H3CTE考题1.pptVIP

HCTE考试简介 考试时间：一天（8:45a.m.——4:30p.m.） 考试地点：很多 考试方式：做实验+写报告（很重要） 考试设备：5台路由器、1台S3526三层交换机、3台S3026交换机、5台PC机 通过分数：800 IP 地址 组网要求 RTC用LOOPBACK 1模拟CERNET,RTB用LOOPBACK 2模拟INTERNET; 大学A和大学B直接连到CERNET,大学B通过ISP建立到CERNET的GREIPSEC/VPN; 大学A和大学B直接访问INTERNET; 大学C通过CERNET访问INTERNET; 大学A和大学B访问INTERNET需要做NAT; 大学A通过RTA访问INTERNET,通过S3526访问CERNET; 组网要求（续1） 各大学的主机全部通过DHCP获得IP地址； 各大学的接入交换机全部启用DOT1X功能； 大学A的拨号用户拨入ISP的RTB上，建立到大学A的RTA的L2TP/VPN； 大学A的拨号用户只能访问大学A的资源，不能访问其它的资源;（大概是的） 大学C的用户不能访问大学A的FTP服务器；（大概是的） 组网要求（续2） 大学A的FTP服务器需要在RTA上的DHCP地址池中进行IP和MAC绑定； 大学A、B、C和CERNET组成1个OSPF自治系统； 大学A为AREA 1、大学B为AREA3、大学C为AREA 2； CERNET为骨干区域，即RTC、RTD、RTE和S3526组成AREA 0； 除了前面的要求，各校的主机能够互相访问。 故障现象 各学校的主机都无法获得DHCP服务器分配的IP地址。 网络各个部分都有问题。 排错总结1 HOST1/2/3和FTP SERVER 无法获得各DHCP SERVER分配的IP地址。 北邮考场的计算机里有保护卡，可能根本就无法获得地址。 3026交换机上联的端口的dot1x命令需要去掉 需要将所有DHCP SERVER上的已经使用的IP 地址从DHCP里摘出来，用dhcp server forbidden-ip 命令 RTA上将FTP SERVER的MAC与IP绑定命令里的MAC地址需要修改为FTP真正的MAC地址 3526交换机上需要配置DHCP RELAY功能，需要在全局视图下增加： dhcp-server 1 ip 在VLAN2和VLAN3的interface 视图下增加命令 dhcp-server 1 为了测试需要，应该直接在几台计算机上指定DHCP范围内的IP地址，不用自动获得 排错总结2 RTE和RTB之间的frame-relay链路不通。 在RTE的S0接口上有loopback的环路命令，应去掉； 需要在RTE的S0和RTB的S2接口上分别增加到对端的帧中继MAP命令： fram map ip dlci 100 和 fram map ip dlci 100 排错总结3 RTE和RTC之间的VPN不通。IKE SA和IPSEC SA都没有建立。 RTE和RTC上的ike pre-shared-key ichmaghaether remote x.x.x.x 中的pre-shared-key 不一致，需修改为相同的KEY； 需要在RTE的interface Tunnel0和RTB的interface Tunnel0接口上分别增加到对端的OSPF 邻居指定命令： ospf peer 和 ospf peer -需要注意的是VPN两端的ACL有可能会被设置成不匹配，如果上两步都不能解决问题，可以检查ACL 然后即可观察到OSPF 邻居建立，并互相交换路由，VPN连通。 排错总结4 大学C （ RTD）无法访问到INTERNET。 在RTC和RTD上用dis ip rout 命令查看路由表，会发现在RTD上有缺省的路由指到RTB（）上去，而在RTC上没有 解决办法有多种： 在RTD上增加到INTERNET的静态路由指到RTC 在RTD上增加缺省路由指到RTC 在RTC上的OSPF进程里增加import static 命令，将静态或缺省路由注入OSPF进程中，RTD即可学到至INTERNET的路由。 建议最好选择第三种方法！！！ 排错总结5 大学A 无法访问到CERNET，即S3526与RTC不通。 在RTC和S3526上用dis inter 命令查看相关接口，会发现接口状态都正常，但就是无法互相ping通。 直接查看config，可以发现S3526的E0/17端口被配置为TRUNK端口，确省的PVLAN为vlan1，而用于同RTC相连的IP地址属于vlan4的。 解决办法有2种： 将S3526的E0/17端口改为属于vl