Прошло чуть больше месяца с момента удачного подхода к JNCIA-Junos и как оказалось, при некоторых приятных фактах этого вполне достаточно для не менее удачного подхода к JNCIS-ENT – о чём сей традиционного формата пост и повествует.
0. Общие сведения
Так уж получилось, что в здоровенной лаборатории компании, где я сейчас работаю, имеется немаленький список железок Juniper, доступных для свободных игрищ. После ознакомления со списком тем, рассматриваемых в рамках экзамена, стало понятно, что обойтись можно малой кровью и были зарезерированы лишь следующие железки:
- Juniper EX4200 2шт.
- Cisco Router 1841 1шт.
Собранные в простую топологию:
Благодаря тому, что у Juniper единая операционная система для всего списка оборудования, а так же тому, что вендор никак явно не ограничивает функционал своего оборудования – весь функционал рассматриваемый в составе экзамена оказался доступен на вовсе недорогих EX4200 (они и MPLS LDP из коробки умеют).
Понятное дело, что наличие валидного JNCIA-Junos является обязательным для права сдавать JNCIS-ENT. Оба экзамена считаются начальным уровнем, о чём ещё будет ниже, и на них даётся 50% скидка, после успешной сдачи онлайн-предэкзамена (pre-assessment exam). Ваучер на скидку действует в течение 3 месяцев, но никто не мешает получить новый на левый аккаунт.
Для подготовки к экзамену доступны две абсолютно бесплатные книги (ссылок нет, так как сайт Juniper весь на javascript-функциях, но начинать поиск отсюда):
- JNCIS-ENT-Routing – 192 страницы ( на момент подготовки версия от 2012-12-20);
- JNCIS-ENT-Switching – 189 страницы ( версия от 2012-12-27).
Около двух недель было потрачено на настройку каждой из строк функционала описанного в этих книгах и могу точно сказать, что абсолютно вся информация, необходимая для успешной сдачи имеется на этих 381 страницах.
1. Содержимое экзамена
Немного о содержимом экзамена, вот сокращённый список:
- Layer 2 Switching and VLANs
Для тех кто не знаком с Juniper CLI, но наслышан о его монстрозности, приведу пример настройки VLAN 10, access-порта и RVI (так в Juniper называется SVI):
cisco-style
1 2 3 4 5 6 7 8 9 10 11 |
! vlan 10 name DATA ! interface fa 0/1 switchport mode access switchport access vlan 10 ! interface vlan 10 ip address 1.1.1.1/24 ! |
juniper style
1 2 3 |
set vlans vlan DATA vlan-id 10 l3-interface vlan.10 set interface vlan.10 family inet address 1.1.1.1/24 set interfaces ge-0/0/1.0 family ethernet-switching mode access vlan member DATA |
Как видите, ничего пугающего и легко читается – дело привычки.
При наличии знаний на уровне CCNA, проблем с этой частью возникнуть не должно, как говорится – всё стандартно.
- Spanning Tree
В части STP полезным будет знать, что рассматривается вся линейка, от STP [pdf] (802.1d) до MSTP (802.1s), включая рассмотрение содержимого BPDU Ethernet Frame, совместимости протоколов, формирования IST. Рассматривается в процессе подготовки, но на экзамене попадались вопросы лишь по RSTP – что-нибудь вида “есть три коммутатора, с такими MAC, какой порт будет ALT/BLK.
Кстати, Juniper следует стандартам и в отличие от Cisco, называет описанный в 802.1w тип порта edge именно edge’м, а не всё ещё portfast – мелочь, а приятно.
- Layer 2 Security
После опыта работы с Cisco, весь этот раздел окажется полон незнакомых аббревиатур, которые на самом деле, кроме названий ничего нового не вносят – всё что у Cisco имеет в названии Guard, у Juniper представлено как Protection (что считаю более корректным).
- Protocol Independent Routing
С этим разделом взрыв мозга обеспечен. Здесь предстоит познакомиться с тремя разными ручными маршрутами, каждый для своего случая – static, generate, aggregate. RIB-group позволяющими отгружать маршруты в несколько таблиц маршрутизации, а так же выполнять между ними импорт/экспорт. Routing instances, которые бывают 8 видов:
1 |
instance-type (forwarding | l2vpn | layer2-control | no-forwarding | virtual-router | virtual-switch | vpls | vrf) |
Приведу пример как делается PBR на Cisco и Juniper, только не пугайтесь:
cisco-style
1 2 3 4 5 6 7 8 9 10 11 |
! ip access-list extended someSOURCE1 permit ip 10.0.0.0 0.0.0.255 any ! route-map someRM1 match ip address someSOURCE1 set next-hop 1.1.1.1 ! interface g0/1 ip policy route-map someRM1 ! |
juniper style (называется Filter Based Forwarding)
# в формате настройки
1 2 3 4 5 6 |
set routing-instances someRI1 instance-type forwarding routing-options static route 0/0 next-hop 1.1.1.1 set routing-options rib-groups someRIB1 import-rib [ inet.0 someRIB1.inet.0 ] set routing-options interface-routes rib-group inet someRIB1 set firewall family inet filter someFILTER1 term PBR from source-address 10.0.0.0/24 set firewall family inet filter someFILTER1 term PBR then routing-instance someRI1 set interfaces ge-0/0/1.0 family inet filter input someFILTER1 |
# в формате вывода конфигурации
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 |
interfaces { ge-0/0/1 { unit 0 { family inet { filter { input someFILTER1; } } } } } routing-instances { someRI1 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 1.1.1.1; } } } } routing-options { interface-routes { rib-group inet someRIB1; } rib-groups { someRIB1 { import-rib [ inet.0 someRIB1.inet.0 ]; } } } firewall { family inet { filter someFILTER1 { term PBR { from { source-address { 10.0.0.0/24; } } then { routing-instance someRI1; } } } } } |
Читабельно? В экзамене встречаются вопросы с подобным полотном и, например, вопросом, почему это не заработает – ищите ошибку.
