“CCIE考生，CCIE考生请跟我来”。2007年3月15日9点10分，东方广场E1写字楼19层。

这是第二次参加CCIE考试了，在进入考场之前，不知道自己会遇到什么样的挑战；在考试结束之前，不知道会面临什么样的攻击。

跟着Vincent,Z 向左走，绕过饮料间和几个会议室，我走在考生中的第2个。不知道为什么，忽然不是很想走在这个位置，于是让在一边请后面的两个兄弟走在前面。对于考场，我太熟悉了——几年前来Cisco参观的时候就在CCIE Program的牌子前照过一张照片。但是在真正要进入考场的时候，不知道为什么，我好像没有注意到这个牌子，也想不起来在走进考场的路上都看到了什么，记忆中周围似乎都是白色的，完全空白。

进入考场，5分钟的briefing，由于这次考试看似都是中国人参加，Vincent没有像我第一次参加考试的时候用中英文双语介绍考场环境。“大家好，我是Vincent 周，你可以叫我Vincent。白板上写着考试相关的注意事项和我的电话，如果我不在考场但需要找我的话可以用我桌上的IP电话打我的手机。考试时间是8小时，中间有20分钟午餐时间。时间都是你们自己的，你可以任意安排，可以离开考场/回到考场，不用向我打招呼。我会给每人发两张草稿纸，如果不够用还可以找我要，但是不要自己拿。……”

除了没有第二遍的英文之外，内容和我第一次参加考试的时候完全一样。随着“考试开始”，上午9:20，我翻开了首页印着巨大CCIE标志的题目……

用了大约30分钟的时间看题目，一切看似都很顺利，题目中的内容受限于NDA不能胡说，但是感觉都是会做的内容。可能是英文的缘故，给我感觉题目有些文字写的很隐晦，好像把某些意思绕着圈的说，或者故意避开了一些技术术语。我问了Vincent几个理解不清的地方，他都非常客气的向我解释了题目的含义，也纠正了我的可能的理解偏差。

中午11点45分，Vincent宣布“还有5分钟吃饭，请大家保存自己的config……”。午餐吃的“田野家”，还有我最爱喝的豆浆，嘿嘿……虽然上午做题的进度比预期的要慢，但是不知道为什么，闻着熟悉的豆浆的香味忽然对自己很有信心。

12:10，继续下午的战斗。大约2点48分，我看似完成了所有的题目需求。虽然在做题的时候每做一道就用不同的命令去检查是否完成了需求，但是我知道自己有些时候不够细心，很可能会丢下些什么。于是先假设这个网络有问题，就当这个网络不是自己构建的，只是自己临时接到了任务要去排查网络的错误。重新读了一遍题目，至少没有丢掉任何题——题目的最后一页的背面竟然有一个小的需求，一开始做题的时候差点没有看到。

在某个看似能有所有路由prefix的设备上show ip route，对照着拓扑图看看是否所有的路由都有了。上来就发现了一次错误，我不确认是否有人修改了我的配置，但是路由确实丢失了几条……虽然考场的空调很凉，我还是马上就出了一身的汗…… “冷静，分析情况，就像平时一样，我能行……”整整一分钟我没有碰键盘，一面告诫自己别慌，一面看着拓扑图想着可能造成这样问题的原因。一分钟后，估计考场中只有我敲键盘的声音最大——show ip ospf neighbor, show ip eigrp neighbor, traceroute ..... show ip eigrp topology, show ip ospf database，sh run | b r o， sh run | b r e.......几分钟后定位了问题，并且作了修正。修改之后继续show ip route..一切看似都好了。整个下午对着题目，ping、trace、show各种各样的东西…… 提心吊胆的等待着是否会有人修改我的配置，每检查一遍都wr me保存一下配置，在下午结束考试之前检查了4-5遍，看似和自己认为的正确答案都一样了。

这次考试的时候没有犯第一次考试的时候大忌——在最后15分钟修改关键配置。第一次考lab的时候在交卷前认为有个地方需要修改，但是做那样的修改会造成IGP路由短暂丢失。权衡了一下，改吧，结果一大片的OSPF邻居down，紧跟着由于没有了IGP路由，BGP的邻居也down了一串，我的心脏基本上也随着不断跳出的down快要down掉了……从一定程度上说那黑色的15分钟是造成我第一次lab没能通过的重要原因之一。当时给自己制定的计划是预期5分钟内恢复路由，如果没有恢复则立刻回退。但是在那种压力之下很难掌握好时间，我好像在2分钟不到的时候就做了回退。后来想起来似乎坚持自己的做法可能会能拿到更多的分数，不过谁知道呢，都过去了……

下午17点半多，Vincent宣布“还有5分钟考试结束，请大家保存自己的config……”，现在想起来Vincent说的config好像挺有意思的，有点像中文……出门拿着自己放在书架上的手机，向Vincent点头表示感谢。不敢和他说再见，估计他也知道考生的顾忌，他也只是和出门的考生点头，没有说什么再见之类的，呵呵……

晚上回到家，弹出一封提示信——“CCIE Lab Score Report”……心都凉了……第一次考试没有通过就收到了所谓的Score Report——只有没有通过考试的考生才能看到自己的成绩。登录到CCIE网站上查看自己的status，忽然看到Current Status下面写着 Certified (CCIE #17564)，下面的记录Lab考试的表格上写了一个PASS。这就是传说中的PASS吗？我看着屏幕确认了好几次……

致谢，在考试前发短信、打电话鼓励和关心我的兄弟们。强烈感谢8han，并推荐下次有任何人考CCIE都请8han一起送考场（图个吉利）——早上为了防止堵车，拽着8han陪我步行到了考场；这段时间一直都断断续续的请假没有上班，考验着boss们的忍耐力。尽管还会继续学习和运用网络技术，但是我想我该恢复正常的生活了。

经过8.5小时的奋战，今天终于可以合法的在网站上使用这个logo了。

Kang Liu

CCIE™ R&S 17564

我知道这只是一个新的开始，通过准备CCIE，我想我得到的不仅仅是知识，也看到了很多自己的不足。至少从今天开始，我不会再破坏键盘了。

 在NetPro论坛上闲逛看到了这样一个帖子：

是啊，怎么才算一个Real CCIE呢？除了每天和"conf t"打交道之外，我至少会用tcpdump， 用过7年的FreeBSD、Linux、Solaris。会写shell脚本也在开始学习Tcl脚本如何写，而且也正在经历"go through the pain and sacrifice to obtain this achievement and therefore"。

不知道为什么看着这个帖子想起了很多往事，有些想哭的感觉，为了实现这些我好像舍去了太多本来该属于自己的快乐和幸福……

不论怎样，选择了这条路，继续走下去，相信自己一定能行。...

今天是元宵节。可惜晚上没有和家人一起吃饭，元宵倒是吃了几个，是和8han在城隍庙小吃店吃的。

和每天晚上一样，自己一个人躲在lab里面一面品着红茶一面做着各种各样的网络实验，完成各种奇怪甚至有些BT的需求。不知道因为什么，今天做实验的速度很快。在lab里只能听到我一个人敲击键盘的声音（我知道自己敲键盘的声音很大……），看着一行行快速翻滚的屏幕，实验设备的拓扑结构就好像在眼前一样，各种协议以及之间的关系自然而然的通过手指的敲击体现出来。和每天的实验一样，今天的也是从“ctrl+shift+6,x”开始，直到最后的“wr me”。许是过节的原因吧，今天的练习完美无瑕。

走出大楼，四处都是烟花，圆月挂在半空，口中淡淡的红茶的清香，心情很放松。忽然很想回家，节日应该是和家人在一起度过的。

这几天每天都是天快亮才睡觉，不仅仅是因为要去研究以前没有太关注过的一些技术和新理念，我也在思考/反思自己这几年来的工作和生活，在选择自己的未来。

很感谢这几天能陪我聊天的兄弟们，虽然我知道最终作出选择的只能是我自己。

很感谢为我提供选择机会的兄弟，我知道这样的机会的确是很诱人，而且很难得的。

我的选择是继续自己的梦想，去做自己最想做的事情，并为之而努力。我知道自己还年轻，尽管每当回忆起来总觉得自己已经浪费了很长的时间，不过我还有梦想，呵呵……

 

 

可能是由于晚上去游泳的缘故，感觉回到家后头脑清醒了很多，而且睡不着。
看遍了sina sohu之类的网站，觉得内容没什么意思，于是就去翻cisco的文档

这几天一直在为一些跨多台设备(L2-L3-L3-L2)的应用犯愁，曾经试图想用MPLS解决问题，可惜设备本身功能有限，不能很好的支持。

在瞎折腾的时候忽然想起了这样一个问题：同一个设备的2个接口故意设置成一样的IP是否可以呢?  折腾之后得到的答案是肯定的——只要对接口分别设定不同的vrf就行了。
3750#sh ip route vrf testtest
Routing Table: testtest
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
<omitted....>
Gateway of last resort is not set
     172.26.0.0/24 is subnetted, 1 subnets
C       172.26.24.0 is directly connected, Loopback64

