Лабораторная работа из книги Martin J. Duggan создавалась специально для подготовки к CCIE R&S. На сайте CISCO написано, что книга актуальна для подготовки по сей день, так что предложенные задачи и решения вполне могут встретиться на будущих тестах. Данная лаба содержит задачи по конфигурированию OSPF, EIGRP, BGP, IPv6, security, multicast и др. Вы легко можете смоделировать задачи на симуляторах . Если лень - обращайтесь ко мне. Доступ к сетевому оборудованию предоставляю с помощью cisco anyconnect3. Цена чисто символическая.
email: support@ciscodump.net
В любом случае ознакомьтесь, возможно это окажется интересней чем вы предполагали.
Однако начнем...
Имеем следующую L3 схему.
Все роутеры и свичи имеют преднастройки, в основном это ip адреса на интерфейсах. Их вы можете найти на схеме. На каждом сетевом устройстве имеется Loopback интерфейс:
R1 Lo0 120.100.1.1/24
R2 Lo0 120.100.2.1/24
R3 Lo0 120.100.3.1/24
R4 Lo0 120.100.4.1/24
R5 Lo0 120.100.5.1/24
R6 Lo0 120.100.6.1/24
SW1 Lo0 120.100.7.1/24
SW2 Lo0 120.100.8.1/24
SW3 Lo0 120.100.9.1/24
SW4 Lo0 120.100.10.1/24
Кроме того R1 interface Gig0/1 имеет добавочный ip:
interface GigabitEthernet0/1
ip address 150.100.1.1 255.255.255.0
ip address 120.100.100.1 255.255.255.0 secondary
Настройка Gi0/1 на R4 - это отдельная задача. С нее и начнем:
R5 and R6 have been preconfigured with IP addresses on their Ethernet interfaces. Configure R4 and its associated switch port accordingly without using secondary addressing to communicate with R5 and R6. Configure R4 with an IP address of 120.100.45.4/24 to communicate with R5, and configure R4 with an IP address of 120.100.46.4/24 to communicate with R6. Configure R4 Gi0/1 and Switch 2 FE0/4 only. (3 points)
На русском это будет звучать так:
R5 и R6 предварительно настроены с IP-адресами на их интерфейсах Ethernet. Настройте R4 и связанный с ним порт коммутатора соответствующим образом, не используя secondary addressing для связи с R5 и R6. Настройте R4 с IP-адресом 120.100.45.4/24 для связи с R5 и настройте R4 с IP-адресом 120.100.46.4/24 для связи с R6. Настройте только R4 Gi0/1 и Switch. (3 балла)
Это простой вопрос о транковом подключении роутера R4 к коммутатору, чтобы позволить R4 подключаться к R5 VLAN 45 и R6 VLAN 46. Это несложно реализовать на сетевых симуляторах.
Начнем настройку.
R4(config) # interface GigabitEthernet0/1.45
R4(config-if )# encapsulation dot1Q 45
R4(config-if) # ip address 120.100.45.4 255.255.255.0
R4(config-if) # interface GigabitEthernet0/1.46
R4(config-if) # encapsulation dot1Q 46
R4(config-if )# ip address 120.100.46.4 255.255.255.0
SW(config) # vlan 45-46
SW(config) # interface fastethernet0/4
SW(config-if) # switchport trunk encapsulation dot1q
SW(config-if) # switchport trunk allowed vlan 45,46
SW(config-if) # switchport mode trunk
Если вы настроили это правильно, как показано выше, то ping 120.100.45.5 и 120.100.46.6 покажет доступность роутеров R5 и R6 и вы набрали 3 балла.
Section 2: IPv4 IGP Protocols (24 Points)
Section 2.1: OSPF
Рассмотрим следующие задачи:
- Use a process ID of 1; all OSPF configuration where possible should not be configured under the process ID. The loopback interfaces of Routers R1, R2, and R3 should be configured to be in Area 0. R4 should be in Area 34 and R5 in Area 5. (2 points)
- No loopback networks should be advertised as host routes. (1 point)
- Ensure that R1 does not advertise the preconfigured secondary address under interface Gigabit 0/1 of 120.100.100.1/24 to the OSPF network. Do not use any filtering techniques to achieve this. (2 points)
- R5 should use the serial link within Area 5 for its primary communication to the OSPF network. If this network should fail either at Layer 1 or Layer 2, R5 should form a neighbor relationship with R4 under Area 5 to maintain connectivity. Your solution should be dynamic, ensuring that while the Area 5 serial link is operational there is no neighbor relationship between R4 and R5; however, the Ethernet interfaces of R4 and R5 must remain up. To confirm the operational status of the serial network, ensure that the serial interface of R5 is reachable by configuration of R5. You are permitted to define neighbor statements between R5 and R4. (4 points)
Это то, с чем вам придется столкнуться, так примерно выглядят задачки для прохождения теста. Перевод:
- Используйте process ID of 1; конфигурацию OSPF нежелательно настраивать под process ID, по возможности. Loopback интерфейсы маршрутизаторов R1, R2 и R3 должны быть настроены так, чтобы они находились в Area 0. R4 должен быть в Area 34, а R5 - в Area 5. (2 балла)
- Loopback сети не должны быть анонсированы как маршруты к хостам. (1 балл)
- Убедитесь, что маршрутизатор R1 не анонсирует предварительно настроенный secondary адрес на интерфейсе Gi0/1 120.100.100.1/24 в сеть OSPF. Не используйте для этого какие-либо методы фильтрации. (2 балла)
- R5 должен использовать serial link в Area 5 для своей первичной связи с сетью OSPF. Если эта сеть выйдет из строя на L1 или L2 уровне, R5 должен сформировать отношения соседства с R4 в Area 5 для поддержания связи. Ваше решение должно быть динамичным, гарантируя, что пока работает serial link Area 5, между R4 и R5 не существует соседских отношений; однако интерфейсы Ethernet R4 и R5 должны оставаться включенными. Чтобы подтвердить рабочее состояние serial network, убедитесь, serial interface на R5 доступен. Вам разрешено использовать команду neighbor между R5 и R4. (4 балла)
Рассмотрим OSPF схему и начнем конфигурирование.
Решаем задачу 1. В OSPF разрешено конфигурировать network area непосредственно под интерфейсом, а не внутри процесса OSPF. Ниже подробно описана конфигурация OSPF .
R1(config) # interface GigabitEthernet 0/0
R1(config-if) # ip ospf 1 area 0
R1(config) # interface GigabitEthernet 0/1
R1(config-if) # ip ospf 1 area 100
R1(config-if) # interface Loopback 0
R1(config-if) # ip ospf 1 area 0
R2(config) # interface Loopback 0
R2(config-if) # ip ospf 1 area 0
R2(config-if) # interface fastethernet 0/0
R2(config-if) # ip ospf 1 area 0
R2(config-if) # interface Serial 0/1
R2(config-if) # ip ospf 1 area 5
R2(config-if) # interface fastethernet 0/1
R2(config-if) # ip ospf 1 area 200
R3(config) # interface loopback 0
R3(config-if) # ip ospf 1 area 0
R3(config-if) # interface GigabitEthernet 0/1
R3(config-if) # ip ospf 1 area 0
R3(config-if) # interface GigabitEthernet 0/0
R3(config-if) # ip ospf 1 area 34
R4(config) # interface Loopback 0
R4(config-if) # ip ospf 1 area 34
R4(config-if) # interface GigabitEthernet 0/0
R4(config-if) # ip ospf 1 area 34
R4(config-if) # interface GigabitEthernet 0/1.45
R4(config-if) # ip ospf 1 area 5
R5(config) # interface Loopback 0
R5(config-if) # ip ospf 1 area 5
R5(config-if) # interface GigabitEthernet 0/0
R5(config-if) # ip ospf 1 area 5
R5(config-if) # interface Serial 0/0/1
R5(config-if) # ip ospf 1 area 5
Если вы правильно настроили OSPF, как показано выше, вы набрали 2 балла.
Решаем задачу 2. Loopback интерфейсы в OSPF по умолчанию анонсируются как маршруты хоста. Чтобы изменить это, вам необходимо переопределить тип сети, который IOS связывает с loopback интерфейсом. Посмотрим как это сейчас выглядит на R2.
