hcie 订阅
HCIE(Huawei Certified ICT Expert,华为认证ICT专家)是华为认证体系中最高级别的ICT技术认证 [1]  ,旨在打造高含金量的专家级认证,为技术融合背景下的ICT产业提供新的能力标准,以实现华为认证引领ICT行业技术认证,播种ICT行业未来的愿景。 展开全文
HCIE(Huawei Certified ICT Expert,华为认证ICT专家)是华为认证体系中最高级别的ICT技术认证 [1]  ,旨在打造高含金量的专家级认证,为技术融合背景下的ICT产业提供新的能力标准,以实现华为认证引领ICT行业技术认证,播种ICT行业未来的愿景。
信息
类    别
技术方向的最高级别认证
目    标
打造含金量的专家级认证
适用领域
ICT行业
中文名
华为认证ICT专家
性    质
华为认证体系最高级别ICT认证
外文名
Huawei Certified ICT Expert
HCIE技术认证
华为认证体系覆盖ICT行业十一个技术领域共十三个技术方向的认证,其中,HCIE是各领域最高级别的ICT技术认证。 截止2020年1月,华为已经推出的HCIE认证有:HCIE-Data Center:培训与认证具备企业大中型数据中心独立规划设计、部署、运维和优化综合能力的专家HCIE-Intelligent Computing:培训与认证具备计算关键技术应用、智能计算解决方案架构设计和应用实践、计算系统调优等能力的智能计算专家HCIE-Routing & Switching:培训与认证在数据通信领域具备大中型复杂网络规划设计、部署、运维及优化能力的网络技术专家HCIE-Carrier IP:培训与认证具备运营商级路由和交换网络运维能力的专家HCIE-Security:培养与认证具备企业信息安全解决方案整体的设计、部署和运维综合能力的网络安全架构师HCIE-Storage:培训和认证具备构建企业复杂存储应用解决方案的综合能力的专家HCIE-Transmission:培训与认证具备独立设计、部署和运维大中型复杂传送网能力的专家HCIE-Big Data-Data Mining:培训与认证具备通过华为FusionInsight HD或开源技术平台进行大数据端到端建模,解决业务实际问题能力的专家HCIE-Cloud Computing:培训与认证具备华为云数据中心部署、运维、备份容灾和迁移的综合能力的专家HCIE-Cloud Service Solutions Architect:培训与认证具备在华为云上进行业务架构与应用架构的设计、优化与运维能力的专家HCIE-Enterprise Communication:培训与认证具备大型综合企业通信方案规划设计、部署和运维能力的专家 HCIE-Routing & Switching是路由交换领域的最高级别认证。其专属logo为: 全球领先的信息与通信解决方案供应商华为,2013年6月1日至2日在广州举行的HCIE(Huawei Certified Internetwork Expert,华为认证互联网专家)技术沙龙。华为HCIE武汉站技术沙龙将于2013年9月14日-15日举办,将有华为HCIE考官和HCIE通过者进行交流。华为HCIE技术沙龙北京站(11.30 - 12.01),启动报名,将有华为 [2]  考官和泰克网络实验室 [3]  讲师分享考试内容及技巧为匹配华为公司未来长期战略,紧随ICT技术演进趋势,保持华为认证品牌统一,华为确定与2019年1 月2 日起正式启动华为认证体系升级及相关更新工作。华为认证原名称HCIE(Huawei Certified Internetwork Expert,华为认证互联网专家)更新为HCIE(Huawei Certified ICT Expert,华为认证ICT专家)。研讨内容: [4]  (包括但不限于)HCIE考试介绍:考查点、流程、特点等;HCIE证书获得者经验分享、交流誉天资深讲师案例剖析与交流;华为HCIE考官现场模拟面试
收起全文
精华内容
下载资源
问答
  • 华为HCIE Security 笔试 安全HCIE题库,不错的,华为认证是大势所趋,因为技术非常先进
  • 华为HCIE-Security考试心得

    万次阅读 多人点赞 2019-10-02 13:26:41
    HCIE考试心得 在此记录下我的HCIE成长之路。从2016年刚上大学对网络的一无所知,到2019-09-09一次通过HCIE-Security认证的一次记录与总结。 也是对我一个阶段的一次学习总结。 对HCIE的认识: 因为从小对计算机...

    HCIE考试心得

    在此记录下我的HCIE成长之路。从2016年刚上大学对网络的一无所知,到2019-09-09一次通过HCIE-Security认证的一次记录与总结。

    也是对我一个阶段的一次学习总结。

    对HCIE的认识:

    因为从小对计算机技术的热爱,特别羡慕那电影里的电脑高手,对着屏幕,可以快速敲击键盘,来控制电脑做各种事情。 大学专业报考了网络工程。还记得从前一直对各种事情都充满了好奇。电话为什么能接通?手机怎么就能用来聊天了?世界上的电脑那么多,为什么可以通信?…等等各种各样的问题。刚步入大学的我,对计算机根本不怎么了解。对计算机的构成,各种硬件都不是太了解。对网络工程专业要学什么也不怎么了解。只记得刚入大学前半年感觉大学生活很迷茫。没有一个清晰的方向。只是因为自己的兴趣,去网上自己看了三套计算机组成原理视频,自己学习了PS教程,学习了Office系列课程…。

    第一次看到网络配置是在寒假在家,看到网络上的一个思科视频教程。有老师在讲课,还有命令行配置,但当时啥感觉啥都看不懂。因为知道有软考,而我当时定了个目标,先考一个软考中级网络工程师。所以在网上买了一本网工教程,也找了一些视频,看了几遍。慢慢地对网络有了个认识。在平常与其他人聊天,查资料等,也知道了在网络界有思科和华为认证比较有名。

    一次通过从我一个学长那里拿到一套华为的HCNA路由交换的视频。让我打开了对华为认证认识。通过刚开始讲了解到了华为认证分为多个方向,而每个方向还分为HCNA、HCNP、HCIE三个级别的认证。当时觉得HCIE离自己很遥远,觉得大学毕业能考下NP就不错了。当我一每天学HCNA的视频,接触到命令行ensp配置的时候,随着一个个协议的详细原理讲解,感觉从以前对网络世界的一无所知,到慢慢知道了某些部分的工作原理。这总感觉特别棒。当HCNA学了2-3遍以后,基本都弄的差不多了后,我在官网上找资料看,百度上搜索资料。HCNP、HCIE资料,那一段时间我又开始疯狂的刷视频,看资料,还记得那个时候是我的学习状态特别好,每次只要一有时间就在学习,陷入一种对知识的渴望和从对未知的探索。每当能掌握一种协议原理后会有中莫名的成就感。后来自己找了其他视频,也看了华为官方网站的视频。HCIE的课程都学完了。 还记得在学习过程中,我感觉最难学的有那么几个协议,BGP、STP、MPLS。这些比较难学的协议会看很多遍,慢慢去一点点理解,去学习每个知识点。最终随着学习的遍数,时间的累加,都会被掌握。随着学习,了解的越来越多,感觉理解力也会提高,很多都是类似的原理。

    大二上学期,9月份报名了软考。大二那个时间,有关计算机的课程基本都没开过。软考要考的很多方面的知识,都是看视频自学。不过当时的备考还是特别轻松,因为学了大半年的华为HCIE数通知识。远远超过了软考中级对网络知识方面要求。只是备考了计算机组成原理、操作系统,软件工程等方面的知识,整个过程不到一个月,中间大部分还是在学习华为认证课程。11月参加了考试,上午选择题,感觉只要涉及到网络的,基本都没问题。失分主要失在了其他知识点上。2017年,下午软考命令行已经由以前的思科命令行换成了华为的命令行。正好是无所学。下午题做的比较轻松。最后顺利通过了这次考试。取得了网络工程师认证。

    我从学长那又拿到了一套完整的HCNP-HCIE视频。决定重新去认真学习一次,把有疑惑的知识点重新去学习清楚。同时对已经会的知识点进行一次巩固与扩展。那套视频很长,讲的特别详细,仅仅一个OSPF协议,讲了二十个小时以上。从大二上学期,10月份开始到大二下下学期三四月份才看完。因为在这中间还学了不少其他方面的知识,参加了好几个比赛。不过这次复习,每学完一个知识点,我会看华为HedEx文档相关内容,并通过参考华为文档资料为主,结合我在听课中的笔记,网上看到的资料,以及平常的实验记录去整理成为一遍遍博客。详细记录每个知识点。通过这种方法,我感觉效率很高,虽然整理博客特别费时间,不过也有很多好。我认为在整理博客资料的过程中比去读一遍效果好很多很多。通过一遍博客的整理,首先可以对整个协议的知识点进行一次梳理,同时可以将学习笔记,和相关知识点,实验记录都可以记录下来,当做以后复习的料。不然随着时间的流量,很多学过的知识点都会被遗忘。所以记录下来感觉好处多多。而且放到网上,不论在哪,只要有网络都能随时便捷的查看。同时也是一种分享,给需要的人可以有点参考。 直到现在,我都会经常返回去看我记录的知识,去复习。同时我也希望能把我学习,成长的过程记录下来。

    在大二,因为一次参加比赛,获取六折的HCNP考试卷,所以很容易的通过了考试,因为每报培训班,没学习过实验,面试部分的知识,没把握去考HCIE,所以当时一直没考。

    到了大三快开学,特别想在大学毕业之前能拿到一个HCIE的认证,成为HCIE之中的一员。决定去报个培训班去学习一个新的方向。最后决定了去考取HCIE安全方向。从2018年9月份到1019年9月9日一次通过HCIE安全认证,用了一年时间。当然中间大部分时间还有其他事情要做,其他方向东西要学习,哈哈。不过在学习HCIE安全的知识的时候,整体感觉还是比较轻松的,有了很好的数通基础,加上其他知识的铺垫。还是比较好学的。不过VPN部分的知识点还是比较难的,尤其第一次学IPSec VPN的报文交互过程,SSL VPN等的报文交互过程,需要搞清楚每个报文中有什么字段,代表什么。整理这部分博客的时候花费了很大时间和精力。当然,收获也是巨大的。哈哈。

    HCIE安全知识点总结:

    在HCIE-Security V1.5版本中,主要考取的知识点有以下几块:

    1. 防火墙部分。

      防火墙部分主要有安全策略,各种NAT技术,双机热备,防火墙用户管理与认证,带宽管理等技术。

    2. VPN部分.

      VPN部分主要有IPSec VPN、SSL VPN、DSVPN、EVPN、GRP over VPN、L2TP VPN等。

    3. AC部分

      AC部分主要就是通过华为的Agile Controller控制器,来实现用户的准入控制技术。主要有典型的:dot1.x认证、portal认证、SACG认证、MAC认证、MAC旁路认证等。

    4. UTM部分

      UTM部分主要涉及到:反病毒AV,入侵防御IPS、文件过滤、邮件过滤、应用行为控制、内容过滤等技术。

    5. 网络攻击部分

      网络攻击主要涉及的抗DDoS攻击的各种原理与防御技术原理。二层安全的一些知识。

    6. IPv6部分。

      IPv6在数通和安全中都用讲到,不过还是数通中考的更多。

    有关HCIE考试的步骤:

