November 2006 Archives

我知道自己这次将面临未知的挑战，在8.5小时考试结束之前我都不会放弃的。

明天PP去考试，刚刚送他回家。回到家无意中抬头看到了月亮——一半亮一半暗——在考试结束之前任何的事情都可能发生。希望他明天能发挥出真实的水平，尽力去完成好这次lab。

2周之后就要参加考试了。放平心态，加油加油！

keepalive

在设置committed access rate的时候可以使用acl来对特定优先级(IP Precedence)的流量进行区分处理。

需求：对IP Precedence = 1 2 5的流量限速 2M，其他的限速1M，Normal burst=Maximum burst=35000bytes

通常会按照下面的写法做：

写ACL匹配IP Precedence 1,2,5：
access-list 101 permit ip any any precedence priority
access-list 101 permit ip any any precedence immediate
access-list 101 permit ip any any precedence critical
接口下配置：
rate-limit input access-group 101 2000000 35000 35000 conform-action transmit exceed-action drop
rate-limit input 1000000 35000 35000 conform-action transmit exceed-action drop

如果使用access-list rate-limit命令可以直接使用一条ACL即可实现对IP Precedence 1，2，5的匹配：
access-list rate-limit 1 mask 26
接口下配置：
rate-limit input access-group rate-limit 1 2000000 35000 35000 conform-action transmit exceed-action drop
rate-limit input 1000000 35000 35000 conform-action transmit exceed-action drop
26是经过下面步骤计算得出来的：
IP Precedence 1对应的8bit为  00000010
IP Precedence 2对应的8bit为  00000100
IP Precedence 5对应的8bit为  00100000
将1,2,5对应的8bit串按位相加：00100110，转换为16进制：26
ip access-list rate-limit 1 (序号,仅做标示作用，0-99可以用来标记IP Precedence）mask 26 (26就是刚刚计算出来的结果）可以表示IP Precedence 1,2,5。

今天链子去考试，这时候估计已经坐在座位前随时等着拿到题目了。兄弟，祝你好运！

其实有些事情我是无意做的，几周过去了之后才知道那些无意的举动能给别人带来一些心理上的解脱。我没意识到自己做了好事，就好像有些时候做坏事的伤害别人也是无意识的一样。至少心情都还好，放松放松心情，都抓紧时间忙自己该忙的事情吧！有目标的生活总是美好的。

只要认真仔细，错误的数目会越来越少的，今天下午又作了个大的练习，基本上没错。

虽然拿到100分大多是小学低年级时的事情，经过无数次思考练习和刺激，现在看来完成一个看似完美的配置并不是完全不可能的事情。现在需要的是在配置时认真，认真，再认真。

我相信自己的能力，在解决问题的能力上一定比那些所谓的paper出来的要有很多的优势。有人传言在11月13日要更换lab的设备之后随之会有更多的变化，变化了又能怎样，知识体系没有问题，考试的内容除了BGP之外都是平时工作中每天接触的，我有绝对的信心在考场中充分展现能力。

距离考试还有28天，今天是cancel lab的最后期限，我决定不论发生什么都将全力完成lab考试。为了梦想，为了未来……

晚上给自己放了几小时假，先是去游泳，回到家后一面上网四处逛一面听着音乐。

翻出了好多年前听过的音乐，偶尔选中了天鹅湖序曲，太美了……曲中带有一种特有的淡淡的忧伤和对看似渺茫的幸福的期望，就好像现在的我一样。

我知道现在缺少的不是知识，而是认真。长时间的连续敲键盘确实很累，至少手会隐隐的痛。路由协议，外加Frame-relay，QoS，安全，IOS feature……混在一起细节无数，稍微不注意就有可能作出看似能用但是并不规范的配置。

对于考试来说细节决定成败。我想通过准备CCIE lab给我带来的收获并不只是知识上的，也帮助我看清楚了自己很多的问题，发现了自己很多的不足。比如，我发现自己很多时候太不注意细节了，不论是在网络工程的实施上，还是在平时的生活上……