Решаем задачу
R1 # conf t
R1(config) # int Loopback 0
R1(config-if) # ip ospf network point-to-point
R2 # conf t
R2(config) # interface Loopback 0
R2(config-if) # ip ospf network point-to-point
R3 # conf t
R3(config) # int Loopback 0
R3(config-if) # ip ospf network point-to-point
R4 # conf t
R4(config) # int Loopback 0
R4(config-if) # ip ospf network point-to-point
R5 # conf t
R5(config) # int Loopback 0
R5(config-if) # ip ospf network point-to-point
Проверяем
Если вы настроили это правильно, как показано выше, вы набрали 1 балл.
Решаем задачу 3.
При настройке OSPF непосредственно в сетевом интерфейсе OSPF протокол по умолчанию анонсирует любые secondary addresses, назначенные интерфейсу. R1 имеет предварительно настроенный secondary address на интерфейсе Gi0/1, который поэтому анонсируется. Поскольку вы не можете фильтровать этот анонс, вам необходимо сообщить OSPF, чтобы он не включал secondary addresses сетевого интерфейса в анонс. Если вы настроите это правильно, как показано ниже, вы наберете 2 балла.
Решаем задачу 4.
Это сложная задача, которая может занять много времени, но все подсказки в вопросе, просто требуется некоторое нестандартное мышление. Вы можете исключить решение с backup interface, потому что Ethernet должен оставаться включенным. В решении должны быть включенными Layer 1 and Layer 2, а не только Layer 1. Это потребует больших усилий, проб и ошибок, но вы обнаружите, что можете использовать функцию IP SLA для отслеживания IP-адреса serial interface на R5 самим R5. Если он отвечает на автоматический ICMP запрос, вы знаете, что serial link поднят. Если ICMP не прошел, то значит интерфейс лежит. Затем можно использовать IP SLA для информирования роутера, и изменения маршрутизации; эта функция известна как поддержка маршрутизации на основе политик (PBR) с несколькими вариантами отслеживания.
Процесс отслеживания предоставляет возможность отслеживать отдельные объекты, такие как достижимость ping, и информировать необходимый процесс PBR при изменении состояния объекта. Таким образом, если статус объекта изменяется, R5 может изменить маршрутизацию с помощью политик. Трафик для манипулирования - OSPF трафик, который должен быть направлен на R4 для формирования adjacency по сети Ethernet (VLAN 45). Итак, когда serial link R5 запущен и работает, нам просто нужно разорвать adjacency между R5 и R4. Когда serial link не работает, нам нужно разрешить adjacency между R5 и R4. Первым шагом в этом решении является настройка отслеживания объекта IP SLA на R5. Рассмотрим подробно конфигурацию ниже.
R5(config) # ip sla 1
R5(config-ip-sla) # icmp-echo 120.100.25.5
R5(config-ip-sla-echo) # exit
R5(config) # ip sla schedule 1 life forever start-time now
R5(config) # track 1 ip sla 1 reachability
OSPF должен быть настроен между R4 и R5 так чтобы, вручную указаны neighbor, как указано в вопросе. Нужно чтобы OSPF использовать unicast рассылку. Для этого необходимо изменить тип сети на non-broadcast. Unicast traffic между соседями можно выделить с помощью ACL. Затем, вместо того, чтобы позволить нормальному потоку трафика между R5 и R4 формировать neighbor relationship, изменить next hop. OSPF TTL установлен равным 1 по умолчанию. Трафик будет дропаться next hop-ом и OSPF между R5 и R4 никогда не будет установлено. Однако, когда ситуация измениться и отслеживаемый объект окажется недоступным, PBR process будет переопределен и трафик пойдет нормальным путем. Это позволит R5 и R4 сформировать OSPF adjacency. Итак, если вы используете команду PBR set ip next-hop verify-availability 120.100.25.2 10 track 1, R5 перенаправит OSPF трафик на 120.100.25.2 (R2 serial interface, чтоб тот дропнул его), если отслеживаемый объект находится в статусе up. Если статус объекта изменится на down, процесс PBR будет проинформирован, и OPSF трафик будет следовать своему обычному next hop. На R5 нужно будет настроить locally policy route traffic , потому что обычно PBR предназначено для управления трафиком, который проходит через маршрутизатор, а не трафиком, генерируемым самим маршрутизатором. Ниже показана требуемая конфигурация OSPF на R4 и R5, PBR на R5, отладка R2, отправляющего TTL, истекший на R5 после того, как трафик OSPF отправлен на R2 вместо R5, и результирующая частичная neighbor adjacency, которая формируется между R4 и R5.
R4(config) # interface GigabitEthernet0/1.45
R4(config-if) # ip ospf network non-broadcast
R4(config-if) # router ospf 1
R4(config-router) # neighbor 120.100.45.5
R5(config) # interface GigabitEthernet0/0
R5(config-if) # ip ospf network non-broadcast
R5(config-if) # router ospf 1
R5(config-router) # neighbor 120.100.45.4
R5(config-router) # exit
R5(config) # access-list 100 permit ospf host 120.100.45.5 host 120.100.45.4
R5(config) # route-map TEST permit 10
R5(config-route-map) # match ip address 100
R5(config-route-map) # set ip next-hop verify-availability 120.100.25.2 10 track 1
R5(config-route-map) # interface GigabitEthernet0/0
R5(config-if) # ip policy route-map TEST
R5(config-if) # exit
R5(config) # ip local policy route-map TEST
Смотрим обыкновенное состояние R5. С R2 соседство незатронуто, а с R4 не может установится, поскольку route-map отправляет OSPF пакеты на R2.
А сейчас положим отслеживаемый интерфейс. В результате соседство с R2 утрачено, поскольку отслеживаемый интерфейс держал связь с R2 и он в статусе down. Зато соседство с R4 восстановлено.
Посмотрим таблицу маршрутизации
Она не полная, нет маршрутов с других роутеров. Хоть OSPF соседство и поднялось, маршрутов мы не получили. Вы должны помнить, что когда между R5 и R4 образуется смежность OSPF, вы присоединяетесь Area 5 к Area 34, и для расширения Area0 требуется virtual link между R3 и R4.
R3(config) # router ospf 1
R3(config-router) # area 34 virtual-link 120.100.4.1
R4(config) # router ospf 1
R4(config-router) # area 34 virtual-link 120.100.3.1
Если вы правильно настроили это, включая virtual link, вы набрали 4 балла (определенно этот вопрос, стоит оставить до конца экзамена, когда у вас может остаться время для экспериментов).
Section 2.2: EIGRP
Задание
Configure EIGRP with an instance name of CCIE where possible using an autonomous system number of 1. The loopback interfaces of all routers and switches should be advertised within EIGRP. (2 points)
Перевод: Настройте EIGRP с instance name CCIE используя номер автономной системы 1. Loopback интерфейсы всех маршрутизаторов и коммутаторов должны быть анонсированы в EIGRP.
Это не сложный вопрос. Просто вопрос, который включает в вашей сети EIGRP протокол с использованием именованного instance где возможно и address family IPv4 для последующих задач. Не забудьте включить предварительно настроенные loopback интерфейсы и маршрутизацию на L3 коммутаторах. Используйте команду show ip eigrp neighbour, чтобы проверить пиринг, прежде чем переходить к следующему вопросу. Если вы все настроите правильно, как показано ниже, то получите 2 балла.
