实战HCTE
在参加HCTE培训班之前,我心里有点疑虑,不知道是否能有所收获。我以前参加过MCSE的培训班,老师完全是照本宣科,敷衍了事,我有问题时还不好意思问,怕把他给问倒了,弄得场面比较尴尬。这种培训班倒是不担心考试,考试前老师会把题库发到学员邮箱里,把题看熟了就去考试,百分百通过。带着这样的疑惑,我参加了的2004年华为三康新推出的第一期HCTE培训班。
刚拿到HCTE的课程表,我就惊奇的发现为期五天的培训,竟然只有四个上午讲课,其余四个下午和第五天全天都是实验,看来这个培训特别重视动手能力,毕竟HCTE-华为3Com认证网络排错专家就是解决实际问题的,光说不练没用。为了让大家对HCTE的培训内容有个大概了解,下面按时间顺序总结如下:
HCTE经验总结:
l 考试的时候不要随意重起设备,会扣分的。OSPF上的Router ID需要注意,如果发现与配置不同,需要重起设备(这是考试允许的);
l 不要随意的去掉配置(如ACL)以回避某些问题,会扣分的。交换机上的802.1X可以先去掉端口上的配置,这一点非常重要,否则考试时有可能你六个小时都在跟ping较劲;
l 在作端口配置后,如果还存在问题,尽可能的使用shutdown和 undo shutdown;
l VRP1.74中每一个端口地址都会有2个直连路由,一个是32位掩码端口地址,一个是端口地址段,是软件原因造成的;
l VRRP:需要注意的是vrrp ping 应当先enable,再去配vrrp组,否则你的vrrp地址是默认不允许ping的;
l DHCP
ü DHCP Server:这个的配置没有什么难度,别配错了就行
ü DHCP Relay:交换机和路由器上的配置不一样,需要注意,另外在where配置relay是很重要的,通俗一点讲:在VLAN网关端口上配置,别的地方配置没用
HCTE培训内容:
第一天:上午讲课内容是故障排除概述、物理层及以太网故障排除、串行链路故障排除。个人认为第一天的内容非常重要,因为它提出了故障排除的一般步骤和常用方法:分层、分块、分段和替换法,让排障有法可循。同时介绍了故障排除的常用工具,帮助你快速定位故障点,从调试信息中分析故障可能产生的原因。我们在实际工作中,遇到物理层、链路层的问题也是最多的,教材中选择的案例都是从800服务热线的案例库中精选的,具有很高的典型性和实用性。下午做实验,按人数分为两个小组,每组一个组长(由各成员轮流担任),相互配合进行实验。
这天主要是串行链路故障排除,网络中包含MP、FR、X.25等协议。
l 其中MP是将两条PPP链路捆绑,但一条是PAP验证,另一条是CHAP验证,这还一时让我有点犯晕,以前MP就没配过,案例上的多条链路捆绑也要么都是PAP验证,要么都是CHAP验证,这种情况没有介绍。
l PPP与MP常见故障
ü 链路两端协议是否一致
ü 认证:注意认证配置时候两端的一致
ü aaa-enable命令启用后,如果没有计费,则应当配置aaa accounting-scheme optional,否则PPP链路将会被挂断;
ü 针对VPN中PPP与L2TP共用的情况,USER端的PPP端口配置IP address ppp-negotiate(从LNS获得IP),LAC上的PPP端口不需要配置IP,并且协议不UP
ü PPP端口必须配置ip address,或者ip address ppp-negotiate,或者remote address
ü 关于PPP链路中的IPCP,当PPP链路两端都配置了IP,即会对IPCP进行协商,并且能够Ping通对端地址(PPP链路的特性,只要IPCP协商通过即可在路由表中加入对端地址的路由)
l FR常见的故障
ü LMI类型需要一致FR LMI type{ansi|nonstandard|q933a},此外如果DCE端配置了非q933a,则DTE会自动学到该LMI类型;
ü 封装类型需要一致link-protocol fr ietf
ü DLCI
ü 地址映射MAP
Ø 动态MAP:通过INARP协议学到,无需配置,默认是广播
