H3CTE考題講解課件

HCTE考試簡(jiǎn)介考試時(shí)間：一天（8:45a.m.——4:30p.m.）考試地點(diǎn)：很多考試方式：做實(shí)驗(yàn)+寫報(bào)告（很重要）考試設(shè)備：5臺(tái)路由器、1臺(tái)S3526三層交換機(jī)、3臺(tái)S3026交換機(jī)、5臺(tái)PC機(jī)通過分?jǐn)?shù)：800HCTE實(shí)驗(yàn)室測(cè)試拓?fù)鋱DIP地址大學(xué)ARTAE0/24Virtual-Template1/24Virtual-Template2/24S3526VLAN1/24VLAN2/24VLAN3/24VALN4/24ISPRTBE0/24S2/24LoopBack1/24Virtual-Template1/24CERNETRTCE0/24E1/24S0/24LoopBack1/24Tunnel0/24大學(xué)CRTDE0/24S0/24大學(xué)BRTEE0/24S0/24Tunnel0/24組網(wǎng)要求RTC用LOOPBACK1模擬CERNET,RTB用LOOPBACK2模擬INTERNET;大學(xué)A和大學(xué)B直接連到CERNET,大學(xué)B通過ISP建立到CERNET的GRE&IPSEC/VPN;大學(xué)A和大學(xué)B直接訪問INTERNET;大學(xué)C通過CERNET訪問INTERNET;大學(xué)A和大學(xué)B訪問INTERNET需要做NAT;大學(xué)A通過RTA訪問INTERNET,通過S3526訪問CERNET;組網(wǎng)要求（續(xù)1）各大學(xué)的主機(jī)全部通過DHCP獲得IP地址；各大學(xué)的接入交換機(jī)全部啟用DOT1X功能；大學(xué)A的撥號(hào)用戶撥入ISP的RTB上，建立到大學(xué)A的RTA的L2TP/VPN；大學(xué)A的撥號(hào)用戶只能訪問大學(xué)A的資源，不能訪問其它的資源;（大概是的）大學(xué)C的用戶不能訪問大學(xué)A的FTP服務(wù)器；（大概是的）組網(wǎng)要求（續(xù)2）大學(xué)A的FTP服務(wù)器需要在RTA上的DHCP地址池中進(jìn)行IP和MAC綁定；大學(xué)A、B、C和CERNET組成1個(gè)OSPF自治系統(tǒng)；大學(xué)A為AREA1、大學(xué)B為AREA3、大學(xué)C為AREA2；CERNET為骨干區(qū)域，即RTC、RTD、RTE和S3526組成AREA0；除了前面的要求，各校的主機(jī)能夠互相訪問。故障現(xiàn)象各學(xué)校的主機(jī)都無法獲得DHCP服務(wù)器分配的IP地址。網(wǎng)絡(luò)各個(gè)部分都有問題。排錯(cuò)總結(jié)1HOST1/2/3和FTPSERVER無法獲得各DHCPSERVER分配的IP地址。北郵考場(chǎng)的計(jì)算機(jī)里有保護(hù)卡，可能根本就無法獲得地址。3026交換機(jī)上聯(lián)的端口的dot1x命令需要去掉需要將所有DHCPSERVER上的已經(jīng)使用的IP地址從DHCP里摘出來，用dhcpserverforbidden-ip命令RTA上將FTPSERVER的MAC與IP綁定命令里的MAC地址需要修改為FTP真正的MAC地址3526交換機(jī)上需要配置DHCPRELAY功能，需要在全局視圖下增加：dhcp-server1ip在VLAN2和VLAN3的interface視圖下增加命令

dhcp-server1為了測(cè)試需要，應(yīng)該直接在幾臺(tái)計(jì)算機(jī)上指定DHCP范圍內(nèi)的IP地址，不用自動(dòng)獲得排錯(cuò)總結(jié)2RTE和RTB之間的frame-relay鏈路不通。在RTE的S0接口上有l(wèi)oopback的環(huán)路命令，應(yīng)去掉；需要在RTE的S0和RTB的S2接口上分別增加到對(duì)端的幀中繼MAP命令：frammapipdlci100和