R4(config) # router eigrp CCIE
R4(config-router) # address-family ipv4 unicast autonomous-system 1
R4(config-router-af) # network 120.100.4.0 0.0.0.255
R4(config-router-af) # network 120.100.45.0 0.0.0.255
R4(config-router-af) # network 120.100.46.0 0.0.0.255
R5(config) # router eigrp CCIE
R5(config-router) # address-family ipv4 unicast autonomous-system 1
R5(config-router-af) # network 120.100.5.0 0.0.0.255
R5(config-router-af) # network 120.100.45.0 0.0.0.255
R5(config-router-af) # network 120.100.3.0 0.0.0.255
R6(config) # router eigrp CCIE
R6(config-router) # address-family ipv4 unicast autonomous-system 1
R6(config-router-af) # network 120.100.6.0 0.0.0.255
R6(config-router-af) # network 120.100.46.0 0.0.0.255
R6(config-router-af) # network 120.100.3.0 0.0.0.255
SW1(config) # ip routing
SW1(config) # exit
SW1 # sh run | beg eigrp
router eigrp 1
network 120.100.7.1 0.0.0.0
network 150.100.3.7 0.0.0.0
no auto-summary
SW2(config) # ip routing
SW2(config) # exit
SW2 # sh run | beg eigrp
router eigrp 1
network 120.100.8.1 0.0.0.0
network 150.100.3.8 0.0.0.0
no auto-summary
SW3(config) # ip routing
SW3(config) # exit
SW3 # sh run | beg eigrp
router eigrp 1
network 120.100.9.1 0.0.0.0
network 150.100.3.9 0.0.0.0
no auto-summary
SW4(config) # ip routing
SW4(config) # exit
SW4 # sh run | beg eigrp
router eigrp 1
network 120.100.10.1 0.0.0.0
network 150.100.3.10 0.0.0.0
no auto-summary
Задание
Ensure that R4 does not install any of the EIGRP loopback routes from any of the switches into its routing table; these routes should also not be present in the OSPF network post redistribution. Do not use any route-filtering ACLs, prefix lists, or admin distance manipulation to achieve this, and perform configuration only on R4. (4 points)
Перевод: Убедитесь, что маршрутизатор R4 не устанавливает EIGRP маршруты loopback интерфейсов от коммутаторов в свою таблицу маршрутизации; эти маршруты также не должны присутствовать при редистрибьюции маршрутов в сеть OSPF. Не используйте никакие route-filtering ACLs, prefix lists, или манипуляции с административной дистанцией для достижения этой цели, и выполнить настройку только на R4. (4 балла)
Distribute или prefix list был бы очевидным выбором здесь, но это не разрешено. При внимательном рассмотрении loopback маршрутов в предыдущем примере вы заметите, что с маршрутами связано число hop-ов, равное 2. Счетчик hop-ов - это не то вы обычно используете при работе с EIGRP. Однако, процесс можно настроить так, чтобы он игнорировал маршруты, полученные от пиров со счетчиком hop-ов, превышающим настроенный порог, с помощью команды metric maximum-hops. Настроив максимальное количество hop-ов, равное 1, на R4, вы можете просто запретить loopback маршруты от входа в процесс. Если вы настроили это как показано ниже, вы набрали 4 балла.
Рассмотрим на примере loopback маршрута SW1 120.100.7.0/24
R4(config) # router eigrp CCIE
R4(config-router) # address-family ipv4 unicast autonomous-system 1
R4(config-router-af) # topology base
R4(config-router-af) # metric maximum-hops 1
R4(config-router-af) # exit
Задание
R4 will have dual equal-cost routes to VLAN 300 (network 150.100.3.0) from R5 and R6. Ensure that R4 sends traffic to this destination network to R5 instead of load sharing. Should the route from R5 become unavailable, traffic should be sent to R6. You may not policy route, alter the bandwidth or delay statements on R4’s interfaces or use an offset list. Perform your configuration on R4 only. Your solution should be applied to all routes received from R5 and R6 as opposed to solely the route to network VLAN 300. (4 points)
Перевод: R4 будет иметь двойные маршруты с одинаковой стоимостью к VLAN 300 (сеть 150.100.3.0) от R5 и R6. Убедитесь, что R4 отправляет трафик в эту сеть назначения через R5 вместо распределения нагрузки. Если маршрут от R5 станет недоступным, трафик следует направлять через R6. Вы не можете изменяя значение bandwidth или delay на интерфейсах R4 или использовать offset list. Выполняйте настройку только на R4. Ваше решение должно применяться ко всем маршрутам, полученным от R5 и R6, а не только к маршруту к сети VLAN 300. (4 балла)
Для получения идентичных маршрутов ваша топология должна иметь идентичные типы интерфейсов или идентичные настройки bandwidth, используемые на R4, R5 и R6. В примере ниже показан маршрут VLAN 300 (150.100.3.0/24), полученный на R4 как от R5, так и от R6 с метрикой 28416. Если вы хотите манипулировать этим маршрутом, обычно рекомендуется изменить bandwidth или delay на одном из интерфейсов Ethernet, но это не разрешено. Фактически, у вас остается только один метод, который можно применить к R4, который будет влиять на все маршруты от R5 и R6, а не только на этот отдельный маршрут. Потребуется route map для переопределения назначенных EIGRP метрик. Будет изменения bandwidth, которое будет присваиваться маршрутам в качестве метрики на интерфейсе Gi0/1.45. Gi0/1.46 по умолчанию будет иметь меньшее значение bandwidth, назначенную маршрутам, полученным от него. Пример ниже также показывает, что, когда интерфейс Gi0/0-down на R5, маршрут для VLAN 300 принимается от R6, поэтому маршрут все еще доступен, но с другой метрикой. Если вы настроили правильно, как показано ниже, вы набрали 4 балла. (Вы также могли бы манипулировать delay в route map или создать настройки для каждого отдельного интерфейса, а не только для Gi0/1.45.)
R4(config) # route-map CHANGEMETRIC permit 10
R4(config-route-map) # match interface gigabitEthernet 0/1.45
R4(config-route-map) # set metric 2000 10 255 1 1500
R4(config-route-map) # route-map CHANGEMETRIC permit 20
R4(config-route-map) # set metric 1000 10 255 1 1500
R4(config-route-map) # router eigrp CCIE
R4(config-router) # address-family ipv4 unicast autonomous-system 1
R4(config-router-af) # topology base R
R4(config-router-af-topolgy) # distribute-list route-map CHANGEMETRIC in
R4(config-router-af-topolgy) # ^Z
R4 # clear ip route *
R5(config) # int gig0/0
R5(config-if) # shutdown
Section 2.3: Redistribution
Задание
Perform mutual redistribution of IGPs on R4. All routes should be accessible except for the switch loopback networks (because these should not be visible via R4 from an earlier question). EIGRP routes redistributed within the OSPF network should remain with a fixed cost of 5000 throughout the network. (3 points)
Перевод: Выполните взаимную редистрибьюцию IGP на R4. Все маршруты должны быть доступны, за исключением loopback сетей коммутатора (потому что они не должны быть видны через R4 из предыдущего задания). Маршруты EIGRP, перераспределенные в сеть OSPF, должны оставаться с фиксированной стоимостью 5000 по всей сети. (3 балла)
Простое задание по редистрибьюции для подготовки последующих работ: у вас есть только одна точка перераспределения (R4), поэтому не стоит беспокоиться о петлях с такими протоколами, как EIGRP и OSPF, с присущей им защитой от петель. Фиксированная стоимость в 5000 достигается за счет анонсирования перераспределенных маршрутов в OSPF с использованием metric type of 2, который используется по умолчанию, поэтому для этого не требуется никакой специальной настройки. Единственное, что вам нужно учитывать при редистрибьюции в OSPF, - это использовать команду subnets для обеспечения classless redistribution и использовать метрики по умолчанию в каждом протоколе. Если вы настроили это правильно, как показано ниже, вы набрали 3 балла.
R4(config) # router eigrp CCIE
R4(config-router) # address-family ipv4 unicast autonomous-system 1
R4(config-router-af) # topology base
R4(config-router-af-topology) # redistribute ospf 1
R4(config-router-af-topology) # default-metric 10000 100 255 1 1500
R4(config-router-af-topology) # router ospf 1
R4(config-router) # redistribute eigrp 1 subnets
R4(config-router) # default-metric 5000
Задание
Configure R4 to only redistribute up to five EIGRP routes, and generate a system warning when the fourth route is redistributed. Do not use any access lists in your solution. (2 points)
Перевод: Настройте R4 для перераспределения только до пяти маршрутов EIGRP и создания системного предупреждения при перераспределении четвертого маршрута. Не используйте в своем решении какие-либо списки доступа. (2 балла)
Вы можете ограничить количество префиксов, перераспределяемых в OSPF, и сгенерировать предупреждение, когда количество префиксов достигнет определенного максимума, используя команду redistribute maximum-prefix. Чтобы сгенерировать предупреждение на четвертом маршруте, необходимо настроить процентный порог (80 процентов). Если вы настроили как показано ниже в этом примере, вы набрали 2 балла.