3750#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
<omitted....>
Gateway of last resort is 172.26.200.5 to network 0.0.0.0
C       172.26.24.0/24 is directly connected, Vlan624

不过show ip interface brief似乎不能很好的区分interface所对应的vrf，乍一看还以为出问题了呢……
3750#sh ip interface brief
Interface              IP-Address      OK? Method Status                Protocol
Vlan1                  unassigned      YES NVRAM  administratively down down
Vlan624                172.26.24.254   YES NVRAM  up                    up
<omitted....>
Loopback64             172.26.24.254   YES manual up                    up

其实很简单的问题，但是还是记录一下，作为自己开始学习MPLS技术的第一步

今天把以前所有做过的实验重新复习了一遍,大多数的知识和命令都还是能很快反应出来的。放松心情，保持个好心态，加油加油！

今天PP给了我一套新版的CCNP的教材，忽然发现在准备CCIE阶段我们学习的东西基本上被新版的CCNP都覆盖了。前几天看到CCIE R&S笔试的blueprint发布了新的BETA版，内容增加了MPLS，并且在IPv6部分明显增多了。刚刚放松几天想再慢慢开始进入状态学习，今天被小刺激了一下。

我想从一定程度上说这是好事，网络技术在不断的发展，Cisco很清楚这一点，进而跟进调整了认证考试的内容。就像某个Cisco的工程师在聊天的时候说到的，是否拿到CCIE证书并不很重要，最重要的是去争取的过程。我想他说的没错，继续学习，对于新技术要不断的跟进和研究，加油吧！

做实验的时候发现在ip ospf network point-to-multipoint后面可以跟上一个non-broadcast关键字。这个命令看起来和ip ospf network nbma非常像，都需要在ospf进程下手动指定邻居，但是仍然有区别： 使用point-to-multipoint non-broadcast可以在neighbor后面跟上cost关键字，为每个邻居指定cost，而nbma网络类型是不行的。

又开始每天刷位置的日子了…… 

Section	Section Score
1. Bridging and Switching	89%
2. IP IGP Protocols	90%
3. IP/IOS features	100%
4. Quality of Service	63%
5. IP Multicast	63%
6. Security	0%
7. BGP	70%

比较遗憾，我自己认为安全部分的内容都做出来了，可能题意理解的有问题，没有拿到分数 其实应该问一下考官对题目应该如何理解就好了。在前面的部分有些英文确实写得感觉理解起来有歧义，对于题目的英文理解有问题的时候考官会给解释的。安全部分的描述很长，自己以为看懂了就下手去做，结果受刺激了……

比较遗憾，不过我不会放弃的，继续学习，来年再战。 

今天我已经尽最大努力完成好考试了，考试中涉及的知识都是曾经用过或学过的，希望明天能看到一个好结果。

我知道自己这次将面临未知的挑战，在8.5小时考试结束之前我都不会放弃的。

明天PP去考试，刚刚送他回家。回到家无意中抬头看到了月亮——一半亮一半暗——在考试结束之前任何的事情都可能发生。希望他明天能发挥出真实的水平，尽力去完成好这次lab。

2周之后就要参加考试了。放平心态，加油加油！

在设置committed access rate的时候可以使用acl来对特定优先级(IP Precedence)的流量进行区分处理。

需求：对IP Precedence = 1 2 5的流量限速 2M，其他的限速1M，Normal burst=Maximum burst=35000bytes

通常会按照下面的写法做：

写ACL匹配IP Precedence 1,2,5：
access-list 101 permit ip any any precedence priority
access-list 101 permit ip any any precedence immediate
access-list 101 permit ip any any precedence critical
接口下配置：
rate-limit input access-group 101 2000000 35000 35000 conform-action transmit exceed-action drop
rate-limit input 1000000 35000 35000 conform-action transmit exceed-action drop

如果使用access-list rate-limit命令可以直接使用一条ACL即可实现对IP Precedence 1，2，5的匹配：
access-list rate-limit 1 mask 26
接口下配置：
rate-limit input access-group rate-limit 1 2000000 35000 35000 conform-action transmit exceed-action drop
rate-limit input 1000000 35000 35000 conform-action transmit exceed-action drop
26是经过下面步骤计算得出来的：
IP Precedence 1对应的8bit为  00000010
IP Precedence 2对应的8bit为  00000100
IP Precedence 5对应的8bit为  00100000
将1,2,5对应的8bit串按位相加：00100110，转换为16进制：26
ip access-list rate-limit 1 (序号,仅做标示作用，0-99可以用来标记IP Precedence）mask 26 (26就是刚刚计算出来的结果）可以表示IP Precedence 1,2,5。

今天链子去考试，这时候估计已经坐在座位前随时等着拿到题目了。兄弟，祝你好运！

只要认真仔细，错误的数目会越来越少的，今天下午又作了个大的练习，基本上没错。

虽然拿到100分大多是小学低年级时的事情，经过无数次思考练习和刺激，现在看来完成一个看似完美的配置并不是完全不可能的事情。现在需要的是在配置时认真，认真，再认真。

我相信自己的能力，在解决问题的能力上一定比那些所谓的paper出来的要有很多的优势。有人传言在11月13日要更换lab的设备之后随之会有更多的变化，变化了又能怎样，知识体系没有问题，考试的内容除了BGP之外都是平时工作中每天接触的，我有绝对的信心在考场中充分展现能力。

距离考试还有28天，今天是cancel lab的最后期限，我决定不论发生什么都将全力完成lab考试。为了梦想，为了未来……

我知道现在缺少的不是知识，而是认真。长时间的连续敲键盘确实很累，至少手会隐隐的痛。路由协议，外加Frame-relay，QoS，安全，IOS feature……混在一起细节无数，稍微不注意就有可能作出看似能用但是并不规范的配置。

对于考试来说细节决定成败。我想通过准备CCIE lab给我带来的收获并不只是知识上的，也帮助我看清楚了自己很多的问题，发现了自己很多的不足。比如，我发现自己很多时候太不注意细节了，不论是在网络工程的实施上，还是在平时的生活上……

今天一早就来到学校，本以为本周末是预定的CCIE Assessor Lab的日期。到了学校把环境都准备好了，手放在键盘上时刻准备开始"conf t"。
9点一到，刷新Assessor Lab的题目发现没有出现，当时汗就出来了……马上查询US那边的支持电话，准备打过去询问。就在准备打电话的时候发现自己看错了日期，预定的Assessor Lab是11月18日的……
Assessor Lab Details-CCIE - Cisco Systems

1. CAR和police的区别：Comparing Class-Based Policing and Committed Access Rate  [QoS Policing] - Cisco Systems
2. Policing和Shaping的区别：Comparing Traffic Policing and Traffic Shaping for Bandwidth Limiting  [QoS Policing] - Cisco Systems

下午写完之后想明白大概怎么回事了，由于要去听Basic MPLS的内容，没时间做进一步的实验。刚才做实验验证了一下：spoke端通常是单点连接到hub端的，如果启用一个点对点子接口，或者直接在主接口上配置frame-relay interface-dlci，就不会出现spoke端要互相对link-local地址写map的问题了——所有的数据都会通过这一条PVC送出去。

刚才留下了一个问题，即“在spoke端需要互相map对端的link-local地址，从上路由表上可以看出路由器到达其他spoke loopback0接口的下一跳地址为其他spoke路由器的link-local地址。对于这个现象我存在疑问：在关闭frame-relay inverse-arp的情况下，spoke端互相map link-local地址实在是很麻烦，尤其在spoke端多的情况下，新增和减少spoke端都会是很麻烦的一件事情。”

其实这个问题在IPv4的环境中同样存在，在IPv4的环境下spoke上看到的其他spoke的下一跳地址是接口的地址，只不过IPv4建立OSPF邻居，发送OSPF update都使用的是接口地址，而没有link-local地址的问题。如果在spoke上不做frame-relay map同样无法将数据送出(封装失败)。

我觉得在实际使用的时候有可能需要启用inverse-arp，以便保证灵活扩展。没有做过广域网的工程，不知道真实情况是如何的……

R1,R2,R3只配置IPv6地址，不配置任何IPv4地址，路由协议选用OSPFv3。
R1,R2,R3都使用主接口，IPv6地址设置为FEC0::X (X=1,2,3)，默认网络类型。
R1,R2,R3各建立一个loopback 0接口，IPv6地址设置为FEC0:0:X::X/64  (X=1,2,3) 并在路由表中可见/64的路由条目，实现全网各个接口可以互相ping通。