Ø 静态MAP:Fr mp ip x.x.x.x dlci number [broadcast],默认不是广播
ü 帧中继网络中的OSPF
Ø NBMA中需要手工添加OSPF peer
Ø P2P、P2MP中不需要手工添加OSPF peer
ü 帧中继的子接口 interface serial 0.1 {multipoint | point-to-point}
Ø multipoint:可以设置多条PVC,连接多个远端,可配置静态MAP,可运行动态MAP(INARP)
Ø point-to-point:只有一条PVC,连接一个远端,无静态或动态MAP,有特殊MAP(PTOP),有DLCI,无协议地址
l 还有一点就是X.25协议居然用到了x25 vc-range bi-channel这样的命令,要求排障人员对相关协议有精深的理解。
第二天:上午讲课内容是路由协议故障排除。先介绍了RIP协议、OSPF协议、BGP协议的一般原理,然后再介绍了常见故障。下午的实验反映了上午讲授的经典问题,做完后对路由协议的理解更上一层楼了。
l RIP协议常见故障
ü RIP路由更新的间隔30sec
ü RIP的网段:
Ø RIP V1协议不支持不连续子网,如果V1网络中存在不连续子网,由于按类聚合的存在,可能会造成路由被忽略。
Ø RIP V1网络每个接口必须配置相同子网掩码,不相同的子网掩码会导致不发送路由报文。
ü RIP的版本:RIP V1和RIP V2协议的不兼容(主要是路由报文的发送方式不一致,V1默认的是广播)。
ü 路由聚合:RIP V1永远自动按照类进行聚合,并且不可以取消;RIP V2缺省也是自动聚合,但可以取消。
ü RIP路由报文的定点传送:如非广播的网络FR中可以使用peer命令来配置定点传送(类似OSPF)。
ü 在NBMA网络上需要取消水平分割,可以使用undo rip split-horizon,但此时同一个物理接口下的逻辑接口之间将不能交换路由信息
ü 验证如果没有配置验证字串,则验证自动失效
ü 地址借用?需要两端都进行地址借用,这样可以取消对源地址的检查
l OSPF协议常见问题
ü 相邻接口网络类型不一致导致无法建立邻接关系(使用ospf network-type {pwp|p2mp|broadcast}对链路两段进行配置)
ü 虚连接配置不当导致次优路径选择()
ü 路由器ID配置不当导致虚连接无法建立(dispaly检查Router ID,如果不是所配好的ID,应当重新启动路由器)
ü 地址聚合形成路由环路等问题(在配置路由聚合的同时将其引入null0,避免连接断掉时,形成路由环路)。
l BGP协议常见问题
ü 使用network命令发布路由的精确匹配问题(mask精确匹配可以解决)
ü 产生聚合路由产生的路由环路问题(完全IBGP配置可以解决)
ü 直连EBGP邻居发布下一跳非直接可达路由时路由失效问题(next-hop-local强制下一条可以解决,可以使用display bgp观察bgp路由是否学到)
ü 相同路由比较时没有选择MED值小的路由问题
ü 利用AS-PATH访问列表过滤路由不正确问题。
第三天:上午讲课内容是安全VPN及拨号业务故障排除,全面介绍了IPSEC&IKE、包过滤防火墙、L2TP、GRE、DCC、ISDN的配置命令和display、debug工具,内容针对性极强。
l IPSec和IKE的常见故障
ü 两端的SPI不匹配导致SA协商失败(三要素里的how不匹配,检查眼力啊,记住一定要对配置)
ü 密钥不匹配造成无法通信(三要素里的how不匹配,检查眼力啊,记住一定要对配置)
ü 两端ACL不匹配导致阶段2协商失败(三要素里的what没有一致,来去不一样,肯定会有问题的)
ü 两端pre-shared不一致导致阶段1的SA协商失败(三要素里的how不匹配,检查眼力啊,记住一定要对配置)
ü 应用接口interface错误导致阶段2协商失败(这是一个比较愚蠢的错误,三要素里的where没有指对)