R4(config) # router ospf 1
R4(config-router) # redistribute maximum-prefix 5 80
Section 3: BGP (14 Points)
Задание
Configure iBGP peering as follows: R1-R3, R2-R3, R6-R5, SW1-R6, and SW1-R5. Use minimal configuration and use loopback interfaces for your peering. Configure eBGP peering as follows: R3-R4, R4-R6, R4-R5, and R5-R2. Use minimal configuration and use loopback interfaces for your peering with the exception of R4 to R5. Use the autonomous system numbers supplied in Figure. For your eBGP peering on R3, use the TTL security feature, which will not permit a session from R4 to become established if R4 is more than 2 hops away. This feature must be configured only on R3 and not on R4. (2 points)
Перевод: Настройте iBGP пиринг следующим образом: R1-R3, R2-R3, R6-R5, SW1-R6 и SW1-R5. Используйте минимальную конфигурацию и используйте loopback интерфейсы для пиринга. Настройте eBGP пиринг следующим образом: R3-R4, R4-R6, R4-R5 и R5-R2. Используйте минимальную конфигурацию и используйте loopback интерфейсы для пиринга, за исключением R4 - R5. Используйте номера автономных систем, представленные на рисунке выше. Для пиринга eBGP на R3 используйте функцию безопасности TTL, которая не позволит установить сессию с R4, если R4 находится на расстоянии более 2 hop-ов. Эта функция должна быть настроена только на R3, но не на R4. (2 балла)
Для начала создадим несколько точек пиринга. Вы должны помнить об использовании peer groups, чтобы минимизировать конфигурацию, где это возможно, а именно на R3, R6 и Switch 1, и внимательно следовать инструкциям пиринга, потому что они актуальны для последующих задач. Вы должны были заметить, что R3 должен был быть route reflector для iBGP peers R1 and R2 in AS10, и что no synchronization, поскольку используемый IGP не нужно редистрибьютить в BGP. Не забудьте проверить пиринг с помощью команды show ip bgp neighbour. Пиринг усложняется, когда функция TTL security активируется с помощью команды neighbour 120.100.4.1 ttl-security hops 2 на R3. Эта команда - изящная функция, которая не разрешит пиринговую сессию, если полученное значение TTL соседа будет меньше 253, что предполагает, что входящая сессия может быть формой удаленной атаки с подделанным source IP соседа. Поскольку вам не разрешено настраивать ту же функцию на R4, пиринг, конечно, прервется, даже если вы настроили eBGP multihop функцию на R4 со значением 2. (Конечно, это просто увеличит значение TTL со значения по умолчанию, равного 0.) В данном случае правильней будет увеличить ее до 255. Если вы настроили правильно, как показано в примере ниже, вы набрали 2 балла.
R1 # sh run | begin bgp
router bgp 10
no synchronization
neighbor 120.100.3.1 remote-as 10
neighbor 120.100.3.1 update-source Loopback0
no auto-summary
R2 # sh run | begin bgp
router bgp 10
no synchronization
neighbor 120.100.3.1 remote-as 10
neighbor 120.100.5.1 remote-as 300
neighbor 120.100.5.1 ebgp-multihop 2
neighbor 120.100.5.1 update-source Loopback0
no auto-summary
R3 # sh run | begin bgp
router bgp 10
no synchronization
neighbor IBGP peer-group
neighbor IBGP remote-as 10
neighbor IBGP update-source Loopback0
neighbor IBGP route-reflector-client
neighbor 120.100.1.1 peer-group IBGP
neighbor 120.100.2.1 peer-group IBGP
neighbor 120.100.4.1 remote-as 200
neighbor 120.100.4.1 ttl-security hops 2
neighbor 120.100.4.1 update-source Loopback0
no auto-summary
R4 # sh run | begin bgp
router bgp 200
no synchronization
neighbor 120.100.3.1 remote-as 10
neighbor 120.100.3.1 ebgp-multihop 255
neighbor 120.100.3.1 update-source Loopback0
neighbor 120.100.6.1 remote-as 300
neighbor 120.100.6.1 ebgp-multihop 2
neighbor 120.100.6.1 update-source Loopback0
neighbor 120.100.45.5 remote-as 300
no auto-summary
R5 # sh run | begin bgp
router bgp 300
no synchronization
neighbor 120.100.2.1 remote-as 10
neighbor 120.100.2.1 ebgp-multihop 2
neighbor 120.100.2.1 update-source Loopback0
neighbor 120.100.6.1 remote-as 300
neighbor 120.100.6.1 update-source Loopback0
neighbor 120.100.45.4 remote-as 200
neighbor 120.100.7.1 remote-as 300
neighbor 120.100.7.1 update-source Loopback0
no auto-summary
R6 # sh run | begin bgp
router bgp 300
no synchronization
neighbor IBGP peer-group
neighbor IBGP remote-as 300
neighbor IBGP update-source Loopback0
neighbor 120.100.4.1 remote-as 200
neighbor 120.100.4.1 ebgp-multihop 2
neighbor 120.100.4.1 update-source Loopback0
neighbor 120.100.5.1 peer-group IBGP
neighbor 120.100.7.1 peer-group IBGP
no auto-summary
SW1 # sh run | begin bgp
router bgp 300
no synchronization
neighbor IBGP peer-group
neighbor IBGP remote-as 300
neighbor IBGP update-source Loopback0
neighbor 120.100.5.1 peer-group IBGP
neighbor 120.100.6.1 peer-group IBGP
no auto-summary
Задание
AS200 is to be used as a backup transit network for traffic between AS10 and AS300; therefore, if the serial network between R5 and R2 fails, ensure that the peering between R2 and R5 is not maintained via the Ethernet network. Do not use any ACL type restrictions or change the existing peering. (2 points)
Перевод: AS200 будет использоваться в качестве резервной транзитной сети для трафика между AS10 и AS300; поэтому, если serial network между R5 и R2 упадет, убедитесь, что пиринг между R2 и R5 не поддерживается через сеть Ethernet. Не используйте какие-либо ограничения типа ACL и не изменяйте существующий пиринг. (2 балла)
Поскольку R2 и R5 для пиринга используют loopback интерфейсы, пиринг не отвалиться, если serial network между R2 и R5 упадет. В примере ниже показан путь между R5 и R2, когда serial interface отключен на R5. Чтобы разорвать пиринг без использования ACL, вам просто нужно убедиться, что счетчик ebgp-multihop, используемый в исходном пиринге, установлен равным 2 и не больше. В примере ниже также показан ICMP debug с сообщениями об истечении срока действия TTL, которые указывают на сбой пиринга, несмотря на наличие IP-соединения между loopback интерфейсами R2 и R5. Если ваш счетчик ebgp-multihop установлен на 2 между R2 и R5, вы набрали 2 очка.
Задание
Configure a new loopback interface 2 on R2 of 130.100.200.1/24, and advertise this into BGP using the network command. Configure R2 in such a way that if the serial connection between R2 and R5 fails, AS300 no longer receives this route. Do not use any route filtering between neighbors to achieve this. (3 points)
Перевод: Настройте loopback interface 2 на R2 130.100.200.1/24 и анонсируйте его в BGP с помощью команды network. Настройте R2 таким образом, чтобы при сбое serial соединения между R2 и R5 AS300 больше не получал этот маршрут. Для этого не используйте фильтрацию маршрута между соседями. (3 балла)
Если пиринг между R2 и R5 падает, новый сетевой маршрут будет проходить от AS10 к AS300 через AS200, а не напрямую от AS10 к AS300. Следовательно, можно использовать communitу, чтобы гарантировать, что маршрут не будет экспортирован в AS200. Вам просто нужно применить к маршруту значение no-export, поскольку оно анонсируется на R2 в направлении R3; таким образом, маршрут не будет анонсироваться к AS200 в случае сбоя. В нормальных условиях AS200 все равно будет видеть маршрут от AS300. Если вы настроили это правильно, как показано в примере ниже, вы набрали 3 балла.
R2(config) # interface Loopback2
R2(config-if) # ip address 130.100.200.1 255.255.255.0
R2(config-if) # router bgp 10
R2(config-router) # network 130.100.200.0 mask 255.255.255.0
R2(config-router) # neighbor 120.100.3.1 route-map NO-EXPORT out
R2(config-router) # neighbor 120.100.3.1 send-community
R2(config-router) # exit
R2(config) # access-list 5 permit 130.100.200.0
R2(config) # route-map NO-EXPORT permit 10
R2(config-route-map) # match ip address 5
R2(config-route-map) # set community no-export
R2(config-route-map) # route-map NO-EXPORT permit 20
После настройки R2, проверяем на R5, что маршрут приходит. И R3.