在R1做如下配置：
ipv6 unicast-routing
!
interface Serial1/0
 no ip address
 encapsulation frame-relay
 ipv6 address FEC0::1/64
 ipv6 address FE80::1 link-local
 ipv6 ospf neighbor FE80::2
 ipv6 ospf neighbor FE80::3
 ipv6 ospf 1 area 0
 frame-relay map ipv6 FE80::2 102 broadcast
 frame-relay map ipv6 FEC0::2 102 broadcast
 frame-relay map ipv6 FE80::3 103 broadcast
 frame-relay map ipv6 FEC0::3 103 broadcast
 no frame-relay inverse-arp
!
interface Loopback0
 no ip address
 ipv6 address FEC0:0:1::1/64
 ipv6 ospf network point-to-point
 ipv6 ospf 1 area 0
!
ipv6 router ospf 1
 router-id 1.1.1.1
end

在R2上做如下配置：
ipv6 unicast-routing
!
interface Serial1/0
 no ip address
 encapsulation frame-relay
 ipv6 address FEC0::2/64
 ipv6 address FE80::2 link-local
 ipv6 ospf priority 0
 ipv6 ospf 1 area 0
 frame-relay map ipv6 FE80::3 201 broadcast
 frame-relay map ipv6 FEC0::3 201 broadcast
 frame-relay map ipv6 FE80::1 201 broadcast
 frame-relay map ipv6 FEC0::1 201 broadcast
 no frame-relay inverse-arp
interface Loopback0
 no ip address
 ipv6 address FEC0:0:2::2/64
 ipv6 ospf network point-to-point
 ipv6 ospf 1 area 0
end

在R3上做如下配置：
ipv6 unicast-routing
!
interface Serial1/0
 no ip address
 encapsulation frame-relay
 ipv6 address FEC0::3/64
 ipv6 address FE80::3 link-local
 ipv6 ospf priority 0
 ipv6 ospf 1 area 0
 frame-relay map ipv6 FE80::2 301 broadcast
 frame-relay map ipv6 FEC0::2 301 broadcast
 frame-relay map ipv6 FE80::1 301 broadcast
 frame-relay map ipv6 FEC0::1 301 broadcast
 no frame-relay inverse-arp
interface Loopback0
 no ip address
 ipv6 address FEC0:0:3::3/64
 ipv6 ospf network point-to-point
 ipv6 ospf 1 area 0
end

总结几个需要注意的问题：

1. 和IPv4 FR环境下Hub-Spoke结构OSPF的配置一样在Hub上需要指定neighbor（对端的link-local地址），在spoke端的接口上需要将ospf priority设置为0，以避免spoke端成为DR。
2. OSPFv3需要一个32位的数字来作为router-id，默认情况下会按照OSPFv2的方式来选择router-id；由于是纯IPv6的环境，没有任何接口配置了IPv4地址，因此无法自动生成router-id，需要手动指定每台路由器的router-id。
3. 需要做frame-relay map相连的对端路由器的link-local地址，否则ospf的hello以及LSA都送不出去。
4. 和OSPFv2一样，如果在loopback接口上不指定网络类型为point-to-point的话，会送出一条/128的主机路由：
   R2#sh ipv route
   IPv6 Routing Table - 8 entries
   Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
          U - Per-user Static route
          I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
          O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
          ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
   L   FE80::/10 [0/0]
        via ::, Null0
   C   FEC0::/64 [0/0]
        via ::, Serial1/0
   L   FEC0::2/128 [0/0]
        via ::, Serial1/0
   O   FEC0:0:1::1/128 [110/64]
        via FE80::1, Serial1/0
   C   FEC0:0:2::/64 [0/0]
        via ::, Loopback0
   L   FEC0:0:2::2/128 [0/0]
        via ::, Loopback0
   O   FEC0:0:3::/64 [110/65]
        via FE80::3, Serial1/0
   L   FF00::/8 [0/0]
        via ::, Null0
   *此时在R1的loopback接口上没有指定网络类型为point-to-point，而R3上指定了。
5. 在spoke端需要互相map对端的link-local地址，从上路由表上可以看出路由器到达其他spoke loopback0接口的下一跳地址为其他spoke路由器的link-local地址。对于这个现象我存在疑问：在关闭frame-relay inverse-arp的情况下，spoke端互相map link-local地址实在是很麻烦，尤其在spoke端多的情况下，新增和减少spoke端都会是很麻烦的一件事情。当然出现这样的现象是可以想明白的，OSPF是链路状态协议，前几天做的同样拓扑的实验是RIP的，RIP是距离矢量协议，一个更新的是LSA，一个发的是自己的路由表，这里面的内容是不一样的。
   

昨天睡得很不好，可能是整天都在做练习的缘故，晚上休息的时候脑子也没空闲着，梦到参加ccie lab考试的情形了。

或许是因为意识到了是在做梦不必担心考官烦我，在梦里把拿到的题目每个细节都问了考官一便，反正在梦里多折腾考官几次他也不会知道……

在梦中快到中午的时候，考官竟然来问我中午希望餐点什么……不知道真正考试的时候是否也会这样。。。

半夜3点醒来了一次，躺在床上觉得头脑非常清醒，没有任何的睡意，于是就站起来在自己的小窝里走了几圈。清醒的记得在醒来之前完成了梦中考试的IGP+BGP部分的配置。后来不知道过了多久又睡着了，不知道为什么又继续梦到了考试，还梦到了一边敲题目中要求的配置一边和考官聊天……好像很真实的情景。

早上醒来的时候已经9点了，算了一下时间，基本上睡了不到8小时，和一次真实的lab考试几乎一样的时间。

拓扑如上图所示，R1是hub，R2 R3是spoke。R1 R2 R3各启用了一个loopback0接口，IPv6地址分别为FEC0:1::1/64 FEC0:2::1/64 FEC0:3::1/64。 每个路由器的S1/0接口使用的IP为FEC0::1/64 FEC0::2/64 FEC0::3/64。要求启用RIP NG实现全网各个IPv6地址都可以互相ping通。

配置过程：

1. 给每个接口设置IPv6地址，并启用ipv6 unicast-routing...过程略

2.在接口上启用RIP NG协议，过程：在要参与IPv6路由的接口下打“ipv6 rip cisco(随便起的名字) enable ”即可。

3.  由于是Frame-relay网络，而Frame-relay inverse-arp是习惯关闭的，因此需要做静态的map:
在R1的S1/0下配置：
frame-relay map ipv6 FEC0::2 102 broadcast
frame-relay map ipv6 FEC0::3 103 broadcast
在R2的S1/0下配置：
frame-relay map ipv6 FEC0::3 201 broadcast
frame-relay map ipv6 FEC0::1 201 broadcast
在R3的S1/0下配置：
frame-relay map ipv6 FEC0::2 301 broadcast
frame-relay map ipv6 FEC0::1 301 broadcast

4.检查IPv6路由是否学习到
R1#sh ipv6 route
IPv6 Routing Table - 8 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
       U - Per-user Static route
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
L   FE80::/10 [0/0]
     via ::, Null0
C   FEC0::/64 [0/0]
     via ::, Serial1/0
L   FEC0::1/128 [0/0]
     via ::, Serial1/0
C   FEC0:1::/64 [0/0]
     via ::, Loopback0
L   FEC0:1::1/128 [0/0]
     via ::, Loopback0
R   FEC0:2::/64 [120/2]
     via FE80::C801:2FF:FE4C:0, Serial1/0
R   FEC0:3::/64 [120/2]
     via FE80::C802:2FF:FE4C:0, Serial1/0
L   FF00::/8 [0/0]
     via ::, Null0

R2#sh ipv6 route
IPv6 Routing Table - 8 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
       U - Per-user Static route
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
L   FE80::/10 [0/0]
     via ::, Null0
C   FEC0::/64 [0/0]
     via ::, Serial1/0
L   FEC0::2/128 [0/0]
     via ::, Serial1/0
R   FEC0:1::/64 [120/2]
     via FE80::C800:2FF:FE4C:0, Serial1/0
C   FEC0:2::/64 [0/0]
     via ::, Loopback0
L   FEC0:2::/128 [0/0]
     via ::, Loopback0
L   FEC0:2::1/128 [0/0]
     via ::, Loopback0
L   FF00::/8 [0/0]
     via ::, Null0

R3#sh ipv6 route
IPv6 Routing Table - 7 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
       U - Per-user Static route
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
L   FE80::/10 [0/0]
     via ::, Null0
C   FEC0::/64 [0/0]
     via ::, Serial1/0
L   FEC0::3/128 [0/0]
     via ::, Serial1/0
R   FEC0:1::/64 [120/2]
     via FE80::C800:2FF:FE4C:0, Serial1/0
C   FEC0:3::/64 [0/0]
     via ::, Loopback0
L   FEC0:3::1/128 [0/0]
     via ::, Loopback0
L   FF00::/8 [0/0]
     via ::, Null0

这时发现R2和R3上都只能学习到R1的loopback0接口的IP地址，两个spoke点无法互相学习到如何到达对端。检查出现该问题的原因：

R1#sh ipv6 rip
RIP process "cisco", port 521, multicast-group FF02::9, pid 161
     Administrative distance is 120. Maximum paths is 16
     Updates every 30 seconds, expire after 180
     Holddown lasts 0 seconds, garbage collect after 120
     Split horizon is on; poison reverse is off
     Default routes are not generated
     Periodic updates 13, trigger updates 3
  Interfaces:
    Loopback0
    Serial1/0
  Redistribution:
    None

