TS总结_ts认证工作总结

TS总结由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“ts认证工作总结”。

TS1、TS1+、TS1++：

一.(1)R22和R23的OSPF邻居建立不成功。

1、show frame-relay map：查看路由器上的映射有没有问题（如果OSPF使用了其他网络类型，对端地址、本地DLCI号,查看是否使用了broadcast参数）

2、查看FRSW上的frame-relay switching是否开启，接口是否配置了frame intf DCE，查看frame-relay route是否正确，是否有clock rate，lmi-type是否正确。

3、FR的封装是否正确(LMI只在DCE与DTE端相同即可，而封装需要整条PVC都相同)

4、OSPF的认证是否正确(2)NAT 地址转换负载均衡

1、根据给的一个nat转换表来补充相应的命令，R20 telnet PC28下面的某个地址。错误在R22，接口缺少了ip nat inside和ip nat outside（或者是接口的ip nat inside和ip nat outside 写反了），在loop口上是out，e1/0是out，e0/1是inside（注意：还有可能是没有TG1的路由，需要检查OSPF邻居）telnet 23端口转换成R22的E1/0口 telnet 80端口转换成R22的loop 0口

2、ip nat source route-map NAT_IN interface e1/0 overload ip nat source route-map NAT_IN_HTTP interface lo 0 overload 两句都缺了ip nat inside ip nat inside source route-map NAT_IN interface e1/0 overload ip nat inside source route-map NAT_IN_HTTP interface lo 0 overload(3)R22的loopback 0要能telnet R23的loopback 0 R22和R23之间已经配置好做了ospf区域验证,R22和R23没有写frame-relay map ip 还有就是Lmi-type不匹配，查看FR各自的Lmi-type。

二．（1）R14上telnet 10.1.1.8 /so lo 0 要成功。

图中有两个交换机，R14与R10分别在不同的VLAN中。vtp不同步，改了就ok了.(2)R14无法使用自己的环回口telnet R7的回环口。

1、R14要ping通R8（直连），R14和R8之间分别接了SW2，SW1。某个接口没有划进相关的VLAN中,acce接口有enc trunk enc dot1q配置，vtp paword不一致，添加vlan提高SW1的修订号，然后再删除多余的VLAN。

2、R10上可能会出现自反ACL，需要注意

考场的浏览器上专门有一个二层的拓扑，打开看之后就会发现各个路由器和交换机之间的详细连线还有接口的vlan划分情况，仔细梳理一下就很清晰了；有可能会碰到端口的模式错误，比如trunk被打成acce，或者vlan划错了，或者是交换机之间的trunk没起，还是很好找错点的。

交换部分需要注意：TRUNK、VLAN、VTP等等信息即可

三．(1)R20 lo 200.20.20.20要ping通R26的192.168.20.1 题目明确说了两个错误点：

1、R26上重发布没有subnet，R20上没有network对应的接口。

2、R21上OSPF进程下挂了一个distribute-list，对应的ACL内容是deny 192.168.20.0 0.0.0.255）

(2)R21的200.20.20.20无法ping通R26的198.168.20.11、R21邻居建立有问题（没有na），网络类型不一致，R24上挂有PBR，next-hop指向了R26，导致无法回包，把next-hop指回R21。

2、R26上的RIP重分发问题，重分发的时候挂了一个route-map接口匹配错误，修正即可。

3、可能使用一个不存在的route-map来重分发，注意检查

四.(1)要求R16能ping通R19的loopback地址，要求负载均衡，而且要稳定。

1、只要把auto summary 改成 no auto summary就可以了。

2、DHCP问题：检查dhcp service是否开启；检查地址池是否正确

network 171.16.10.16 255.255.255.2483、检查dhcp数据包是否被阻隔（COPP、ACL）。

4、检查EIGRP的认证是否正常，检查EIGRP的router-id是否正确。

5、通过ip dhcp excluded-addre控制第一个地址的获取。

(2)要求在R16上telnet 10.1.1.19 /so lo 0要成功 在R19上有： policy-map xxx

Cla xxx

Police rate percent 1

Conform-action drop-----改成 transmit

Exceed-aciton transmit

(3)图中R17、R18是NTP Client，要和R16同步 里面有认证，主要就是这几条命令。

Server：ntp authenticate / ntp authentication-key 1 md5 xxx / ntp master / ntp source / clock timezone x x Client：ntp authenticate / ntp authentication-key 1 md5 xxx / ntp trust-key 1 / clock timezone x x

