Самостоятельная подготовка к экзаменам CCNP (личный опыт)

Всем привет! В этой статье я хочу поделиться с вами личным опытом по подготовке и успешной сдаче трех обязательных экзаменов для приобретения сертификата CCNP.

В качестве преамбулы хочу предупредить, что речь пойдет об экзаменах, действительных до 29-го января 2015 года. После этой даты нужно будет сдавать их обновленные версии (об отличиях можно почитать тут). Несмотря на это, стратегия и источники информации (имеются ввиду их обновленные версии) остаются неизменными.

Начну, пожалуй, со своего домашнего сетапа, а далее перейду к поэтапному описанию процесса подготовки для каждого экзамена.

И так, моя домашняя лаборатория состоит из:

• 2 x Cisco 3560
• 4 x Cisco 2950
• Старого ПК на базе Pentium 4 с 256МБ оперативки
• Сетевых карт USB-to-Ethernet
• 4-х портового переходника Serial-to-USB
• Платы удаленного управления питанием
• Стойки собственного производства

Cisco. Пути сертификации

Сертификация компании Cisco считается одной из самых престижных сертификаций в области ИТ. Это связано с тем, что в отличии от систем сертификации многих других вендоров, сертификационные экзамены Cisco включат в себя помимо стандартных тестов на вопросы, симуляции и настройку виртуального оборудования.

Если говорить в общем, то Cisco выделяет у себя пять ступеней квалификации (при этом существует девять различных направлений):

Лабы по ROUTE: EIGRP — Решение

_{EIGRP Lab | EIGRP Lab — Answers}

Продолжим изучение лаб для экзамена ROUTE курса CCNP.

Я думал объединить ответы на задачки прошлой лабы с лабой по OSPF, но этот топик и без того получается настолько большим, что, боюсь, как бы его все дочитали до конца. Здесь будет очень много конфигов, скриншотов из Wireshark и дебрей технологии, но все это только для того, чтобы лучше проиллюстрировать внутреннюю логику EIGRP, без понимания которой этот экзамен сдать невозможно.

Будущие, бывшие и настоящие CCNP, добро пожаловать под кат!

Лабы по ROUTE: EIGRP

EIGRP Lab | EIGRP Lab — Answers

Привет! Сегодня я хочу поделиться с уважаемым сообществом лабами, которые помогли мне в подготовке к экзамену ROUTE из нового трека CCNP, а также мыслями и впечатлениями от экзамена. В связи с тем, что материала и лаб очень много, придется разбить это все на порции и выкладывать их по очереди. Сегодня предлагаю поговорить о CCNP 6 версии вообще, об экзамене ROUTE и посмотреть на лабы по EIGRP, которые я использовал для подготовки к экзамену.

Заинтересовавшимся – добро пожаловать под кат!

CCNP Security ver. 2014

Всем привет!
Вчера на почту от Cisco пришли 2 письма. Говорят: «Уважаемый, мы знаем, что Вы на пути к CCNP Security, так вот, мы рады сообщить, что мы полностью все поменяли… Так что «ознакамливайтесь», пожалуйста, на здоровье». Не сидится людям просто так.

Cisco ISR как PPPoe Client

Предположим, что наш провайдер выдает доступ по pppoe, что довольно часто встречается. Не нервничаем, берем железяку и настраиваем.

# Интерфейс идущий в локалку

interface FastEthernet0/0
description $LAN$
ip address 172.16.1.1 255.255.255.128
ip nat inside

# Интерфейс идущий к провайдеру

interface FastEthernet0/1
description $WAN$
no ip address
pppoe enable group global
pppoe-client dial-pool-number 1

# Виртуальный интерфейс ppp

interface Dialer0
description $OUTSIDE$
mtu 1492
ip address negotiated
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
ppp authentication chap callin
ppp chap hostname <login>
ppp chap password <password>
ppp ipcp dns request

