CCNP TSHOOT 준비방법

CCNP의 마지막 시험이자 가장 어려운 TSHOOT은 상대적으로 꽤 난이도가 있는 시험이라 생각한다. 

다문항이나 기타 단답식은 덤프를 통해서 쉽게 준비할 수 있으므로 시뮬레이션 시험문제를 어떻게 풀어야 할지 적어보았다.

시험은 13가지의 문제가 똑같은 다이아그램으로 표현되어 있지만 각 문항마다 다른 문제를 가지고 있으므로 시험이 시작하자마자 문제가 무엇인지 판단해야 하는게 가장 중요하다.

A)우선, 아이피가 169.x.x.x 일때는 네가지의 경우가 있다.

1.ASW1 – port security 문제

2.ASW1 – access vlan 10 문제

3.ASW1 – switch-to-switch (show-run ASW1)

4.R4 – DHCP excluded (show-run R4) DHCP설정값에서 호스트 아이피 제거

B)만약 호스트에서 아이피를 받고 있다면 다음의 2가지 옵션으로 좁혀지는데,

한 경우는 호스트가 10.1.1.1로 핑할수 있는데 209.65.200.241로는 핑할수 없는경우

1.R1 – NAT (10.2.0.0) (show-run R1)(sh ip BGP summary)

2.R1 – BGP (56-65) (show-run R1)(sh ip BGP summary)

3.R1 – ACL (show-run R1)(sh ip BGP summary)

다른 한 경우는 호스트가 10.1.1.2로 핑할수 잇는데 10.1.1.1로 핑할수 없을때

4-R1 – OSPF authentication (show-run R1 + R2)

C)호스트가 10.1.1.1로 핑할수 없을때 

1. DSW1(ASW1) – vlan access map(vlan acl port) 

2. R4 – Route redistribution: Eigrp랑 OSPF랑 이름이 안 맞을때

3. R4 – EIGRP Passive Interface: passive interface 

4-R4-EIGRP AS: AS 넘버 확인

D)위에 경우에 해당하지 않을경우

- HSRP on DSW1: DSW1 확인. track 10 이 사용되어야 함.

- OSPF IPv6 on R2: area 0 이 사용되어야 함.

그럼 우선 A의 경우에 대한 4가지 문제에 대해 얘기해보겠다. 참고로 위의 내용은 시험 들어가자마자 쫙 적어놓고 시작하는게 가장 좋다.

1. ASW1 - Port Security 문제

호스트가 아이피를 못받을 때는 (169.x.x.x 가 DHCP서버로부터 IP를 못받았다는 뜻이다) ASW1 스위치로 가서 'sh run'하면 interface fa1/0/1에 port-security가 설정되어 있을 것이다. 이 port-security설정이 호스트가 아이피를 받는것을 막고 있는것이므로 port-security부분을 삭제해주면 된다.

interface fa1/0/1
switchport mode access
switchport port-security
switchport port-security mac-address 0000.0000.0001

2. ASW1 - access vlan 10 문제

'sh run'을 통해서 보면 interface fa1/0/1에 vlan이 1로 설정이 되어 있는데 위 시험에서 호스트는 vlan이 10으로 지정되어 있다. 그러므로 vlan을 10으로 바꿔주면 된다.

interface FastEthernet1/0/1
switchport mode access
switchport access vlan 1 switchport accessl vlan 10

3. ASW1 – switch-to-switch

ASW1은 다이아그램에서 보듯이 트렁크로 묶여 있는데 트렁크설정에서 vlan이 잘못 설정되어 있을 수 있다. 이때 port-channel에서 vlan 10을 입력해주면 된다.

interface PortChannel13
switchport mode trunk
switchport trunk allowed vlan 1-9 switchport trunk allowed vlan 10
!
interface PortChannel23
switchport mode trunk
switchport trunk allowed vlan 1-9 switchport trunk allowed vlan 10

4. R4 - DHCP excluded

R4에서 'sh run'으로 확인해 보면 호스트 아이피대가 배제된 것을 (excluded) 확인할 수 있다. 이걸 지워주면 된다.

ip dhcp exclude 10.2.1.1-10.2.1.253

5. R1 - NAT 문제

만약 호스트가 아이피를 받고 있다면 R1에서 NAT를 의심해볼 수 있다. 'sh run'을 통해서 보면 NAT에 호스트 아이피에 대한 정보가 없는 것을 알 수 있다.

ip nat inside source list nat_pool interface s0/0/0/1 overload

ip access-list standard nat_pool
permit 10.1.0.0

permit 10.2.0.0
interface serial0/0/0/1
ip address 209.65.200.225 255.255.255.252
ip nat outside
interface Serial0/0/0/0.12
ip address 10.1.1.1 255.255.255.252
ip nat inside
ip ospf message-digest-key 1 md5 TSHOOT
ip ospf authentication message-digest

6. R1 - BGP 문제

만약 호스트가 아이피를 받고 있다면 R1에서 BGP를 의심해볼 수 있다. 'sh ip bgp summary'를 통해서 보면 BGP의 network 아이피가 잘못 입력되있음을 확인할 수 있다. 다이아그램에서 보듯이 BGP쪽 네트워크는 209.65.200.X 네트워크이다.

router bgp 65001

no synchronization
bgp log-neighbor-changes
network 209.65.200.224 mask 255.255.255.252
neighbor 209.56.200.226 remote-as 65002
no auto-summary