ü ACL配置重叠导致通讯失败等问题(ACL数据流越精确匹配越好,同时尽量少使用Permit any any这样的语句,不要忘了在多个ACL配置时,第一条permit any any会让后面的ACL都无效的)。
ü IKE需要有符合ACL的数据流才能触发协商建立安全联盟SA(这个问题不做实验是碰不到的,不要总怀疑IPSec设置的不对,如果用的是IKE,试试发一个数据流再看看dis IKE SA)
IPSec一致性故障检查对照表 |
阶段 | 检查项目 | A | B | 检查命令 |
手动 | SPI | | | |
密钥 | | | |
ACL | | | |
interface | | | |
在手工模式下,IPSec不需要有符合ACL的数据流进行触发就能建立SA安全联盟。 |
IKE1 | Pre-shared-key | | | Dis ike sa |
| | | |
IKE2 | ACL | | | |
interface | | | |
在IKE模式下,IPSec需要符合ACL的数据流进行触发才能建立SA安全联盟。 |
l 包过滤防火墙的常见问题
ü 访问控制策略错误导致防火墙失效(注意同一个端口上inbound和outbound方向的ACL的一致性,注意特殊端口的放开FTP&FTP-DATA,HCTE教材上这个案例有点傻,很明显ACL100和101必须满足地址内容相反,并且rule条数一样多)
ü 忽略了其它信息使得防火墙不通等问题(如果存在动态路由协议,需要注意RIP/OSPF路由报文的放开)
l L2TP的常见问题
ü 认证失败或认证方式不匹配导致LAC和LNS之间能正常建立隧道但不能创建会话问题、
ü 代理验证失败导致接入服务器与LNS之间不能互通问题、
ü 强制CHAP/LCP认证问题。
ü 需要注意的是目前HCTE考试的VRP1.74版本中PPP联接成功后,LAC端PPP联接的端口可能只会显示端口UP,而协议是DOWN。
检查项目 | 故障现象 | LNS | LAC | VPDN |
L2TP启动 | | L2TP enable | L2TP enable | |
认证方式 | | Mandatory-chap | | |
| | | | |
| | | | |
标准配置 | | | | |
l GRE的常见问题
ü 路由器上无对方路由导致GRE隧道两端PC不能互通问题(GRE是VPN中最容易建立的隧道,只需要有路由就可以了)
ü GRE与IPSec合用时,需要注意IPSec中的ACL应放开GRE的Tunnel地址段的互访和相应的路由信息。
l DCC、ISDN的常见问题
ü Dialer接口借用Ethernet0口地址时ping不通问题、
ü 远程拨号Modem配置引起无法登录问题
ü 速率设置不一致导致与Win2K无法互通问题
ü 验证失败导致路由器ISDN拨号不成功问题
ü AUX接口数据配置错误导致超级终端显示乱码问题。
第四天:上午讲课内容是中低端交换机故障排除,共分为六点。下午做实验,揉合了802.1x客户端认证、TRUNK与HYBRID端口互通、Primary VLAN与Secondary VLAN映射等元素,让整个实验又成为切合实际的经典。
l 第一点是物理层故障,介绍了S3026E光模块类型错误导致互通问题、由于10M/2M设备不支持VLAN导致能Ping通外网但是无法打开网页问题、S3526下挂某型号光电转换器导致网络广播风暴的问题定位及处理等内容;
l 第二点是端口协商以及自环问题,在这里花费了大量时间讲清了端口类型为hybrid时交换机对VLAN标签的处理过程和应用场合,让全体学员对端口类型为access、trunk、hybrid时区别和联系了然与胸,彻底弄清了PVID的作用。(有人可能会说,端口类型不是最简单不过的东西了吗?但你能否清晰理解连接两台交换机的链路两端一端为trunk、另一端为hybrid时,数据包VLAN标签的变化和传递过程?如果一台交换机所有端口都为VLAN2,另一台交换机所有端口都为VLAN3,将这两台交换机级联起来,然后各接一台工作站,工作站IP都属于VLAN4,问这两台工作站之间能互相PING通吗?这个问题你能一口气答出来吗?)介绍了利用loopback-detection命令发现环路处理ADSL用户上网异常问题、端口配合导致S3026光模块指示灯不亮问题、由于两条物理链路形成环路造成部分业务不通问题。