根据show ipv6 rip命令的内容，R1的S1/0接口的水平分割功能启用了，因此不会把从该接口学到的路由再从这个接口送出去，为了实现题目需求，需要禁用水平分割。

5. 在hub点关闭水平分割
R1(config)#ipv6 router rip cisco
R1(config-rtr)#no split-horizon
R1#sh ipv6 rip
RIP process "cisco", port 521, multicast-group FF02::9, pid 161
     Administrative distance is 120. Maximum paths is 16
     Updates every 30 seconds, expire after 180
     Holddown lasts 0 seconds, garbage collect after 120
     Split horizon is off; poison reverse is off
     Default routes are not generated
     Periodic updates 15, trigger updates 3
  Interfaces:
    Loopback0
    Serial1/0
  Redistribution:
    None

6.在R2上检查路由表并测试连通性：
R2#sh ipv6 route
IPv6 Routing Table - 9 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
       U - Per-user Static route
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
L   FE80::/10 [0/0]
     via ::, Null0
C   FEC0::/64 [0/0]
     via ::, Serial1/0
L   FEC0::2/128 [0/0]
     via ::, Serial1/0
R   FEC0:1::/64 [120/2]
     via FE80::C800:2FF:FE4C:0, Serial1/0
C   FEC0:2::/64 [0/0]
     via ::, Loopback0
L   FEC0:2::/128 [0/0]
     via ::, Loopback0
L   FEC0:2::1/128 [0/0]
     via ::, Loopback0
R   FEC0:3::/64 [120/3]
     via FE80::C800:2FF:FE4C:0, Serial1/0
L   FF00::/8 [0/0]
     via ::, Null0

可以看到路由表中已经有了到R3 loopback接口的路由，用ping测试连通性：

R2#ping  FEC0:3::1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FEC0:3::1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

7.使用debug ipv6 packet命令检查无法ping通的原因
R2#debug ipv6 pack
IPv6 unicast packet debugging is on

R2#ping  FEC0:3::1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FEC0:3::1, timeout is 2 seconds:

*Oct 29 17:21:24.959: IPv6: SAS picked source FEC0::2 for FEC0:3::1 (Serial1/0)
*Oct 29 17:21:24.963: IPv6: nexthop FE80::C800:2FF:FE4C:0,
*Oct 29 17:21:24.967: IPV6: source FEC0::2 (local)
*Oct 29 17:21:24.967:       dest FEC0:3::1 (Serial1/0)
*Oct 29 17:21:24.971:       traffic class 0, flow 0x0, len 100+0, prot 58, hops 64, originating
*Oct 29 17:21:24.971: IPv6: Encapsulation failed
*Oct 29 17:21:24.975: IPv6: Resolving next hop FE80::C800:2FF:FE4C:0 on interface Serial1/0.
这时可以发现R2对到达R3 loopback0接口的下一跳地址无法解析，由于封装失败造成ping不通。

FE80::C8000:2FF:FE4C:0是R1的S1/0接口的Link local接口地址
R1#sh ipv6 interface brief
...
Serial1/0                  [up/up]
    FE80::C800:2FF:FE4C:0
    FEC0::1
...

因此为了能实现全网各个接口可以互相访问，还需在Frame-relay的接口上再做map，将对端接口对应的link local地址与对应的PVC绑定：
最终配置效果为：
 R1:
interface Serial1/0
 encapsulation frame-relay
 ipv6 address FEC0::1/64
 ipv6 rip cisco enable
 frame-relay map ipv6 FEC0::2 102 broadcast
 frame-relay map ipv6 FEC0::3 103 broadcast
 frame-relay map ipv6 FE80::C801:2FF:FE4C:0 102 broadcast
 frame-relay map ipv6 FE80::C802:2FF:FE4C:0 103 broadcast
 no frame-relay inverse-arp
end

R2:
interface Serial1/0
 encapsulation frame-relay
 ipv6 address FEC0::2/64
 ipv6 rip cisco enable
 frame-relay map ipv6 FEC0::3 201 broadcast
 frame-relay map ipv6 FE80::C800:2FF:FE4C:0 201 broadcast
 frame-relay map ipv6 FEC0::1 201 broadcast
 no frame-relay inverse-arp
end

R3:
interface Serial1/0
 encapsulation frame-relay
 ipv6 address FEC0::3/64
 frame-relay map ipv6 FEC0::2 301 broadcast
 frame-relay map ipv6 FE80::C800:2FF:FE4C:0 301 broadcast
 frame-relay map ipv6 FEC0::1 301 broadcast
 no frame-relay inverse-arp
end

为了简化配置，可以考虑修改每个参与FR的接口的link local地址：
比如R3上配置：
R3(config-if)#ipv6 add fe80::3 link-local
如果修改link local地址，则在对端做map的时候需要映射修改后的link local地址。

从早上到下午一直都在盯着屏幕敲实验，先是标准的超级终端的白底黑字，后来换成类似Matrix那样的经典的黑底绿字，闭上眼睛就是show run，sh ip route，show ip bgp的那一行一行的内容。够了，今天不想再写技术。尽管我在点完新增日记的按钮时本来想写的是在Frame-relay环境中IPv6配置需要注意的内容。

这周每天早上和晚上各要从南到北穿越一次beijing，为了能节省5分钟，甚至3分钟，我和PP找出了看似最快的公交+地铁路线，在可能的时候还会搭乘8han的车。

今天被要求2小时内完成一份练习，我知道自己没有按时完成，拖延了近一小时的时间才作出了看似凑合的配置。和我同时要考试的那些兄弟们似乎都能在规定时间的一半内完成，我用了他们3倍的时间才能完成同样的工作。我知道他们已经准备很久了，有些人半年前就辞去了工作专心学习，有的人每天学习的时间超过16个小时，而我呢，在他们认真学习的时候我还在应对着那些无聊的琐事。

很多一起学习的人是所谓的北漂，讲课的老师我想也应该算是。相对于他们的成长经历和他们的付出来说，我想我是幸运很多倍的。但是我现在不论是技术上还是事业上比不过他们——甚至连去放在一起比较的可能都没有。对比起来，半年前那些一起学习的，有些甚至连敲键盘都要看着敲的同学，他们现在掌握的技术，他们现在的发展状况，大多都比现在的我要好。我在这半年中都作了些什么，做的哪些事情还能算是有意义的？太多的时间和精力被根本没有结果的事情浪费了。

自私一些说，为别人的付出不一定有期望的回报，但是对自己的付出都会得到应有的收获。不再浪费时间了，距离考试还有43天9小时。在这40多天内很少会再写这样的胡言乱语了。排除一切干扰，专心准备，我相信自己能行。

今天听了一晚上的课，很紧张，高度集中精神3个多小时。具体的收获明天白天总结。

今天去了趟工商银行复外支行，把ccie lab的考试费交了，￥10375元。距离考试还有1个半月，希望能顺利通过。

两台路由器R1 R2通过e0口直接相连，要求在不中断OSPF邻接关系的情况下更换OSPF密钥。

更换前：
R1#sh run int e0
Building configuration...
Current configuration : 100 bytes
!
interface Ethernet0
 ip address 1.1.1.1 255.255.255.0
 ip ospf message-digest-key 1 md5 cisco
end

R2#sh run int e0
Building configuration...
Current configuration : 140 bytes
!
interface Ethernet0
 ip address 1.1.1.2 255.255.255.0
 ip ospf message-digest-key 1 md5 cisco
 ip ospf message-digest-key 2 md5 PASS
end

更换时在R1上执行命令：
ip ospf message-digest-key 2 md5 PASS
no  ip ospf message-digest-key 1

R1#sh run int e0
Building configuration...
Current configuration : 100 bytes
!
interface Ethernet0
 ip address 1.1.1.1 255.255.255.0
 ip ospf message-digest-key 2 md5 PASS
end

R2#sh run int e0
Building configuration...
Current configuration : 140 bytes
!
interface Ethernet0
 ip address 1.1.1.2 255.255.255.0
 ip ospf message-digest-key 1 md5 cisco
 ip ospf message-digest-key 2 md5 PASS
end

 切换过程中debug ip ospf event可以看到如下信息：
R1(config-if)#ip ospf message-digest-key 2 md5 PASS
R1(config-if)#no  ip ospf message-digest-key 1
*Mar  1 19:47:54.487: OSPF: Rcv hello from 1.1.1.2 area 0 from Ethernet0 1.1.1.2
*Mar  1 19:47:54.491: OSPF: End of hello processing
*Mar  1 19:47:54.499: OSPF: Rcv hello from 1.1.1.2 area 0 from Ethernet0 1.1.1.2
*Mar  1 19:47:54.499: OSPF: End of hello processing
*Mar  1 19:47:59.323: OSPF: Send with youngest Key 2
*Mar  1 19:47:59.323: OSPF: Send hello to 224.0.0.5 area 0 on Ethernet0 from 1.1.1.1
*Mar  1 19:48:04.503: OSPF: Rcv hello from 1.1.1.2 area 0 from Ethernet0 1.1.1.2
*Mar  1 19:48:04.507: OSPF: End of hello processing
R1(config-if)#
R1#
*Mar  1 19:48:09.327: OSPF: Send with youngest Key 2
*Mar  1 19:48:09.327: OSPF: Send hello to 224.0.0.5 area 0 on Ethernet0 from 1.1.1.1
*Mar  1 19:48:09.475: %SYS-5-CONFIG_I: Configured from console by consolesh ip os nei