今天一早就来到学校，本以为本周末是预定的CCIE Assessor Lab的日期。到了学校把环境都准备好了，手放在键盘上时刻准备开始"conf t"。
9点一到，刷新Assessor Lab的题目发现没有出现，当时汗就出来了……马上查询US那边的支持电话，准备打过去询问。就在准备打电话的时候发现自己看错了日期，预定的Assessor Lab是11月18日的……
Assessor Lab Details-CCIE - Cisco Systems

1. CAR和police的区别：Comparing Class-Based Policing and Committed Access Rate  [QoS Policing] - Cisco Systems
2. Policing和Shaping的区别：Comparing Traffic Policing and Traffic Shaping for Bandwidth Limiting  [QoS Policing] - Cisco Systems

下午的时候看到了CNN的新闻：Saddam Hussein sentenced to death by hanging - CNN.com
这个世界其实挺不公平，但是又是那么的公平，谁强谁是老大：入侵敌对国家，扶持一个有利于自己的政府，把前任首脑再给做掉。
我不喜欢那种把自己的想法和社会制度强加给别的主权国家的行为。老萨的有些话是有道理的，不论怎样在第二次伊战中美军是侵略者，至少我这么认为。

好久都没睡这么长时间了…… 

下午写完之后想明白大概怎么回事了，由于要去听Basic MPLS的内容，没时间做进一步的实验。刚才做实验验证了一下：spoke端通常是单点连接到hub端的，如果启用一个点对点子接口，或者直接在主接口上配置frame-relay interface-dlci，就不会出现spoke端要互相对link-local地址写map的问题了——所有的数据都会通过这一条PVC送出去。

刚才留下了一个问题，即“在spoke端需要互相map对端的link-local地址，从上路由表上可以看出路由器到达其他spoke loopback0接口的下一跳地址为其他spoke路由器的link-local地址。对于这个现象我存在疑问：在关闭frame-relay inverse-arp的情况下，spoke端互相map link-local地址实在是很麻烦，尤其在spoke端多的情况下，新增和减少spoke端都会是很麻烦的一件事情。”

其实这个问题在IPv4的环境中同样存在，在IPv4的环境下spoke上看到的其他spoke的下一跳地址是接口的地址，只不过IPv4建立OSPF邻居，发送OSPF update都使用的是接口地址，而没有link-local地址的问题。如果在spoke上不做frame-relay map同样无法将数据送出(封装失败)。

我觉得在实际使用的时候有可能需要启用inverse-arp，以便保证灵活扩展。没有做过广域网的工程，不知道真实情况是如何的……

R1,R2,R3只配置IPv6地址，不配置任何IPv4地址，路由协议选用OSPFv3。
R1,R2,R3都使用主接口，IPv6地址设置为FEC0::X (X=1,2,3)，默认网络类型。
R1,R2,R3各建立一个loopback 0接口，IPv6地址设置为FEC0:0:X::X/64  (X=1,2,3) 并在路由表中可见/64的路由条目，实现全网各个接口可以互相ping通。

在R1做如下配置：
ipv6 unicast-routing
!
interface Serial1/0
 no ip address
 encapsulation frame-relay
 ipv6 address FEC0::1/64
 ipv6 address FE80::1 link-local
 ipv6 ospf neighbor FE80::2
 ipv6 ospf neighbor FE80::3
 ipv6 ospf 1 area 0
 frame-relay map ipv6 FE80::2 102 broadcast
 frame-relay map ipv6 FEC0::2 102 broadcast
 frame-relay map ipv6 FE80::3 103 broadcast
 frame-relay map ipv6 FEC0::3 103 broadcast
 no frame-relay inverse-arp
!
interface Loopback0
 no ip address
 ipv6 address FEC0:0:1::1/64
 ipv6 ospf network point-to-point
 ipv6 ospf 1 area 0
!
ipv6 router ospf 1
 router-id 1.1.1.1
end

在R2上做如下配置：
ipv6 unicast-routing
!
interface Serial1/0
 no ip address
 encapsulation frame-relay
 ipv6 address FEC0::2/64
 ipv6 address FE80::2 link-local
 ipv6 ospf priority 0
 ipv6 ospf 1 area 0
 frame-relay map ipv6 FE80::3 201 broadcast
 frame-relay map ipv6 FEC0::3 201 broadcast
 frame-relay map ipv6 FE80::1 201 broadcast
 frame-relay map ipv6 FEC0::1 201 broadcast
 no frame-relay inverse-arp
interface Loopback0
 no ip address
 ipv6 address FEC0:0:2::2/64
 ipv6 ospf network point-to-point
 ipv6 ospf 1 area 0
end