А теперь переведем serial link в состояние down. И посмотрим что маршрут не пришел в AS300 через AS200.
Задание
Configure HSRP between R5 and R6 on VLAN 300 with R5 active for .1/24. If the network 130.100.200.0/24 is no longer visible to AS300, R6 should dynamically become the HSRP active. Configure R5 to achieve this solution. (4 points)
Перевод: Настройте HSRP между R5 и R6 в VLAN 300 с active R5 и .1/24. Если сеть 130.100.200.0/24 больше не доступна для AS300, R6 должен динамически стать HSRP active. Решение настройте на R5. (4 балла)
Все, что вам нужно сделать, это отследить конкретный маршрут с помощью IP SLA и сообщить процессу HSRP, отменен ли маршрут BGP. Вы можете подумать, что это не совсем вопрос BGP, но . . . Некоторые разделы удаляются из экзаменов и подобные темы могут появиться в других разделах, поэтому лучше знать как можно больше особенностей, насколько это возможно.
R5 должен быть active HSRP в нормальных условиях, поэтому его следует настроить с помощью команды preempt, чтобы восстановить управление, когда маршрут снова станет доступным. Точно так же R6 также требует preempt, чтобы взять на себя управление, когда приоритет R5 уменьшается. В этом примере для R5 не задан приоритет, потому что он использует значение по умолчанию 100. В примере далее показаны этапы настройки и тестирования, необходимые для отмены маршрута путем отключения serial interface на R5 и переключения функциональности HSRP между R5 и R6. Если вы настроили это правильно, как показано в примере, вы набрали 4 балла.
R5(config) # track 2 ip route 130.100.200.0 255.255.255.0 reachability
R5(config-track) # interface GigabitEthernet0/1
R5(config-if) # standby 1 ip 150.100.3.1
R5(config-if) # standby 1 preempt
R5(config-if) # standby 1 track 2 decrement 20
R6(config) # interface GigabitEthernet0/1
R6(config-if) # standby 1 ip 150.100.3.1
R6(config-if) # standby 1 priority 90
R6(config-if) # standby 1 preempt
Проверим настройки HSRP в нормальной ситуации.
А теперь переводим Serial interface в состояние down и смотрим что происходит.
Задание
Configure two new loopback interfaces on R1 and R2 of 126.1.1.1/24 and 130.1.1.1/24, respectively, and advertise these into BGP using the network command. R3 should be configured to enable only BGP routes originated from R1 up to network 128.0.0.0 and from above network 128.0.0.0 originated from R2. Use only a single ACL on R3 as part of your solution. (3 points)
Перевод: Настройте два новых loopback interfaces на R1 и R2 126.1.1.1/24 и 130.1.1.1/24, соответственно, и анонсируйте их в BGP используя команду network. R3 должен быть настроен так, чтобы от R1 принимать маршруты к сетям ниже 128.0.0.0. И от R2 - сети от 128.0.0.0 и выше. Используйте только один ACL на маршрутизаторе R3 как часть вашего решения. (3 балла)
Это довольно сложный вопрос, потому что вам разрешено использовать только один ACL для фильтрации маршрутов на R3. Это можно сделать с помощью ACL, который соответствует сетям до 128.0.0.0 и разрешает их через одну route map, но запрещает через другую route map. Route map должны применяться для каждого соседа, и обе вызывают один и тот же ACL. В примере ниже показана конфигурация новых loopback интерфейсов на R1 и R2 и фильтрация на R3. Далее описано тестирование, подтверждающее фильтрацию на R3. Если вы настроили, как показано в примере, вы набрали 3 балла.
R1(config) # interface Loopback1
R1(config-if) # ip address 126.1.1.1 255.255.255.0
R1(config-if) # router bgp 10
R1(config-router) # network 126.1.1.0 mask 255.255.255.0
R2(config) # interface Loopback1
R2(config-if) # ip address 130.1.1.1 255.255.255.0
R2(config-if) # router bgp 10
R2(config-router) # network 130.1.1.0 mask 255.255.255.0
R3(config) # access-list 1 permit 0.0.0.0 127.255.255.255
R3(config) # route-map UPTO128 permit 10
R3(config-route-map) # match ip add 1
R3(config) # route-map ABOVE128 deny 10
R3(config-route-map) # match ip add 1
R3(config-route-map) # route-map ABOVE128 permit 20
R3(config) # router bgp 10
R3(config-router) # neighbor 120.100.1.1 route-map UPTO128 in
R3(config-router) # neighbor 120.100.2.1 route-map ABOVE128 in
Дальнейшее тестирование фильтрации требует настройки и объявления дополнительных интерфейсов на R1 и R2. Пример далее показывает интерфейс с ip выше 128.0.0.0, объявленный на R1, и один c более низким ip, объявленный на R2; R3 просто блокирует эти анонсы. Эти настройки нужны только для этого теста. Нет необходимости их сохранять для дальнейшей работы.
R1(config) # interface Loopback3
R1(config-if) # ip address 132.1.1.1 255.255.255.0
R1(config-if) # router bgp 10
R1(config-router) # network 132.1.1.0 mask 255.255.255.0
R2(config) # interface Loopback3
R2(config-if) # ip address 100.1.1.1 255.255.255.0
R2(config-if) # router bgp 10
R2(config-router) # network 100.1.1.0 mask 255.255.255.0
Section 4: IPv6 (15 Points)
IPv6 адреса для использования на роутерах:
2007:C15:C0:10::1/64 – R1 Gi0/1
2007:C15:C0:11::1/64 – R1 Gi0/0
2007:C15:C0:11::2/64 – R2 FE0/0
2007:C15:C0:11::3/64 – R3 Gi0/1
2007:C15:C0:12::2/64 - R2 FE0/1
2007:C15:C0:14::2/64 – R2 S0/1
2007:C15:C0:14::5/64 – R5 S0/0/1
2007:C15:C0:15::3/64 – R3 Gi0/0
2007:C15:C0:15::4/64 – R4 Gi0/0
2007:C15:C0:16::5/64 – R5 Gi0/1
2007:C15:C0:16::6/64 – R6 Gi0/1
Задание
The prerequisite to the questions is configuration of the IPv6 addresses. You should test your IPv6 connectivity to ensure that you are ready to progress to the routing questions. Example 1-27 shows the required IPv6 configuration to progress to the routing questions. Consider using the show ipv6 interfaces brief command for a quick check of your interface configuration.
Перевод: Вам следует протестировать IPv6 сеть, чтобы убедиться, что вы готовы перейти к вопросам маршрутизации. В следующем примере показана необходимая конфигурация IPv6 для перехода к вопросам маршрутизации. Используйте команду show ipv6 interfaces brief для быстрой проверки конфигурации вашего интерфейса.