# Указываем лист доступа для NAT

access-list 1 permit 172.16.1.0 0.0.0.127

# Указываем маршрут по умолчанию

ip route 0.0.0.0 0.0.0.0 Dialer0

# Включаем NAT с перегрузкой

ip nat inside source list 1 interface Dialer0 overload

# Проверить работоспособность сессии можно командой

Router# sh pppoe session interface fa 0/1

PS Конфиг проверен на Cisco ISR 2801 (c2801-advsecurityk9-mz.124-15.t9.bin). У счастливых обладателей роутеров cisco с ios 15.0 наблюдаются проблемы с pppoe client. Рекомендуется либо откатиться на 12.4, либо обновиться на 15.1. Я выбрал первое.

GRE tunneling

Пример настройки простого VPN на основе GRE туннеля между двумя офисами поверх публичной сети.
Топология:

Настройка:

R1:
!
interface Tunnel0
ip address 192.168.254.253 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 209.165.200.2
!
interface FastEthernet0/0
ip address 209.165.200.1 255.255.255.252
!
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0
!
router eigrp 1
passive-interface FastEthernet0/1
network 192.168.2.0
network 192.168.254.252 0.0.0.3
no auto-summary
!
R2:
!
interface Tunnel0
ip address 192.168.254.254 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 209.165.200.1
!
interface FastEthernet0/0
ip address 209.165.200.2 255.255.255.252
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
!
router eigrp 1
passive-interface FastEthernet0/1
network 192.168.1.0
network 192.168.254.252 0.0.0.3
no auto-summary

Проверяем:
Таблица маршрутизации R1:

Вывод свойств интерфейса туннеля:

Таблица маршрутизации R2:

Заголовки пакета на выходе из R1:

• GRE туннель не обеспечивает безопасности, поэтому его обычно прячут в шифрованный ipsec туннель(или используют чистый ipsec без gre).
• на туннельном интерфейсе инкапсуляция GRE по умолчанию включена (tunnel mode gre ip)
• для обеспечения отказоустойчивости и при наличие нескольких каналов связи, в качестве начальной/конечной точки туннеля может быть использован loopback
• т.к. GRE может нести в себе кучу протоколов, то достаточно переписать адреса локалок и tun-интерфейсов, чтобы лаба превратилась в лабу по туннелированию IPv6 поверх IPv4

Скачать: pkt-файл

Лабораторная по HSRP

Основная задача и предназначение данного протокола состоит в том, чтобы добиться практически 100% доступности и отказоустойчивости первого хопа от отправителя. Это достигается путем использования у двух или более маршрутизаторов или маршрутизирующих коммутаторов третьего уровня одного IP адреса и MAC адреса так называемого виртуального маршрутизатора.
Топология:

Настройка:
R1:

!
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
standby 1 ip 192.168.1.3
standby 1 priority 160
standby 1 preempt
standby 1 authentication md5 key-string cisco
standby 1 track FastEthernet0/0 50
!

R2:

!
interface FastEthernet0/0
ip address 172.16.1.2 255.255.255.0
!
interface FastEthernet0/1
ip address 192.168.1.2 255.255.255.0
standby 1 ip 192.168.1.3
standby 1 priority 170
standby 1 preempt
standby 1 authentication md5 key-string cisco
standby 1 track FastEthernet0/0 50
!

Проверяем:

Роутер с большим приоритетом (R2) является активным шлюзом, роутер с меньшим приоритетом (R1) находится в режиме ожидания.

Выключим интерфейс fa0/0 активного шлюза (R2), т.к. в настройке мы указали следить за этим интерфейсом и при его отказе понизить приоритет на 50.

Указанный в настройках параметр preempt позволяет роутеру перейти в активное состояние если его приоритет выше, чем у текущего активного роутера. После изменения приоритета, роутер R2 перешел в состояние ожидания, а R1 стал активным.

