CCIE TS notes

Question 1

RIP - troubleshooting notes?

Answer 1

1-do you receive a respond ping 224.0.0.9?
2-distribute-list filtering?
3-are you trying to receive rip updates from an invalid source (sanity check)?
4-is split horizon enable in a multipoint enviroment?

Question 2

EIGRP- troubleshooting notes?

Answer 2

use “eigrp log-neighbor-changes” under eigrp process:

hold-time expired: tu router no esta recibiendo eigrp packets dentro del holdtime. Has “debug eigrp packet hello” si ves que estas recibiendo paquetes, verifica si un access-list o passive interface no este configurado.

Retry limit exceeded: eigrp no ha recibido acknoledgment del neighbor.

Stuck in active: tu eigrp neighbor se reinicio porque esta “stuck in active”.

Question 3

Multicast - TS?

Answer 3

1-verifica que los igmp reports te estan llegando:

show ip igmp group.
debug ip igmp

2-pim dense mode no working?

verifica si rpf te esta dropping packets, si tu interfaz no esta en el forwarding state en el mroute.

show ip mroute count

3-verifica que las interfaces tengan multicaste enable

4- check that every PIM neighbor has a route to the DR.

Question 4

MPLS -OSPF shamlinks TS?

Answer 4

1-be sure that your loopback for the sham-link are in the vpnv4 table.

2-loopback MUST BE /32

Question 5

Multicast - TS dmvpn with a spoke as mapping agent?

Answer 5

en multicast, los spokes solo pueden enviar multicast al hub, pero el hop no puede enviar estos multicast a los spokes, por lo tanto, te va a dar problemas cuando el mapping agent o otro tipo de agent, este enviando trantando de enviar multicast a los otros spokes.

solucion:

1- si estas en sparse-mode, poner en la interface:

ip pim nbma-mode

2-crea un tunnel y olvidate de usar el dmvpn para alcanzar tu destination.

Question 6

MPLS TS?

Answer 6

debug mpls ldp transport events: puedes ver los hellos in/out, si no recibes nada, puedes ser que hay trafico bloqueando LDP.

am I sending the hellos? am I receiving the hellos? is ldp session authenticated (mpls ldp neighbor x.x.x.x password x?)

2-has un traceroute y ve si teienes un end to end lsp del loopback.

show mpls ldp neighbor: verifica que el tcp connection sea la loopbacks

3-verificar que este comando no este: “no mpls ldp advertise-label”

4-hay que verificar si el problema esta en el sending site o receiving site?

show bgp vpnv4 unicast all neighbors 150.1.7.7 advertised-routes : verifica si estas anunciando las rutas

si no sabemos donde esta el error?

debug bgp vpnv4 unicast updates
clear bgp vpnv4 unicast * in

verificamos a ver si vemos un DENIED en los route-targes

* bgp - advertise map (second use)"

sirve para cuando sumarizas y usas AS-set, puedes decir que ip address son los que quieres que participen en el as-set

LDP: always hardcode the ldp router-id, you never know if you have to configure another loopback later that can break your ldp topology.

5- check interfaces so any of them have other protocol than ldp.

Question 7

redistribution tips/TS:

Answer 7

redistribution tips:

dont filter using prefix, filter using tags, is faster

2-do mutual redistribution just in one router, you will lose points
but it will be really fast and you will have more time to complete the
lab

3-redistribute connected routes with the same tag as the protocol you
selected

4-mutual redistribution between eigrp and ospf dont require filter
porque eigrp usa un AD de 170 para las rutas externas
5-you can use summarization to prefer routes using longest match

6-always protect your higher AD protocol, so he wont prefer another route
due to AD

Question 8

OSPF - routes in database but no routing table.

Answer 8

1-network type mismatch:

show ip ospf database router 172.16.32.2

Adv Router is not-reachable

2-IP address missmatch: en serial-links, ospf hace neighbor relationship sin verificar ip address pero no instala las rutas en el routing table.

3- un ip address esta unnumbered y el otro no.

eso trae discrepancia y ospf no trabaja bien o ambos unnumbered o ambos con ip address es la solucion.

4-distribute-list blocking routes.

Question 9

ppp explanation.

Answer 9

basically it is hack meaning:

1. ppp authentication chap callout - authenticate peer if we initiate the call
2. ppp direction callin - forces us “not to initiate the call”

here is some good explanation, also useful to try debug ppp authentication to try and understand better how it works.
[3:18:51 PM] CCIE#Wannabe: Basically

ppp chap authentication callin

• means i will authenticate the remote router with chap only if i he intiated the call to me (incoming call)

ppp chap authentication callout

• means i will authenticate the remote router with chap only if i initiated the call to him (outgoing call)

Remember that ppp authentication is locally significant, in that the fact that i am authenticating someone doesn’t necessarily mean that person is authenticating me

Callin/Callout had more applications in dial scenarios, take for example

Router ——————- Access Server

Typically the Access server wants to authenticate the router only if the router initiated the call to it as there is no reason for the access server to initiate a call to the router, the access server can then configure “ppp authentication chap callin”

In our serial links now, the call direction is usually dedicated

this can be changed with the following command

ppp direction [callin|callout|dedicated]

Question 10

full-scale lab 3 - aprendi

Answer 10

cuando en un dmvpn te digan - no wilcard, significa que no vas a a usar:

0.0.0.0 - en el preshared key, sino el ip de los routers que van a hablar contigo.

2-Dynamic vty ipsec: no se usa para multihop dmvpn, ya que hay que especificar tunnel destination siempre.