    有关考取HCIE认证,是不需要通过HCNA和HCNP认证的也可以直接考取。

    HCIE认证 (Huawei Certified ICT Expert,华为认证ICT专家)是华为认证体系中最高级别的ICT技术认证。

    如果有人想考HCIE还是建议报个培训班,因为培训班的资料比较全。学起来进度也比较快。

    如果准备考取一个HCIE认证,还是建议在平常的课程中踏实学习,勤做比较,多复习,这样在备考阶段会轻松很多,也比较容易一次通过考试。

    HCIE考试,需要通过笔试、实验、面试,都通过才算是通过了这个认证。

    我在5月份底才开始参加的考试。5月24日通过了笔试,7月16通过了实验考试,9月9人通过了面试考试。

    在这里插入图片描述

    图:HCIE成绩通过成绩单

    笔试部分的总结:

    有关笔试考试,就在在一个考场里为期两个小时的机试。笔试应该没人挂的,懂得人都知道。哈哈。不过还是得好好学好理论基础。毕竟考试和学习是两码事情。而通过认证学习后,有了很好的理论基础后,通过考试也是顺带的事情。笔试的话全国都能考。

    实验部分的总结:

    实验考试正常备考期一个月。我当时备考感觉还是很轻松的。实验考试是8个小时。我们平常在做练习的时候只有6个小时。刚开始第一次做lab题,因为对拓扑的不熟悉,6个小时只做了一半题。第二次多了大多半,到第三次的时候已经能够在6个小时内做完了。不过还会有很多小问题。

    随着练习的越来越多,熟练度越来越高,在四次,第五次三个小时内基本就能搞定了。后面的速度就越快了,二个半小时基本可以做完,并且错误很少。

    有关实验备考,最主要的还是重在平常的学习积累,在平常听课过程中按时完成每天的实验作业,多做笔记。其实lab考试就是将很多个平常的小实验组个成一个大实验而已。只要平常的实验做的很好,Lab备考还是很轻松的。在此特别感谢每次给我及时检查作业的朱老师。

    Lab和面试的华为考点:全国现在就有四个,北京、杭州、成都、深圳。我的实验和面试都是在杭州。可以大致介绍下杭州的考试环境:

    杭州的考点是在华为全球培训中心。正常是上午9点到下午5点半。中午12点到12点半吃饭。

    上午8点多到达华为T3大厅后,大概8点半会有人让去考场。到了考场会有小姐姐带领每个人去实验位子上,然后给考生讲解注意事项。到9点基本就开始答题了。敲键盘了。到了12点:就在考场吃华为提供的一份盒饭。完了继续考。

    实验考试只要做完,找小姐姐确认完提交答案后就可以提前离场。我那次下午两点半就离场了。

    面试部分的总结:

    面试的备考期一般都是三个月。因为在考完实验后,必须在三个月内参加一次面试。所以在此期间,需要对以前的知识进行一个复习。这个时候,最主要的就是对各个知识点要有整体的结构认知,然后还要知道每个细节,因为在面试过程中,考官最喜欢追问细节问题。面试的准备还是比较辛苦的,尤其对于上班的人来说,每天学习时间有限。更需要去挤时间。

    我在考完实验后, 就来到北京实习。每次的学习时间也是比较少,大晚上回来时间也不早了,比较累了。平常就在地铁上,有空闲的时间去看面试资料,星期天时间多,可以都利用起来。 在面试过程中,我觉得我的以前学习过程中整理的博客笔记资料也很主要,经常可以看看,加深记忆。然后还需要结合HedEx产品文档去复习。总之,在面试备考期间必须抓住时机去复习。

    因为在参加面试考试的时候是在一台笔记本电脑前,能用的有两个工具,记事本和画图工具。所以在平常复习的时候需要多在电脑上写思路。写需要讲的知识点。

    华为面试形式是会随机抽取三道题,然后给考官讲,考试时间是一个小时。在讲题中间,或者讲完每道题后,考完会进行一些列追问。面试的通过与否很大程度决定于你就给考官讲知识的流利性与完整性。以及对考官追问的回答。

    我的面试过程:

    我的面试地点是杭州。

    1. 面试环境:一间小屋子,四周是摄像头,有个桌子,放一台笔记本电脑。通过录屏的方式分享给远程的面试老师。面试老师一共有两位。刚进去会让自我介绍。然后登陆账号,就会看到三道题。面试官会给两分钟来读题,给出答题顺序。

    2. 抽到的题目。
      因为都会,所以直接按给出的顺序答题。第一道题可以答很长时间。
      (1)简述TCP三次握手,创建会话表的过程。
      (2)IPSec两种场景的NAT穿越问题。
      (3)虚拟防火墙的通信。

    (1)第一题给讲述了TCP三次握手,四次挥手过程。然后给讲了创建会话表过程。但是考官说时间不多,让快点讲,由快速简单说了几点,就不让说了。此时时间10:30了,然后开始提问。

    1. SYN Flood攻击原理。
      我讲了攻击原理,然后和防御方式。要细讲ANti-DDoS防御时,不让讲了。
    2. 防火墙遇到SYN FLood攻击时,会话表有什么特点?
      我说从会话表可以看到SYN协议,老化时间是5s,还有只又进来的包数量统计。会话表会大量增加。
      周老师说这算三点,问还有没,我说不知道了。
      最后考完,点评的时候说还有一个特征是会话表新建速率很高。
    3. 还问了下应用识别。

    (2)讲第二题的时候时间也不多了,快40了。就简单快速说了来两种情况下NAT穿越原理,讲述了主模式和IKEv2下NAT穿越是报文交互过程。和题库差不多。很快就说完了,也没怎么细说。时间问题,一直让快点。讲完快50分了。开始提问:

    1. 让说出在IPSec中,ping时,从IPsec会话从无到有顺序产生的会话。
      我说了 udp500 esp icmp
    2. 让说IPSec排错思路。让大致说,不让细说。
    3. 问NAT-T时,udp4500端口能否改变。
      当时我不知道正确答案,只说了应该能。
    4. 问IPSec中,网络设备(路由器)收到esp报文丢弃后,怎么快速确认是什么原因。
      这个没答好。最后周老师点评的时候说,是防火墙把UDP4500端口被改变会造成网络设备丢弃esp报文。

    (3)答题时已经过了50了。只是很快讲了两台位于虚拟防火墙后面的主机需要互访的配置思路。
    讲了配置命令,思路。就几分钟。有拓扑。有两主机地址。位于不同网段。

    提问:时间问题,只提问了一个问题。
    有关虚拟防火墙的资源分配问题。
    我大致说了下:固定分配的,手工分配的,抢占资源各有哪些。

    3.点评。

    主考官对每道题进行了点评。

    • 第一道说听我讲对流程比较熟悉,大概都能知道。但是缺少对实际部署环境中的思考。考虑问题不深入。
    • 第二道:说通过报文讲解,对原理还是很了解的,都清楚。
    • 第三道:说虚拟防火墙这道题,很基础。很简单,提问的也都说出来了。让周老师点评。

    周老师:主要对前面他的提问回答不完善的给了答案。
    对SYN-Flood攻击是会话表的特征,给了补充回答。
    说了UDP4500端口可以改变,有命令。回答了esp丢包的原因。
    然后就结束了。

    总的来说,运气还不错,抽到的三个题都挺简单。

    主要还是听课好好听,复习的时候每天多看,通过重复性记忆,不断加深记忆与理解。
    不要放弃每一道题。所有题都需要看。不要把通过放在运气上。

    最后,幸运的一次通过了HCIE-Security面试。

    通过HCIE的感想:

    从刚开始的感觉遥不可及,到收到通过消息的那一刻,感触良多。一路走来,学习了很多,也付出了很多,同时收获了很多。

    大学的一个IE梦,终于在即将毕业的前一年实现。也算是一个阶段学习的完美结果。

    想想无数个黑夜,宿舍灯都关了,还在听课、做实验、记笔记。感觉一切都是值得的。当各种节假日,还在苦逼的听课,敲键盘。只能说每一个想要学习的人都会付出很多时间,很多精力。没有什么是很容易就能得到的,想要得到什么,就必须先去付出。

    一个人的学习有时候会感觉很孤独,有时候会很烦躁,但更多的时候,是收获的喜悦,是对一个一个以前不知道,而通过学习后知道了,一种得到知识的兴奋。也是一次次的挑战,以前觉得很难,几乎不可能的事情,但是通过自己的努力也能达到目的。我有时候会听到,会不会很难,我不会怎么办等等。我觉得如果不去尝试,不去动手,那么永远都不会。至于会不会难,有些确实很难,不好理解,但是只要用功夫到了,次数多了,通过积累就会都能理解。通过大学这三年多的学习积累,更多的是对我未来学习的一种很好的积累,扩充了我的知识面,提高了我的快速学习能力。

    我在刚开始学习的时候,有些知识点,会在不同方向的知识都涉及到,有些刚开始也不会,不太懂。但是随着学习,慢慢又会再其他方向的知识学习到旧的知识。通过这样反复的积累,会有种融会贯通的感觉。

    我在学习过程中,也有经常有学的很烦躁的感觉,有时候甚至会很迷茫。有想放弃的感觉。很多时候,每当这个时候,我一听这歌感觉就很有力量,这首歌我听过很多次。【HCIE点亮荣光】。有兴趣的可以听听。


    HCIE点亮荣光
    HCIE点亮荣光


    HCIE点亮荣光MP3


    未来的路还很长:

    我认为考证,只是一个短期的阶段性的目标,通过学习来不断提高自己才是最终目标。考证不是目的,但是却可以通过考证,确立一个短期目标,来起到督促学习的一种效果。

    未来的路还很长,还需要我们不断地提高自己。

    最后来看看HCIE大礼包

    在这里插入图片描述

    图:封在相框的证书

    在这里插入图片描述

    图:纸质证书

    在这里插入图片描述

    图:其他小物件

    在这里插入图片描述

    图:水晶杯

    展开全文
  • 大数据HCIE+

    2019-01-18 15:44:08
    大数据HCIE
  • HCIE LAB 1

    2021-01-04 16:50:39
    2020全新 HCIE3.0 LAB1解法
  • hcie RS教材

    2018-12-11 12:31:22
    hcie的教材和实验手册
  • HCIE资料合集

    2018-01-23 16:47:56
    HCIE资料合集,包含HCIE各知识点的讲解,内容十分详实。
  • HCIE 学习指南

    2018-11-28 10:00:19
    HCIE复习资料,是自学HCIE比较好的一本书,该书的知识点覆盖的还是比较全面的。
  • hcie-storage题库

    2021-03-03 16:37:20
    HCIE-STORAGE题库
  • HCIE数通笔试题库
  • HCIE面试资料

    2018-03-11 23:06:15
    该文档是HCIE面试题库,对华为HCIE-R&S面试有很大的帮助!
  • 最新版华为云计算认证HCIE-CLOUD华为云计算面试宝典题库文档资料
  • HCIE Cloud思维导图

    2020-08-25 22:56:59
    HCIE Cloud思维导图
  • HCIE模拟题

    2018-12-08 10:35:44
    HCIE模拟题,含答案,比较全。
  • HCIE认证

    2019-06-19 14:18:51
    什么是HCIE认证?HCIE(华为认证ICT专家)是华为认证体系中最高级别的认证,旨在打造高含金量的专家级认证,为技术融合背景下的ICT产业提供新的能力标准,以实现华为认证引领ICT行业技术认证,播种ICT行业未来的愿景。...

