【CCIE安全】我花了两个小时做检查,战斗到最后一秒!!
更新时间:2017年11月20日 作者:spoto
考场情况
北京考场可是个福地,然后整个考试过程比较轻松:1.想上厕所就上厕所,2.余下的就自己想像。。。我坐的是中间的7号座位,背后有个大摄像头,所以也不敢有什么多余的动作。
考场的灯是自动感应的,有震动就能触发打开。中途灯灭了好几次,又自己亮起来了好几次,我开始还以为背后有人在操控。所以感觉灯光不够的话,只要蹬一下脚就可以完成开灯的操作。
我刚坐下开敲没多久,有个考生(暂时称他做“雪饼哥”)拿了柜子上的旺旺雪饼,往每个考生的桌子上都扔了一块。我想这考场怎么这么贴心,还提供零食!一下子心情平和了好多。后来才知道,这是考场今天提供的口粮之一。。。另外一种口粮是那种独立包装的小面包,可难吃了。但有一个好处是这种轻便口粮吃了也不会让大脑迟钝。 我是坚持到2点感觉到肚子空空,为了防止血糖过低,才开始吃了两个小包。
雪饼哥2点多跑路,最后走的时候,雪饼哥给我们道别:“各位老板,我先走了”。
版本
TS:纵观TS,没有新错点。反倒是自己对TS练得不熟,花了80分钟才把TS搞完。说说两题个人认为比较坑的。
Incident 1要把ASA2的anyconnect image补上, 从ASA1那里把xml profile导出来,再导入到ASA2。创建一下user ccie, 最后no shut ASA1的端口。测试的时候跟CFG的4.1一样,主备切换都试一下,看能不能拨通。最后要切回到ASA1做active。但这里我自己给自己埋了一个小坑,我用ccie登录ASDM,在ASA1可以做导出操作,所以没发现问题,但由于ccie没有level 15的权限,在ASA2做以上操作便会提示没有写的权限。改为用cisco 登录就没有问题。
Incident 9 这次坑的地方是,我把ip dhcp snooping都去掉了,R15和R19还是获取不到IP。后来,按照钟sir的提示,顺利解决!
DIAG:
没有变化。
CFG:
我这边抽到的机架是Rack25, 整体来说,版本很精确,还没有变题。按照版本都敲出效果来就没有大问题。我说说操作上要注意的地方。
做题的顺序,这是最需要考虑的问题。直接奔SW2相关的题目(dot1x, MAB, AP, R1 SSH)去。如果碰到奇怪问题,马上reset ise和write erase SW2。所幸这回SW2相关的题目都很顺畅就出结果了。我最后有把ISE的那些改过的setting都复原了。之后就是做NTP, NGIPS, WSA, AMP, ASA1v初始化+4.1,ASA2v初始化+3.1,ASA1,ASA2, FLEXVPN, GETVPN, Site2Site VPN, Logging。
NGIPS
NGIPS没有把端口给我调过来,但大家要做好NGIPS external和internal 端口被反转的心理准备。---之前我们有哥们遇到。
CTS
我做cts sxp connect的时候,connection死活起不来。。。后来发现10.100.8.1这IP被SW2 DHCP分配给Dot1x PC了!从而造成IP冲突。想了一下,是因为我敲命令的顺序导致,这里要注意一下。IP DHCP exclude 10.100.8.1建议尽早敲上,要赶在Dot1x PC验证通过之前。
SW2
SW2上预备有线下保护profile“NO_AUTH”,已经被调用到line con 0,所以不用做线下保护了。但R1要做,参照SW2的预配就行。
Site2Site VPN
“subject-name CN=r15 O=cisco.com”与“subject-name CN=R15 O=cisco.com”最后出来的结果都是小写“subject-name cn=R15 o=cisco.com”。。。
WLC
Wireless PC的华硕网卡是可以选择连接2.4G WiFi或5G WiFi。由于我在WLC上enable了802.1a和802.1bgn,所以华硕网卡的管理软件可以看到两个pod25的SSID,我选了2.4G的连接,还挺稳定的。我在Wireless PC上执行ping 10.100.102.11 –t 和ping 10.100.102.22 –t。