R1(config) # ipv6 unicast-routing
R1(config) # interface gigabitEthernet 0/1
R1(config-if) # ipv6 address 2007:C15:C0:10::1/64
R1(config-if) # gigabitEthernet 0/0
R1(config-if) # ipv6 address 2007:C15:C0:11::1/64
R2(config) # ipv6 unicast-routing
R2(config) # interface fastethernet 0/1
R2(config-if) # ipv6 address 2007:C15:C0:12::2/64
R2(config-if) # interface fastethernet 0/0
R2(config-if) # ipv6 address 2007:C15:C0:11::2/64
R2(config-if) # interface serial 0/1
R2(config-if) # ipv6 address 2007:C15:C0:14::2/64
R3(config) # ipv6 unicast-routing
R3(config) # interface gigabitEthernet 0/0
R3(config-if) # ipv6 address 2007:C15:C0:15::3/64
R3(config-if) # gigabitEthernet 0/1
R3(config-if) # ipv6 address 2007:C15:C0:11::3/64
R4(config) # ipv6 unicast-routing
R4(config) # interface gigabitEthernet 0/0
R4(config-if) # ipv6 address 2007:C15:C0:15::4/64
R5(config) # ipv6 unicast-routing
R5(config) # interface gigabitEthernet 0/1
R5(config) # ipv6 address 2007:C15:C0:16::5/64
R5(config-if) # interface Serial0/0/1
R5(config-if) # ipv6 address 2007:C15:C0:14::5/64
R6(config) # ipv6 unicast-routing
R6(config) # interface gigabitEthernet 0/1
R6(config-if) # ipv6 address 2007:C15:C0:16::6/64
Section 4.1: EIGRPv6
Задание
Configure EIGRPv6 under the instance of CCIE with a primary autonomous system of 1. R1 must not form any neighbor relationship with R2 on VLAN 132 (without the use of any ACL, static neighbor relationships, or multicast blocking feature). R1 must dynamically learn a default route over EIGRPv6 via R3 on VLAN 132 in which to communicate with the IPv6 network. (4 points)
Перевод: Настройте EIGRPv6 в instance CCIE с primary autonomous system 1. R1 не должен формировать какие-либо отношения соседства с R2 в VLAN 132 (без использования каких-либо ACL, статических отношений соседства или средств блокировки multicast). R1 должен динамически изучать default route по EIGRPv6 через R3 в VLAN 132, чтобы взаимодействовать с сетью IPv6. (4 балла)
EIGRP будем конфигурировать в instance CCIE в address family IPv6. Подсказка в вопросе об использовании primary autonomous system в том, что предполагает, что вы можете использовать additional autonomous system для связи R1 с R3, полностью минуя R2. R3 может просто отправить маршрут по умолчанию в автономной системе, к которой принадлежит R1 в VLAN 132, и которую R2 не будет видеть. Имейте в виду, что именованный instance в EIGRP может запускать только одну автономную систему, поэтому на R3 можно было бы создать дополнительный именованный instance для связи с R1, но вопрос диктует, что мы ограничены instatnce-ом CCIE. Это не оставляет вам другого выбора, кроме как включить добавочную автономную систему на R3 под физическим интерфейсом. Однако для обеспечения полной видимости между R1 и R2 вам необходимо организовать redistribution между автономными системами EIGRPv6 на R3. Поскольку R1 получит маршрут по умолчанию, вам не требуется взаимная редистрибьюция на R3. Хотя вы можете просто выполнить одностороннюю редистрибьюцию в рамках протокола, лучше настроить route map и просто указать сеть IPv6 на маршрутизаторе R1 для редистрибьюции. Если вы настроили все правильно, как показано в примере ниже, вы набрали 4 балла.
R1(config) # router eigrp CCIE
R1(config-router) # address-family ipv6 unicast autonomous-system 2
R1(config-router-af) # af-interface GigabitEthernet0/0
R1(config-router-af-interface) # no shutdown
R1(config-router-af-interface) # af-interface GigabitEthernet0/1
R1(config-router-af-interface) # no shutdown
R2(config) # router eigrp CCIE
R2(config-router) # address-family ipv6 unicast autonomous-system 1
R2(config-router-af) # af-interface fastethernet0/1
R2(config-router-af-interface) # no shutdown
R2(config-router-af-interface) # af-interface fastethernet0/0
R2(config-router-af-interface) # no shutdown
R2(config-router-af-interface) # af-interface Serial0/1
R2(config-router-af-interface) # no shutdown
R1 и R2 не смогут организовать соседство поскольку у них разные ipv6 автономные системы в instance CCIE.
R3(config) # router eigrp CCIE
R3(config-router) # address-family ipv6 unicast autonomous-system 1
R3(config-router-af) # af-interface GigabitEthernet0/0
R3(config-router-af-interface) # no shutdown
R3(config-router-af-interface) # af-interface GigabitEthernet0/1
R3(config-router-af-interface) # no shutdown
R3(config-router-af-interface) # exit
R3(config-router-af) # exit
R3(config-router) # exit
Тут должно подняться соседство R3 c R2.
Далее поднимаем добавочную ipv6 autonomous-system под физическим интерфейсом (для R1) анонсируем туда дефолтный маршрут.
R3(config) # interface GigabitEthernet0/1
R3(config-if) # ipv6 eigrp 2
R3(config-if) # ipv6 summary-address eigrp 2 ::/0
R3(config-if) # exit
R3(config) # router eigrp CCIE
R3(config-router) # ipv6 router eigrp 2
R3(config-rtr) # no shut
R3(config-rtr) # exit
Итак, R1 и R3 организовали соседство, R1 получил по нему дефолтный маршрут.
Теперь нужно чтоб R2 (и все кто будет в AS1) смог достучаться до R1 через R3. Для этого редистрибьютим ipv6 сеть R1 из AS2 в AS1.
R3(config) # router eigrp CCIE
R3(config-router) # address-family ipv6 unicast autonomous-system 1
R3(config-router) # topology base
R3(config-router-topology) # redistribute eigrp 2 route-map EIGRPv6-2-1
R3(config-router-topology) # exit
R3(config-router-af) # exit
R3(config-router) # exit
R3(config) # route-map EIGRPv6-2-1 permit 10
R3(config-route-map) # match ipv6 address EIGRPv6-2
R3(config-route-map) # route-map EIGRPv6-2-1 deny 20
R3(config-route-map) # exit
R3(config) # ipv6 access-list EIGRPv6-2
R3(config-ipv6-acl) # permit ipv6 2007:C15:C0:10::/64 any
И добавляем R4 и R5 в AS1 согласно схемы EIGRPv6.
R4(config) # router eigrp CCIE
R4(config-router) # address-family ipv6 unicast autonomous-system 1
R4(config-router-af) # af-interface GigabitEthernet0/0
R4(config-router-af-interface) # no shutdown
R5(config) # router eigrp CCIE
R5(config-router) # address-family ipv6 unicast autonomous-system 1
R5(config-router-af) # af-interface Serial0/0/1
R5(config-router-af-interface) # no shutdown
Задание
Configure OSPFv3 with a process ID of 1, with all OSPF interfaces assigned to Area 0. (2points).
Перевод: Настройте OSPFv3 с process ID 1, при этом все интерфейсы OSPF назначены в Area 0. (2 балла).
Это просто конфигурация OSPFv3. Если вы настроили это правильно, как показано в следущем примере, вы набрали 2 балла.
R5(config) # interface gigabitEthernet 0/1
R5(config-if) # ipv6 ospf 1 area 0
R6(config) # interface gigabitEthernet 0/1
R6(config-if) # ipv6 ospf 1 area 0
Задание
The IPv6 network is deemed to be stable; therefore, reduce the number of LSAs flooded within the OSPF domain. (2 points)
Перевод: Сеть IPv6 считается стабильной; уменьшите количество лавинных LSA в домене OSPF. (2 балла)
Чтобы уменьшить ненужную рассылку link-state анонсов в стабильных топологиях, в режиме конфигурации интерфейса требуется команда ipv6 ospf flood-reduce. Если вы настроили все правильно, как показано в примере ниже, вы набрали 2 балла.
R5(config) # interface gigabitEthernet 0/1
R5(config-if) # ipv6 ospf flood-reduction
R6(config) # interface gigabitEthernet 0/1
R6(config-if) # ipv6 ospf flood-reduction
Задание
Redistribute EIGRPv6 routes into the OSPFv3 demand (one way); EIGRPv6 routes should have a fixed cost of 5000 associated with them within the OSPF network. (1 point)
Перевод: Сделайте редистрибьюцию EIGRPv6 маршрутов в OSPFv3 в соответствии с требованиями OSPFv3 (в одну сторону); Маршруты EIGRPv6 должны иметь фиксированную cost 5000, связанную с ними в сети OSPF. (1 балл)
Поведение по умолчанию для OSPFv3 заключается в том, что перераспределенные маршруты анонсируются с фиксированной cost как type 2 external routes, поэтому требуется простая конфигурация редистрибьюции с метрикой по умолчанию 5000 на R5. Пример ниже показывает требуемую конфигурацию и таблицу маршрутизации на R6 для redistributed маршрутов EIGRPv6. Обратите внимание...serial network на R5 (2007:C15:C0:14::/64) не будет присутствовать в домене OSPFv3, если R5 специально не редистрибьютит свои собственные connected интерфейсы. Если вы настроили это правильно, как показано в примере ниже, вы набрали 1 балл.
