Пользователь
0,0
рейтинг
18 декабря 2013 в 14:17

Администрирование → Подготовка к CCIE лабе в домашних условиях из песочницы

Начну пожалуй с краткого введения в Cisco CCIE экзамен.
История CCIE началась в 1993 году. Изначально экзамен состоял из двухдневной лабораторной работы, позднее его сократили до одного дня. Согласно Википедии меньше 3% Cisco специалистов удается стать счастливым обладателем CCIE сертификата.

Сам экзамен состоит из двух частей: письменной и лабораторной. На лабу дается 8 часов.
Существует несколько треков: «Маршрутизация и коммутация» (Routing and Switching); «Безопасность» (Security); «Провайдер услуг» (Service Provider); «Передача голоса» (Voice) и т.д.

image

Готовится к CCIE «Маршрутизация и коммутация» я начал около 2 лет назад. За плечами у меня на тот момент было около 6 лет опыта работы с сетевыми технологиями и успешно сданный CCNP экзамен.

После успешной сдачи письменного экзамена, я приступил готовится к лабе. Для подготовки я выбрал материалы ine.com, которые довольно популярны среди готовящихся к экзамену.

Есть несколько способов подготовки к лабораторной:
1. Приобретение всего необходимого оборудования, а это около 9 Cisco маршрутизаторов и 4 коммутатора. На ebay можно купить готовый набор за $2000 — $2500 плюс доставка.
Вот, что входит в стандартный набор:
2 x Cisco 2610XM
1 x Cisco 2611XM
3 x Cisco 1841
2 x Cisco 2501
1 x Cisco 2522/(or 2600 with NM-8A/S) (Frame Relay Switch)
1 x Cisco 2511 (Access Server)
2 x Cisco Catalyst 3550 Switch with EMI image
2 x Cisco Catalyst 3560 Switch with EMI Image

2. Второй вариант — это аренда оборудования. Где за почасовую оплату вы получаете доступ к необходимому оборудованию.
3. Третий вариант — это использование программ для эмуляции Cisco IOS, таких как Dynamips например.

У каждого из приведенных вариантов есть свои плюсы и минусы. Я остановился на третьем варианте, как на самом бюджетном. Для эмуляции маршрутизаторов Cisco я остановился на GNS3. GNS3 это графический интерфейс для Dynamips. Правда у GNS3 есть свой минус. Он не может полностью эмулировать Cisco Catalyst коммутаторы. И это связано с тем, что Cisco использует ASIC процессоры для части функционала.

Поэтому мне пришлось использовать физические коммутаторы, а маршрутизаторы эмулировать используя Dynamips.

Самая трудная, на мой взгляд, задача была — заставить реальные коммутаторы общаться с виртуальными маршрутизаторами.

В моем распоряжении было 3 Cisco Catalyst 3750, заимствованные на работе и два б/у Cisco Catalyst 3550, купленных на ebay за $80 каждый.
Для эмуляции Cisco маршрутизаторов я использовал лаптоп Toshiba R700 со следующей конфигурацией: процессор Intel Core i3 2.27GHz с 4-мя гигабайтами памяти и Windows 7 Professional 64-bit операционной системой.

after2
Первое время приходилось настраивать все на месте. В дальнейшем я уже подключался по удаленному доступу.

ine topology
Топология INE выглядит следующим образом.

Чтобы подключить GNS3 маршрутизатор к физическому коммутатору я решил использовать 802.1q trunk. Для этого необходимо, чтобы сетевая карта на лаптопе поддерживала VLAN теги.

Мой Тошиба R700 имел сетевую карту от Intel, которая поддерживала VLAN теги. Но для этого нужно было скачать и установить ANS Teaming Software от Intel. Пришлось потратить достаточно времени, прежде чем добиться желаемого результата.

image
Сетевой адаптер с множеством виртуальных адаптеров.

Один из Cisco 3750 я использовал как Breakout switch, т.е как связующее звено между GNS3 устройствами и четырьмя физическими коммутаторами, которые необходимы непосредственно для лабы.

network connections
Breakout Switch

gns3design
Топология в GNS3.

Так выглядит конфигурация на порту к которому подключен лаптоп:

interface GigabitEthernet2/0/24
description *** TRUNK TO THE LAPTOP ***
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2-4094
switchport mode trunk
l2protocol-tunnel cdp
l2protocol-tunnel stp
l2protocol-tunnel vtp
no cdp enable
spanning-tree portfast


Так выглядит конфигурация порта к которому подключен один из физических коммутаторов.

interface GigabitEthernet2/0/3
description *** VLAN105 TO THE SW1 ***
switchport access vlan 105
switchport mode dot1q-tunnel
l2protocol-tunnel cdp
l2protocol-tunnel stp
l2protocol-tunnel vtp
no cdp enable
spanning-tree portfast


Чтобы избежать лишней головной боли, я изменил значение MTU для всех сетевых адаптеров со стандартного 1500 на 1536 таким образом:

netsh interface ipv4 set subinterface «LAN101» mtu=1536 store=persistent

Кстати проверить текущий размер MTU на windows можно так:

netsh interface ipv4 show subinterface

Для подключения к каждому из физических концентраторов мне понадобился дополнительно USB хаб, с подключенным к нему необходимым количеством USB-to-Serial адаптеров. Цена на амазоне $19, но можно найти и дешевле.

ssh
Для работы с Cisco я использую SecureCRT.

Надеюсь вышеизложенный текст будет полезен кому-нибудь на нелегком пути к CCIE. Свою CCIE лабу я зарегистрировал на июль 2014. В следующий раз я постараюсь рассказать, что собой представляет экзамен на практике.
Эльман @elmanr
карма
8,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Администрирование

Комментарии (36)

  • +1
    Удачи в сдаче лабы. А есть смысл сдавать CCIE, кроме как ради личного челленджа? Ни разу не видел вакансий с обязательным требованием сертификата CCIE.
    • +1
      Спасибо. Лично для меня смысл есть. В Англии, где я в данный момент проживаю, довольно большой спрос на CCIE. А многим системным интеграторам нужны специалисты такова уровня, для получения звания золотого партнерa Cisco например.
    • +1
      Смысл есть если вы уже понимаете в чем смысл :) Это такая вещь которую далеко не каждый вообще в состоянии сделать. Кроме огромного опыта в технологиях это дает так же огромный опыт в плане управления временем, знаниями, умения искать и оперировать информацией. Это большой проект. С точки зрения профессиональных контактов на человека с шайбой обычно смотрят совершенно по другому, когда понимают в чем дело. Если не понимают в общем то и не стоит на таких время тратить. Когда начинаешь этим заниматься, становится на самом деле понятно почему все так серьезно и в то же время опционально. Невозможно человека сделать IE если он сам этого сильно не захочет и себя не заставит. Работа скорее сама найдет, таких людей часто знаю заранее и вакансии могут не выходить на большой рынок, ну по крайней мере у нас тут такая картина.
      • 0
        Прям какой-то закрытый клуб :)
        Я ни в коем случае не сомневаюсь в том, что CCIE — это очень круто и в том, что в процессе подготовки можно разобраться во многих вещах, с которыми в работе не пришлось бы столкнуться (я прочитал официальный гайд по R&S и просмотрел видеогайды от INE — действительно много полезного).
        Но интересна именно практическая востребованность, бывают ли ситуации, когда хотят только CCIE, а человека с релевантным опытом, но без сертификата — не берут ни в какую. Видел также странные требования в стиле «сертификат от циски CCNA/CCNP/CCIE».
        • 0
          Да не, не то чтобы клуб :) Некое подобие тусовки действительно имеет место быть, правда, типа кружка по интересам. В общем раасуждать много ума не надо, а вот взять и сделать это уже очень и очень непросто.
          Насчет требований — такое возможно, но встречается не часто. Сам сертификат необходим для партнерских статусов. Искать человека с сертификатом обязательно — значит категорически ограничить себя в выборе. Могут быть вполне себе толковые и знающие люда которые просто не готовы потратить кучу своего времени на это по объективным причинам.
      • +1
        CCIE уже мало что значит. И я не могу назвать экзамен сложным, разве что в плане умения быстро набивать много конфигов. Материал там примитивный и довольно базовый.

        Я вот как-то наткнулся на совершенно замечательный топик, в котором два CCIE утверждают занятные вещи: supportforums.cisco.com/thread/1002131
        • 0
          Я вот как-то наткнулся на совершенно замечательный топик, в котором два CCIE утверждают занятные вещи: supportforums.cisco.com/thread/1002131


          По логике permit ip должно матчить весь трафик независимо от того, какой протокол внутри (хоть tcp, хоть gre), но в теме написано
          IP includes TCP/UDP/ICMP

          Надо будет как-то проверить.
          • +3
            «IP includes TCP/UDP/ICMP but GRE and ESP have their own protocol numbers at the IP layer.»
            Человек не понимает, что у TCP, UDP и ICMP тоже есть «their own protocol numbers at the IP layer». TCP — это 6, UDP — 17 и так далее, и они ничем не лучше и не хуже, чем GRE, ESP и так далее. Соответственно, человек не понимает, как устроен стек TCP/IP. А это, между прочим, уровень CCNA, самые основы.

            Т.е. два CCIE, поддакивая друг другу, написали бред, который в теории должен оспорить любой CCNA.
            Надо будет как-то проверить.

            Вы увидите, что, разумеется, никогда не сработает ни одно L4 правило, находящееся под «permit ip».
            • 0
              Человек не понимает, что у TCP, UDP и ICMP тоже есть «their own protocol numbers at the IP layer». TCP — это 6, UDP — 17 и так далее, и они ничем не лучше и не хуже, чем GRE, ESP и так далее

              Я как раз это понял. Там же речь шла не о теории, а о конфигурации циски, вот они и написали, что «под IP в аксесс-листах подразумевается TCP/UDP/ICMP».
              И речь идёт не об L4, а о части IP заголовка (protocol number).

              Кстати, интересно ещё, как разные циски умеют обрабатывать acl аппаратно. Мне как-то надо было срочно зарезать syn flood, для чего я создал ACL, который разрешает tcp syn,ack пакеты, но запрещает syn. Так вот, каталист 49й серии с 10GE супом не смог такой ACL отматчить в TCAM, хотя по номерам портов матчить умеет. С 76xx таких проблем не возникло.
              • +1
                вот они и написали, что «под IP в аксесс-листах подразумевается TCP/UDP/ICMP».

                Под IP в ACL понимается, собственно, IP :)
                Протоколы L4, будь то TCP или GRE, несущественны.
                Барышня написала:
                access-list blah permit 47 any any
                access-l blah permit 50 any any
                access-list blah permit ip any any

                Как думаете, от удаления первых двух строк что-нибудь изменится?
                Кстати, интересно ещё, как разные циски умеют обрабатывать acl аппаратно

                И именно аппаратные особенности разных платформ — главное, чего на мой взгляд не хватает в CCIE.

                Вот например для 4500 (в эту категорию обычно включают 4948) пишут:
                www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/50sg/configuration/guide/secure.pdf
                – For Supervisor Engine 2-Plus to V-10GE, the TCP flag combinations «rst ack» and «syn fin rst»
                are processed in hardware. «rst ack» is equivalent to the keyword established. Other TCP flag
                combinations are supported in software.
                – For Supervisor Engine 6-E, the TCP flag combinations «rst ack», «syn fin rst», «urg» and «psh»
                are processed in hardware. «rst ack» is equivalent to the keyword established. Other TCP flag
                combinations are supported in software.

                Но вы, скорее всего, превысили лимит L4Op для ACL.
                И вообще говоря, слово «established» как раз включает в себя все кроме первого SYN. Вы, надеюсь, именно так настраивали?
                • 0
                  Этого документа не видел, теперь всё ясно. Пакеты только с флагом SYN не матчатся аппаратно, что и было выяснено эмпирически.
                  L4 ACL на подопытной циске не было вообще, нечего там превышать. Established немного вводит в заблуждение, это же не стейтфулл файрволл.
                  • +1
                    Established немного вводит в заблуждение, это же не стейтфулл файрволл.

                    Но ваша задача-то («дропать SYN пакеты») решается ACL из одной строки вида «permit tcp any any established». Всё. Это должно работать аппаратно везде, где хоть что-то может работать аппаратно.

                    «Established» матчит все кроме SYN без ACK, т.е. входящее соединение не пройдет, а обратка по исходящему — запросто. Грязный, но вполне рабочий хак. Конечно, ни о какой стейтфульности на каталистах речи нет.
            • 0
              к фразе «должен оспорить любой CCNA» вспоминается шутка про вопрос о том, форвардит ли маршрутизатор броадкасты?
              CCNA отвечает «нет», CCNP — «да», а CCIE — «it depends» :)
              • 0
                CCIE вообще на большинство вопросов должен отвечать «it depends» :)
                А совсем опытный человек не уверен никогда и ни в чем, особенно это касается официальной документации и личного опыта (и то, и другое запросто может подводить) :)
  • +1
    «коммуникаторa»
    Вы меня извините, но я думал, что люди, которые работают с оборудованием Cisco, да еще и сдают на сертификаты, не должны делать таких ошибок.
    • 0
      Не совсем понял, что не так. Объясните, если можно в личку, исправлю.
      Для меня более привичнa терминалогия свитч и рутер. Слово комуникатор использовал для широкой аудитории хабрахабр.
      • +3
        Коммутатор же :)
        • +2
          Исправил :)
      • +2
        Router = маршрутизатор
        Switch = коммутатор
        Hub = концентратор (или хаб)

        Communicator = коммуникатор ;)
        image

        Статья интересная, спасибо.
    • +2
      Человек проживает в Англии. Ему наверняка привычнее термин «switch». А как принято называть это устройство в России, ему простительно не знать.
      • +2
        Помню как-то пробовал читать гайды для подготовки к CCNP на русском языке. Все время повторялось слово «переключатель» =) Когда понял о чем речь, решил завязать с чтением переведенных текстов :)
  • +2
    Свою CCIE лабу я зарегистрировал на июль 2014

    The last day to test for both the Written and Lab v4.0 exams will be June 3, 2014.
    А в R&S v5 frame relay, например, уже совсем выкинули, говорят. Так что ваша топология уже немного неактуальна.
    • +2
      Да там много изменений. Мне нравится — неактуальный хлам выкинули, интересного добавили. Плюс новая, третья секция экзамена, судя по описанию, шикарна.
      Старый written я уже давно заекспайрил — подумываю в июне в первых рядах сдать письменный v5, а в сентябре на первой же мобильной лабе в МСК — собственно лабу.

      И конечно, готовиться надо только на IOU, потому что именно на нем и будет построена конфигурационная часть лабы (TS, разумеется, тоже). GNS3 пора на свалку истории.
  • +2
    Хорошая статья. Я сам и многие мои знакомые прошли в свое время похожим путем. Еще пара рекомендаций:
    1. GNS3 почему-то гораздо лучше работает в unix-like средах. Есть готовые образы виртуалок для всех распространенных гипервизоров.
    2. Есть такой продукт — IOU (IOS on Unix). В отличие от Dynamips+GNS3 это не эмулятор железа, а IOS, собранный из исходных кодов для платформы Linux. Этот продукт был создан в глубинах компании Cisco для внутреннего использования и оттуда разошелся по Интернету. Cisco делает вид, что не знает о его существовании. Продукт интересен тем, что позволяет запустить на одной машине гораздо больше маршрутизаторов (до 20-30), а также есть в версии с эмуляцией многих возможностей коммутаторов. Для отработки заданий из секции Troubleshooting — самое то.
  • +1
    GNS3 умирает. Не уверен насколько он еще применим в RS, я по секьюрити где он уже почти неприменим. Там 12.4 на 26хх и 15.1 на 7200, но 7200 все же немного своеобразная платформа и это совсем не то же что ISR G1\G2 которые уже не эмулируются.
    IOU я не использовал, он вроде как несколько хлопотный в настройке, но его используют в самой циске для тех же лаб и он хоть и тоже имеет сильно ограниченый функционал, должен подходить больше чем гнс.
    В новой версии R&S будут изменения, добавлен DMVPN, еще кой чего.
    IE — штука ОЧЕНЬ затратная по времени, деньгам, и очеь сложная. Осилить ее в состояние далеко не каждый. Лаба сама довольно необъективна, практически несдаваема с первого раза. Но очень помогает как с профессиональной точки зрения так и в плане общего развития — это очень серьезный первональные проект.
    • 0
      Да ладно вам страшилки рассказывать, я когда готовился к CCNA тоже страшно было, но это пока не сдал, потом понимаешь что шара )
      • 0
        CCNP — Это примерно 10% от IE. NA- примерно треть от NP. Так что…
        • 0
          Я сейчас готовлюсь к CCIE SP, когда сдавал CCNA 3 года назад то OSPF я знал лучше чем сейчас :)
  • 0
    Согласен, что на Unix GNS3 работает лучше, но и у себя на Windows машине я запускал до 15-ти рутеров, что меня устраивает. С IOU работать, пока что не приходилось. В новой RS они убрали Frame-Relay, FRTS, LFI, ZBF, IPS, RSVP, WCCP и добавили IOS-XE, VSS, ISIS, L2VPN, GETVPN.
    • 0
      RSVP и WCCP еще кое-где используется…
      • 0
        «RSVP кое-где» порадовало :)
        • +1
          RS = «более-менее грамотный ентерпрайзный сетевик». В случае ентерпрайзов сказать «кое-где» — значит перехвалить TE, потому что его почти нигде нет. А кроме как под TE случаев недавнего применения RSVP я не слышал.
  • 0
    Внесу свои 5 копеек.

    1. Лаба переходит на пятую версию, так что большая часть статьи уже почти неактуальна.

    2. GNS3 на данный момент плохо подходит для эмуляции большого числа маршрутизаторов 37xx, которые как раз и нужны для подготовки. Дело в драйвере сетевого адаптера FastEthernet Gt96k. При достаточно большом количестве таких адаптеров в виртуальной лабе, а это как минмум 14 роутеров 3725 для топологий INE, порты просто начинают блэкхолить трафик. Вы тратите уйму времени на поиск такого порта, делаете на нем shutdown / no shutdown, и все опять работает! Но при этом, в другом месте на вашей лабе точно так же сломался другой порт. В итоге, вместо того чтобы заниматься, вы носитесь по лабе в поисках очередного повисшего Gt96k. Известная проблема dynamips.

    3. Недавно gns3.net проводил сбор средств, обещая много вкусных изменений, и, внимание, добавить поддержку эмуляции L2 коммутаторов на достаточном для сдачи NP RS/IE RS уровне. Правда, через L2IOU. Но что из этого выйдет, пока судить рано. Пруфы здесь: gns3.crowdhoster.com/become-an-early-release-member
  • 0
    Смотрю на аватарку коммента выше и думаю — когда я успел это все написать??
  • 0
    не проще устроится в контору где все это железо и навыки используются, и эффективно совместить приятное с полезным?
    • 0
      Это лучше, но не проще.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.