其他CFG题目没什么特别。
我花了两个小时做检查,战斗到最后一秒,下面用我的实际经历说说检查的重要性。
1.做完logging,当时测试过kiwi syslog能收到信息。但后来检查的时候,candidate PC的kiwi syslog软件双击打不开。我担心这会导致我失分,于是我打开任务管理器找到一个syslog manager之类的进程关闭掉,再重开点开桌面上的kiwi syslog图标,但软件没有打开。然后我双击右下角kiwi syslog图标与anyconnect之间的空白处,syslog的软件界面就打开了。然后我把界面在desktop上排好,方便阅卷,以免阅卷人胡点,把软件界面又搞没了。
2. 在ASA1v show vpn-sessiondb 竟然发现没有active connection, Client PC1上的vpn connection竟然断了! 之前也有发现这情况,太坑爹了,明明敲了vpn-id 2880的!赶紧重拨,在Client PC1 cmd 输入“ping server1.cisco.com –t”,希望通过流量保持VPN连接。
3. 本人手误,把ASA1_c1和ASA1_c2的access group enable在global了,导致r10 ping不通10.100.6.1, r11 ping不通10.100.7.1, 但telnet是可以通的。。。无连接与有连接的区别吧。赶紧改回access-group server5_c1 in outside,no掉access-group server5_c1 global.
4. 受之前兄弟的启发,我对某些设备开启了’terminal leth 25’,可以方便地看show running。另外我也开启了logging terminal。这两条命令在作配置时发挥了大作用,但担心会影响阅卷脚本的执行。我把这两条命令撤除掉,把设备都退出config terminal mode。最后的效果是16:07分交卷,17:47出结果。
5. 我同时更改了ccieap的ap mode和high availability 的controller name,并apply。但后来检查发现ap mode是改了,但controller name还是’wlc’,赶紧改回’cciewlc’。
北京考场可是个福地,然后整个考试过程比较轻松:1.想上厕所就上厕所,2.余下的就自己想像。。。我坐的是中间的7号座位,背后有个大摄像头,所以也不敢有什么多余的动作。
考场的灯是自动感应的,有震动就能触发打开。中途灯灭了好几次,又自己亮起来了好几次,我开始还以为背后有人在操控。所以感觉灯光不够的话,只要蹬一下脚就可以完成开灯的操作。
我刚坐下开敲没多久,有个考生(暂时称他做“雪饼哥”)拿了柜子上的旺旺雪饼,往每个考生的桌子上都扔了一块。我想这考场怎么这么贴心,还提供零食!一下子心情平和了好多。后来才知道,这是考场今天提供的口粮之一。。。另外一种口粮是那种独立包装的小面包,可难吃了。但有一个好处是这种轻便口粮吃了也不会让大脑迟钝。 我是坚持到2点感觉到肚子空空,为了防止血糖过低,才开始吃了两个小包。
雪饼哥2点多跑路,最后走的时候,雪饼哥给我们道别:“各位老板,我先走了”。
版本
TS:纵观TS,没有新错点。反倒是自己对TS练得不熟,花了80分钟才把TS搞完。说说两题个人认为比较坑的。
Incident 1要把ASA2的anyconnect image补上, 从ASA1那里把xml profile导出来,再导入到ASA2。创建一下user ccie, 最后no shut ASA1的端口。测试的时候跟CFG的4.1一样,主备切换都试一下,看能不能拨通。最后要切回到ASA1做active。但这里我自己给自己埋了一个小坑,我用ccie登录ASDM,在ASA1可以做导出操作,所以没发现问题,但由于ccie没有level 15的权限,在ASA2做以上操作便会提示没有写的权限。改为用cisco 登录就没有问题。
Incident 9 这次坑的地方是,我把ip dhcp snooping都去掉了,R15和R19还是获取不到IP。后来,按照钟sir的提示,顺利解决!