Neighbor ID     Pri   State           Dead Time   Address         Interface
1.1.1.2           1   FULL/BDR        00:00:31    1.1.1.2         Ethernet0
R1#sh ip os nei

Neighbor ID     Pri   State           Dead Time   Address         Interface
1.1.1.2           1   FULL/BDR        00:00:30    1.1.1.2         Ethernet0
R1#
*Mar  1 19:48:14.511: OSPF: Rcv hello from 1.1.1.2 area 0 from Ethernet0 1.1.1.2
*Mar  1 19:48:14.515: OSPF: End of hello processing
*Mar  1 19:48:19.331: OSPF: Send with youngest Key 2
*Mar  1 19:48:19.331: OSPF: Send hello to 224.0.0.5 area 0 on Ethernet0 from 1.1.1.1
*Mar  1 19:48:24.511: OSPF: Rcv hello from 1.1.1.2 area 0 from Ethernet0 1.1.1.2
*Mar  1 19:48:24.515: OSPF: End of hello processingsh ip os nei

Neighbor ID     Pri   State           Dead Time   Address         Interface
1.1.1.2           1   FULL/BDR        00:00:36    1.1.1.2         Ethernet0
R1#sh ip os nei

Neighbor ID     Pri   State           Dead Time   Address         Interface
1.1.1.2           1   FULL/BDR        00:00:35    1.1.1.2         Ethernet0
R1#sh ip os nei

Neighbor ID     Pri   State           Dead Time   Address         Interface
1.1.1.2           1   FULL/BDR        00:00:35    1.1.1.2         Ethernet0
R1#
*Mar  1 19:48:29.335: OSPF: Send with youngest Key 2
*Mar  1 19:48:29.335: OSPF: Send hello to 224.0.0.5 area 0 on Ethernet0 from 1.1.1.1
*Mar  1 19:48:34.519: OSPF: Rcv hello from 1.1.1.2 area 0 from Ethernet0 1.1.1.2
*Mar  1 19:48:34.523: OSPF: End of hello processing
*Mar  1 19:48:39.339: OSPF: Send with youngest Key 2
*Mar  1 19:48:39.339: OSPF: Send hello to 224.0.0.5 area 0 on Ethernet0 from 1.1.1.1
*Mar  1 19:48:44.523: OSPF: Rcv hello from 1.1.1.2 area 0 from Ethernet0 1.1.1.2
*Mar  1 19:48:44.527: OSPF: End of hello processing
*Mar  1 19:48:49.343: OSPF: Send with youngest Key 2
*Mar  1 19:48:49.343: OSPF: Send hello to 224.0.0.5 area 0 on Ethernet0 from 1.1.1.1
*Mar  1 19:48:54.531: OSPF: Rcv hello from 1.1.1.2 area 0 from Ethernet0 1.1.1.2

根据老师的建议，今天晚上拿着TCP/IP routing Vol 2研究组播，发现自己对于PIM的很多概念其实是很模糊的。比如某个设备上启用了spase mode，并且默认启用了autorp功能，但是show ip pim rp根本看不到预期应该出现的rp。这实际上是由于有问题的不完全的配置造成的。我们的网络其实还是有一些细小的bug需要去修正，尽管不会影响使用。

在准备CCIE的过程中，对于校园园区网络的理解似乎更加深入了……有种拿着探宝图去寻宝的感觉，学习的知识越多发现自己能看到的东西和思考的东西也就越多，这样的感觉真好！

今天下班的时候PP给我出了个题目，大体内容是要求两个运行RIPv2的路由器直接通过以太口连接，要求不使用neighbor命令实现单播方式更新路由。

听到题目当时感觉脑袋就大了……开始想用特殊的netmask实现，后来又想用2层技术实现。

晚饭后回106的路上想出用GRE  tunnel或许可以把组播的数据送过去。

配置如下：

hostname r3
interface Loopback0
 ip address 192.168.1.1 255.255.255.0
!
interface Loopback1
 ip address 3.3.3.3 255.255.255.0
!
interface Tunnel0
 ip address 192.168.2.1 255.255.255.252
 tunnel source Ethernet0
 tunnel destination 192.168.0.2
!
interface Ethernet0
 ip address 192.168.0.1 255.255.255.0
!
router rip
 version 2
 network 3.0.0.0
 network 192.168.2.0

另外一个路由器配置：
hostname r4
interface Loopback0
 ip address 192.168.1.2 255.255.255.0
!
interface Tunnel0
 ip address 192.168.2.2 255.255.255.252
 tunnel source Ethernet0
 tunnel destination 192.168.0.1
!
interface Ethernet0
 ip address 192.168.0.2 255.255.255.0!
!
router rip
 version 2
 network 192.168.2.0

但是刚才看了答案，书上的答案是使用NAT来实现的。我的理解是否有问题呢？

两台路由器直接相连，都启用了OSPF协议。

如果在某一台上写了default-information orignate，但是它的路由表上没有通向0.0.0.0的路由的话，那么就不会向他的邻居注入一条默认路由下去。

需要特别注意的是，必须是通向0.0.0.0/0.0.0.0的路由出现才能向下注入，如果只是通过ip default-network产生一条带*的路由，那么仍然不会向邻居注入。

默认路由只要出现在路由表中即可，不一定非要在OSPF中通告，或者redistribute。

如果想在没有0.0.0.0/0.0.0.0的路由的情况下向邻居注入默认路由，则可以用default-information orignate always。但是我觉得使用always关键字需要特别慎重，尤其在多出口的情况下，稍不留神就可能会造成潜在的路由环路。

刚才在PP的帮助下，终于预约到了CCIE R&S lab的座位，预计12月11日考。不过我希望能更换到早一些的座位，比如9月或者10月份的。

呵呵，这个世界很公平，有一失必有一得。Penguin这次又成为真正的CCIE  Candidate了。

暂时忘记那些曾经让我迷茫的事情吧，CCIE, I'm coming~

 

liyinghao和我已经连续2周多在想办法约CCIE lab考试了，今天忽然看到了可以约5月18日的考试，只有2天的时间准备，我最终没有勇气选择预约这样的时间。 不知道为什么，最近的CCIE lab考试如此的火爆，似乎大家都拼了命一样去考LAB一样。我也该抓紧时间努力了，少想一些事情，让自己的生活简单一些吧，比如少些刚才些的那样的莫名其妙伤感的文章……

今天下午和PP一起考了350-001 CCIE Routing and Switching Written Exam，两人都顺利通过。比较可惜的是PP由于没有复习无线部分，因此无线的3个题目错了2个。我考得分数比较平均，最不擅长的WAN部分拿了66%的分数，其他的从70%-100%分布，其中IP、IP Security、IP Multicast、Enterprise Wireless Mobility部分拿了100%。

对于Multicast能拿100%可能有幸运的成分在里面，因为在复习期间Multicast和QoS是我掌握的最不好的部分。在考Lab之前肯定还得继续准备准备，尽管配置不难，但是概念还是满多的。

随着考试的结束，终于踏上了成为CCIE主干道了…… 就像成绩单上写的那句话：You are now eligible to take the CCIE lab exam--the final step in CCIE certification....