ü Trunk口与Hybrid口不能同时使用在一台交换机上
ü Access:主要用于与路由器、终端相连,需要注意的是access vlan
ü Trunk:主要用于与交换机相连,对端可以是Trunk、Hybrid口
ü Hybrid:主要用于与交换机相连,由于其特殊性,也可以接路由器和终端(实验考试中常用,个人认为如果在实际应用中这么用,就是……)
l 第三点是VLAN问题,有了对上一节的基础,对整个数据帧转发的过程中何时删除TAG标签,何时增加TAG标签,在删除和增加的过程中VLAN ID的变化透彻理解之后,排除由VLAN配置不当产生的问题就易如反掌了。这一节中还介绍了友商交换机三层接口问题导致与S6506互通网络中断、网络用户私自安装配置DHCP服务器导致其它用户上网不正常、在启用GVRP的低端交换机上创建所需的VLAN等其它问题。
l 第四点是集群管理和网络管理问题,提供了S6506、S3026和S2016B集中管理解决方案,介绍了S3026配置集群管理后重启成员交换机,成员状态为DOWN、网管无法管理到Quidway S系列交换机、S3026E由于MAC转发表错误信息而不能使用管理IP进行远程管理等问题。
l 第五点是设备兼容问题,介绍协商问题的几种情况,讲述了故障排除的顺序,最后提供了S3526FM通过千兆光口与友商交换机不能互通的案例。
l 第六点是其他故障,这一节也特别实用,总结出网络上容易出现网络主机配置错误问题和网络病毒问题,介绍了由于PC机配置双IP地址导致PING报文单通、S3526的VLAN用户由于感染骇虫病毒导致S3526的CPU占用率高达100%、网吧网关配置错误导致S3526E的CPU占用率过高、由于ICMP报文重定向导致PING有重复的回应报文、PC机ARP表项老化时间过长,导致用户在物理上刚连接时较长时间不能上网、NIMDA病毒攻击导致部分用户无法上网,部分用户网络速度极低等问题。我最近就接到两个客户打来的电话,报怨说CPU利用率过高的问题,有了培训提供的案例经验,解决这类问题就能思路清晰、有的放矢了。
第五天:全天是故障排除综合实验,整个实验共用到六台路由器、五台交换机,模拟了公司总部和两个分部及ISP网等四个网络,有OSPF、GRE、L2TP、IPSec&IKE、DHCP server、802.1x验证、VRRP、Dial-up User等元素,整个实验综合度很高,也是考试的一个预演。在HCTE的考试中,并不是说你最后把网络都配通了,功能都实现了就能合格的,它要求你循序渐进,先进行故障信息收集,再运用工具分析原因,最后逐点排除,每一步都要求详细记录,完成文档,留下排障经验。在小组全体成员的配合下,在随时查看典型配置案例的帮助下,终于完成了实验,体会到克服困难成功后的喜悦。同时也感到一点担心,考试时没有其他人在旁边出谋划策,也不能带自己的便携机,只能参考终端机上的命令手册,而且考试的难度比实验更难,在这种情况下能通过考试吗?好在考试需要预约,能有一段时间消化和提高。
HCTE考试内容:
1、 安全
a) IPSec
i. ACL不匹配
ii. IKE密钥
iii. IKE pre-shared-key
b) GRE:
c) L2TP:PC拨号VPDN
2、 路由
a) OSPF
3、 交换
a) 802.1x认证
b) 与路由器连接的端口由Trunk配置为Access
c) FTP终端与MAC绑定
4、 链路
a) PPP
b) FR中的DLCI没有配置
HCTE评分标准:
小飞侠老师最新版 
超实用的网络管理课
Cisco互联网专家 CC
小飞侠网络设备及实
企业网络需求分析与
CCIE15101全程主讲 
[复制链接]
发表于 2014-2-13 17:58:31
发表于 2014-3-16 22:39:58