DIAG:
没有变化。
CFG:
我这边抽到的机架是Rack25, 整体来说,版本很精确,还没有变题。按照版本都敲出效果来就没有大问题。我说说操作上要注意的地方。
做题的顺序,这是最需要考虑的问题。直接奔SW2相关的题目(dot1x, MAB, AP, R1 SSH)去。如果碰到奇怪问题,马上reset ise和write erase SW2。所幸这回SW2相关的题目都很顺畅就出结果了。我最后有把ISE的那些改过的setting都复原了。之后就是做NTP, NGIPS, WSA, AMP, ASA1v初始化+4.1,ASA2v初始化+3.1,ASA1,ASA2, FLEXVPN, GETVPN, Site2Site VPN, Logging。
NGIPS
NGIPS没有把端口给我调过来,但大家要做好NGIPS external和internal 端口被反转的心理准备。---之前我们有哥们遇到。
CTS
我做cts sxp connect的时候,connection死活起不来。。。后来发现10.100.8.1这IP被SW2 DHCP分配给Dot1x PC了!从而造成IP冲突。想了一下,是因为我敲命令的顺序导致,这里要注意一下。IP DHCP exclude 10.100.8.1建议尽早敲上,要赶在Dot1x PC验证通过之前。
SW2
SW2上预备有线下保护profile“NO_AUTH”,已经被调用到line con 0,所以不用做线下保护了。但R1要做,参照SW2的预配就行。
Site2Site VPN
“subject-name CN=r15 O=cisco.com”与“subject-name CN=R15 O=cisco.com”最后出来的结果都是小写“subject-name cn=R15 o=cisco.com”。。。
WLC
Wireless PC的华硕网卡是可以选择连接2.4G WiFi或5G WiFi。由于我在WLC上enable了802.1a和802.1bgn,所以华硕网卡的管理软件可以看到两个pod25的SSID,我选了2.4G的连接,还挺稳定的。我在Wireless PC上执行ping 10.100.102.11 –t 和ping 10.100.102.22 –t。
其他CFG题目没什么特别。
我花了两个小时做检查,战斗到最后一秒,下面用我的实际经历说说检查的重要性。
1.做完logging,当时测试过kiwi syslog能收到信息。但后来检查的时候,candidate PC的kiwi syslog软件双击打不开。我担心这会导致我失分,于是我打开任务管理器找到一个syslog manager之类的进程关闭掉,再重开点开桌面上的kiwi syslog图标,但软件没有打开。然后我双击右下角kiwi syslog图标与anyconnect之间的空白处,syslog的软件界面就打开了。然后我把界面在desktop上排好,方便阅卷,以免阅卷人胡点,把软件界面又搞没了。
2. 在ASA1v show vpn-sessiondb 竟然发现没有active connection, Client PC1上的vpn connection竟然断了! 之前也有发现这情况,太坑爹了,明明敲了vpn-id 2880的!赶紧重拨,在Client PC1 cmd 输入“ping server1.cisco.com –t”,希望通过流量保持VPN连接。
3. 本人手误,把ASA1_c1和ASA1_c2的access group enable在global了,导致r10 ping不通10.100.6.1, r11 ping不通10.100.7.1, 但telnet是可以通的。。。无连接与有连接的区别吧。赶紧改回access-group server5_c1 in outside,no掉access-group server5_c1 global.
4. 受之前兄弟的启发,我对某些设备开启了’terminal leth 25’,可以方便地看show running。另外我也开启了logging terminal。这两条命令在作配置时发挥了大作用,但担心会影响阅卷脚本的执行。我把这两条命令撤除掉,把设备都退出config terminal mode。最后的效果是16:07分交卷,17:47出结果。
5. 我同时更改了ccieap的ap mode和high availability 的controller name,并apply。但后来检查发现ap mode是改了,但controller name还是’wlc’,赶紧改回’cciewlc’。
相关标签:
上一篇:【周三装X】学习路上勤学勤问
闽公网安备 35012102500533号