7. R1 - ACL 문제

만약 호스트가 아이피를 받고 있다면 R1에서 ACL 테이블을 의심해볼 수 있다. 'sh run'을 통해서 보면 access-list에 연결네트워크에 대한 정보가 없으므로 permit 209.65.200.224 0.0.0.3을 입력해줘야 한다.

router bgp 65001

no synchronization
bgp log-neighbor-changes
network 209.65.200.224 mask 255.255.255.252
neighbor 209.65.200.226 remote-as 65002
no auto-summary
!
access-list 30 permit host 209.65.200.241
access-list 30 deny 10.1.0.0 0.0.255.255
access-list 30 deny 10.2.0.0 0.0.255.255

access-list 30 permit 209.65.200.224 0.0.0.3
!
interface Serial0/0/0/1
ip address 209.65.200.224 255.255.255.252
ip nat outside
ip access-group 30 in

8. R1 – OSPF 권한문제

만약 10.1.1.2까지 핑이 가고 10.1.1.1에 핑이 가지 않을 경우에는 OSPF의 문제를 고려해 볼 수 있다. R1과 R2의 OSPF설정을 비교해보면 R1에는 'ip ospf authentication message-digest'가 설정되어 있지 않음을 알 수 있다. 그러므로 R1에 authentication을 설정해 주면 된다.

Configuration on R1
interface Serial0/0/0/0.12 point-to-point
ip address 10.1.1.1 255.255.255.252
ip ospf authentication message-digest
ip nat inside
ip ospf message-digest-key 1 md5 TSHOOT
!
router ospf 1
log-adjacency-changes
network 10.1.1.0 0.0.0.3 area 12
default-information originate always
Configuration on R2
interface Serial0/0/0/0.12 point-to-point
ip address 10.1.1.2 255.255.255.252
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 TSHOOT
!
router ospf 1
log-adjacency-changes
network 10.1.1.0 0.0.0.3 area 12

9. DSW1 - vlan access map (BUG!)

만약 호스트가 아이피를 받고 있지만 10.1.1.1에 핑할수 없을때 DSW1의 vlan access map을 확인해봐야 한다. 아래와 같이 vlan 10이 필터링 되고 있는 것을 알 수 있으므로 해당 설정을 지워주면 되

vlan access-map test1 10
drop
match ip address 10
!
vlan filter test1 vlan-list 10
!
ip access-list standard 10
permit 10.2.0.0 0.0.255.255
!
interface VLAN10
ip address 10.2.1.1 255.255.255.0

10. R4 route redistribution과 OSPF 이름 확인

만약 호스트가 아이피를 받고 있는데 10.1.1.1에 핑을 할 수 없다면 R4에서 route map의 이름을 확인해봐야 한다. 아래서와 같이 eigrp10에서와 route-map에서의 이름이 다르므로 이름을 매치시켜주면 된다. 

 

router eigrp 10
network 10.1.4.5 0.0.0.0
no auto-summary
redistribute ospf 1 metric 100 10 255 1 1500 route-map EIGRP_to_OSPF
!
router ospf 1
network 10.1.1.8 0.0.0.0 area 34
redistribute eigrp 10 subnets
!


route-map EIGRP->OSPF
match ip address 1

 

11. R4 – EIGRP Passive Interface

DSW1과 R4를 비교했을때 R4에는 passive interface default가 설정되어 있음을 알 수 있는데 이를 제거해 주어야 한다.

 

router eigrp 10passive-interface default
redistribute ospf 1 route-map OSPF->EIGRP
network 10.1.4.4 0.0.0.3
network 10.1.4.8 0.0.0.3
default-metric 10000 100 255 1 10000
no auto-summary

 

12. R4 – EIGRP 번호 확인

만약 호스트가 아이피를 받고 있는데 10.1.1.1에 핑을 할 수 없다면 R4와 DSW1의 EIGRP이름을 확인해야 한다. R4의 eigrp가 1로 설정되어 있는반면 DSW1은 10으로 설정되어 있으므로 R4의 AS번호를 10으로 바꿔주면 된다.

 

13. DSW1 – HSRP확인

DSW1과 DSW2는 HSRP가 설정되어 있는데 track 이름이 잘못 설정될 경우가 있다. 아래와 같이 설정값을 10으로 고쳐주면 된다. 아래에서 standby 10 track 10 decrement 60으로 고쳤는데 track 1은 R4에 대한 정확한 정보가 입력되어 있지 않다. 그러므로 track 10을 사용해야 한다. 10.2.21.128이 R4의 loopback값이다.

 

track 1 ip route 10.1.21.128 255.255.0.0 metric threshold
threshold metric up 1 down 2
!
track 10 ip route 10.2.21.128 255.255.255.0 metric threshold
threshold metric up 63 down 64
!
interface Vlan10
ip address 10.2.1.1 255.255.255.0
standby 10 ip 10.2.1.254
standby 10 priority 200
standby 10 preempt
standby 10 track 1 10 decrement 60

저작자표시

'IT 이야기' 카테고리의 다른 글

Snort + BASE (Basic analysis and Security Engine) 에 이메일 설정하기  (0)	2012.06.27
CCNP TSHOOT 에필로그  (0)	2012.06.08
위키피디아 24시간동안 폐쇄 Wikipedia close for 24 hours  (0)	2012.01.18
아마존 킨들 파이어 Amazon Kindle Fire  (0)	2011.11.15
리눅스에서 커널 용량이 부족할 경우  (0)	2011.10.21