五.(1)R15的主机地址要ping通R7的主机地址。

1、Show mpls ldp discovery：看一下各个接口的HELLO发送情况（特别注意如果看到no route代表没有对端LDP ROUTER-ID的主机路由，此时邻居建立会有问题）

2、Show mpls ldp neighbor： R3上可以看到与R1、R2的邻居是没建起来的。

3、show mpls interface：R3R1R2相应的端口没有启用mpls,mpls ip加入就可以了。

4、show ip bgp vpnv4 all summary、show mpls forwarding-table：CE上可以看到两端的地址都学到了，但是ping还是ping不通的。检查一下使用的标签情况，是否有出现标签不正确的问题。

5、注意LDP TCP646端口是否被阻隔，否则无法正常发送标签。

6、注意VRF的配置(RT是否相同)，注意PE-CE路由协议是否正确。

7、注意BGP邻居的配置：update-source，paword，bgp cluster-id（除RR以外不能有）

8、注意重分发的时候记得match internal external9、R3的S1/0 Administrator down10、R3与R15相连的接口缺少eigrp认证

11、R3与R1，R2 的BGP邻居没有使用loopback口建立

(2)BGP路由表问题：要求4个PE路由器看到其他3个PE路由器环回口

1、在show ip bgp里面有2条，并且在show ip route 也要看到，在R1的addre-family ipv4下缺少RR配置，然后要对PE邻居active，也可以参照R2去配置，做完如果还没有路由就建议reload，还需要注意BGP的同步问题。

2、R1/R2同步没关 no syn3、R1和R2 的cluster-id 一致导致不能进行路由反射，删除就可以。

4、R1 有distribute-list 只匹配奇数路由，将0.254.255.255 改为0.255.255.255。

(3)MPLS VPN R20 171.2.2.2 ping R8 171.1.1.11、R20接口没有network进ospf，R4上mpls label protocol tdp改为ldp2、R1和R2上有no mpls ldp advertise-labels，敲上mpls ldp advertise-labels就可以了

3、R4或者R1 R2 可能被全局下被关了ip cef4、R4的remot-as邻居指错

5、R4和R5的VPNv4地址族没有建立

6、R4和R5的ip vrf 的RT值不一致

7、单个PE上,接口上的vrf与重分发的vrf名字大小写不一致

8、PE端ospf 重分布路由到BGP时没有subnet(4)ipv6 R8 ping R4 lo200 2001：CC1E:1000::1001、R8上没有开ipv6，R5和R8两边的接口都缺少ipv6 ospf 1 area 0。（这个题目中没有说不允许使用IPV6 Routing）

2、R5和R1（或者是R4和R1）的router-id 重复

3、R4的环回接口loop200没有被宣告

(5)ipv6 R8 ping R4 lo200 2001：CC1E:1000::100 R4,R1,R2,R5,R8 运行OSPFV3，R4的环回接口没有被宣告，R8已经打上ipv6 addre auto-config。需求R8要 ping 通R4的lo 200。题目明确说，R8作为一个ipv6主机，不能启用ipv6 unicast-routing不能配置ipv6静态路由。

①在R5上：

Route-map xxx permit 10 Match inte e0/2 Ipv6 router os 1 Redistribute connected route-map xxx ②R8连接R5的接口下没有ipv add autoconfig default，不要直接敲不起作用，no掉ip add autocon 然后再敲，还不行就default接口吧。default之前记住接口下的原有配置，default之后刷回去，然后再ipv add autoconf default.(注意：如果启用了ipv unist-routing则会产生一条默认路由，如果没有启用sh ipv6 route只会显示直连，但可以ping 通R4的l200)(6)R5 pingR4使用46Bytes repet 100 98%丢包 因为R1接口上有CAR rate-limit output acce-group 101 8000 1500 2000 conform-action transmit exceed-action drop

建议改成rate-limit output acce-group 101 80000 1500 2000 conform-action transmit exceed-action drop 另外也可把drop改成transmit

六.(1)R27上的OSPF无限翻滚。

kron list的问题，用show kron schedule查看，no掉cli clear ip ospf proce就可以了。

(2)R27的接口E0/0手动shut down掉，需要触发EEM事件，执行no shutdown动作EEM已有预配:

