneighbor209.65.200.226remote-as65002command.

解释：

bgp邻居的ip地址写错了

十二.现象：

只有C1和C2ping不通209.65.200.241，其路由器或DSW都可以ping通----Nat问题（对应v200的Q26-28）

shrun看到nat条目下只有一个permint！

答案：

1.R1

2.IPNAT

3.Undertheipaccess-liststandarnat_traficconfigurationenterthepermit10.2.0.00.0.255.255command.

解释：

R1的nat配置源地址acl中缺少C1和C2所在的网段，加入即可。

Clients1and2belonginthe10.2.0.0subnet,asifyouobservetheNATconfigurationyouwillnoticethatonly10.1.0.0arespecifiedintheNATpool.Clients1and2arenotbeingtranslatedwhentheyshouldbe.TheproblemiswiththeNATconfigurationonR1.Addingthe"permit10.2.0.0"statementtotheNATpoolaccesslistwillincludethesetwohoststobetranslated,andthentheyshouldbeabletopingthewebservers.

十三.剩下最后一道，现象：

C1和C2,R2-R4都ping不通209.65.200.241-L3ACL

Client1isnotabletoreachtheWebServerat209.65.200.241.InitialtroubleshootingshowsthatR1isalsonotabletoreachtheWebServer.R1alsodoesnothaveanyactiveBGPneighbor.

（对应v200的Q29-31）

R1shrun下看Acl条目，

答案：

1.R1

2.IPv4layer3security

3.Undertheipaccess-listextendededge_securityconfigurationaddthepermitip209.65.200.2240.0.0.3anycommand.

解释：

在R1-S0/0/1的in方向只允许host209.65.200.241，限制了BGP路由信息的传递。

Basedontheconfigurationshown,wecanseethatonlythewebserverisallowedaccessonR1accordingtotheaccesslist.BGPusesTCPport179toestablishapeeringrelationship,andwecanseethattheBGProutersthatneedstopeerwithR1isnotallowedtodoso,sotheyarenotabletoexchangeroutes.ByallowingallIPpacketsfromthe209.65.200.224/30network,BGPwouldbeestablishedandconnectivitywouldberestored.

《V200错题更正》