R5(config) # ipv6 router ospf 1
R5(config-router) # redistribute eigrp 1 metric 5000
R5(config) # ipv6 router ospf 1
R5(config-router) # redistribute eigrp 1 metric 5000 include-connected
Задание
Ensure that the OSPF3 network is reachable from the EIGRPv6 network by a single route of 2007::/16, which should be seen within the EIGRPv6 domain. Configure R5 only to achieve this. The OSPF domain should continue to receive specific EIGRPv6 subnets. (2 points)
Перевод: Настройте R5, чтобы сеть OSPF3 была доступна из сети EIGRPv6 по единственному маршруту 2007 :: / 16, который должен быть виден в домене EIGRPv6. Домен OSPF должен продолжать получать все подсети EIGRPv6. (2 балла)
Поскольку вы не осуществляете взаимную редистрибьюцию протоколов, вам необходимо настроить IPv6 summary маршрут в домен EIGRPv6 на R5, чтоб организовать маршрутизацию из EIGRPv6 в OSPFv3. Если вы настроили это правильно, как показано в примере ниже, вы набрали 2 балла.
R5(config) # router eigrp CCIE
R5(config-router) # address-family ipv6 unicast autonomous-system 1
R5(config-router-af) # af-interface Serial0/0/1
R5(config-router-af-interface)# summary-address 2007::/16
Задание
Ensure that if the serial link fails between the OSPF and EIGRPv6 domain that routing is still possible between R5 and R4 over VLAN 45. Do not enable EIGRPv6 on the VLAN 45 interfaces of R4 and R5; instead, configure R4 and R5 to achieve this, and this should be considered as an alternative path only if a failure occurs. (3 points)
Перевод: Убедитесь, что в случае падения serial link между доменами OSPF и EIGRPv6 маршрутизация все еще возможна между R5 и R4 через VLAN 45. Не включайте EIGRPv6 на интерфейсах VLAN45 R4 и R5; вместо этого настройте R4 и R5 для достижения этой цели, и это следует рассматривать как альтернативный путь только в случае сбоя. (3 балла)
R4 и R5 оба принадлежат домену EIGRPv6. Если вы не можете включить EIGRPv6 на интерфейсах VLAN 45, все, что вы можете сделать, это создать туннель между устройствами. Вы могли подумать о включении OSPFv3 между маршрутизаторами, но вам не предоставили достаточно информации для этого, и тогда это создаст дополнительные проблемы с точки зрения точек редистрибьюции. В примере ниже показана необходимая конфигурация для туннелирования IPv6 через IPv4 на R4 и R5. На R5 снова потребуется анонсирование summary маршрута к сети EIGRPv6 через туннель для обеспечения доступности сети OSPFv3. Если вы настроили это правильно, как показано в примере ниже, вы набрали 3 балла.
R4(config) # interface Tunnel0
R4(config-if) # ipv6 address 2007:C15:C0:17::4/64
R4(config-if) # tunnel source GigabitEthernet0/1.45
R4(config-if) # tunnel destination 120.100.45.5
R4(config-if) # tunnel mode ipv6ip
R4(config-if) # router eigrp CCIE
R4(config-router) # address-family ipv6 unicast autonomous-system 1
R4(config-router-af) # af-interface Tunnel0
R4(config-router-af-interface) # no shutdown
R5(config) # interface Tunnel0
R5(config-if) # ipv6 address 2007:C15:C0:17::5/64
R5(config-if) # ipv6 eigrp 1
R5(config-if) # tunnel source GigabitEthernet0/0
R5(config-if) # tunnel destination 120.100.45.4
R5(config-if) # tunnel mode ipv6ip
R5(config-if) # router eigrp CCIE
R5(config-router) # address-family ipv6 unicast autonomous-system 1
R5(config-router-af) # af-interface Tunnel0
R5(config-router-af-interface) # no shutdown
R5(config-router-af-interface) # summary-address 2007::/16
Смотрим ipv6 маршруты, пришедшие по Serial сети
Теперь переводим Serial сеть в состояние down.
R5(config) # int s0/1/0
R5(config-if) # shut
Смотрим пришли ли маршруты по запасному пути.
Section 6: Security (7 Points)
Задание
Configure R3 to identify and discard the following custom virus. The virus is characterized by the ASCII characters Hastings_Beer within the payload and uses UDP ports 11664 to 11666. The ID of the virus begins on the third character of the payload. The virus originated on VLAN 34. (3 points)
Перевод: Настройте R3 для выявления и удаления следующего вируса. Вирус характеризуется символами ASCII Hastings_Beer в payload и использует порты UDP с 11664 по 11666. ID of the virus начинается с третьего символа payload. Вирус возник из VLAN 34. (3 балла)
Этот фиктивный вирус требует использования функции NBAR с Packet Description Language Module (PDLM) для проверки payload (место расположения полезной нагрузки) пакета и идентификации вируса на основе информации, представленной в вопросе. Поскольку вирус начинается с третьего символа ASCII, вам необходимо сообщить настраиваемому списку NBAR, чтобы он игнорировал первые два символа и начал проверку с третьего символа. Если вы настроили это правильно, как показано в следующем примере, вы набрали 3 балла. Вы можете использовать команду show policy-map для проверки вашей конфигурации.
R3(config) # ip nbar custom Hastings_Beer 2 ascii Hastings_Beer udp range 11664 11666
R3(config) # class-map match-all VIRUS
R3(config-cmap) # match protocol Hastings_Beer
R3(config-cmap) # policy-map BLOCK-VIRUS
R3(config-pmap) # class VIRUS
R3(config-pmap-c) # drop
R3(config-pmap-c) # interface gigabit0/0
R3(config-if) # Service-policy input BLOCK-VIRUS
Задание
There is an infected host on VLAN 200 of 150.100.2.100. Ensure that only within BGP AS10, traffic destined for this host is directed to null0 of each local router. You may not use any ACLs to block traffic to this host specifically, but you may use a static route pointing to null0 for traffic destined to 192.0.2.0 /24 on routers within AS10. R2 may have an additional static route pointing to null0. Use a BGP feature on R2 to ensure traffic to this source is blocked. Prevent unnecessary replies when traffic is passed to the null0 interface for users residing on VLAN 100. (3 points)
Перевод: В VLAN 200 есть зараженный хост 150.100.2.100. Убедитесь, что в BGP AS10 трафик, предназначенный для этого хоста, направлен в null0 каждого локального маршрутизатора. Вы не можете использовать какие-либо ACL для блокировки трафика к этому хосту, но вы можете использовать статический маршрут, указывающий на null0 для трафика, предназначенного для 192.0.2.0/24 на маршрутизаторах в AS10. R2 может иметь дополнительный статический маршрут, указывающий на null0. Используйте функцию BGP на R2, чтобы гарантировать, что трафик к этому источнику заблокирован. Предотвратите ненужные ответы при передаче трафика на интерфейс null0 для пользователей, находящихся в VLAN 100 (3 балла)
Этот обычный вопрос для black-hole routing. Это эффективный метод отбрасывания пакетов, отправляемых известному destination. Такой подход к отбрасыванию трафика эффективен, поскольку он позволяет граничным маршрутизаторам маршрутизировать трафик, а не использовать ACL. Его можно развернуть динамически, используя поле next-hop в BGP updates. Вам разрешено создать статический маршрут на маршрутизаторах R1, R2 и R3 в AS10 для сети 192.0.2.0/24 до null0 и один дополнительный маршрут на R2. Этот маршрут должен направлять трафик предназначенный зараженному хосту в null0, и отправлен BGP update маршрутизаторам R1 и R3. R2 просто объявляет хост-маршрут для зараженного хоста AS10 и устанавливает next hop для этого на 192.0.2.1. Маршрутизаторы R1 и R3 в свою очередь затем отправляют (разрешенным статическим маршрутом) трафик в null0, когда трафик направляется на зараженный хост. Чтобы гарантировать, что решение используется только в AS10, вы должны установить community в no-export для определенного статического маршрута и назначить маршруту tag 10 для его идентификации. Использование команды no icmp unreachable на интерфейсе GigabitEthernet маршрутизатора R1 предотвращает ненужные ответы при передаче трафика на интерфейс null0. Если вы настроили это правильно, как показано в следующем примере, вы набрали 3 балла.