1、eem触发条件语句“interface Loopback0 change state to down”改成“interface ethernet0/1 changed state to administratively down” 记不住就粘贴,前提是要开logg console。

2、action 3.0 cli command “int lo 0” 改为”int e0/1” 预配：

event manager applet cisco

event syslog pattern “Interface Loopback0, changed state to down” action 1.0 cli command “enable” action 2.0 cli command “config t” action 3.0 cli command “inter lo 0 ” action 4.0 cli command “no shu” 校验：做完如上配置后，使用如下命令校验debug event manage action cli 在R27上进入E0/1 手动Shutdown，一定要看到EEM 生效后将E0/1 no shut，看到E0/1接口被重新激活,用sh ip int e0/1查看端口状态。

七．(1)R11和R12的ping不能到100%。

R9连接R12的接口做了rate-limit，这里可能在R9对着R11.R12的接口都会有这个动作，这个要考场自己确定下的。

(2)R11 和R12 的loopback0到 R7和 R8 的loopback0流量如果是pre 4的要改成pre5

1、要求不要修改任何的acl，要百分百通过，cla-map match-all xxx, 匹配了一个acce-list，这个acl匹配了pre3和pre4。

在R7,R8上有acce-list 101 per ip host 10.1.1.11 any pre3

acce-list 101 per ip host 10.1.1.12 any pre4

acce-list 101 deny ip host 10.1.1.12 any

acce-list 101 deny ip host 10.1.1.11 any

acce-list 101 per ip any any 然后在面向R9接口上ip acce-group 101 in 结果就是 在R11 R12 上面ping10.1.1.7 source lo0，就出现了U.U.U.U。题目明确说，不能修改R7 R8上面ACL，101前面的2句ACL是为了做测试用的。将cla-map match-all xxx改为match-any 即可。

2、在R7和R8上有策略，优先级4的流量被拒绝，优先级5的可以接受。题目要求不能更改R7,R8，R9的ACL的配置，R9上有策略匹配了优先级4，只不过是带宽的分配，对本题没影响，在匹配优先级4的那条下加上set ip pre 5，也就是把4的都改成5的发出去，测试，成功。

(3)解决R11 ping 10.1.1.12 source loopback0 size 1000 repeat 100的问题 跟之前的97%那个一样(10.1.1.12为R12环回口)在R9连R12的接口下有(我也想不明白为什么不是在R9-R11的接口下)rate-limit input acce-group 111 496000 2000 1500 conform-action transmit exceed-action drop 建议改成rate-limit input acce-group 111 4960000 2000 1500 conform-action transmit exceed-action drop。

另外也可把drop改成transmit，你们自己做做看,我觉得还是改一下带宽参数。

八．R14 telnet R7的问题

R10下挂了一个policy-map，并且做了一个策略，2个动作都是drop。这里要注意，题目要求只能改动一行，R10的confirm-action下改成transmit 就可以了。记得no confirm-action drop 写上confirm-cation transmi以后要记得把exceed drop 补上。

九．PBR 用R11，R12的loopback0为源ping R8的loopback 0，要求路径为R9→R7→R81、在R9上acce-list 配置有误，seq 5 加入正确的匹配项。

2、在R9上初始配置中有route-map，但是配置有错误，需要进行修改。

十．R20受到攻击的问题

R20 lo3(200.20.20.20)is being attack from two sources, use mostly specific acce-list to actch the traffic and filter it before into area 2.1、在R22上面s1/0的接口调用访问控制列表in

acce-list 100 per ip any host 200.20.20.20 log-input acce-list 100 per ip any any clear acce-list count立刻看到日志信息，会出现两个攻击源一个是tcp,一个udp 在R23上根据查出的入向接口在入向接口上建立一个ACL过滤掉攻击流量 在R23 acce-list 100 deny tcp host x.x.x.x host 200.20.20.20 acce-list 100 deny udp host x.x.x.x host 200.20.20.20 acce-list 100 permit ip any any int e0/0 ip acce-group 100 in 验证完成之后一定要注意把R22下的acce-list 和接口下的ip acce-group 删除。

十一.R15与 R16之间的ppp认证问题。

1、Sh run | sec username 查看一下，hostname指错了（应指对端设备的hostname），修改下 ppp chap hostname 两边的邻居就起来了。

2、查看接口下设置的ppp chap paword是否一致。

TS2、TS2+：

1、R6和R8要建立安全的BGP邻接关系，预配密码可能存在空格，直接NO掉重配。再加上service paword –encription，Show ip bgp summary，可以看到邻居建立起来了。