在R3上做如下配置：
ipv6 unicast-routing
!
interface Serial1/0
 no ip address
 encapsulation frame-relay
 ipv6 address FEC0::3/64
 ipv6 address FE80::3 link-local
 ipv6 ospf priority 0
 ipv6 ospf 1 area 0
 frame-relay map ipv6 FE80::2 301 broadcast
 frame-relay map ipv6 FEC0::2 301 broadcast
 frame-relay map ipv6 FE80::1 301 broadcast
 frame-relay map ipv6 FEC0::1 301 broadcast
 no frame-relay inverse-arp
interface Loopback0
 no ip address
 ipv6 address FEC0:0:3::3/64
 ipv6 ospf network point-to-point
 ipv6 ospf 1 area 0
end

总结几个需要注意的问题：

1. 和IPv4 FR环境下Hub-Spoke结构OSPF的配置一样在Hub上需要指定neighbor（对端的link-local地址），在spoke端的接口上需要将ospf priority设置为0，以避免spoke端成为DR。
2. OSPFv3需要一个32位的数字来作为router-id，默认情况下会按照OSPFv2的方式来选择router-id；由于是纯IPv6的环境，没有任何接口配置了IPv4地址，因此无法自动生成router-id，需要手动指定每台路由器的router-id。
3. 需要做frame-relay map相连的对端路由器的link-local地址，否则ospf的hello以及LSA都送不出去。
4. 和OSPFv2一样，如果在loopback接口上不指定网络类型为point-to-point的话，会送出一条/128的主机路由：
   R2#sh ipv route
   IPv6 Routing Table - 8 entries
   Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
          U - Per-user Static route
          I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
          O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
          ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
   L   FE80::/10 [0/0]
        via ::, Null0
   C   FEC0::/64 [0/0]
        via ::, Serial1/0
   L   FEC0::2/128 [0/0]
        via ::, Serial1/0
   O   FEC0:0:1::1/128 [110/64]
        via FE80::1, Serial1/0
   C   FEC0:0:2::/64 [0/0]
        via ::, Loopback0
   L   FEC0:0:2::2/128 [0/0]
        via ::, Loopback0
   O   FEC0:0:3::/64 [110/65]
        via FE80::3, Serial1/0
   L   FF00::/8 [0/0]
        via ::, Null0
   *此时在R1的loopback接口上没有指定网络类型为point-to-point，而R3上指定了。
5. 在spoke端需要互相map对端的link-local地址，从上路由表上可以看出路由器到达其他spoke loopback0接口的下一跳地址为其他spoke路由器的link-local地址。对于这个现象我存在疑问：在关闭frame-relay inverse-arp的情况下，spoke端互相map link-local地址实在是很麻烦，尤其在spoke端多的情况下，新增和减少spoke端都会是很麻烦的一件事情。当然出现这样的现象是可以想明白的，OSPF是链路状态协议，前几天做的同样拓扑的实验是RIP的，RIP是距离矢量协议，一个更新的是LSA，一个发的是自己的路由表，这里面的内容是不一样的。
   

昨天睡得很不好，可能是整天都在做练习的缘故，晚上休息的时候脑子也没空闲着，梦到参加ccie lab考试的情形了。

或许是因为意识到了是在做梦不必担心考官烦我，在梦里把拿到的题目每个细节都问了考官一便，反正在梦里多折腾考官几次他也不会知道……

在梦中快到中午的时候，考官竟然来问我中午希望餐点什么……不知道真正考试的时候是否也会这样。。。

半夜3点醒来了一次，躺在床上觉得头脑非常清醒，没有任何的睡意，于是就站起来在自己的小窝里走了几圈。清醒的记得在醒来之前完成了梦中考试的IGP+BGP部分的配置。后来不知道过了多久又睡着了，不知道为什么又继续梦到了考试，还梦到了一边敲题目中要求的配置一边和考官聊天……好像很真实的情景。

早上醒来的时候已经9点了，算了一下时间，基本上睡了不到8小时，和一次真实的lab考试几乎一样的时间。