R2(config) # ip route 192.0.2.1 255.255.255.255 null0
R2(config) # ip route 150.100.2.100 255.255.255.255 Null0 Tag 10
R2(config) # router bgp 10
R2(config-router) # redistribute static route-map BLACKHOLE
R2(config-router) # route-map BLACKHOLE permit 10
R2(config-route-map) # match tag 10
R2(config-route-map) # set ip next-hop 192.0.2.1
R2(config-route-map) # set community no-export
R2(config-route-map) # exit
R3(config) # ip route 192.0.2.1 255.255.255.255 null0
R1(config) # ip route 192.0.2.1 255.255.255.255 null0
R1(config) # interface Gigabit0/1
R1(config-if) # no icmp unreachable
Задание
To protect the control plane on router R6, configure CoPP so that IP packets with a TTL of 0 or 1 are dropped rather than processed, with a resulting ICMP redirect sent to the source. (1 point)
Перевод: Чтобы защитить control plane на маршрутизаторе R6, настройте CoPP так, чтобы IP-пакеты с TTL 0 или 1 отбрасывались, а не обрабатывались, с последующим перенаправлением ICMP источнику. (1 балл)
Cisco IOS Software отправляет все пакеты с TTL 0 или 1 на process level для обработки. Затем устройство должно отправить source ICMP TTL expire message. Путем фильтрации пакетов с TTL 0 и 1 вы можете снизить нагрузку на process level. Политика сontrol plane просто блокирует пакеты со значением TTL 0 и 1, как указано, но это нарушит ваш пиринг EIGRP и BGP. Итак, вы должны специально разрешить эти пакеты в вашем ACL; в противном случае вы бы просто потеряли ценные очки. Если вы обнаружили, что у вас не хватает времени, и вы не можете найти время для дальнейшего изучения того, как поддерживать пиринг маршрутизации, помните, что за этот вопрос вам дадут всего лишь 1 балл. Его можно оставить и вернуться, если это станет возможным. Если вы настроили это правильно, как показано в примере ниже, вы набрали 1 балл.
R6(config) # ip access-list extended TTL
R6(config-ext-nacl) # deny eigrp any any
R6(config-ext-nacl) # deny tcp any any eq bgp
R6(config-ext-nacl) # deny tcp any eq bgp any
R6(config-ext-nacl) # permit ip any any ttl eq 0 1
R6(config-ext-nacl) # class-map DROP-TTL-0/1
R6(config-cmap) # match access-group name TTL
R6(config-cmap) # policy-map CoPP-TTL
R6(config-pmap) # class DROP-TTL-0/1
R6(config-pmap-c) # drop
R6(config-pmap-c) # control-plane
R6(config-cp) # service-policy input CoPP-TTL
Section 7: Multicast (4 Points)
Задание
Configure routers R1, R2, R3, and R4 for IPv4 multicast. Configure R3 to send multicast advertisements of its own time by use of NTP sourced from interface Gig 0/0. Configure PIM sparse mode on all required interfaces. R3 should also be used to advertise its own gigabit interface IP address as an RP. R3 should also advertise the IP address you are using for the NTP advertisements, which will be 224.0.1.1. Do not use the command ntp server in any configurations. Routers R1, R2, and R4 should all show a clock synchronized to that of R3. (4 points)
Перевод: Настройте маршрутизаторы R1, R2, R3 и R4 для IPv4 multicast. Настройте R3 для отправки multicast анонсов своего личного времени используя NTP c Gig0/0 интерфейса. Настройте PIM sparse mode на всех необходимых интерфейсах. R3 должен анонсироваить ip address своего гигабитного интерфейса как RP. R3 так же должен анонсировать ip address, кторый вы используете для анонса NTP, это будет 224.0.1.1. Не используйте команду ntp server ни в каких конфигурациях. Маршрутизаторы R1, R2 и R4 должны показывать время, синхронизированное со временем R3. (4 балла)
NTP может работать по multicast по зарезервированному групповому IP-адресу 224.0.1.1, а не в более привычных broadcast или unicast сценариях. Вопрос требует, чтобы вы настроили R3, чтобы он стал мастером NTP и анонсировал групповой адрес клиентам NTP. Вам не разрешено использовать команду ntp server, поэтому вы должны настроить клиентов с помощью команды ntp multicast client. После этого у них будет возможность присоединиться к группе NTP с помощью PIM. Хорошей практикой является определение TTL scope для ваших multicast анонсов, чтобы они не распространялись за пределы требуемого домена. Если вы не учли это в своем решении, вам не будут вычитаться баллы, но вы должны это знать и учитывать в работе. Если вы настроили это правильно, как показано в следующем примере, вы набрали 4 балла.
R3(config) # ip multicast-routing
R3(config) # ntp master
R3(config) # interface GigabitEthernet0/0
R3(config-if) # ip pim sparse-mode
R3(config-if) # ntp multicast ttl 2
R3(config-if) # GigabitEthernet0/1
R3(config-if) # ip pim sparse-mode
R3(config-if) # ip pim send-rp-announce GigabitEthernet0/0 scope 2 group-list 4
R3(config) # ip pim send-rp-discovery GigabitEthernet0/0 scope 2
R3(config) # access-list 4 permit 224.0.1.1
R1(config) # ip multicast-routing
R1(config) # interface fastethernet 0/0
R1(config-if) # ip pim sparse-mode
R1(config-if) # ntp multicast client
R2(config) # ip multicast-routing
R2(config) # interface GigabitEthernet0/0
R2(config-if) # ip pim sparse-mode
R2(config-if) # ntp multicast client
R4(config) # ip multicast-routing
R4(config) # interface GigabitEthernet0/0
R4(config-if) # ip pim sparse-mode
R4(config-if) # ntp multicast client
Задание
Configure the following commands on router R1:
aaa new-model
logging buffered
logging 120.100.99.1
Configure a policy on router R1 so that if a user tries to remove AAA services or disable logging via the CLI that a syslog message of UNAUTHORIZED-COMMAND-ENTERED is generated. The policy should ensure that neither command is executed and should consist of a single-line command for the CLI pattern detection. The policy and CLI should run asynchronously. The policy should also generate an email from the router to a mail server residing on IP address 120.100.99.2 (to security@lab-exam.net from eem@lab-exam.net, with the subject “User-Issue,” with the message body consisting of details of who was logged on the time either of the commands were entered). (4 points)
Перевод: Сделайте настройки на на роутере R1:
aaa new-model
logging buffered
logging 120.100.99.1
Настройте политику на маршрутизаторе R1, которая при попытке пользователя удалить службы AAA или отключить логирование через интерфейс командной строки будет генерировать syslog сообщение UNAUTHORIZED-COMMAND-ENTERED. Политика должна гарантировать, что ни одна из команд не выполнится, и должна состоять из однострочной команды для обнаружения шаблона CLI. Политика и CLI должны работать асинхронно. Политика также должна генерировать email от маршрутизатора к почтовому серверу, находящемуся на IP-адресе 120.100.99.2 (на security@lab-exam.net с адреса eem@lab-exam.net, с темой «User-Issue». В теле сообщения должны сообщаться сведения о том, кто вошел в систему в момент ввода любой из команд). (4 балла)
Это сложный вопрос о Embedded Events Manager (EEM). Вам необходимо настроить апплет EEM с событием шаблона CLI в одной строке для соответствия любой из команд (no aaa xxx and no logging xxx). Это достигается с помощью шаблона ^ no (aaa | logging) *. В следующих параметрах sync no skip yes указано, что политика и CLI должны запускаться асинхронно и что введенная команда не должна выполняться. Когда введённая команда соответствует шаблону CLI , политика требует, чтобы было сгенерировано syslog сообщение, запущена CLI команда show users и наконец отправка email с выводом предыдущей команды show (что достигается с помощью команды «$ _cli_result»). Следующий пример подробно описывает требуемую конфигурацию и результирующее выполнение EEM, где если команды no aaa new-model и no logging buffered будут введены - не будут выполняются на маршрутизаторе. Если вы настроили это правильно, как показано в примере ниже, вы набрали 4 очка.
R1(config) # aaa new-model
R1(config) # logging buffered
R1(config) # logging 120.100.99.1
R1(config) #
R1(config) # event manager applet CCIE-QUESTION
R1(config-applet) # event cli pattern "^no (aaa|logging).*" sync no skip yes
R1(config-applet) # action 1.0 syslog msg "UNAUTHORIZED-COMMAND-ENTERED"
R1(config-applet) # action 2.0 cli command "show user"
R1(config-applet) # action 3.0 mail server "120.100.99.2" to "security@lab-exam.net" from "eem@lab-exam.net" subject "User-Issue" body "$_cli_result"
