2018-10-11 北京考场（TS2/D3/Y2+）

考场注意事项：

1. 考试时间8:00-16:15。排错：150 分钟，可以提前交；诊断：30 分钟，不能提前交；版本时间一直到考试结束，可以提前交卷。考官要求除了水和吃的，其余所有物品不能带进考场，手机放兜里带进去也不会被发现，前提是一定记得关掉震动和声音，最好直接关机。

2. 吃饭时间15 分钟，一般是在11:30 左右去，就是一盒711 的午饭，2 个菜+1 份米饭。考官会把电脑锁屏，然后带领考生一起去。吃饭过程中一定不要和别的考生说话，否则就危险了。还有一点注意的是：要快点吃，千万别等考官催，考官在10 分钟左右的时候就去催我了，那会儿别的考生都吃完了（他们也就用了5-6 分钟吃完），最后导致版本中考官不断的tr 我，最狠的时候将R17 的vrf 整个删除，导致大量的配置得重新来，忙活了一下午，差点挂了。同学们一定要注意，吃饭要快、快、快！

3. 同一时间只能有一个人去卫生间，门卡挂在门卡，进出门都需要拿上。如果在上一个人没回来的情况下想去卫生间，需要和考官说，同意后可以去。

友情提示：最好在任何时候都不要麻烦考官，不要让考官注意到自己。能忍就忍忍，否则被考官tr 几下那可真不值得。

TS2

1. 错点：缺少vlan access-map ATTACK 20

解法：SW400-401 上：vlan access-map ATTACK 20 action forward

还有就是这两台交换机上的ACL 111 多了第三条，不no 掉30 permit ip any any 也出现象，但我也no 掉了

2. 错点：R14 和R15 上没有针对DC1 开启下一跳自我

解法：BGP 里添加上就行了

注意：在R13 上并没有看到8.8.8.8 的路由，但是有从R14、R15 上收到的的0.0.0.0 的路由，一样的解法，不用担心。

3. 错点：①SW101 上的E1/2 口配置了小的cost 值，②R12、R13 的access-list 匹配错误，匹配的是65002 里的。

解法：①删除cost 值；②R12、R13 上no 掉之前错误的，添加正确的access-list。

access-list 101 permit ip 10.1.1.0 0.0.254.255 any

access-list 102 permit ip 10.1.0.0 0.0.254.255 any

4. 错点：R21 没有成为主出口

解法：在R21 上将本地优先级改大

Route-map local-pref permit 10

Match ip address prefix-list local_pref

Set local-preference 1000

5. 错点：R14、R15、R60 的tunnel 口没有配置OSPF 的网络类型

解法：在3 台路由器的tunnel 口下配置：

ip ospf network point-to-multipoint

注意：考试需求上没有要求显示10.5.0.0/16 的路由。

6. 错点：1.R15 没有在GBP 下宣告明细路由

解法：R15 的BGP ipv6 地址族下

network 2001:DB8:10:1:201::/104

在R15 上show ipv6 route ospf 就能看的这条路由，复制粘贴就行了。

7. 错点：1.R1 的loopback 0 口没有宣告进OSPF

2.R5 的vrf 的export RT 值配置错误

解法：1.R1 的loopback 0 口下配置： ip ospf 1 area 0

2.R5 上：：ip vrf ACME

no router-target export 65003:3

router-target export 65005:5

注意：做完后查看Core 网络时发现除了R2 以外都没有配置mpls ldp router-id loopback 0，但是现象

也出，最后我还是把其余的5 台路由器也添加上了。

8. 错点：SW300-301 的vlan 2000-2001 下没有配置ip dhcp relay information trusted。

解法：添加上即可。

注意：所有的TS 都做完后验证时发现无法ping 通8.8.8.8，但是IP 地址获取到了，而且可以trace 通。

将User 3 的接口shutdown 后再开启，重新获取了IP 地址和问题解决。

9. 错点：R24 和R17 的tunnel 口key 值不一样。

解法：将R17 上的key 值改为R24 的。

10. 错点：R25 上NAT 的outside source 转换地址匹配错误

解法：R25 上：no nat source static 201.99.25.70 201.99.70.2

ip nat outside source static 201.99.70.2 201.99.25.70

D3

1. 133．选择第一个源0.0.0.0 目的255.255.255.255 的DHCP discovery 报文

2. 第一问：选择中继交换机；第二问：show ip dhcp snooping

3. 第一问：攻击者是10.1.1.2，用户是10.1.1.1

Tcp connect form the router 10.1.1.2

Tcp connection from a remote host to the router’s IP address 10.1.1.1 on port 1337

Download of a TCP script in memery via http

Install of a ransomware via backdoor

第二问：e sudopower off

第三问：tcfsh http://10/1/1/1/bd2.tcl

Y2+

解法就按照苏sir 整理的配置，相当的稳。

考场预配：

1. SW3、SW4 相应的端口vlan 都划分好了，SW5、SW6 没有配置E0/0 口的vlan，4 台交换机将其余的所有接

口都划分进了vlan 999，并且shutdown。

2. R9、R10、R17、R18 的所有接口都没up。

3. R3-R8 分别与AS 65002 建立了BGP 邻居关系，但不是vrf 的。

4. R50-52 分别与R55、R56、R58 建立了BGP 邻居关系，同样也不是vrf 的。R50-52 使用的BGP AS 号是65006，

而且三台路由器之间有BGP 的邻居关系。

5. R17、R19-21 创建了tunnel 口，并且配置了vrf

6. AS 65001-65002（除datacenter）配置了OSPF，R9-R10 没有配置OSPF

7. AS 65005-65007 配置了了EIGRP，但65006 不是命名模式的，要注意。

8. 不允许添加删除R55、R56、R58 的BGP 配置。

与标配不一样的地方：

1. 2.3 中没有要求在R50 上看到show ip eigrp topology 52.52.52.52 的输出。

2. 2.7 要求在R9 和R10 上看到这两台路由器各自从R53 和R54 上收到一条52.52.52.52 的路由。（在R9-R10 的ospf 下配置distance ospf external 171，是loopback 52 的路由变为D EX 的就可以了，这些标配中都有）

3. 第三部分的3.3.要求SW10 trace 10.2.101.254 的路径和给出的图一致，只要之前按照标配配置正确，这个显示没有问题。

最想说的还是感谢，感谢苏哥，耗费大量的精力来录制视频和整理文档，使我们这些考生能够很轻松的搞定

考试。感谢苏哥总是不厌其烦的为我们答疑解惑。感谢群里的兄弟们的帮助，感谢YESLAB！！！

兄弟们，趁着现在很稳，抓紧考！