• Если бы параметр preemt не был использован, при смене приоритетов R2 все равно остался бы активным
• Значение приоритета HSRP на роутерах по умолчанию = 100.
• В таком примере один из роутеров в топологии простаивает, что не есть хорошо. Для распределения нагрузки между обоими роутерами можно создать вторую группу на тех же интерфейсах (т.е. два виртуальных шлюза). И затем половине компьютеров сети выдать один шлюз, половине - другой. Хотя если задача сводится к балансировке, правильнее использовать протокол GLBP.

Ссылки:

• http://ru.wikipedia.org/wiki/HSRP
• http://xgu.ru/wiki/HSRP
• http://xgu.ru/wiki/HSRP_в_Cisco

EtherChannel между коммутаторами - LACP.

EtherChannel позволяет объединить несколько физических соединений между двумя устройствами в виртуальные. Это дает нам прирост пропускной способности, защищает от возникновения петель 2 уровня и добавляет отказоустойчивости. EtherChannel может быть настроен статически (mode on) или же с использованием протоколов PAgP/LACP. Рассмотрим пример настройки etherchannel между двумя коммутаторами с использованием LACP:
Топология: 

IPv6 Manual P-t-P Tunnel

Пример настройки туннеля соединяющего две IPv6 сети поверх сети IPv4.
Топология:

OSPF Stub, Totally Stub, NSSA, Totally NSSA

OSFP предполагает построение сложных иерархичных сетей. Помимо разделения на backbone область и обычные области (которые должны быть подключены к backbone), существуют так же различные типы обычных областей.
Stub область - в нее разрешено передавать только маршрут по умолчанию и IA маршруты.
Totally Stub область - в нее разрешено передавать только маршрут по умолчанию
NSSA область - разрешено передавать IA маршруты, внешние маршруты + маршрут по умолчанию
Totally NSSA область - разрешено передавать внешние маршруты + маршрут по умолчанию

Топология:

OSPF Virtual Links

Иерархичный дизайн сетей OSPF требует, чтобы все nonbackbone-области были подключены к 0-й области. И весь трафик между областями шел только через 0-ю область. Но иногда возникают ситуации когда имеется две 0-е области которые напрямую никак не связаны (объединение двух корпоративных сетей, обрыв связи между роутерами 0-й оласти) или нужно создать еще одну nonbackbone-область, но нет возможности напрямую подключить ее к 0-й области. В таких случаях допускается в качестве временного решения использовать виртуальные каналы (virtual links), при помощи которых можно соединить две области через третью - транзитную.
Рассмотрим вариант соединения двух отдельных 0-х областей.
Топология:

OSPFv3 для IPv6

Настройка протокола маршрутизации OSPFv3 для IPv6.
Основные отличия OSPFv3 от OSPFv2:

1. Для установления соседства роутеры не обязаны иметь адреса из одной сети
2. Может использовать несколько ospf процессов для одного интерфейса
3. Использует мультикастовый адрес FF02::5 и FF02::6
4. Для аутентификации используется IPv6 AH/ESP
5. В качестве некстхопа используется link local адрес соседа

Топология:

Лабораторка EIGRP Unequal Cost Load Balancing

Одно из серьезных отличий EIGRP от других протоколов маршрутизации, это возможность балансировки нагрузки с использованием каналов с разной метрикой. Для наглядности используем 10 мегабитный линк между R1 и R3 (т.к. через него метрика будет значительно больше чем через 100 мегабитные).
Топология:

EIGRP Authentication + Manual Summarization

Пример настройки EIGRP с аутентификацией и ручной суммаризацией маршрутов между роутерами.
При настройке аутентификации соседей используем параметры времени в течение которого ключи актуальны для отправки и приема, а так же использование md5 хешей вместо передачи ключа открытым текстом.
При объявлении сумарных маршрутов вручную (так же как и в автоматическом случае) в таблице маршрутизации появляется маршрут на интерфейс null, испольуемый для предотвращения возможных петель трафика.
Топология: