恭喜翁泽武同学通过CCIE-RS认证

在等待成绩的心情中写了这个战报，出奇的晚。说说考试吧。

我是提前一天到了酒店，住的华登21楼，2102，房间太小，而且之前订的大床，去的时候说没有了，只有双人算了就一晚，将就住，环境还行吧有wifi，不过充电的插头是大头的需要转换器，可以找前台借，20港币押金一个。

香港吃饭超级贵！！当天晚上一直醒来，几乎一个钟醒一次，到6点半的时候就干脆起来了，洗了个澡，跑去鹰君中心下面的便利店买了个包和水在啃。

到31楼是7点15分左右，一上去就有女生在等，一直在背题。接着是一个厦门的哥们来了，闲聊了几句。然后又一个思科的员工过来考的无线，我刚开始以为是考官。

7点45分的时候考官eric来了，拿了纸跟我们签到，有一个啊3 考的DC，思科员工考的无线，其他都是RS。这其中阿三问题不断。

签完到eric让我们拿身份证和通行证，比对样貌特征，我很快过了，卡在一个厦门的哥们，eric说两张照片和他的真人的样子3个样，我看了一下没看出来区别。。。然后一直让他拿其他证件照或者是银行卡有他名字的。他没找着，后来折腾了一番还是让他考了。

接下来eric简单的跟我们介绍了考场，英语说一次，中文说一次，就是一些注意事项。没什么自己注意听就好了，我是完全不上厕所。除了中午吃饭一路考到底。8点17分开考，12点吃饭。12点15分继续，吃饭的时候不允许讨论，就这样。我的是4号机，感觉还行。

TS1

TS做的很快，一上来我没直接找错点按照思路去show配置再来看错点。考试界面左上角是每个题目的需求，不用点击，移上去就有下拉框然后点击题目就会跳出一个小窗口就是题目需求。左上角第二个可以显示所有题目，我是点所有题目然后拉到第二个屏幕照着怼了。废话不说，接下来看错点，都是老错点很简单。

Q1 上来一PC有地址，ping也是通的，trac路径不对负载的，然后发现SW1/SW2没vlan12，SW1/SW2添加 vlan 12现象就出了，然后就过了。

Q2 这题错点就一个，在R17上删除ppp chap authentication callout，然后S4/0接口SHUTDOWN，NO SHUTDOWN就出现像了。

Q3 这题的话有两个错点，R3上有一个汇总删除，R21接口下删掉ip ospf cost 1。

Q4上来发现R11有145.14.14.14的路由但不负载， R13设备接口下no delay 1000,立刻负载，但是metric不对，每台路由器刷K值1 1 1 1 1 。

Q5 在R22和R25上查看IPV6的BGP 邻居和路由。发现R25没收到R22的ipv6路由，邻居是好的，修改R22的route-map的ipv6 next-hop。

Q6 这题就把R12设备bgp进程下max 2，现象全有，这里很容易忘记R4/R5的IBGP没起来，我开始现象出也忘记了，后来想了下好像没看邻居完不完整，错点是R5没有对R4在ipv4上active。

Q7 R15需要关闭水平分割，然后加ip nhrp red； R18 R19 ip nhrp map 后面两个地址写反了，107下tr小写出大写需要no ip domai timeout 1

Q8 这题得从下往上，我先看了两台PC的地址是否获取争取，一看正常，再看PC网段有没有宣告出去，也有，OK！然后看vpnv4邻居，都正常！接着是RT了，发现R3 R4 的to hub 没有RT，加上对应R5/R6的import RT值就可以。R8删掉as-set，此时如果删了R8的as-set，172.16.0.0/16是会优先123.4.4.4，因为R7的汇总是带了重分发属性的，而R8的是单纯的汇总。所以R7删除汇总，R3下两条静态路由加255。 R4 R6没有邻居不用建，R4 R6e2/0下ip ospf cost 22， R3ipv4下宣告125网段，R7/R8针对123下放默认路由，R7/R8的e0/0.123 ip nat inside，R8的E0/0.125 ip nat outside.做完后需要测试备份链路，我这边测试很快。

Q9 这题错点就一个，R7上加group 14跟R24一致，邻居起的比较慢等等就好了。

Q10 这题有两个小问，没去看错点了，NAS的MAC要绑定跟地址池一样的MAC，sh/no sh后获取固定地址。拿到地址后，我在NAS拼通8.8.8.8就直接ip do loo，ip http server，R23上ip dns server，ip name 8.8.8.8.然后NAS上pingwww.cciecloud.com没问题，R21上telnet nas.home.net 8008有OPEN，并且可以get/。

TS这块我做了半个小时多一点，然后花了20分钟左右来检查，全部设备保存了两次 ，因为老是怕会有设备忘保存。。。

DIAG 3

看到题目马上看了第二题是否有选设备和命令，看到有确定是3或者3+++不过不知道是哪个反正就其中一个吧。

一， DHCP

诊断的话界面主要看嘴边

第一行左边是往上翻，右边可以下一题，做完可以来回翻没什么问题。

往下第一个是一封邮件跟你说明故障的情况，第二个是拓扑，第三个是设备配置，第三个是一些show的信息，最下面的是考试时间！

Q1 133

是选择报文,界面最下方就是抓报文的，有一个网址点进去就能看到web界面里面很多报文。通过bootp筛选选择第一个discover包，源地址为0.0.0.0-----答案是：133

Q2 SW1 how ip dhcp relay information trust

是选择哪个设备的信息和show命令对你最有帮助。材料会告诉你哪些是接入设备，哪个是中继，我的SW3是接入，SW1是中继，所以我选了SW1，show ip dhcp relay information trust。

Q3 SW1-SW3.

问你以上抓包的位置，找到CDP的包就能看到了，很清楚，点开CDP的包最后一行，能看到对端设备的名称及接口。我的是SW1-SW3（应该都是这个），这题要非常注意，点完之后，如果你移到别的位置，这个题就又变回没选中，因为在第一题全部选完之后会在页面最下面有一个 ，这个提示，表示你已经完全完成选择。我做的时候因为来回检查，每翻回第一大题，下面的页面就消失了，重新点一下第三题SW1-SW2的那个圈圈，点完回变黑色才能又重新看到，所以建议最后全部做完就在第一大题不要翻了。如果检查第二大题，检查完要继续返回第一大题，一定要确认第三题有没有选中！

二．黑客

这题在考之前研究了很久，也读了很多战报，也总算研究出了一些套路。

首先得知道这题黑客攻击的一个流程：

1.   受害者（路由器）发起TCP会话到黑客（远程主机）

2.   受害者通过HTTP在黑客那里下载脚本

3.   黑客通过脚本，远程telent到路由器的1337端口(这个端口在考试的报文是一串英文最后是M开头，dns结尾的，忘记咋ping了)，并进行提权。

4.   黑客通过后门安装一个非法的软件到受害者

所以这里就可以总结出一些套路了。

第一个TCP会话是受害者发起的，所以源地址是路由器，目的地址是黑客。

第二个是受害者访问路由器的http，并且去get一个脚本，所以对应的源地址也是路由器，目的地址是黑客。

第三个，可以找到一个灰色的报文，是黑客去访问路由器的1337端口，很好找，源是黑客，目的是路由器地址。

我首先通过筛选TCP，可以找到第一个syn=0的报文，我的是源是10.1.1.1，目的是10.1.1.2.

再往下找到一个http的报文，含get字眼的，源是10.1.1.1，目的是10.1.1.2，刚好和上面对应。

往下找1337端口的源是10.1.1.2，目的是10.1.1.1对应1337端口。

刚好符合这个流程。

Q1

1）TCP connect form the router to 10.1.1.2 （TCP会话来自路由器到10.1.1.2黑客的地址）

这里有个干扰项：TCP connect form 10.1.1.1 to one of the router’s VTY,我的理解是来自10.1.1.1到路由器的虚拟线路，应该反了，所以没选）

2）TCP connect form a remote host to the router’s ip address 10.1.1.1 on port 1337

3) DOWNLOAD of a TCL script in memory via http (有个https的干扰选报文没有，不选)

4）installment of a ransomware via a backdoor

Q2

Poweroff

这个题貌似有几个问法，我刚好问到的是之前了解过的，有downtime这个关键词

毫不犹豫的选了 poweroff。（不过看战报大都是这个）

Q3

Tclsh http：//10.1.1.1/bd2.tcl （路由器地址，小伙伴都这样说我就这样选了，原因不明）

版本：

H2

大家都知道的一个版本，考试的图基本上跟练习的一样，预配也差不多。

拿到版本的时候，看到是H2的图，看了下branch那块没vrf。再从头仔细看需求，确认是H2。之前有预感抽到H2。

考前有个兄弟跟我说了在二层那里遇到了一些问题，有些端口起不来。我考的时候特意花了40分钟来做二层，没什么问题，就是有些端口没连接设备是down的，这个没啥问题，例如SW5的E0/1-3。注意SW5连接R17和sw6连接R18，还有和R57/7/8/9/10/53/54这几个路由器的端口都是关的，建议一上来就打开。如果R17和R18没开，你sw5和sw6的E0/0接口一开就会马上又down了，这个是正常的。

解法不一就不多说了，这里说下该注意的，R58是单向重分布，并且E0/0接口有一个eigrp的汇总，需要在eigrp进程改AD，我改成21。R52跟R58相连的地址是错的，图是30位，配置是24位，我把他改了。

还有R50/51/52这块，我看需求图显示65006的时候有ipv4的IBGP邻居关系，往下翻到65001的时候就没了，所以我改成65001的时候就没做ibgp关系（之前做了，想想还是删了），然后就是R50/51/52这个地方，我记得跟R1那里的需求图那里的紫色线是只有vpnv4的邻居关系的，然后我50/51/52这3个路由器就没跟R1建IPV4的IBGP邻居关系，但是回来跟小伙伴说的时候他给了图给我看，那个紫色是ipv4+vpnv4我瞬间模糊了，不知道是不是看错。反正没做，不过这里不影响现象的，就是不知道如果这3个路由器跟R1没有IBGP邻居会怎么扣分。

1点左右完成配置，现象全出。检查到3点钟看刚好eric走出来就叫交卷了。还是第一个交。

到现在成绩还没出，真是着急。

基本上整个考试的历程都在这了，希望能帮到各位，虽然成绩还没出，但是还是谢谢给予帮助的群友及一起备考的小伙伴小分队。！！