我准备在明年2月改版前，拿下两门CCIE

8月2日第一步已经完成，成功拿下CCIE RS

为了练习这个RS版本实验，手指都变形了

所以我相信 每位CCIE都是这么苦过来的

也写了点考试战报给后面即将考试的同学分享

希望可以让别的同学少踩雷

现在我已经在YESLAB准备继续奋战DC

一鼓作气拿下第二门IE就是我的目标

 

01

考试时间分布

 

 

 

7:40

到考场报道;

如果就住银泰附近，其实没必要去太早，等待的地方很小，空气也不好；

银泰C座大堂的保安有当天参加思科考试的人员名单，直接告诉他是来参加思科考试的，并且提供身份证，就会让你上去，并告诉你在几楼.

8:00

考官出来简单交代一下考场纪律，然后除身份证及第二身份验证材料，都寄到储物柜

8:20

考试正式开始，考官将大家带入考场，会告诉大家考试到今天16:20结束；考场内有水和面包，可随意取用；考场内有门禁卡，需要上厕所可以随时出去，但同一时间只能有一人去上厕所

8:20-9:50

TS，考完即可提交，TS与CFG共用考试时间,考完点击右上角“end section”即可提交

9:50-10:20

DIAG，时间固定为30分钟，一般5分钟就做完，剩下的时间可以去上个厕所或在位置上休息一下

考完点击右上角“end section”即可提交

10:20-11:20  CFG

11:20-11:35

考官提前3分钟通知大家吃饭，到吃饭的时间屏幕会自动锁屏，然后到隔壁一个小会议室吃饭,

11:35-16:20

CFG考完点击右上角“end section”即可提交

以上时间仅供参考

02

TS2

 

 

 

 

把TS2_Summay一套练熟就可以，考试的TS非常简单，但是一定是要弄清楚原理，而不是硬背错点。

因为开始不太适应环境，做TS2花了大概90分钟，router-id之类的没补，个人觉得这应该不是考点。但是CFG的router-id我还是补了。

 

03

DIAG3

 

 

 

 

Part1

按文档解法

Part2

那道多选题我之前归纳的思路是：

TCP connect from the router to 10.1.1.X （攻击者/黑客）（三选二）

TCP session from 10.1.1.X（受害者/服务器）to the router via vty（三选二）

TCP connection from a remote host to the router's IP address 10.1.1.X（受害者/服务器） on port 1337（三选二）

Download of a TCL script in memory via http

Install of a ransomware via backdoor

 

首先根据抓包结果，TCP的发起者为受害者，然后根据个人归纳的思路，选项命中了上述标红的选项，未标红的选项有一个非常类似的选项为：

TCP connection from 10.1.1.X（受害者/服务器）to the router via vty

我也不清楚这里session和connection有什么区别，这个选项就没选。

诊断3的part2根据目前的诊断文档和诊断视频，能够梳理出黑客攻击流程/原理和选项的关键字，但是对于选项内容的逻辑并没有分析的很清楚，所以考试时遇到类似的选项心里会没底，只能碰运气。

 

04

CFG 3-新出现的题目要求

 

 

 

 

2.7 BGP in Remote Sites : Part 2

关于Datacenter’s gateways的配置，只要求R10、R11、R14、R20和R21，不包括R15

3.3 Internet Access

额外要求R60不能任意向SP发送ARP消息

4.1 Device Security

额外要求类似next-hop no exceed 2

5.2 Quality of Service

额外要求QoS策略要同时在IPv4和IPv6下生效

 

05

CFG 3-遇到的问题

 

 

 

 

 

1.1 LAN Access

针对考试给出的二层拓扑图及对应的VLAN表格，逐一核实交换机的二层端口配置，非常重要。

考场的二层拓扑图附的表格类似下表

交换机名称	VLAN编号	端口编号
SW300	VLAN2000	E0/1
SW301	VLAN2001	E0/2,E0/3

 

有很多端口只启了sw acc vl xxx，但没有sw mode access，或者是端口直接是shut的。

 

1.2 LAN Distribution

SW300/SW301/SW310都有no span pvst sim mst *** 的配置，删掉（参考其他的战报）

2.8 Routing Policies

User4上trace 8.8.8.8时老是从R15走，把R15的邻居和接口down后再恢复，还是从R15走。

解决方法：考虑到这题主要考的是R40/R41的选路，也担心改来改去会乱，后来没处理。

2.9 IPv6 Routing

Server 1 最后获取到了IPv6的地址，但是ping不通2001:CC:1E:1::1，提示no gateway什么的，但配置没问题

解决方法：在SW111的vlan2001下有一条ipv6 FE80:111 link-local，先no掉，再ping就正常了；然后恢复这条配置，还是正常。

2.10 Multicast in DC#1

题目要求一样，但是因为R14/R15上没有任何组播配置，SW110/S111面向R14/15的接口也没有相关组播配置，所以这题我没有在R14/R15做任何配置，SW110/SW111也没有补充面向R14/R15的组播相关配置

组播ping的现象比较慢，要ping7-8次才通。

 

其它

1、部分router和switch的BGP或OPSF协议没有配置router-id，都补上。

2、SW600因为本身lo0口的地址都没配，所以这台设备上我也没补router-id。

3、网上其它战报有提到要取消DHCP设备的租期（考场的拓扑图上，凡是启用了DHCP的设备都会标注），这里我也不太明确不取消会有什么影响。

 

以上内容仅供参考。

 

有人要和我一起Pass DC嘛！

 

 

（---END---）

轻扫立即沟通客服咨询课程

老学员可直接联系课程顾问

www.yeslab.net

（---END---）