今天和PP一起都看完了CCIE R&S笔试的材料，明天再复习一天，后天下午争取顺利通过笔试！

今天晚上和liyinghao一起复习CCIE笔试，一晚上看了40多页材料，感觉还不错，大多数的问题都能掌握，当然也有个别的小问题值得我们去讨论研究。比如以前我们没有用过bridge-group这个命令，或许还需要拿设备实验一下才敢确定这个命令的真正用途。
明天要继续看更多的内容，争取早日通过CCIE笔试！

实验21 配置BGP联邦（CCIE实验51）
时间：2006年3月20日
时间花费 总计约120分钟
实验设备：2501 5台
实验拓扑：

 

涉及到的概念：BGP联邦即BGP Confederation。一般用在一个AS的内部，在一个大的AS内部可以拆分成数个小的AS，这样只要保证小的AS之间可以通过EBGP方式进行互联即可，不必每台路由器都互相建立IBGP连接。

BGP联邦和RR的对比：BGP联邦建立之后在联邦内跨越内部的AS的时候AS_PATH仍然会发生变化，可以针对AS_PATH的变化做出更精确的控制。

配置如下：

routerE:
router bgp 100
 no synchronization
 bgp log-neighbor-changes
 network 1.1.1.1 mask 255.255.255.255
 neighbor 152.1.1.9 remote-as 200
 neighbor 152.1.2.5 remote-as 200
 no auto-summary 

routerB:
router ospf 1
 log-adjacency-changes
 redistribute connected subnets
 network 152.1.1.6 0.0.0.0 area 0
!
router bgp 65050
 no synchronization
 bgp log-neighbor-changes
 bgp confederation identifier 200
 bgp confederation peers 65051
 neighbor 152.1.1.5 remote-as 65050
 neighbor 152.1.1.5 next-hop-self
 neighbor 152.1.1.10 remote-as 100
 neighbor 152.1.1.65 remote-as 65051
 no auto-summary
! 

routerA:
router ospf 1
 log-adjacency-changes
 network 152.1.1.0 0.0.0.255 area 0
!
router bgp 65050
 no synchronization
 bgp log-neighbor-changes
 network 152.1.1.1 mask 255.255.255.255
 neighbor 152.1.1.6 remote-as 65050
 no auto-summary
!

routerC:
router bgp 65051
 no synchronization
 bgp log-neighbor-changes
 bgp confederation identifier 200
 bgp confederation peers 65050
 network 152.1.2.1 mask 255.255.255.255
 neighbor 152.1.1.66 remote-as 65050
 neighbor 152.1.1.66 next-hop-self
 neighbor 152.1.2.6 remote-as 100
 neighbor 152.1.2.129 remote-as 65051
 no auto-summary
!

routerD:
router ospf 1
 log-adjacency-changes
 network 152.1.2.0 0.0.0.255 area 0
!
router bgp 65051
 no synchronization
 bgp log-neighbor-changes
 network 152.1.2.2 mask 255.255.255.255
 neighbor 152.1.2.130 remote-as 65051
 no auto-summary
!
 配置完毕后，在router E上show ip bgp可以看到：

E#sh ip bgp 
BGP table version is 7, local router ID is 1.1.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*> 1.1.1.1/32       0.0.0.0                  0         32768 i
*> 152.1.1.1/32     152.1.1.9                              0 200 i
*  152.1.2.1/32     152.1.1.9                              0 200 i
*>                  152.1.2.5                0             0 200 i
*  152.1.2.2/32     152.1.1.9                              0 200 i
*>                  152.1.2.5                              0 200 i 

由此可知，联邦对外的表现是一个整体，AS100看到的都是AS200，而不是内部的AS65050或65051。但是在联邦的内部执行show ip bgp仍然会看到联邦内的AS的信息：

b#sh ip bgp
BGP table version is 12, local router ID is 152.1.1.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*  1.1.1.1/32       152.1.1.65               0    100      0 (65051) 100 i
*>                  152.1.1.10               0             0 100 i
r>i152.1.1.1/32     152.1.1.5                0    100      0 i
*> 152.1.2.1/32     152.1.1.65               0    100      0 (65051) i
*> 152.1.2.2/32     152.1.1.65               0    100      0 (65051) i 

实验20 配置BGP 路径选择（CCIE实验50）
时间：2006年3月5日
时间花费 总计约120分钟
实验设备：2501 4台
实验拓扑：
 

 

IP配置如下:

R1	R2	R3	R5
S0 10.1.1.1/30	S1 10.1.2.2/30	S0 10.1.1.2/30	E0 192.168.1.5/24
S1 10.1.2.1/30	E0 192.168.1.2/24	E0 192.168.1.3/24
Lo0 1.1.1.1/24 Lo1 2.2.2.2/24

 

需求：根据图示建立完成BGP配置，要求R1上loopback口的路由可以通告到AS2中的每台路由器，并测试通过local preference、MED、AS-path来进行路径选择

配置中涉及的知识参考文档BGP的路径选择

今天给兄弟们讲CCNA4的时候里面讲NAT不能支持穿透routing update，我在上课的时候就想，利用TCP进行连接和更新的BGP路由是否能穿透NAT呢？经过实验证明是可以穿透的，并且路由更新可以送到，但是BGP表中的next hop address还是NAT之前的，这就需要判断是否会加载进路由表。

参考资料：BGP Best Path Selection Algorithm
BGP在设计的时候就是为了有多种灵活的策略进行流量的选择，所以BGP路径选择是BGP相关知识中很重要的一部分。
BGP可以开始选路的前提需求：
一、    如果打开了同步(synchronization，12.2(8)T之后默认关闭)选项 ，则iBGP中的路径必须要和路由表中从其它的IGP学到的一致。
二、    如果使用的是OSPF作为IGP，那么BGP邻居的router-id要和OSPF的邻居的router-id一致。
三、    下一跳(next_hop)必须可达
四、    如果是从eBGP邻居学到的，则AS_PATH中不得包含自己的AS(防环机制)。
五、    没有设置其它的过滤使路由更新没法送到（比如使用了bgp enforce-first-as）

满足上述几个前提需求之后，BGP通过下面的规则依次进行比较，选出路径：
0.    所有的规则都是一旦选出后不再执行下面的规则继续比较，除非该规则被人为设置为忽略。
1.    比较weight，该参数只对本地有效，而且不能传递，越大的越会去选择。
2.    比较local_pref,默认情况下local_pref是100，通过bgp default local-preference命令可以修改默认的local_pref值；通过route-map中的set可以设置某些路径的local_pref。该参数会作用在整个AS中，但是不会传递出AS；选择大的local_pref；
3.    优选选择选择本地起源的，包括使用network命令通告的、从IGP中redistribute过来的、用aggregate命令汇总产生的；在这条规则里面，如果同时有network通告的、redistribute的和aggregate总结出来的，那么手动总结的会次优选择，会优选network通告的和重分布进去的。
4.    选择AS_PATH最短的；BGP是距离矢量协议，这条给我的感觉简直就是一个距离矢量的标志一样…… 通过；这条可以通过bgp bestpath as-path ignore命令忽略掉；
5.    选择路由来源：最优选择IGP，其次选择EGP，最后选择incomplete(这个通常是redistribute来的)。
6.    选择较小的MED传送；MED的选择比较复杂，等我研究明白之后专门写文档；
7.    优选eBGP，其次选择iBGP。
8.    选择到达BGP next hop的最小的IGP metric
9.    选择是否使用多条路径
10.    对于eBGP路由，优选最老的（最早收到的）路由
11.    选择最小的router-id，如果使用了RR，那么就使用originator ID来进行选择
12.    如果router-id或者originator ID一致，则选择最短的cluster list
13.    选择邻居IP地址最小的

实验20 BGP基本配置-1（CCIE实验49）
时间：2006年2月13日
时间花费 总计约40分钟
实验设备：2501 5台
实验拓扑：

 

IP配置如下:

R2	R3	R4	R5
E0 193.1.1.2/24	E0 193.1.1.3/24	E0 193.1.1.1/24	S1 192.1.1.2/30 (DCE)
Lo0 1.1.1.1/24		S0 192.1.1.1/30	Lo0 5.5.5.5/24
			Lo1 10.1.24.0/24 Lo2 10.1.25.0/24 Lo3 10.1.26.0/24 Lo4 10.1.27.0/24

 

需求：根据图示建立完成BGP配置，要求R4与R3建立iBGP邻居，R3与R2建立iBGP邻居，R4和R3之间不建立iBGP邻居。要求R5上的路由可以更新至R2，R2上的路由可以更新至R5。

配置中涉及的知识参考文档BGP Route Reflector

其实Cisco的文档Configuring BGP中的章节Configuring a Route Reflector写的很清楚，为了表示我确实知道这东西，我简单总结一下RR(Route Reflector)的用法。如果有什么写错的地方请指正出来，省得我把文档留在这里害人……

一、为什么要有RR？
按照我的理解，RR用在IBGP neighbor之间，设计RR是为了减少IBGP配置的复杂程度。如果没有RR，那么在一个AS中，所有运行BGP的设备要进行逻辑上的full mesh连接。为什么要在IBGP中，所有neighbor都full mesh连接呢？这是由于在IBGP中为了防止路由出现环路，路由器从IBGP neighbor收到的路由不再发给其他的neighbor。比如上面文档中的图39，假如没有RouterA和RouterB之间的neighbor关系，那么从AS外部送来的路由信息RouterA会发送给RouterC，但是RouterC不会把路由再送到RouterB。为了使RouterB收到来自AS外部的路由，则RouterA必须和RouterB也建立neighbor关系；如果对B和C之间为什么要建立neighbor，请参考上面的解释……类似的过程就不推倒了。

二、RR起到什么作用
RR，中文翻译通常叫做“路由反射器”；顾名思义，就是能把路由反射的东西。这东西可以打破iBGP中不把受到的iBGP路由发送到neighbor的限制。理论上讲，只要有一台路由器配置了RR，那么其他的和它建立邻居关系并且是RR client的路由器都能把自己的路由发送到其他的路由器上。
文档上这么写
When the route reflector receives an advertised route, depending on the neighbor, it does the following:

• A route from an external BGP speaker is advertised to all clients and nonclient peers.
• A route from a nonclient peer is advertised to all clients.
• A route from a client is advertised to all clients and nonclient peers. Hence, the clients need not be fully meshed.