    什么是HCIE认证?
    HCIE(华为认证ICT专家)是华为认证体系中最高级别的认证,旨在打造高含金量的专家级认证,为技术融合背景下的ICT产业提供新的能力标准,以实现华为认证引领ICT行业技术认证,播种ICT行业未来的愿景。

    HCIE将帮助ICT从业人员精通通用的企业网络组网方案设计能力,灵活运用网络知识,熟练运用华为设备实施企业网络的构建和运行维护。完成HCIE认证的技术专家将具备严谨的逻辑思维判断能力,能够在深刻理解网络技术的基础上进行快速准确的故障定位诊断和网络维护,并且具有丰富的项目经验和资深的专业背景,契合ICT技术融合变革对行业人才的新标准和新要求。

    HCIE技术认证从七大维度,全方位塑造综合技术专家:

    一:企业应用分析能力,主要指对网络进行设计和维护,使网络结构更适用于企业应用;

    二:产品技能,主要考查对产品本身技术特点的掌握,使得在进行网络设计时能够灵活应用产品的相关技能;

    三:协议理解深度,主要指对OSI各层协议的设计原理的理解,有助于在设计网络,实施企业应用时考虑到协议自身的特点;

    四:逻辑思维能力,ICT从业者在对复杂网络进行设计和对故障进行定位时,需要有严谨的逻辑思维能力;

    五:网络故障诊断能力,主要对因协议缺陷、配置错误、网络稳定等问题导致的故障进行定位和排除;

    六:网络架构设计能力,根据企业应用的特点,设计更加优秀的网络,能够更好地支持企业应用及网络升级;

    七:ICT项目的组织能力,除了技术要求,项目组织能力和规划能力也在考察范围内。

    华为认证体系中包含8个HCIE认证,分别是:HCIE-Big Data、HCIE-Enterprise Communication、HCIE-Cloud Computing、HCIE-Data Center、HCIE-Storage、HCIE-Routing & Switching、HCIE-Security、HCIE-Transmission。

    HCIE拥有专属标识, HCIE的专属logo用巧妙的两条科技光线组成印章的双环圆形,简洁明了,极具行业属性,象征着奋斗不止的拼搏精神。

    考试包括三大部分:

    第一部分为笔试,在Prometric(华为认证考试代理机构)考试中心参加,共60道题目。满分1000分,600分通过。

    第二部分为实验考试,在华为参加,目前在深圳、北京、成都、荷兰有HCIE的考场。考试时间为8小时,满分100分,80分通过。

    第三部分为综合面试,实验通过后预约面试,时间必须为实验成绩公布日起90天内。考试时间为1小时。

    其中,笔试部分题型为单选、多选和判断题,答题必须按顺序进行,选择下一题后将不能回到已经做过的试题做修改。认证考试完成之后,现场即可打印成绩报告单并获知考试结果。实验考试需提前30天进行预约和缴费。
    成绩查询。
    结束后会在一周之内收到HCIE实验考试及综合面试成绩通知邮件。

    考试通过后申请HCIE证书,华为在两周之内寄出证书。

    转载于:https://blog.51cto.com/14382976/2410971

    展开全文
  • HCIE考试大纲

    2018-04-12 15:53:06
    清注意这里列出的是HCIE-Enterprise的考试大纲,但不代表HCIE-Enterprise考试不能考查其他知识。该考试大纲代表了我们要求考生至少要掌握一下知识,但考生必须要能够熟练应用这些知识和相关知识点,才能通过HCIE-...
  • HCIE学习资料

    2018-03-22 10:13:13
    HCIE security 学习案例3校园网出口网关配置
  • HCIE复习资料

    2019-01-23 12:53:56
    网络工程师必备文档,包含了几乎所有网络协议及详解,面试H3CIE或HCIE的工程师,必备的资料
  • HCIE实验1.zip

    2021-02-22 13:17:03
    HCIE考试实验
  • hcie——rs复习

    2018-12-09 22:06:36
    想要学习HCIE的可以学习,本资料是HCIE的全部资料,包括HCNA到HCIE的全部知识点
  • 华为题库hcie

    2018-07-22 19:03:33
    为了确保您对ITrenzheng的H12-261权威考试题库学习资料的信任...H12-261 考试是Huawei公司的HCIE-R&S (Written) (Expert - Routing & Switching)认证考试官方代号,您可能还需要参加其他相关考试,详情请点HCIE-R&S认证
  • 华为HCIE复习资料

    2018-06-20 21:48:51
    史上最全的HCIE复习资料;史上最全的HCIE复习资料;史上最全的HCIE复习资料;史上最全的HCIE复习资料;史上最全的HCIE复习资料;
  • HCIE 实验

    2021-04-08 17:32:26
    HCIE 实验LAB1 1、Layer-2 (交换) 1.1 链路聚合 S1 和 S2 之间配置链路聚合,使用手动负载分担模式,基于源目 MAC 地址负载分担。 SW1/2 配置如下命令: interface Eth-Trunk12 Mode manual load-balance load-...

    HCIE 实验LAB1

    1、Layer-2 (交换)

    1.1 链路聚合

    1. S1 和 S2 之间配置链路聚合,使用手动负载分担模式,基于源目 MAC 地址负载分担。
      SW1/2 配置如下命令:
      interface Eth-Trunk12
      Mode manual load-balance
      load-balance src-dst-mac
      Trunkport gi0/0/23
      Trunkport gi0/0/24
      Quit
      验证命令:Display eth-trunk

    1.2 链路类型

    1. S1/S2/S3/S4 互联接口的链路类型是 Trunk,允许除 VLAN1 以外的所有 VLAN 通过。
      SW1/2 配置如下命令:
      Port-group group-member gi0/0/1 gi0/0/12 eth-trunk 12
      Port link-type trunk
      Port trunk allow-pass vlan all
      Undo port trunk allow-pass vlan 1
      Quit
      SW3/4 配置如下命令:
      Port-group group-member gi0/0/1 gi0/0/2
      Port link-type trunk
      Port trunk allow-pass vlan all
      Undo port trunk allow-pass vlan 1
      Quit

    2. CE1、CE2 的 VRRP 虚拟 IP 地址为 10.3.1.254,为 PC1 的网关。CE1 会周期性的发送源 IP 地址为 10.3.1.254、源 MAC 为 00-00-5E-00-01-01 的免费 ARP。PC-1 与网关之间的数据 包封装在 VLAN10 中(PC-1 收发的数据是没有标签的帧)。 (说明CE1 为VLAN10 的主网关,vrid为1)

    3. CE1、CE2 的 VRRP 虚拟 IP 地址为 10.3.2.254,为 Server1 的网关。CE2 会周期性的发送 源 IP 地址为 10.3.2.254、源 MAC 为 00-00-5E-00-01-02 的免费 ARP。Server-1 与网关之间 的数据包封装在 VLAN20 中(Server1 收发的数据是没有标签的帧)。(说明CE2 为VLAN20 的主网关,vrid为2)
      @在 SW1/2/3/4 上,创建 VLAN 10/20:
      Vlan batch 10 20
      @将终端设备加入到特定的 vlan
      SW3:
      Interface eth0/0/1
      Port link-type access
      Port default vlan 10
      Quit
      SW4:
      Interface eth0/0/1
      Port link-type access
      Port default vlan 20
      Quit
      @将 CE1/2 连接到交换机上:
      SW1:(将与 CE1 互联的接口配置为 trunk)
      Interface gi0/0/2
      Port link-type trunk
      Port trunk allow-pass vlan all
      Quit
      SW2:(将与 CE2 互联的接口配置为 trunk)
      Interface gi0/0/2
      Port link-type trunk
      Port trunk allow-pass vlan all
      Quit
      CE1:(配置每个 vlan 的子接口) ,配置 VRRP - VLAN 10 。
      Interface gi0/0/2.10
      dot1q termination vid 10
      arp broadcast enable
      ip address 10.3.1.1 255.255.255.0
      Quit
      Interface gi0/0/2.20
      dot1q termination vid 20
      arp broadcast enable
      ip address 10.3.2.1 255.255.255.0
      Quit
      CE1 的配置(VLAN10 的主网关)
      interface GigabitEthernet0/0/2.10
      vrrp vrid 1 virtual-ip 10.3.1.254
      vrrp vrid 1 priority 120
      Quit
      CE1 的配置(VLAN20 的备份网关)
      interface GigabitEthernet0/0/2.20
      vrrp vrid 2 virtual-ip 10.3.2.254
      quit
      CE2:(配置每个 vlan 的子接口) ,配置 VRRP - VLAN 20 。
      Interface gi0/0/2.10
      dot1q termination vid 10
      arp broadcast enable
      ip address 10.3.1.2 255.255.255.0
      Quit
      Interface gi0/0/2.20
      dot1q termination vid 20
      arp broadcast enable
      ip address 10.3.2.2 255.255.255.0
      Quit
      CE2 的配置(VLAN20 的主网关)
      interface GigabitEthernet0/0/2.20
      vrrp vrid 2 virtual-ip 10.3.2.254
      Vrrp vrid 2 priority 120
      quit
      CE2 的配置(VLAN10 的备份网关)
      interface GigabitEthernet0/0/2.10
      vrrp vrid 1 virtual-ip 10.3.1.254
      quit
      @验证命令: Display vrrp brief

    4. VRRP 的 master 设备重启时,Gi0/0/2 变为 UP 状态 1 分钟后,才能重新成为 master。
      在 CE1 的配置命令:
      Interface gi0/0/2.10
      vrrp vrid 1 preempt-mode timer delay 60
      Quit
      在 CE2 的配置命令: I
      Interface gi0/0/2.20
      vrrp vrid 2 preempt-mode timer delay 60
      quit
      1.3MSTP(多生成树协议)

    5. S1/S2/S3/S4 都运行 MSTP。VLAN10 在 instance 10 中,S1 作为 Primary Root,S2 作为 Secondary Root。VLAN20 在 instance 20 中,S2 作为 Primary Root,S1 作为 Secondary Root。 MSTP 的 Region name 是 HUAWEI,Revision-level 为 12。
      SW1/2/3/4 配置命令:
      Stp mode mstp
      stp region-configuration
      region-name HUAWEI
      revision-level 12
      instance 10 vlan 10
      instance 20 vlan 20
      active region-configuration
      Quit
      SW1 配置 VLAN10 的根/备份根交换机:
      Stp instance 10 root primary
      Stp instance 20 root secondary
      SW2 配置 VLAN20 的根/备份根交换机:
      Stp instance 20 root primary
      Stp instance 10 root secondary

    6. 除了交换机互联的接口,其他接口要确保不参与 MSTP 计算,由 disabled 状态直接转 到 Forwarding 状态.
      SW1/2/3/4 的配置命令:
      stp edged-port default -> 将每个设备的所有接口都开启“边缘端口”特性
      接下来,需要将 SW 之间的互联接口,关闭掉边缘端口特性:
      SW1/2:(SW 之间的互联接口)
      Port-group group-member gi0/0/1 gi0/0/12 eth-trunk 12
      undo stp edged-port
      SW3/4:(SW 之间的互联接口)
      Port-group group-member gi0/0/1 gi0/0/2
      undo stp edged-port
      1.4WAN(广域网)