2、R20要使用环回口成功ping通10.1.1.28：(1)R17连接R16的接口上面打了ip ospf network point-to-multipoint，网络类型不匹配。这样R16和R18的virtual-link起不来，直接NO掉就OK。(2)关注OSPF area3中的认证问题，由于启用了区域认证，Virtual-link并没有被正确的配置认证信息。

3、R28#ping1.100.100.100 source 10.1.1.28，R1上面有个route-map，增加了很多了AS path。Route-map应该是这样写的：

R1(config)#route-map prepend permit 10 R1(config-route-map)#set as-path prepend 300 400 500 600

然后将这个route-map调用在了和R2建立的EBGP邻居的OUT方向，导致R28学到1.100.100.100的路由带有as path 300的属性导致环路，将300删掉，注意不要把set as-path prepend 300 400 500 600这条命令全部NO掉，直接no set as-path prepend 300 400 500 600，然后set as-path prepend 400 500 600，关键是把AS 300 NO掉，之后用clear ip bgp *清除一下BGP路由即可。备注：only can change in one device！

4、R9要使用环回口10.1.1.9 telnet 到R10的10.1.1.10，主要问题在于R10通过COPP的方式阻塞掉了TELNET数据流，并且在VTY下使用transport input none，首先修正transport input none改为transport input telnet,之后再修改ACL增加5 deny tcp host 10.1.1.9 host 10.1.1.10 eq telnet完成这个需求。

5、需求是要R14能够成功ping通R13和R15的帧中继接口，R14上面有frame-rlayintf-type dce和frame-relay lmi-type ansi的配置，直接NO掉就OK了。（如果FRSW可以登录，还可能包含其他常见的FR错误，例如frame-relay switching是否开启，接口是否使用DCE类型，LMI是否正常，frame-route是否正常）

6、(1)R24和R29要能够成功ping通R10连接的地址为10.1.1.10的FTP服务器。R25上面的RIP版本改成version 2，R21重发布EIGRP的时候没有制定metric。

(2)R24与R25之间无法建立邻居关系，这里也是常见的FR错误，检查所有的配置就可以了。

(3)R24无法访问R29的PC，这里主要是R25没有学习到R29的路由，主要考察对MPPE的配置。先使用DEBUG命令查看现象，然后在接口下使用ppp authentication ms-chap，建立用户名与密码信息：username xxxx paword cisco7、题目明确说明在R13上面show ip pim rp mapping要能看到映射代理发布的组和RP的对应关系。R3既是RP又是映射代理，R3上ACL匹配的地址错误改224.1.1.2为224.1.1.1，并且scope 预配是1，改成16，并且预配R3到R13所有运行PIM路由器的接口都是sparse-dense-mode（如果题目明确要求就要改成spare-mode）。R3上面映射代理不是用环回口做的，改成用环回口做映射代理。R9上面拒绝了10.1.1.3到224.0.1.40的流量，映射代理使用224.0.1.40向所有路由器通告RP和组的信息，在R9上把这条ACL删除掉。R3加入了组224.1.1.1，所有在R13上ping 224.1.1.1是可以ping通的。

8、R24到FTP服务器10.1.1.10（就是R10的环回口地址）要实现负载均衡。R21上连接R23的接口有delay 1000 和bandwidth 10000并且接口shutdown了，直接NO掉deny和bandwidth，并且no shutdown。（还有少写了ip prefix-list From_Ospf seq 20 permit 10.1.1.10/32 前面是5 10 15）offset-list 改变了度量值。

9、R13的S1/3接口down掉之后要使用环回扣做源向NMS服务器（10.1.1.4）发送trap消息，没有配置snmp-server host 10.1.1.4 cisco，R13的S1/3接口有no snmp-server trap link-state，改成snmp-server trap link-state，同时加上snmp-server trap-source loopback 0。

10、R13和R5之间的tunnel翻滚的问题，R13和R15上有静态路由 R13：ip route 10.1.1.5 255.255.255.255 135.0.0.5(R5tunnel的地址)R5：ip route 10.1.1.13 255.255.255.255 135.0.0.13(R13tunnel的地址)下一跳都是指的tunnel地址，把下一跳改成物理接口就OK。注意：主要是确保tunnel的destination地址可达即可。