frammapipdlci100排錯(cuò)總結(jié)3RTE和RTC之間的VPN不通。IKESA和IPSECSA都沒有建立。RTE和RTC上的ikepre-shared-keyichmaghaetherremotex.x.x.x中的pre-shared-key不一致，需修改為相同的KEY；需要在RTE的interfaceTunnel0和RTB的interfaceTunnel0接口上分別增加到對(duì)端的OSPF鄰居指定命令：ospfpeer和

ospfpeer-需要注意的是VPN兩端的ACL有可能會(huì)被設(shè)置成不匹配，如果上兩步都不能解決問題，可以檢查ACL然后即可觀察到OSPF鄰居建立，并互相交換路由，VPN連通。排錯(cuò)總結(jié)4大學(xué)C（RTD）無法訪問到INTERNET。在RTC和RTD上用disiprout命令查看路由表，會(huì)發(fā)現(xiàn)在RTD上有缺省的路由指到RTB（）上去，而在RTC上沒有解決辦法有多種：在RTD上增加到INTERNET的靜態(tài)路由指到RTC在RTD上增加缺省路由指到RTC在RTC上的OSPF進(jìn)程里增加importstatic命令，將靜態(tài)或缺省路由注入OSPF進(jìn)程中，RTD即可學(xué)到至INTERNET的路由。建議最好選擇第三種方法?。?！排錯(cuò)總結(jié)5大學(xué)A無法訪問到CERNET，即S3526與RTC不通。在RTC和S3526上用disinter命令查看相關(guān)接口，會(huì)發(fā)現(xiàn)接口狀態(tài)都正常，但就是無法互相ping通。直接查看config，可以發(fā)現(xiàn)S3526的E0/17端口被配置為TRUNK端口，確省的PVLAN為vlan1，而用于同RTC相連的IP地址屬于vlan4的。解決辦法有2種：將S3526的E0/17端口改為屬于vlan4；直接在S3526的E0/17端口上增加porttrunkpvidvlan4，將該接口的PVLAN設(shè)置為vlan4即可。建議最好選擇第二種方法?。?！排錯(cuò)總結(jié)6關(guān)于大學(xué)A里的FTPSERVER資源的訪問限制和CERNET的訪問限制問題。具體的限制內(nèi)容要求忘了好象是針對(duì)撥號(hào)用戶和大學(xué)C的，需要仔細(xì)檢查針對(duì)這兩個(gè)用戶的ACL，看是否有問題。如果要求撥號(hào)用戶限制訪問CERNET，還需要在S3526或RTC上進(jìn)行ACL的配置排錯(cuò)總結(jié)7撥號(hào)的主機(jī)撥到RTB上無法通過身份驗(yàn)證，該問題沒有徹底解決，需要現(xiàn)場(chǎng)仔細(xì)排查。在LAC（RTB）上的l2tp-group1中的

startl2tpipdomain中的LNSIP地址應(yīng)該是對(duì)端路由器（RTA）的地址，需要改為RTA的interfaceVirtual-Template1地址。在RTA的interfaceVirtual-Template2接口上增加pppauthentication-modepap命令，看是否能夠通過撥號(hào)用戶的身份認(rèn)證看RTA和RTB上是否已經(jīng)建立了L2TP的VPN，如果沒有建立，可能需要在RTB上增加一條到RTA的Virtual-Template1的靜態(tài)路由可以嘗試將RTA上的l2tp-group1中的強(qiáng)制認(rèn)證命令mandatory-chap

去掉建議將培訓(xùn)中的“安全故障排除實(shí)驗(yàn)”中的config與考試的config仔細(xì)對(duì)比，看是否有問題沒有發(fā)現(xiàn)。排錯(cuò)考試建議首先要熟悉網(wǎng)絡(luò)拓?fù)浜虸P地址分配情況其次把所有設(shè)備的DEBUG功能打開在開始排錯(cuò)前，把所有設(shè)備的config內(nèi)容copy到一個(gè).txt文件上，好隨時(shí)查看原始config是否有問題，省去反復(fù)拔插console線的時(shí)間，也便于排錯(cuò)不成恢復(fù)成原來的config如何判斷網(wǎng)絡(luò)故障用disiprout看各路由器和S3526上的路由表是否正常用ping