    7. PE1-RR1 之间的互联接口为 serial 接口,绑定为一个逻辑接口,成员链路采用的是 HDLC 协议。逻辑接口的 IPv4 地址和 IPv6 地址,请按照图 1、图 5 配置。(除了PE1-RR1之外都已经预配完成)

    PE1 的配置命令:
    Interface serial 0/0/0
    Link-protocol hdlc
    Y
    Quit
    Interface serial 0/0/1
    Link-protocol hdlc
    Y
    Quit
    Interface ip-trunk 13
    Trunkport serial 0/0/0
    Trunkport serial 0/0/1
    Ip address 10.1.13.1 30
    Quit
    RR1 的配置命令:
    Interface serial 0/0/0
    Link-protocol hdlc
    Y
    Quit
    Interface serial 0/0/1
    Link-protocol hdlc
    Y
    Quit
    Interface ip-trunk 13
    Trunkport serial 0/0/0
    Trunkport serial 0/0/1
    Ip address 10.1.13.2 30
    Quit
    2. PE3-CE3 之间的互联接口是 POS 接口,绑定为一个逻辑接口,成员链路采用的是 PPP 协议。逻辑接口的 IPv4 地址,请按照图 1 配置。(除了PE3-CE3之外都已经预配完成)
    在 PE3 上配置命令:
    Interface mp-group 0/0/1
    Ip address 10.2.33.2 30
    Quit
    Interface pos 4/0/0
    Link-protocol ppp
    Ppp mp mp-group 0/0/1
    Quit
    Interface pos 6/0/0
    Link-protocol ppp
    Ppp mp mp-group 0/0/1
    Quit
    在 CE3 上配置命令:
    Interface mp-group 0/0/1
    Ip address 10.2.33.1 30
    Quit
    Interface pos 4/0/0
    Link-protocol ppp
    Ppp mp mp-group 0/0/1
    Quit
    Interface pos 6/0/0
    Link-protocol ppp
    Ppp mp mp-group 0/0/1
    Quit
    验证命令: Display ppp mp Ping x.x.x.x (10.2.33.1 10.2.33.2)

    2、IGP(IPv4)

    2.1 基本配置 1. 所有设备的接口 IPv4 地址,按照图 1 配置。(除 PE1-RR1 的逻辑接口外,该地址已预配) 2. Router-id 与Loopback0 的 IPv4 地址相同。MPLS 域中各设备的Loopback0为 172.16.0.0/32 的主机地址(已预配置)。未来扩展的 MPLS 域个设备的 Loopback0,从 172.16.0.0/16 中 取可用的主机地址。比如 172.16.1.21/32 可能在 AS100,也可能在 AS200。
    2.2OSPF

    1. CE1 和 CE2 之间的链路,以及该设备的 Loopback0,已经通告进入 OSPF 区域 0(已预配)
    2. CE1 的 Gi0/0/2.10 和 Gi0/0/2.20,CE2 的 Gi0/0/2.10 和 Gi0/0/2.20,直连网段宣告进入 OSPF 区域 0,但这些接口不能收发 OSPF 报文。(CE1 CE2 的子接口要配置成静默接口)
      CE1 的配置:
      ospf 1
      silent-interface GigabitEthernet0/0/2.10
      silent-interface GigabitEthernet0/0/2.20
      area 0.0.0.0
      network 10.3.1.1 0.0.0.0
      network 10.3.2.1 0.0.0.0
      Quit
      CE2 的配置:
      ospf 1
      silent-interface GigabitEthernet0/0/2.10
      silent-interface GigabitEthernet0/0/2.20
      area 0.0.0.0
      network 10.3.1.2 0.0.0.0
      network 10.3.2.2 0.0.0.0
      Quit
    3. PE3-PE4 的 OSPF 链路类型为 P2P。
      PE3/4 的配置命令:
      Interface gi0/0/0
      Ospf network-type p2p
      q
    4. PE4上将Loopback0 地址引入 OSPF。AS 200 中,各OSPF网元到PE4 Loopback0的路由, 要包含内部 cost。(因为之需要引入Loopback0到OSPF,所以要加入一个策略)(direct 回环口地址)
      PE4 的配置命令:
      Ip ip-prefix 1 permit 172.16.1.2 32
      Route-policy LOOP32 permit node 10
      If-match ip-prefix 1
      Quit
      Ospf 1
      Import-route direct route-policy LOOP32 type 1
      2.3ISIS
    5. AS 100 内各设备的 Loopback0 和互联接口全部开启 ISIS 协议,其中 PE1、PE2 路由器类 型为 L1,区域号为 49.0001;RR1 和 P1 路由器类型为 L1/2,区域号为 49.0001;ASBR1 和 ASBR2 的路由器类型为 L2,区域号为 49.0002。各网元 System-ID 唯一,cost-style 为 wide ;cost 值如图 2 配置(除 PE1-RR1 之间的逻辑接口外,其他已预配置)
      PE1:
      Interface ip-trunk 13
      Isis enable 1
      Isis cost 1500
      q
      RR1:
      Interface ip-trunk 13
      Isis enable 1
      Isis cost 1500
      q
    6. RR2-P2 之间的 ISIS 链路类型为 P2P。
      RR2/P2 的配置命令:
      Interface gi0/0/0
      Isis circuit-type p2p
      q
      注意:
      在 AS 100 中,我们需要在 RR1 和 P1 上面,将 L2 的路由,泄露到 L1 区域; 目的是为了实现后面的 MPLS-VPN 需求中的“总部与分部”的网段之间的数据包的互通。(为了后面的实验记得要做!)
      RR1/P1:
      Isis 1
      Import-route isis level-2 into level-1
    7. 在 RR2、P2 上,ISIS 和 OSPF 双向引入前缀为 172.16.0.0/16 的主机路由。被引入的协 议的 cost 要继承到引入后的协议中,P2 和 PE4 的 Loopback0 的互相访问要走最优路径。 配置要求有最好的扩展性。(重点)
      RR2 配置命令: (OSPF->ISIS) 【逆时针环路】
      Ip ip-prefix 32 permit 172.16.0.0 16 greater-equal 32 less-equal 32
      Route-policy OSPF-ISIS deny node 5
      If-match tag 200 (拒绝掉 标签200的数据)
      Quit
      Route-policy OSPF-ISIS permit node 10
      If-match ip-prefix 32 (OSPF进ISIS的时候给自己的数据打上100的标签)
      Apply tag 100
      Quit
      Isis 1
      Import-route ospf 1 inherit-cost route-policy OSPF-ISIS
      RR2 的配置:(ISIS->OSPF)【顺时针环路】
      Route-policy ISIS-OSPF deny node 5
      If-match tag 400
      Quit
      Route-policy ISIS-OSPF permit node 10
      If-match ip-prefix 32
      Apply tag 300
      Quit
      Ospf 1
      Import-route isis 1 type 1 route-policy ISIS-OSPF
      Default cost inherit-metric
      P2 配置命令:(ISIS->OSPF) 【逆时针环路】
      Ip ip-prefix 32 permit 172.16.0.0 16 greater-equal 32 less-equal 32
      Route-policy ISIS-OSPF deny node 5
      If-match tag 100
      Quit
      Route-policy ISIS-OSPF permit node 10
      If-match ip-prefix 32
      Apply tag 200
      Quit
      Ospf 1
      Import-route isis 1 type 1 route-policy ISIS-OSPF
      Default cost inherit-metric
      P2 的配置:(OSPF-ISIS) 【顺时针环路】
      Route-policy OSPF-ISIS deny node 5
      If-match tag 300
      Quit
      Route-policy OSPF-ISIS permit node 10
      If-match ip-prefix 32
      Apply tag 400
      Quit
      Isis 1
      import-route ospf 1 inherit-cost route-policy OSPF-ISIS

    现在解决的是:数据转发的次优路径问题。
    RR2:
    Route-policy P150 permit node 10
    If-match tag 200
    Apply preference 150
    Quit
    Ospf 1
    Preference ase 10 route-policy P150
    P2:
    Route-policy P150 permit node 10
    If-match tag 300
    Apply preference 150
    Quit
    Ospf 1
    Preference ase 10 route-policy P150
    q

    1. P1 的 ISIS 进程:产生 LSP 的最大延迟时间是 1s,初始延迟是 50ms,递增时间为 50ms; 使能 LSP的快速扩散特性;SPF计算最大延迟为 1s,初始延迟为 100ms,递增时间为 100ms;
      P1 的配置命令:
      Isis 1
      Timer lsp-generation 1 50 50
      Timer spf 1 100 100
      Flash-flood

    3、MPLS VPN

    1. CE1、CE2 为 VPN1 的 Hub-CE,PE1、PE2 为 Hub-PE;CE3、CE4 为 VPN1 的 Spoke 站点; PE3、PE4 为 Spoke-PE。

    2. CE4 为 Multi-VPN-instance CE,CE4 的 VPN 实例 VPN1,通过 Gi0/0/1 【考试时,用的是子接口,一定要记得开启 ARP 广播功能与后面 CE1-PE1相似】 连接 PE4。
      CE4 的配置命令: (考试时候,PE4-CE4 之间使用的是子接口,到时注意开启 ARP 广播)
      Ip vpn-instance VPN1
      Route-distinguisher 100:14
      Quit
      Interface gi0/0/1
      Ip binding vpn-instance VPN1
      Ip address 10.2.41.1 30
      Quit
      Interface loopback 0
      Ip binding vpn-instance VPN1
      Ip address 172.17.1.4 32
      Quit
      Interface loopback 1
      Ip binding vpn-instance VPN1
      Ip address 10.3.3.34 32
      Quit

    3. 合理配置 VPN1 参数,使得 Spoke 站点互访的流量必须经过 Hub-CE 设备。当 CE1-PE1 链 路断开的情况下,PE1 仍然可以学习到 CE1 的业务路由。( PE3 上的 VPN1 的 RD 为 100:13, Export RT 为 100:1,Import RT 为 200:1)。
      解析:
      整个网路中的 VPN 的实例的名字,都是叫做 VPN1,并且只有 PE3 上面明确规定了 RD 和 RT ,通过对这个 VPN1 的理解,可以推导出 PE1/2/4 上面的 RT,但是 RD 在每个设 备上都是随意设置的。(只有 PE3 明确规定了,但是不建议大家随意修改,都按照解法来)
      接下来,在 PE1/2 上面分别创建两个 VPN 实例:VPN1_IN 和 VPN1_OUT,在 PE1/2 上 面分别用于接收 分支站点 CE3/4 发送过来的路由,以及用于将总部的路由发送给 CE3/CE4。(import 接收 export 发出)
      PE1 的配置命令:
      Ip vpn-instance VPN1_IN
      Route-distinguisher 100:10
      Vpn-target 100:1 import-extcommunity
      Vpn-target 300:1 import-extcommunity
      Quit
      Ip vpn-instance VPN1_OUT
      Route-distinguisher 100:12
      Vpn-target 200:1 export-extcommunity
      Vpn-target 400:1 import-extcommunity
      Quit
      PE2 的配置命令:
      Ip vpn-instance VPN1_IN
      Route-distinguisher 100:11
      Vpn-target 100:1 import-extcommunity
      Vpn-target 300:1 export-extcommunity
      Quit
      Ip vpn-instance VPN1_OUT
      Route-distinguisher 100:15
      Vpn-target 200:1 export-extcommunity
      Vpn-target 400:1 export-extcommunity
      Quit
      PE3 的配置命令:
      Ip vpn-instance VPN1
      Route-distinguisher 100:13
      Vpn-target 100:1 export-extcommunity
      Vpn-target 200:1 import-extcommunity
      Quit
      interface Mp-group0/0/1
      ip binding vpn-instance VPN1
      ip address 10.2.33.2 255.255.255.252
      Quit
      PE4 的配置命令:
      Ip vpn-instance VPN1
      Route-distinguisher 100:14
      Vpn-target 100:1 export-extcommunity
      Vpn-target 200:1 import-extcommunity
      Quit
      Interface gi0/0/1
      Ip binding vpn-instance VPN1
      Ip address 10.2.41.2 30
      Quit