3-you can apply eigrp metrics in route-map using “set metric”

4-bgp multipath rule:

1. Weight
2. Local Preference
3. AS_PATH all of the paths, not just the length
4. Origin
5. MED
6. eBGP over iBGP
7. Metric to Next Hop

if there are different as-path:

bgp bestpath as-path multipath-relax’.

5- mpls, obligado para autenticar, debes usar password-required, puedes definir con quienes usando ACL.

Question 11

INE TS 1 - que aprendi

Answer 11

mpls: verificar el protocolo corriendo en cada interfaz (ldp or tcp) puede causarte problemas con el neighbor relationship.

Question 12

INE TS 2 - que aprendi

Answer 12

bgp soft reconfiguration inbound, no te deja ver redes que tengan tu mismo AS, la bloquea antes de que aparescan ahi.

siempre confia en el advertise routes que te da tu neighbor.

2- si 2 eigrp routers son neighbors pero no se comparten rutas, verificar el router-id, si son iguales no van a compartir nada. sh ip eigrp events/ sh ip protocol

3-Si me intentas enseñar una ruta en una area que no es area 0 y esa ruta que me estas enseñando no pertence al area en que tu y yo tenemos el link, no la voy a aprender.

4-un dynamic rp con prioridad le pasa a un static.

• Si no puedes llegar a un multicast-group, recuerda verificar que el destination interface group tenga “ ip sparse/dense mode.
• el importante que tenga rpf hacia el source es el rp, no el receiver.

5-IPsec DMVPN: si 2 spokes no tienen los credentials correctos para hablar IPSec, van a hablar pero a travez del hub, para que alla spoke-to-spoke communication, las credenciales de IP sec debe de estar bien entre estos.

como te das cuenta de la manera mas facil del error?

cuando hagas ping/trace entre spoke, el “show crypto isakmp sa” debe aparecer entre estos y debe estar IDLE.

6-puedes negar un control-plane SLA si el class-map tiene un access-lis

Question 13

INE TS-3

Answer 13

puedes dar ip address al client en pppoe sin necesitar authentication.

ppp ipcp mask request/reply:

client:

ip dhcp pool r1-r17-pool
import all
origin ipcp

interface Dialer117
 mtu 1492
 ip addresspool r1-r17-pool
 encapsulation ppp
 ppp ipcp mask request

Sever:

ppp ipcp mask 255.255.255.0
peer default ip address pool r1-r17-pool

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dhcp/configuration/12-4t/dhcp-12-4t-book/config-dhcp-addr-pm.html

Question 14

Cisco 360 TS - 2

Answer 14

si haces

show ip nhrp en el hub y te sale “flag negative” significa que el
nhs que estan usando los spokes esta mal

aproach para verificar adjacencias en ospf:

sh ip ospf int bri = asegurate que esten en la misma area

Question 15

Cisco 360 TS - 4

Answer 15

ospf hello mismatched puede ocurrir:

por ip address con diferentes mascaras.

multicast:

mtrace te puede ayudar a ver porque un host no ve el RP, si haces un mtrace a la ip del rp y no aparece con pim, no vas a poder ver al RP.

debug ip pim bsr

Question 16

Cisco 360 TS -ticket 7

Answer 16

que aprendi en 360 ts-6:

puedo hacer conditional debug por interfaces:

debug interface eth0/0

debug eigrp packets

2

synchronization rule 2 :

When the rule of synchronization is enabled and the
underlying IGP is OSPF, the router ID of the OSPF
Autonomous System Boundary Router (ASBR) must match the
router ID of the advertising IBGP speaker

3-

OSPF NON-broadcast: si te sale “N/a” en sho ip/ipv6 ospf
neighbors, verificate el ip address, puede que este mal

4- si quieres saber que significa cada numero de ip precedence en palabras, crea un class-map y pon “ match ip precedence ?”

5-si quieres saber si tus paquetes estan llegando con el dscp value que quieres, crea un access-list permitiendo ese paquete con el valor qos deseado y aplicalo a la interfaz, luego verifica los counters.

Question 17

dhcp client-id

Answer 17

importante para verificar layer 2:

ping 255.255.255.255

================

1-Necesitas el client-id del cliente:

en el server usas el comando:

debug ip dhcp server packet

2- en el cliente haces un release de tu ip actual: “release dhcp ethernet x”

3-en el server vas a ver el siguiente mensaje:

DHCPD: DHCPRELEASE message received from client 0056.4c41.4e32.365f.5236”

4-el mac address que ves es el client-id del cliente, copia esta informacion y pegala debajo del pool que configuraste para el cliente que reservaste el IP.

5-renew dhcp ethernet x - en el cliente.

Question 18

TS general rules

Answer 18

be sure you understand the question.
observar y observar, no subestimar que se te escapa algo.
leer cada parrafo al revisar

Question 19

NTP :

Answer 19

en lugar de hacer reload, has un show run de tus comandos. Luego has un “no ntp”, luego añade tus comandos otra vez.

2-por default, para que la autentication sea valida, cuando escojas el ntp server, debes añadirle el comando “ key” , ya que sin esto, van a sincronizar pero sin authentication. ya que es el cliente el que exige autenticacion.

Question 20

dmvpn with ipsec issues:

Answer 20

si haces, “show crypto isakmp sa” y te sale “mmo_active”.

significa que el phase 1 esta malo, verificalo. Ejemplo en nat transversal, el address del preshared-key debe de ser el de el router haciendo nat, no el privado del spoke.