我对上面话的理解是：对于RR，从eBGP学到的路由，别管他连接的neighbor是不是它的RR client，他都发送；从非RR客户端邻居送来的路由都发送到其他的RR客户端上，但是不发送到其他的非RR客户端上；从RR客户端送来的路由发送到其他所有的邻居那里；

按照给我们讲课的triple CCIE的话说，就似乎非-非之间不能传送路由，即两个和RR建立邻居关系的路由器，如果都不是RR的客户端，那么这两个路由器之间无法传送路由更新（当然前提是他们两个之间也没有建立直接的邻居关系）。
      通常情况下在一个AS内部设计一个或几个RR即可避免把所有的路由器都建立全互连的邻居关系。全互连的邻居关系会造成新增加路由器的时候全网所有的路由器都要重新配置，这对于大的ISP来说工作量会是非常大的……
三、如何配置RR：
(1)配置RR的命令非常简单：
配置好邻居之后，敲一个neighbor IP地址 route-reflector-client，RR客户端是不知道自己是RR的客户端的。

一个AS内可能存在多个RR，只要保证这些RR之间的邻居关系是full mesh连接的，并且他们之间的关系都是non-client(非客户端，即别互相设置为RR客户端)的即可。

(2) no bgp client-to-client reflection的含义

Cisco的文档对这部分写的似乎有些混乱，我上网查询的资料得到下面的理解是：使用这个命令的前提是RR的client直接有了full mesh的邻居关系，但是非client之间没有full mesh的邻居关系的情况下使用。RR并不一定是为了给他的client发送路由而配置的，有些时候可能是为了把它的客户端送来的路由发送到其他的非客户端上。

在默认情况下，RR会反射从client传送来的路由到其他client的，如果不配置这些的话。

(3)防止RR的单点故障

为了防止单点故障(single point of failure)通常情况下一个一般都会配置不只一个RR。定义配置RR的路由器和它的客户端是一个cluster，那么在这个cluster中就要有一个识别的信息，这里叫做cluster-id。在一个cluster中的RR路由器都要配置一个cluster ID以便进行识别，在同一个cluster中的RR需要建立full mesh的邻居关系，并且这些RR设置的邻居哪些是RR client哪些不是client都要保持一致。

四、RR采用什么机制来避免路由信息loop

由于RR打破了BGP本身的防环机制，使路由信息可以“穿透力”更强的传递，因此必须要有新的机制来防止出现环路：

1.       Originator-ID：这个属性是BGP中的可选属性，RR会用这个4字节(32位)的属性来保存路由的来源的router ID，万一出现来自某个路由器的路由又被送回这个路由器，那么这个路由器会发现这里面包含了他自己的router ID，进而这个路由信息就被忽略掉了。

2.       Cluster-list：这也是可选的属性。当RR把client的路由反射到非client上(或者相反的过程)，会带上这个属性。当传送来的路由上cluster-list中包含了自己的cluster id的时候，那么就把这条传来的路由忽略掉。

3.       减弱了route-map的功力：route-map这东西太灵活，什么都能set，但是在RR上遇到了限制：在RR和iBGP邻居之间，出向的route-map中的set是无效的。

BGP是为了承载大量的路由而设计的，由于现在Internet路由已经达到约17万条（见2006年1月9日的日记)，他通过TCP方式直接连接，并且可以一次传送很多条路由而不是通常的IGP那样传送一条就确认一条。
让BGP传送路由通常有3种方法：

• 使用network直接通告，格式是“network 网络  mask 掩码 ”
• 使用redistribute方式将IGP通告到BGP中
• 使用aggregate-address命令通告汇总地址

针对第一条，需要在本地路由表中存在路由才可以进行通告；对于第三条，只有本地BGP表中存在的项目才可以进行汇总，在汇总的时候可以用summary-only参数来实现只通告汇总路由。

对于某一个AS内的路由，通常情况下在边界路由器上会采用2种方法对外通告：

1. ip route 本地地址范围 掩码Null 0   在路由表中注入一条静态路由，指向Null0以便防止路由环路
2. 用network通告本地地址范围的一部分，用命令aggregate-address 网络号 掩码 summary-only

对于路由的过滤以及其他的更多的知识在以后内容中总结。

实验20 BGP基本配置-1（CCIE实验48 P465）
时间：2006年2月13日
时间花费 总计约20分钟
实验设备：2501 3台
实验拓扑：

 

IP配置如下:

R2	R4	R5
E0 193.1.1.2/24	E0 193.1.1.1/24	S1 192.1.1.2/30 (DCE)
Lo0 1.1.1.1/24	S0 192.1.1.1/30	Lo0 5.5.5.5/24
		Lo1 10.1.24.0/24 Lo2 10.1.25.0/24 Lo3 10.1.26.0/24 Lo4 10.1.27.0/24

 需求：根据图示建立完成BGP配置，要求R2上loopback口的路由可以更新至其他两台路由器，R5上所有loopback口的路由都可更新到其他两台路由器并且Lo1-4的路由使用network方式通告的应为一条汇总后的路由。

 

时间：2006年2月12日
时间花费 总计约90分钟
实验设备：2501 5台
实验拓扑：

 

 需求：在NBMA环境中配置EIGRP，研究如何使spoke之间可以互相更新路由。

 

时间：2006年2月12日

时间花费 总计约10分钟

实验设备：2501 2台

实验拓扑：

需求：配置EIGRP定时器，默认情况下EIGRP的hello timer是5秒(低速NBMA链路60秒)。默认情况下hold-timer是hello timer的3倍。对这些参数进行修改，以便使用非默认值。

时间：2006年2月11日13:45-14:15
时间花费 总计约0.5小时
实验设备：2501 3台
实验拓扑：

需求：配置EIGRP负载均衡，实现R3 R5之间的不等成本链路的负载均衡

实验16 EIGRP被动接口配置 (CCIE实验44 P430)
时间：2006年2月10日 23:10-23:25
时间花费 总计约15分钟
实验设备：2501 3台
实验拓扑：
同实验15 基本的EIGRP配置 (CCIE实验43 P420)
需求：配置passive-interface，验证配置passive-interface后EIGRP是否还可以建立邻接，是否还可以更新路由

实验15 基本的EIGRP配置 (CCIE实验43 P420)
时间：2006年2月10日 22:00-23:00
时间花费 总计约1小时
实验设备：2501 3台
实验拓扑：

需求：配置最基本的EIGRP路由，并且验证可行后继路由是否可以快速替换失效的后继。

今天在PP的大力努力之下，我们自己的CCNP remote lab也建立好了。

CCNP-Remote#r5
Trying R5 (5.5.5.5, 2005)... Open

WELCOME TO CCNP REMOTE LAB!
NOTICE!!!!!
hostnames are:
R1 R2 R3 R4 R5

Dynamic Trunking Protocol (DTP) 在Cisco网站上的解释.
默认情况下，交换机端口的状态是dynamic desirable；
dynamic desireable 和dynamic auto可以协商起来trunk
dynamic desireable 和 trunk(on)可以协商起来trunk
dynamic auto需要取决于对方端口的状态，不主动发送dtp
dynamic desireable和nonegotiate无法建立trunk

通过show dtp可以看到DTP的发送状况，通过show dtp interface 可以看到当前端口协商的状态。
使用debug dtp packets ，debug dtp event可以看到相应的dtp协商的过程
在Cisco 2900XL上无法使用dynamic auto和dynamic desireable

今天听关于CCNP BCMSN (Building Cisco Multilayer Switched Networks)的时候有一个疑惑，老师在课程中也没有讲的很明白：为什么在以太网中最小的MTU是64？ 根据IEEE 802.3规定，一个典型的以太网帧是由下列几个部分组成：

Preamble (7-bytes)

Start Frame Delimiter (1-byte)

Dest. MAC Address (6-bytes)

Source MAC Address (6-bytes)

Length / Type (2-bytes)

MAC Client Data (0-n bytes)

Pad (0-p bytes)

Frame Check Sequence (4-bytes)

其中Pad部分是可以变长的，从Dest. MAC Address (目的MAC地址)至Frame Check Sequence (FCS检查位)最小长度为64byte，这是为什么？目前我从网上还没有找到答案，以前的网络课程上是否讲过我也记不得了……
另外补充一下，我们现在使用的以太网技术是ethernetII，在这个网站上有最基本的介绍。

http://www.riverstonenet.com/support/bgp/index.shtml秦老师推荐的网站，至少这里的Finite State Machine States能让我看明白，比我见到的大多数资料要清晰很多。