    4. 如图 4,CE1 通过 Gi0/0/1.1 和 Gi0/0/1.2 建立直连 EBGP 邻居,接入 PE1。CE1 通过 Gi0/0/1.2 向 PE1 通告的 BGP update 中,某些路由的 as-path 中有 200。在 CE1 上将 OSPF 路由导入 BGP。
      解析:
      经过题意的分析,我们知道 CE1 通过 gi0/0/1.2 接口向 PE1 发送 BGP 路由,通过 gi0/0/1.1 接口从 PE1 接收其他 分支站点的路由。所以,在 PE1 上面,gi0/0/1.1 接口应该 属于 VPN1_IN ,gi0/0/1.2 接口应该属于 VPN1_OUT。
      PE1 的配置命令:
      Interface gi0/0/1.1
      Ip binding vpn-instance VPN1_IN
      Ip address 10.2.11.2 30
      Arp broadcast enable
      Quit
      Interface gi0/0/1.2
      Ip binding vpn-instance VPN1_OUT
      Ip address 10.2.11.6 30
      Arp broadcast enable
      Quit
      Bgp 100
      Ipv4-family vpn-instance VPN1_IN
      Peer 10.2.11.1 as-number 65000
      Quit
      Ipv4-family vpn-instance VPN1_OUT
      Peer 10.2.11.5 as-number 65000
      Peer 10.2.11.5 allow-as-loop
      Quit
      CE1 的配置命令:
      Interface gi0/0/1.1
      Arp broadcast enable
      Quit
      Interface gi0/0/1.2
      Arp broadcast enable
      Quit
      Bgp 65000
      Peer 10.2.11.2 as-number 100
      Peer 10.2.11.6 as-number 100
      Import-route ospf 1 med 0
      q

    5. CE2 通过 Gi0/0/1.1 和 Gi0/0/1.2 建立直连 EBGP 邻居,接入 PE2。CE2 通过 Gi0/0/1.2 向 PE2 通告的 BGP update 中,某些路由的 as-path 中有 200。在 CE2 上,将 OSPF 路由导入 BGP。
      PE2 的配置命令:
      Interface gi0/0/1.1
      Ip binding vpn-instance VPN1_IN
      Ip address 10.2.22.2 30
      Arp broadcast enable
      Quit
      Interface gi0/0/1.2
      Ip binding vpn-instance VPN1_OUT
      Ip address 10.2.22.6 30
      Arp broadcast enable
      Quit
      Bgp 100
      Ipv4-family vpn-instance VPN1_IN
      Peer 10.2.22.1 as-number 65000
      Quit
      Ipv4-family vpn-instance VPN1_OUT
      Peer 10.2.22.5 as-number 65000
      Peer 10.2.22.5 allow-as-loop
      Quit
      CE2 的配置命令:
      Interface gi0/0/1.1
      Arp broadcast enable
      Quit
      Interface gi0/0/1.2
      Arp broadcast enable
      Quit
      Bgp 65000
      Peer 10.2.22.2 as-number 100
      Peer 10.2.22.6 as-number 100
      Import-route ospf 1 med 0
      q

    6. CE3 通过 OSPF 区域 1 接入 PE3,通过 PE3–CE3 的逻辑接口互通,宣告 CE3 的各回环口; CE4 通过 OSPF 区域 0 接入 PE4,通过 PE4-CE4 的 Gi0/0/1 的接口互通,通过 CE4 的各接口。
      PE3 的 VPN1 启用 OSPF 协议:
      Ospf 2 vpn-instance VPN1
      Area 1
      Network 10.2.33.2 0.0.0.0
      Quit
      Quit
      CE3 的 OSPF 协议:
      Ospf 2
      Area 1
      Network 10.2.33.1 0.0.0.0
      Network 172.17.1.3 0.0.0.0
      Network 10.3.3.3 0.0.0.0
      Quit
      Quit
      PE4 的 VPN1 的配置,并启用 OSPF 协议:
      Ip vpn-instance VPN1
      Route-distinguisher 100:14
      Vpn-target 100:1 export-extcommunity
      Vpn-target 200:1 import-extcommunity
      Quit
      Interface gi0/0/1
      Ip binding vpn-instance VPN1
      Ip address 10.2.41.2 30
      Quit
      Ospf 2 vpn-instance VPN1
      Area 0
      Network 10.2.41.2 0.0.0.0
      Quit
      CE4 的 OSPF 协议:
      Ospf 2 vpn-instance VPN1
      Vpn-instance-capability simple
      Area 0
      Network 10.2.41.1 0.0.0.0
      Network 10.3.3.4 0.0.0.0
      Network 172.17.1.4 0.0.0.0
      Quit

    7. 如图 4,在 AS 100、AS 200 内建立 IBGP IPv4 邻居关系:RR1 是 PE1/PE2/P1/ASBR1/ASBR2 的反射器;RR2 是 PE3/PE4/P2/ASBR3/ASBR4 的反射器;ASBR1–ASBR3、ASBR2–ASBR4 建立 EBGP IPv4 邻居关系。(已预配)
      解析:
      注意,在考试过程中,AS 100 和 AS 200 内部的,以及 AS 之间的 IPv4 的 BGP 邻居关系, 都已经配置完成了,并且没有错误。我们需要做的,仅仅是需要“查看一下每个 BGP 邻居 是否正常建立。一般都是正常“建立”的状态”。

    8. 在 ASBR 上,将 ISIS 的 Loopback0 路由引入 BGP。
      解析:
      注意,我们做完这个需求的主要目的是为让 RR1 和 RR2,能够互相学习到对方的 Loopback 0 的路由条目,为的就是可以在 RR1 和 RR2 之间建立 VPNv4 的 EBGP 邻居关系。
      AS100 的回环口路由进入到 AS200:( ASBR1–>ASBR3)
      ASBR1 上面的配置:
      Ip ip-prefix 32 permit 172.16.1.1 32
      Ip ip-prefix 32 permit 172.16.1.3 32
      Ip ip-prefix 32 permit 172.16.1.4 32
      Ip ip-prefix 32 permit 172.16.1.5 32
      Ip ip-prefix 32 permit 172.16.1.6 32
      Ip ip-prefix 32 permit 172.16.1.20 32
      Route-policy ISIS-BGP permit node 10
      If-match ip-prefix 32
      Quit
      Bgp 100
      Import-route isis 1 route-policy ISIS-BGP
      q
      AS100 的回环口路由进入到 AS200:( ASBR2–>ASBR4)
      ASBR2 上面的配置:
      Ip ip-prefix 32 permit 172.16.1.1 32
      Ip ip-prefix 32 permit 172.16.1.3 32
      Ip ip-prefix 32 permit 172.16.1.4 32
      Ip ip-prefix 32 permit 172.16.1.5 32
      Ip ip-prefix 32 permit 172.16.1.6 32
      Ip ip-prefix 32 permit 172.16.1.20 32
      Route-policy ISIS-BGP permit node 10
      If-match ip-prefix 32
      Quit
      Bgp 100
      Import-route isis 1 route-policy ISIS-BGP
      Quit
      AS200 的回环口路由进入到 AS100:( ASBR3–>ASBR1)
      ASBR3 上面的配置:
      Ip ip-prefix 32 permit 172.16.1.7 32
      Ip ip-prefix 32 permit 172.16.1.8 32
      Ip ip-prefix 32 permit 172.16.1.9 32
      Ip ip-prefix 32 permit 172.16.1.10 32
      Ip ip-prefix 32 permit 172.16.1.11 32
      Ip ip-prefix 32 permit 172.16.1.2 32
      Route-policy ISIS-BGP permit node 10
      If-match ip-prefix 32
      Quit
      Bgp 200
      Import-route isis 1 route-policy ISIS-BGP
      Quit
      AS200 的回环口路由进入到 AS100:( ASBR4–>ASBR2)
      ASBR4 上面的配置:
      Ip ip-prefix 32 permit 172.16.1.7 32
      Ip ip-prefix 32 permit 172.16.1.8 32
      Ip ip-prefix 32 permit 172.16.1.9 32
      Ip ip-prefix 32 permit 172.16.1.10 32
      Ip ip-prefix 32 permit 172.16.1.11 32
      Ip ip-prefix 32 permit 172.16.1.2 32
      Route-policy ISIS-BGP permit node 10
      If-match ip-prefix 32
      Quit
      Bgp 200
      Import-route isis 1 route-policy ISIS-BGP
      Quit
      注意!
      即使现在的两个回环接口可以互相访问,但是在 RR1 和 RR2 之间的 MP-EBGP 邻居关 系,依然存在问题:MP-EBGP 邻居可以建立,但是 VPNv4 路由是不会互相传递的。
      原因: 因为 VPNv4 路由的下一跳都是对端的 Loopback 0 接口 IP 地址,而这些地址在本地设 备上都是 BGP 路由,但是这些 BGP 路由是没有标签的。所以导致已经建立好的 RR1-RR2 之间的 MP-EBGP 邻居关系是不会进行 VPNv4 路由传递的。
      所以,接下来需要在 AS100 和 AS200 的 ASBR 之间进行传递 IPv4 路由的时候,配置 MPLS-Lable 。( label-route-capability 用来使能发送标签路由能力)
      AS100 - AS 200 : (ASBR1—ASBR3)
      ASBR1:
      Route-policy ASBR1-ASBR3 permit node 10
      Apply mpls-label
      Quit
      Bgp 100
      Peer 10.1.57.2 route-policy ASBR1-ASBR3 export
      Peer 10.1.57.2 label-route-capability
      Quit
      ASBR3:
      Route-policy ASBR3-RR2 permit node 10
      If-match mpls-label
      Apply mpls-label
      Quit
      Bgp 200
      Peer 172.16.1.9 route-policy ASBR3-RR2 export
      Peer 172.16.1.9 label-route-capability
      RR2:
      Bgp 200
      Peer 172.16.1.7 label-route-capability
      q
      AS100 - AS 200 : (ASBR2—ASBR4)
      ASBR2:
      Route-policy ASBR2-ASBR4 permit node 10
      Apply mpls-label
      Quit
      Bgp 100
      Peer 10.1.68.2 route-policy ASBR2-ASBR4 export
      Peer 10.1.68.2 label-route-capability
      Quit
      ASBR4:
      Route-policy ASBR4-RR2 permit node 10
      If-match mpls-label
      Apply mpls-label
      Quit
      Bgp 200
      Peer 172.16.1.9 route-policy ASBR4-RR2 export
      Peer 172.16.1.9 label-route-capability
      RR2:
      Bgp 200
      Peer 172.16.1.8 label-route-capability
      q
      AS200 - AS 100 : (ASBR3—ASBR1)
      ASBR3:
      Route-policy ASBR3-ASBR1 permit node 10
      Apply mpls-label
      Quit
      Bgp 200
      Peer 10.1.57.1 route-policy ASBR3-ASBR1 export
      Peer 10.1.57.1 label-route-capability
      Quit
      ASBR1:
      Route-policy ASBR1-RR1 permit node 10
      If-match mpls-label
      Apply mpls-label
      Quit
      Bgp 100
      Peer 172.16.1.3 route-policy ASBR1-RR1 export
      Peer 172.16.1.3 label-route-capability
      RR1:
      Bgp 100
      Peer 172.16.1.5 label-route-capability
      q
      AS200 - AS 100 : (ASBR4—ASBR2)
      ASBR4:
      Route-policy ASBR4-ASBR2 permit node 10
      Apply mpls-label
      Quit
      Bgp 200
      Peer 10.1.68.1 route-policy ASBR4-ASBR2 export
      Peer 10.1.68.1 label-route-capability
      Quit
      ASBR2:
      Route-policy ASBR2-RR1 permit node 10
      If-match mpls-label
      Apply mpls-label
      Quit
      Bgp 100
      Peer 172.16.1.3 route-policy ASBR2-RR1 export
      Peer 172.16.1.3 label-route-capability
      RR1:
      Bgp 100
      Peer 172.16.1.6 label-route-capability
      q
      同时,我们需要在 RR1 和 RR2 上,对其他的客户端也要配置 label-route-capability
      RR1:
      Bgp 100
      Peer 172.16.1.1 label-route-capability
      Peer 172.16.1.20 label-route-capability
      Peer 172.16.1.4 label-route-capability
      PE1/PE2/P1:
      Bgp 100
      Peer 172.16.1.3 label-route-capability
      RR2:
      Bgp 200
      Peer 172.16.1.10 label-route-capability
      Peer 172.16.1.11 label-route-capability
      Peer 172.16.1.2 label-route-capability
      PE3/PE4/P2:
      Bgp 200
      Peer 172.16.1.9 label-route-capability
      另外,我们需要在 ASBR 之间的链路上启用 MPLS : ASBR1/2/3/4:
      Interface gi0/0/2
      Mpls
      Q
      到此时为止,RR1 和 RR2 之间的回环口应该是可以互相访问的 【ping -a 172.16.1.3 172.16.1.9,测试应该是通的】

