考试时间分布:
7:40
到考场报道;
如果就住银泰附近,其实没必要去太早,等待的地方很小,空气也不好;
银泰C座大堂的保安有当天参加思科考试的人员名单,直接告诉他是来参加思科考试的,并且提供身份证,就会让你上去,并告诉你在几楼.
8:00
考官出来简单交代一下考场纪律,然后除身份证及第二身份验证材料,都寄到储物柜
8:20
考试正式开始,考官将大家带入考场,会告诉大家考试到今天16:20结束;考场内有水和面包,可随意取用;考场内有门禁卡,需要上厕所可以随时出去,但同一时间只能有一人去上厕所
8:20-9:50
TS,考完即可提交,TS与CFG共用考试时间,考完点击右上角“end section”即可提交
9:50-10:20
DIAG,时间固定为30分钟,一般5分钟就做完,剩下的时间可以去上个厕所或在位置上休息一下
考完点击右上角“end section”即可提交
10:20-11:20 CFG
11:20-11:35
考官提前3分钟通知大家吃饭,到吃饭的时间屏幕会自动锁屏,然后到隔壁一个小会议室吃饭,
11:35-16:20
CFG考完点击右上角“end section”即可提交
以上时间仅供参考
TS2
把TS2_Summay一套练熟就可以,考试的TS非常简单,但是一定是要弄清楚原理,而不是硬背错点。
因为开始不太适应环境,做TS2花了大概90分钟,router-id之类的没补,个人觉得这应该不是考点。但是CFG的router-id我还是补了。
DIAG3
Part1
按文档解法
Part2
那道多选题我之前归纳的思路是:
TCP connect from the router to 10.1.1.X (攻击者/黑客)(三选二)
TCP session from 10.1.1.X(受害者/服务器)to the router via vty(三选二)
TCP connection from a remote host to the router's IP address 10.1.1.X(受害者/服务器) on port 1337(三选二)Download of a TCL script in memory via http
Install of a ransomware via backdoor
首先根据抓包结果,TCP的发起者为受害者,然后根据个人归纳的思路,选项命中了上述标红的选项,未标红的选项有一个非常类似的选项为:
TCP connection from 10.1.1.X(受害者/服务器)to the router via vty
我也不清楚这里session和connection有什么区别,这个选项就没选。
诊断3的part2根据目前的诊断文档和诊断视频,能够梳理出黑客攻击流程/原理和选项的关键字,但是对于选项内容的逻辑并没有分析的很清楚,所以考试时遇到类似的选项心里会没底,只能碰运气。
CFG 3-新出现的题目要求
2.7 BGP in Remote Sites : Part 2
关于Datacenter’s gateways的配置,只要求R10、R11、R14、R20和R21,不包括R15
3.3 Internet Access
额外要求R60不能任意向SP发送ARP消息
4.1 Device Security
额外要求类似next-hop no exceed 2
5.2 Quality of Service
额外要求QoS策略要同时在IPv4和IPv6下生效
CFG 3-遇到的问题
1.1 LAN Access
针对考试给出的二层拓扑图及对应的VLAN表格,逐一核实交换机的二层端口配置,非常重要。
考场的二层拓扑图附的表格类似下表
交换机名称 | VLAN编号 | 端口编号 |
SW300 | VLAN2000 | E0/1 |
SW301 | VLAN2001 | E0/2,E0/3 |
有很多端口只启了sw acc vl xxx,但没有sw mode access,或者是端口直接是shut的。
1.2 LAN Distribution
SW300/SW301/SW310都有no span pvst sim mst *** 的配置,删掉(参考其他的战报)
2.8 Routing Policies
User4上trace 8.8.8.8时老是从R15走,把R15的邻居和接口down后再恢复,还是从R15走。
解决方法:考虑到这题主要考的是R40/R41的选路,也担心改来改去会乱,后来没处理。
2.9 IPv6 Routing
Server 1 最后获取到了IPv6的地址,但是ping不通2001:CC:1E:1::1,提示no gateway什么的,但配置没问题
解决方法:在SW111的vlan2001下有一条ipv6 FE80:111 link-local,先no掉,再ping就正常了;然后恢复这条配置,还是正常。
2.10 Multicast in DC#1
题目要求一样,但是因为R14/R15上没有任何组播配置,SW110/S111面向R14/15的接口也没有相关组播配置,所以这题我没有在R14/R15做任何配置,SW110/SW111也没有补充面向R14/R15的组播相关配置
组播ping的现象比较慢,要ping7-8次才通。
其它
1、部分router和switch的BGP或OPSF协议没有配置router-id,都补上。
2、SW600因为本身lo0口的地址都没配,所以这台设备上我也没补router-id。
3、网上其它战报有提到要取消DHCP设备的租期(考场的拓扑图上,凡是启用了DHCP的设备都会标注),这里我也不太明确不取消会有什么影响。
8月2日第一步已经完成,成功拿下CCIE RS,为了练习这个RS版本实验,手指都变形了,所以我相信 每位CCIE都是这么苦过来的,也写了点考试战报给后面即将考试的同学分享,希望可以让别的同学少踩雷,现在我已经在YESLAB准备继续奋战跟着老余搞DC,一鼓作气拿下第二门CCIE就是我的目标。