从一个叫做estoile的网站上找到了一个关于BGP的状态机的图片，点击这里查看

今天拥有triple CCIE的建威给我们重新复习了BGP。具体讲的内容我会在接下来的几天内一一总结。
他推荐学习BGP按照下列的步骤学习：
1. 邻居建立
2. 路由更新
3. 策略和特性
当然这样说起来都看似很简单的，但是实际操作和实施的过程中BGP会有N多和一般的IGP不一样的地方，而且BGP本身也是需要有IGP(Interior Gateway Protocol)来支撑才可以运行的。
他推荐学习BGP的3个阶段所需的复习材料如下：
1. 初学阶段：CCNA知识已经具备，开始学习CCNP，他建议使用 CCNP Self-Study:Building Scalable Cisco Internetworks (BSCI) 中文翻译后的名字应该是：《CCNP自学指南：组建可扩展的CISCO互连网络（BSCI）》
2. 准备CCIE考试阶段： CCIE Professional Development Routing TCP/IP Volume 2 中文名字是《TCP/IP路由技术（第2卷）》或者 Internet Routing Architectures 中文名字是《Internet路由结构》
3. 在考下CCIE并且开始每日和BGP打交道的时候，建议大家读 BGP Design and Implementation 中文名字是《BGP设计与实现》

如果在配置ospf的时候passive-interface default命令后敲进去的话，会把之前敲进去的no passive-interface x..给覆盖掉，也就是说passive-interface default这句话敲之前一定要想好，ospf的邻居丢失之后网络是否会断……唉，犯傻啊，很久都没有犯类似的错误了……

实验4 与部分PVC网状网络及帧中继映射语句 (CCIE实验13 P174)
时间：2006年1月13日-14日 星期五-星期六
时间花费 总计约3小时
实验设备：2621 4台 其中一台带有2个WIC-1T模块，另外3台各有一个WIC-1T，2509路由器一台(R1)。
实验拓扑：

与书中不同的地方：
由于手头的2600路由器只有2个Serial口，只能在R2和R3之间通过Tunnel方式传送Frame-relay数据，由R2和R3整体来实现Frame-relay switching功能。
参考资料：Frame Relay Switch over IP Tunnel
需要注意的地方：
1. 由于R3通过两个Serial口分别接的R4和R5，这两个接口的数据目前没有想到什么办法都通过同一个Tunnel传送，因此可能需要启用2个Tunnel来传送(待进一步讨论)。
2. 两个不同的Tunnel，source都写成Fa0/0口会造成PVC无法建立，在R3和R2上show frame route可以看到后建立的Tunnel的状态是inactive。
3. 在R2和R3的Serial口上写上”frame-relay route 300 interface Tunnel0 200”(或类似)的命令时，可以看到show frame route里面会自动出现一条回指的route，在某些情况下(未知原因)这条回指的route可能不会出现，执行no frame-relay route …后，重新执行frame-relay route即可重新出现回指的route。
4. 在R2和R3上即使serial口上的frame-relay route指令的状态是inactive，回指的route仍然可能是active。
5. 在这个场景中R4和R5是spoke，R1是HUB，如果在R4和R5上不写frame-relay map ip 目的IP 线路的DLCI，则R4和R5只能和R1通信，不能互相通信，写上后正常，并且可以通过show frame map命令看到写进去的static类型的map。
6. 如果使用loopback端口建立tunnel，则一定要保证两边的loopback口数据互相可达，比如使用动态路由技术使R2、R3互相知道loopback口的数据如何互相送到。
需要进一步研究的问题：
1. 是否有办法实现只用同一个Tunnel即可传送R4和R5的数据到R1?
几台路由器的关键接口和路由配置：
R5:
interface Serial0/0
ip address 10.1.1.5 255.0.0.0
encapsulation frame-relay
no fair-queue
frame-relay map ip 10.1.1.4 500

R4:
interface Serial0/0
ip address 10.1.1.4 255.0.0.0
encapsulation frame-relay
no fair-queue
frame-relay map ip 10.1.1.5 300

R3:
interface Serial0/0
no ip address
encapsulation frame-relay
no ip mroute-cache
clock rate 64000
no fair-queue
frame-relay intf-type dce
frame-relay route 300 interface Tunnel0 200

interface Serial0/1
no ip address
encapsulation frame-relay
clock rate 64000
frame-relay intf-type dce
frame-relay route 500 interface Tunnel1 210

interface Tunnel0
no ip address
tunnel source FastEthernet0/0
tunnel destination 192.168.1.2

interface Tunnel1
description 192.168.1.2
no ip address
tunnel source Loopback0
tunnel destination 1.1.1.1

interface Loopback0
ip address 2.2.2.2 255.255.255.255

interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.252
duplex auto
speed auto

router eigrp 100
network 2.2.2.2 0.0.0.0
network 192.168.1.0
no auto-summary

R2:
interface Serial0/0
no ip address
encapsulation frame-relay
no fair-queue
clock rate 64000
frame-relay intf-type dce
frame-relay route 100 interface Tunnel0 200
frame-relay route 150 interface Tunnel1 210

interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.252
duplex auto
speed auto

router eigrp 100
network 1.1.1.1 0.0.0.0
network 192.168.1.0
no auto-summary

R1:
interface Serial1
ip address 10.1.1.1 255.0.0.0
encapsulation frame-relay

实验3 配置Cisco对合理丢弃的支持 (CCIE实验14 P180)
时间：2006年1月5日星期四
时间花费 40分钟
实验设备：2621 3台 其中一台带有2个WIC-1T模块，另外2台各有一个WIC-1T
实验拓扑：

实验中需要注意的地方：
1. 实验操作过程中FR-switch断过一次电，造成被迫重新配置；
2. 配置FR-switch的时候忘记在接口上敲no shut,在配置的时候应该习惯性的敲上；
3. 由于没有标记DLCI，在配置R2上的de-list的时候不知道R2实际的DLCI值是什么，在这种情况下可以通过sh frame map看到
存在的问题：
1. 配置de-list并且应用了之后实验得到的结论和书上不一样：书上写的”frame-relay de-list 3 potocol ip gt 512”意思是说大于512字节的IP流量都会被标记；实际实验，使用扩展ping发现ping后面输入的Datagram size数字大于508(等于508不被标记)之后就会被被标记DE位，修改512为500后，发现Datagram size大于496后(等于496不被标记)即会被标记。这中间的4bytes差会是什么？4bytes相当于32bit，会不会是IP地址?

实验2 配置LMI自动检测 (CCIE实验13 P174)
时间：2006年1月3日 星期二
时间花费 0.5小时
实验设备：2621 2台 其中一台带有一个WIC-1T模块，另外一台各有一个WIC-1T
实验拓扑：

实验中需要注意的地方：
实验中需要注意的地方：
1. 自动适应LMI是轮询方式的，并不是能一下就适应对，因此可能会出现等待一阵才能适应对的现象，而且端口可能会出现up/down->up/up->up/down->up/up这样的抖动；
2. 不在接口模式下写frame-relay intf-type dce 帧中继交换机的接口会是up/down状态。
实验2 配置LMI自动检测 实验操作记录下载

实验1 把Cisco路由器配置成帧中继交换机 (CCIE实验12 P164)
时间：2005年12月29日星期四
时间花费 1.5小时
实验设备：2621 3台 其中一台带有2个WIC-1T模块，另外2台各有一个WIC-1T
实验拓扑：

实验中需要注意的地方：
1. 路由器和帧中继交换机相连的端口应配置成一样的lmi-type，如果两边不一样，则会出现line-protocol down的现象；(up/down)
2. 帧中继交换机连接的电缆应当是DCE，如果连接错的话，无法建立起来连接。(up/down)
3. 帧中继交换机和路由器相连的接口intf-type应指为DCE，如果指为DTE，则up/down；如果指为NNI，则帧中继交换机的口为up/up，但是所接路由器的口是up/down。
4. sh frame route可以快速察看接口进入和送出的DLCI，以及是否是active
5. sh frame pvc可以看到DLCI USAGE是 SWITCHED(FR-switch上)或者LOCAL(R1/R3)

实验中用到的命令：
1. R1/R3: 在接口模式下en fr
2. R1/R3: frame lmi-type ansi/cisco/q933a
3. FR-switch: 全局配置模式下 frame-relay switching
4. FR-switch: 接口clockrate …
5. FR-switch: frame-relay lmi-type ansi/cisco/q933a 注意保持一致
6. FR-switch: frame-relay intf-type dce 指定接口为帧中继的DCE
7. FR-switch: frame-relay route 100 int s0/1 101 (s0/0接的是100，要送到s0/1的101)
实验中待解决的问题：
1. 为什么无法在本地ping到自己的接口，比如R1无法ping到192.1.1.1
2. 为什么R1上sh frame map有两条出现：其中第一条是什么意思
R1#sh frame map
Serial0/0 (up): ip 0.0.0.0 dlci 101(0x65,0x1850)
broadcast,
CISCO, status defined, active
Serial0/0 (up): ip 192.1.1.3 dlci 101(0x65,0x1850), dynamic,
broadcast,, status defined, active
把Cisco路由器配置成帧中继交换机 实验记录下载