    9. 如图 3,AS 100、AS 200 内各网元配置 MPLS LSR-ID,全局使能 MPLS,MPLS LDP(预配)。 AS100、AS200 内各直连链路建立 LDP 邻居(除 PE1-RR1 之间的链路外,其他已预先配置)。
      解析:
      注意,关于每个 AS 内部的 MPLS 和 MPLS-LDP 都已经配置完成了。我们需要做的仅仅配 置 AS 100 内的 PE1–RR1 之间的虚拟链路:
      PE1/RR1:
      Interface ip-trunk 13
      Mpls
      Mpls ldp
      Quit

    10. 如图 4,各站点通过 MPLS BGP VPN 跨域 Option C 方案 1,能够互相学习路由。MPLS 域 不能出现次优路径。

    解析:
    首先,我们需要在 RR1 和 RR2 之间建立 VPNv4 BGP 邻居(不需要 IPv4 BGP 邻居)难点 (Undo policy vpn-target 关闭RT的过滤功能) 建立vpnv4邻居关系一定要关闭ipv4的!
    RR1 的配置:
    Bgp 100
    Peer 172.16.1.9 as-number 200
    Peer 172.16.1.9 connect-interface loopback 0
    Peer 172.16.1.9 ebgp-max-hop
    Ipv4-family vpnv4
    Peer 172.16.1.9 enable
    Undo policy vpn-target
    Quit
    Ipv4-family unicast
    Undo peer 172.16.1.9 enable
    Quit
    RR2 的配置:
    Bgp 200
    Peer 172.16.1.3 as-number 100
    Peer 172.16.1.3 connect-interface loopback 0
    Peer 172.16.1.3 ebgp-max-hop
    Ipv4-family vpnv4
    Peer 172.16.1.3 enable
    Peer 172.16.1.3 allow-as-loop
    Undo policy vpn-target
    Quit
    Ipv4-family unicast
    Undo peer 172.16.1.3 enable
    Quit
    其次,需要在 RR 和 PE 之间建立 VPNv4 BGP 邻居关系(reflect-client 指定自己的反射客户端)
    RR1 的配置:
    Bgp 100
    Ipv4-family vpnv4
    Peer 172.16.1.1 enable
    Peer 172.16.1.1 reflect-client
    Peer 172.16.1.20 enable
    Peer 172.16.1.20 reflect-client
    Peer 172.16.1.4 enable
    Peer 172.16.1.4 reflect-client
    Peer 172.16.1.5 enable
    Peer 172.16.1.5 reflect-client
    Peer 172.16.1.6 enable
    Peer 172.16.1.6 reflect-client
    Quit
    PE1/PE2/P1/ASBR1/ASBR2:
    Bgp 100
    Ipv4-family vpnv4
    Peer 172.16.1.3 enable
    RR2 的配置:
    Bgp 200
    Ipv4-family vpnv4
    Peer 172.16.1.11 enable
    Peer 172.16.1.11 reflect-client
    Peer 172.16.1.2 enable
    Peer 172.16.1.2 reflect-client
    Peer 172.16.1.7 enable
    Peer 172.16.1.7 reflect-client
    Peer 172.16.1.8 enable
    Peer 172.16.1.8 reflect-client
    Peer 172.16.1.10 enable
    Peer 172.16.1.10 reflect-client
    Quit
    PE3/PE4/P2/ASBR3/ASBR4:
    Bgp 200
    Ipv4-family vpnv4
    Peer 172.16.1.9 enable
    再次,在 PE 上将从 CE 学习过来的路由,导入到 MP-BGP 协议
    PE3 的配置:
    Bgp 200
    Ipv4-family vpn-instance VPN1
    Import-route ospf 2
    Quit
    PE4 的配置:
    Bgp 200
    Ipv4-family vpn-instance VPN1
    Import-route ospf 2
    Quit
    最后,将从总部 PE 学习过来的路由,导入到分部的 PE-CE 之间的 OSPF 协议中
    PE3 的配置:
    Ospf 2
    Import-route bgp
    PE4 的配置:
    Ospf 2
    Import-route bgp
    CE4 的配置:
    Ospf 2
    Vpn-instance-capability simple
    Quit
    验证:用CE3 ping -a 172.17.1.3 172.17.1.4 display ip routing-table vpn-instance VPN1(CE4上查
    看路由)

    注意:
    关于总部的 PE-CE 之间的路由传递是不需要手动导入的,因为总部的 PE-CE 之间的路由协议是 BGP 协议,PE 会将从总部 CE 学习过来的 BGP 路由,自动的导入到总部 连接的 PE 中。
    为了让分部与总部之间的数据,在 MPLS 域内转发的时候没有转发的次优路径, 我们需要确保 MPLS-VPN 路由,在传递过程中,是不能更改下一跳 IP 地址的。 所以我们需要在所有的 MPLS-VPN 邻居关系之间配置: 下一跳 IP 地址不变 的特性。
    AS100:
    RR1:
    BGP 100
    ipv4-family vpnv4
    Peer 172.16.1.1 next-hop-invariable
    Peer 172.16.1.4 next-hop-invariable
    Peer 172.16.1.5 next-hop-invariable
    Peer 172.16.1.6 next-hop-invariable
    Peer 172.16.1.20 next-hop-invariable
    Peer 172.16.1.9 next-hop-invariable
    AS200:
    RR2:
    BGP 200
    ipv4-family vpnv4
    Peer 172.16.1.7 next-hop-invariable
    Peer 172.16.1.8 next-hop-invariable
    Peer 172.16.1.10 next-hop-invariable
    Peer 172.16.1.11 next-hop-invariable
    Peer 172.16.1.2 next-hop-invariable
    Peer 172.16.1.3 next-hop-invariable
    验证:CE3 tracert -a 172.17.1.3 172.17.1.4

    1. CE1-PE1 之间链路断开,CE1 设备上仍可以学到 Spoke 业务网段;当 CE2-PE2 之间链路断 开,CE2 仍可学习到 Spoke 业务网段。配置保证有最好的扩展属性。
    2. 在拓扑正常的情况下,要求 CE1、CE2 访问 Spoke 业务网段时,不从本 AS 内部绕行。
      解析:
      下面的分析,是同时考虑了 11/12 两个题目的需求。 在 CE1-PE1 和 CE2-PE2 之间,存在路由环路和数据转发的次优路径问题。
      当 CE1-PE1 之间链路断开的时候,分支站点的客户路由经过 PE2,通过 EBGP 邻居, 发送给 了 CE2,CE2 上面将 BGP 路由引入到了 OSPF,然后通过 OSPF 传输给了 CE1。此时 CE1 依 然可以访问分支站点的路由,但是是通过 OSPF 的外部路由来实现的。 当 CE1-PE1 之间的链路修复之后, PE1 也会通过 EBGP 邻居将路由发送给 CE1,但是通过 EBGP 邻居学习过来的路由,优先级为 255,通过 OSPF 从 CE2 学习过来的路由的优先级为 150. 所以,CE1 的路由表中去往分支站点的路由的下一跳是 CE2,此时就出现了次由路径。 同时,CE1 上也配置了将 OSPF 路由引入到 BGP 协议中,此时从 CE2 学习过来的路由如 果再次引入到 BGP 协议的话,就会出现了“路由环路”。 因为这些分支站点的路由,本来就 是从 AS 100 中学习过来的(从 PE2 学习过来的)。 所以,PE1-CE1,PE2-CE2 的连接环境中,存在上述两个问题。(CE2把BGP路由引入ospf的时候打上200的标签,当CE1把OSPF路由引入BGP的时候拒绝引入打200标签的路由)(CE1把BGP路由引入OSPF的时候打上100的标签,当CE2把OSPF引入BGP的时候拒绝引入打上100标签的路由)
      解决问题 1:路由环路问题;
      CE1:
      Route-policy BGP-OSPF permit node 10
      Apply tag 100
      Quit
      Ospf 1
      Import-route bgp route-policy BGP-OSPF
      Quit
      CE2:
      Route-policy OSPF-BGP deny node 5
      If-match tag 100
      Quit
      Route-policy OSPF-BGP permit node 10
      Bgp 65000
      Import-route ospf 1 med 0 route-policy OSPF-BGP
      Quit
      CE2:
      Route-policy BGP-OSPF permit node 10
      Apply tag 200
      Quit
      Ospf 1
      Import-route bgp route-policy BGP-OSPF
      Quit
      CE1:
      Route-policy OSPF-BGP deny node 5
      if-match tag 200
      quit
      route-policy OSPF-BGP permit node 10
      quit
      bgp 65000
      import-route ospf 1 med 0 route-policy OSPF-BGP

    解决问题 2:
    次优路径 在 CE1/2 的 BGP 进程下,将 EBGP 路由的优先级修改为小于 OSPF 外部路由的优先级;
    我们建议选择修改为 120 (默认是 255) 命令如下:
    CE1/2
    Bgp 65000
    Preference 120 255 255
    Quit
    13. 在 PE3/PE4 上修改 BGP Local-preference 属性,实现 CE3/CE4 访问非直连的 10.3.x.0/24 网段时,如果 X 为奇数,PE3/PE4 优选的下一跳为 PE1;如果 X 为偶数,PE3/PE4 优选的下 一跳为 PE2。不用考虑来回的路径是否一致。
    配置思路: (首先明确:在 PE3/PE4 的策略配置是相同)
    首先,抓取基数路由和偶数路由;
    其次,抓取路由器的下一跳 IP 地址
    再次,修改上述路由的优先级(3000)
    PE3/4:
    Acl 2000 // 匹配的是偶数路由
    Rule 10 permit source 10.3.0.0 0.0.254.0
    Acl 2001 // 匹配的是基数路由
    Rule 10 permit source 10.3.1.0 0.0.254.0
    Ip ip-prefix PE1 permit 172.16.1.1 32  匹配下一跳 IP 地址 172.16.1.1;
    Ip ip-prefix PE2 permit 172.16.1.20 32  匹配下一跳 IP 地址 172.16.1.20;
    Route-policy LOCAL permit node 10 // 抓取下一跳为 PE1 的基数路由,设置属性
    If-match acl 2001
    If-match ip next-hop ip-prefix PE1
    Apply local-preference 3000
    Quit
    Route-policy LOCAL permit node 20 // 抓取下一跳为 PE2 的偶数路由,设置属性
    If-match acl 2000
    If-match ip next-hop ip-prefix PE2
    Apply local-preference 3000
    Quit
    Route-policy LOCAL permit node 100 // 允许其他所有路由
    Bgp 200
    Ipv4-family vpnv4
    Peer 172.16.1.9 route-policy LOCAL import

    4、Feature(特性)

    4.1HA(高可用性)

    1. CE1 配置静态的默认路由访问 ISP,下一跳 IP 为 100.0.1.2。该默认路由要与 CE1-ISP 链 路的 BFD 状态绑定(CE1 的对端设备不支持 BFD),感知故障的时间要小于 150ms。(detect-multiplier 4 min-echo-rx-interval 30 120ms)
      CE1:(全局开启 BFD,创建 BFD 会话,关联 BFD 会话)
      Bfd
      Quit
      bfd isp bind peer-ip 100.0.1.2 interface GigabitEthernet2/0/1 one-arm-echo
      discriminator local 1
      detect-multiplier 4
      min-echo-rx-interval 30
      commit
      Ip route-static 0.0.0.0 0.0.0.0 100.0.1.2 track bfd-session isp
    2. CE2 配置静态的默认路由访问 ISP,下一跳 IP 为 200.0.2.2。默认路由要与 CE2-ISP 链路 的 NQA ICMP 测试绑定,每隔 3s 测试执行 1 次。
      CE2:( 创建 NQA,配置静态默认路由,调用 NQA)
      Nqa test-instance admin icmp
      Test-type icmp
      Destination-address ipv4 200.0.2.2
      Frequency 3
      Start now
      Quit
      Ip route-static 0.0.0.0 0.0.0.0 200.0.2.2 track nqa admin icmp
      3.CE3、CE4 能够通过默认路由访问 ISP。CE1-ISP 的链路断开时,CE1 仍能够访问 ISP;CE2-ISP 的链路断开时,CE2 仍能访问 ISP。
      解析:
      总部将默认发送给分部,同时让分部访问 ISP 时,首选 CE1。(CE1/CE2 自己本地有0.0.0.0 的路由就会产生一条默认路由去PE1)(CE2 写一条规则 加上自己的起源属性)
      CE1:
      Bgp 65000
      Peer 10.2.11.6 default-route-advertise conditional-route-match-all 0.0.0.0 0
      Quit
      PE3/PE4:
      Ospf 2
      Default-route-advertise (向CE3 CE4 产生默认路由)
      CE2:
      Route-policy ORG permit node 10
      Apply origin incomplete
      Quit
      Bgp 65000
      Peer 10.2.22.6 default-route-advertise route-policy ORG conditional-route-match-all 0.0.0.0 0
      Quit
      为了能够让 CE1/2 去往 ISP 的时候,存在备份路径,需要: (产生一个默认路由给对方)
      CE1/2:
      Ospf 1
      Default-route-advertise
      为了防止CE与ISP之间的链路断开导致 总部PC无法访问ISP,所以,我们需要配置 VRRP 的 链路跟踪
      CE1:是 VLAN 10 的主网关
      Interface gi0/0/2.10
      Vrrp vrid 1 track interface gi2/0/1 reduced 15
      Vrrp vrid 1 track interface gi0/0/0 reduced 15
      CE2:是 VLAN 20 的主网关
      Interface gi0/0/2.20
      Vrrp vrid 2 track interface gi2/0/2 reduced 15
      Vrrp vrid 2 track interface gi0/0/0 reduced 15
      4.2NAT 1. 在 CE1 上,10.3.0.0/16(不包含 10.3.2.10)的内网地址转换为 102.0.1.2 – 102.0.1.6,通 过 Gi2/0/1 访问 ISP。在 CE2 上,10.3.0.0/16(不包含 10.3.2.10)的内网地址转换为 102.0.1.2 – 102.0.1.6,通过 Gi2/0/2 访问 ISP。 Server1 拥有单独的公网地址 102.0.1.1,对 ISP 提供 FTP 和 HTTP 服务。
      解析:
      为了实现从内网去往 ISP,应该配置 PNAT; CE1/2: {以下的 ACL 和 address-group ,在 CE1/2 都要配置}
      CE1/CE2:
      Acl 2000
      Rule 10 deny source 10.3.2.10 0.0.0.0
      Rule 20 permit source 10.3.0.0 0.0.255.255
      q
      nat address-group 1 102.0.1.2 102.0.1.6
      Interface gi2/0/1{这是 CE1 上连接 ISP 的接口}
      Nat outbound 2000 address-group 1
      Interface gi2/0/2{这是 CE2 上连接 ISP 的接口}
      Nat outbound 2000 address-group 1
      为了实现从 ISP 访问内网的 Server1,需要配置 NAT Server :
      CE1:
      Interface gi2/0/1
      Nat server protocol tcp global 102.0.1.1 www inside 10.3.2.10 www
      Nat server protocol tcp global 102.0.1.1 ftp inside 10.3.2.10 ftp
      CE2:
      Interface gi2/0/2
      Nat server protocol tcp global 102.0.1.1 www inside 10.3.2.10 www
      Nat server protocol tcp global 102.0.1.1 ftp inside 10.3.2.10 ftp

    4.3QOS 1. 在 CE1 的 Gi2/0/1、CE2 的 Gi2/0/2 的出方向,周一至周五的 8:00—18:00,对 TCP 目标 端口号为 6881 — 6999 的流量,承诺的平均速率为 1Mbps。
    解析:
    在 CE1/CE2 的 Gi2/0/1 /Gi2/0/2的接口上配置 流量监控
    time-range work 08:00 to 18:00 working-day // 创建时间列表
    acl number 3000
    rule 5 permit tcp destination-port range 6881 6999 time-range work
    quit
    interface gi2/0/1
    qos car outbound acl 3000 cir 1024
    quit
    在 CE2 的 Gi2/0/2 的接口上配置 流量监控(与 CE1 上面的配置完全相同)
    2. CE4-PE4 的 QOS 规划如下所示

    在 CE4 的 Gi0/0/1 的出方向对流量进行 802.1p 标记。在 PE4 的 Gi0/0/1 入方向,继承 CE4 的 802.1p 值,并将 802.1p 映射为 DSCP。
    解析:
    在 CE4 的 Gi0/0/1 的出方向 对流量进行 802.1P 标记。(先用ACL抓住数据包)(Traffic classifie调用ACL)(traffic behavior 行为 打 802.1P的标记)
    acl name office advance
    rule 5 permit ip destination 10.3.4.0 0.0.0.255
    quit
    acl name monitor advance
    rule 5 permit ip destination 10.3.3.0 0.0.0.255
    quit
    acl name signal advance
    rule 5 permit ip destination 10.3.2.0 0.0.0.255
    quit
    acl name realtime advance
    rule 5 permit ip destination 10.3.1.0 0.0.0.255
    quit
    Traffic classifier Office
    if-match acl office
    quit
    traffic classifier Monitor
    if-match acl monitor
    quit
    traffic classifier Signal
    if-match acl signal
    quit
    traffic classifier RealTime
    if-match acl realtime
    quit
    traffic behavior Office
    remark 8021p 2
    quit
    traffic behavior Monitor
    remark 8021p 3
    quit
    traffic behavior Signal
    remark 8021p 4
    quit
    traffic behavior RealTime
    remark 8021p 5
    quit
    traffic behavior Other
    remark 8021p 0
    quit
    traffic policy Remark
    classifier Signal behavior Signal
    classifier Office behavior Office
    classifier Monitor behavior Monitor
    classifier RealTime behavior RealTime
    classifier default-class behavior Other ---->不要忘记!
    quit
    CE4: 调用 Traffic Policy
    interface gi0/0/1
    traffic-policy Remark outbound
    quit
    在 PE4 的 gi0/0/1 的入方向,继承 CE4 的 802.1p 值,并将其转化 为 DSCP 。
    qos map-table dot1p-dscp
    input 5 output 46
    input 4 output 32
    input 3 output 24
    input 2 output 16
    input 0 output 0
    interface gi0/0/1
    trust 8021p override
    3. PE4 的 Gi0/0/0 和 Gi0/0/2 匹配 DSCP 值,根据表-1(上述表格)配置拥塞管理和拥塞避 免。
    解析:
    在 PE4 上配置 WRED 丢弃模板。
    drop-profile cs4
    wred dscp
    dscp cs4 low-limit 70 high-limit 100 discard-percentage 50
    quit
    drop-profile cs3
    wred dscp
    dscp cs3 low-limit 50 high-limit 90 discard-percentage 50
    quit
    drop-profile cs2
    wred dscp
    dscp cs2 low-limit 50 high-limit 80 discard-percentage 50
    quit
    drop-profile default
    wred dscp
    dscp default low-limit 50 high-limit 80 discard-percentage 50
    q
    配置队列权重 和 套用 WRED 模板
    qos queue-profile test
    queue 0 weight 1
    queue 2 weight 9
    queue 3 weight 21
    queue 4 weight 63
    schedule wfq 0 to 4 pq 5
    queue 0 drop-profile default
    queue 2 drop-profile cs2
    queue 3 drop-profile cs3
    queue 4 drop-profile cs4
    quit
    interface gi0/0/0
    qos queue-profile test
    quit

    5、IPv6

    1. 所有设备的接口 IPv6 地址,按照图 5 配置。(除 PE1–RR1 的逻辑接口以外,其他已预配)
      解析:
      配置 PE1 和 RR1 互联接口的 IPv6 地址
      在 RR1 上面配置 IPv6 :
      interface ip-trunk 13
      ipv6 enable
      ipv6 address 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:1301/127
      在 PE1 上配置 IPv6:
      interface ip-trunk 13
      ipv6 enable
      ipv6 address 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:1300/127
      5.2ISIS(IPv6)
    2. 如图 6,PE1、PE2、RR1、P1、ASBR1、ASBR2 运行 ISIS 协议。各直连网段宣告进 ISIS 协 议,配置各链路 cost。

    解法:在 PE1 上 配置 ISIS 协议, 并配置链路开销。
    isis 1
    ipv6 enable topology ipv6
    quit
    interface loopback 0
    isis ipv6 enable 1
    quit
    interface gi0/0/0
    isis ipv6 enable 1
    isis ipv6 cost 20
    quit
    interface ip-trunk 13
    isis ipv6 enable 1
    isis ipv6 cost 1550
    quit
    在 PE2 上配置 ISIS 协议, 并配置链路开销。
    isis 1
    ipv6 enable topology ipv6
    quit
    interface loopback 0
    isis ipv6 enable 1
    quit
    interface gi0/0/0
    isis ipv6 enable 1
    isis ipv6 cost 20
    quit
    interface gi0/0/2
    isis ipv6 enable 1
    isis ipv6 cost 1550
    quit
    在 RR1 上配置 ISIS 协议, 并配置链路开销
    isis 1
    ipv6 enable topology ipv6
    quit
    interface loopback 0
    isis ipv6 enable 1
    quit
    interface gi0/0/0
    isis ipv6 enable 1
    isis ipv6 cost 80
    quit
    interface gi0/0/1
    isis ipv6 enable 1
    isis ipv6 cost 860
    quit
    interface ip-trunk 13
    isis ipv6 enable 1
    isis ipv6 cost 1550
    quit
    在 P1 上配置 ISIS 协议, 并配置链路开销
    isis 1
    ipv6 enable topology ipv6
    quit
    interface loopback 0
    isis ipv6 enable 1
    quit
    interface gi0/0/0
    isis ipv6 enable 1
    isis ipv6 cost 80
    quit
    interface gi0/0/1
    isis ipv6 enable 1
    isis ipv6 cost 1000
    quit
    interface gi0/0/2
    isis ipv6 enable 1
    isis ipv6 cost 1550
    quit
    在 ASBR1 上配置 ISIS ,并配置链路开销 (仅仅是 AS 100 的内部链路以及 loopback 启用 ISIS IPv6 ,AS 之间不需要启用)
    isis 1
    ipv6 enable topology ipv6
    quit
    interface loopback 0
    isis ipv6 enable 1
    quit
    interface gi0/0/0
    isis ipv6 enable 1
    isis ipv6 cost 100
    quit
    interface gi0/0/1
    isis ipv6 enable 1
    isis ipv6 cost 860
    quit
    在 ASBR 2 上配置 ISIS 协议, 并配置链路开销
    isis 1
    ipv6 enable topology ipv6
    quit
    interface loopback 0
    isis ipv6 enable 1
    quit
    interface gi0/0/0
    isis ipv6 enable 1
    isis ipv6 cost 100
    quit
    interface gi0/0/1
    isis ipv6 enable 1
    isis ipv6 cost 1000
    quit
    为了防止 IPv6 的 ISIS 路由的次优路径,在 RR1 上配置路由泄露,不泄露的 话,也会导致 IPv6 BGP 路由下一跳不可达,后续要求无法实现。
    isis 1
    ipv6 import-route isis level-2 into level-1
    为了防止 IPv6 的 ISIS 路由的次优路径,在 P1 上配置路由泄露,不泄露的话, 也会导致 IPv6 BGP 路由下一跳不可达,后续要求无法实现。
    isis 1
    ipv6 import-route isis level-2 into level-1
    5.3BGP(IPv6)

    1. 如图 7,ASBR1–ASBR3 通过直连链路建立 EBGP+邻居。PE1\PE2\P1 是 RR1 的 IBGP4+客户 端(已预先配置)
      解析 :
      在 ASBR1 上激活与 ASBR3 和 RR1 的 IPv6 的邻居关系。 【考试的时候需要注意一下,ASBR1 和 ASBR2 是不是 RR1 的客户端。应该都是 的,就怕有变化】 【并且在 IPv6 的地址中,有些 BGP 的邻居是没有被激活的,需要手动激活一 下,否则无法建立邻居。】
      在 ASBR1 上配置如下:
      bgp 100
      ipv6-family unicast
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:5701 enable —> 表示的是 ASBR3 的 IPv6 地址,是直连接口的;
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA3 enable --> 表示的是 RR1 的 IPv6 地址,并且是回环口;
      分别在 PE1/PE2/P1/ABSR2 上面,激活与 RR1 的 IPv6 地址簇的邻居关系:
      bgp 100
      ipv6-family unicast
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA3 enable —> 激活与 RR1 之间的 IPv6 的 IBGP 邻居关系
      在 RR1 上,激活与 ASBR1 和 ASBR2 的 IPv6 的 地址簇邻居关系:
      bgp 100
      ipv6-family unicast
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 enable
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 reflect-client
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 enable
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 reflect-client
    2. 在 ASBR1 上将 ISIS IPv6 的所有路由导入 BGP4+,只向 ASBR3 通告前缀为 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DC00/120的路由(不能使用 route-policy)。将 ASBR3 的 Loopback0 通过进入 BGP4+。
      解析:
      其实这里想要考察的就是 IPv6 在 BGP 协议中的汇总:
      首先,在 ASBR1 上将 所有 ISIS IPv6 路由,引入到 BGP 中:
      Bgp 100
      Ipv6-family unicast
      Import-route isis 1
      在 ASBR1 上 配置 BGP ipv6 路由汇总命令如下:
      bgp 100
      ipv6-family unicast
      aggregate 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DC00 120 detail-suppressed
      关于上面的红色部分的需求的理解,其实考察的就是路由过滤了。
      因为 ASBR1 向 ASBR3 发送的 120 位的路由,我们通过汇总的方式已经构造出 来了, 但是我们得记得,当初我们在 ASBR1 上将 ISIS 的路由,都引入到 BGP4+ 中了。这些路由 中包含了 回环口的 128 位的路由,也包含了设备之间的互联网段 127 位的路由。所以,想满足这个“仅仅发送 120 的路由给 ASBR3”的 需求,我们还得继续配 置一个针对 ASBR 3 的出向过滤策略: 按照需求,不使用 route-policy,就仅仅使用 ipv6-prefix ;
      ip ipv6-prefix 1 permit 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DC00 120
      bgp 100
      ipv6-family unicast
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:5701 ipv6-prefix 1 export --> 做一个出向的过滤。
      需要注意的,如果需求有变化,比如变化成了:
      将 ISIS 的 IPv6 路由 引入到 BGP4+的时候,仅仅引入那些 128 位的回环口 / 主机路由。
      我们就需要在 ASBR1 上进行如下的配置了:
      1.配置策略 匹配 AS100 中的 ISIS 的 IPv6 路由中的 128 位的;
      2.配置 route-policy ,调用在将 ISIS IPv6 引入到 BGP4+ 的时候;
      Ip ipv6-prefix abc permit 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DC00 120 greater 128 less 128 // 专门用来匹配 AS100 中的 IPv6 的主机路由;
      route-policy ISIS-BGP permit node 10
      if-match ipv6 address prefix-list abc
      quit
      bgp 100
      ipv6-family unicast
      import-route isis 1 route-policy ISIS-BGP
      quit
      当然, 如果真的出现上述的需求的变化“仅仅引入 ISIS 的主机路由”,那么我们在 实现该需求的时候,ASBR1 针对 ASBR3 的过滤,就不需要做了。 因为我们汇总之后,就仅仅剩下 120 的路由了,不存在 127 位的那种 设备之 间的互联网段了。所以,脑子必须得清醒!
      将 ASBR3 的 loopback 0 宣告进入到 BGP4+
      bgp 200
      ipv6-family unicast
      network 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA7 128
      quit
    3. 在 PE1、PE2 上学习到 ASBR3 的 Loopback0 的 BGP4+的明细路由。
      解法:
      首先我们需要知道的是,当我们将 ASBR3 的路由宣告之后,我们在 ASBR1 上是 可以看到这个路由条目的,但是这个路由条目,是不会发送给 ASBR1 的 IBGP 邻居的, 因为, 我们之前在 ASBR1 上配置了一个 “ IPv6 的路由汇总 ”,而这个 120 位的 汇总路由,正好抑制住这个明细路由的发送。 所以 ASBR3 的回环口路由,来到了 ASBR1 的 BGP 数据库中,前面有一个 "小 s” 的标志,标明该路由已经被抑制。
      如果我们想让该路由发送给 PE1/2 的话,我们需要确保在 ASBR1 上进行 IPv6 汇总的时候,不能抑制这个明细路由,所以配置如下:
      ASBR1 的配置:
      ip ipv6-prefix 7 index 10 permit 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA7 128 greater 128 less 128
      route-policy AGG deny node 10
      if-match ipv6 address prefix-list 7
      quit
      route-policy AGG permit node 20
      quit
      bgp 100
      ipv6-family unicast
      aggregate 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DC00 120 suppress-policy AGG -> 有条件的进行明细路由的抑制;
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA3 next-hop-local ->给 RR1 发送路由的时候,必须修改下一跳 IP 地址;否则在 RR1 上看到该路由 不是最优的。
      同时,为了确保 RR1 将路由反射到 自己的客户端: PE1/PE2/P1 上面,也得是 最优的,所以我们需要:在 RR1 和 P1 上面,进行 ISIS 路由的泄露
      【如果在考场需求有了变化,比如: 让 ASBR2 也学习到 ASBR3 的 回环口路 由,并且 ASBR2 不是 RR1 的客户端的情况下,才配置下面的内容】 【如果 ASBR2 也是 RR1 的客户端,就不需要配置下面的内容了】
      此时,我们就需要直接在 ASBR1 和 ASBR2 之间通过回环口建立 IPv6 邻居关系 了。 因为,在之前的邻居关系中,虽然 ASBR2 与 RR1 建立了 IBGP 邻居关系,但 是 ASBR2 并不是 RR1 的客户端,所以 ASBR1 的路由给了 RR1 以后,必会发送 给 ASBR2 。
      ASBR1 的配置
      bgp 100
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 as-number 100
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 connnect-interface loopback 0
      ipv6 family unicast
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 enable
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA6 next-hop-local
      quit
      ASBR2 的配置
      bgp 100
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 as-number 100
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 connnect-interface loopback 0
      ipv6-family unicast
      peer 2000:EAD8:99EF:CC3E:B2AD:9EFF:32DD:DCA5 enable
      q
      4.请在 PE1 上面开启某个特性, 确保 PE2 在启动的过程中, (从物理接口 UP 开始,到各协议邻居全都起来)PE2 ---- ASBR3 之间的 IPv6 ping 包没有丢 包(4 分)
      解析:
      我们仅仅需要在 PE1 上配置 “开机启动配置 OL 位”就可以了。
      isis
      set-overload on-startup wait-for-bgp
      quit
    展开全文
  • HCIE RS3.0 PPT.zip

    2021-03-17 21:58:33
    华为hcie
  • 华为2019年2月份HCIE教材 HCIE-Routing Switching实验手册 V3.0
  • HCIE-RS版本

    2017-12-19 17:04:11
    华为HCIE-RS版本视频辅导,祝你早日通过HCIE,本人HCIE-RS号574X,通过此资料野战通过华为HCIELAB,面试,本人联系电话13451869700
  • HCIE面试题

    2018-01-23 16:50:31
    HCIE面试内容丰富,知识点涵盖量比较大,没事学习一下,可以增强对各知识点的了解。
  • hcie网络管理

    2018-09-28 12:59:25
    HCIE复习资料设备产生信息比较多时,用户较难分辨哪些是设备正常运转的信息,哪些是出现故障需要处理的信息。对信息进行分级,用户可以根据信息的级别进行粗略判断,及时采取措施,屏蔽无需处理的信息。 根据信息的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,406
精华内容 962
关键字:

hcie