- Open Shortest Path First (OSPF)
Во-первых стоит запомнить, что есть несколько особенностей в работе OSPF на оборудовании Juniper, например:
– default route в stub-зону не генерируется автоматически, это надо делать ручками;
– таймер LSA flooding увеличен с привычных 30 минут, до 50 минут.
А во-вторых, если вы не сможете назвать сходу какие LSA приходят в каждую из типов зон – шансы сдать экзамен близки к нулю. По OSPF много вопросов, много схем и почти все они про как, зачем, откуда и куда отправляются или транслируются LSA. Уровень гораздо глубже, чем в CCNP ROUTE (и не только в части OSPF), однако, за что спасибо, вас не станут спрашивать какую-нибудь чепуху вида “какой по умолчанию таймер отправки Hello-пакетов на линиях p2p”. В этой части мне очень понравилось, что проверяют скорее знания, нежели память.
- Intermediate System to Intermediate System (IS-IS)
Если у вас исчезла слюна, появились признаки изжоги и как-то резко (от погоды видимо) разболелась голова, то вы дошли до раздела с, нет, не с IPv6, а с ISIS. Не менее 5 вопросов встретят ваши изумлённые глаза, но они не особо сложные и всё что нужно, написано в книге к экзамену.
На всякий случай повторим, как формируется CLNP-адрес, назначить который достаточно на одном лишь loopback-интерфейсе. Рекомендуется брать за основу IP-адрес назначенный на интерфейс и пусть этот адрес равен 10.15.160.8:
– приводим его к формату “полной забивки”, добавляем нули в начало каждого октета, где цифры не три – 010.015.160.008;
– приводим к формату блока CLNP, изменив разбивку с 3-значных октетов, на 4-значные, просто переместив точки – 0100.1516.0008;
– добавим в начало строки идентификатор формата CLNP и через точку адрес зоны в 4-значном формате, пусть будет 10 – 49.0010.0100.1516.0008
– добавим селектор в конец строки – 49.0010.0100.1516.0008.00
– готово
Назначим его на loopback-интерфейс в соответствующий раздел семейства, а так же включить его на всех интерфейсах, где ожидается соседство:
1 2 |
set interfaces lo0.0 family iso address 49.0010.0100.1516.0008.00 set interfaces ge-0/0/0.0 family iso |
Осталось запомнить пару фактов:
– L1 может быть соседом только с L1 и только из своей же зоны
– L2 может быть соседом только с L2, но из любой зоны
– в широковещательных зонах выбирается один DIS (DR), никаких backup
– маршрутизатор с высшим priority сразу становится новым DIS (в OSPF ничего не меняется пока живы уже выбранные DR/BDR)
– максимальная стандартная метрика участка – 63, всего пути 1023, хотите больше – включайте wide metrics.
- Border Gateway Protocol (BGP)
Если не знаете тонкостей обмена NLRI между eBGP/iBGP, первый раз слышите, что такое BGP community, не знаете что такое атрибуты пути и хотя бы 5 первых критериев выбора лучше пути, то на как минимум вопросов 7 у вас не будет ответа.
- Tunnels
Единственная вещь, которую не удалось полабить, так как GRE/IPIP-туннели на EX4200, доступны начиная с 12-ой ветки Junos OS (рекомендовано 12.3R3.4), а у меня стояла 11.4R2.14.
Сложностей никаких, в книге подробно рассматриваются основные ньюансы, самый главный из которых – IPIP умеет туннелить только IP и только unicast, GRE умеет non-IP и unicast/broadcast/multicast.
- High Availability
Hardware HA-фичи называются на всех линейках оборудования одинаково и включают в себя следующиех технологии:
– Graceful Routing Engine Switchover
– Graceful Restart
– Nonstop Active Routing
– Nonstop Active Bridging
– Virtual Chassis (аналог Cisco StackWyse/FlexStack, если через специальные кабели, но умеет и через обычные линии связи, так что аналог ещё и VSS).
Сюда же входит обсуждение VRRP, BFD и ISSU/ (Unified in-Service Software Upgrade – обновление ОС без прерывания data plane).
2. Процедура экзамена
Экзамен состоит из 70 вопросов, на которые даётся всего 90 минут времени – у меня остался всего 10-минутный запас.
По сравнению с JNCIA, объёмы вывода конфигурации, да и сами схему увеличились, поэтому не всегда хватало экрана, чтобы читать ответы поглядывая на схему.
Всё ещё доступны удобные Flag to review, чтобы вернуться в конце экзамена к помеченным вопросами и возможность свободно переходить по вопросам назад/вперёд.
Ошибки были, и не одна, по двум написал в форме Comment, доступную прямо в оболочке экзамена.
Самое интересное, что проходной процент всего 64% (!), непривычно по сравнению с цисковскими 790 баллов (79%). К сожалению не помню какой он был в JNCIA.
3. Заключение
Нравится мне Juniper, не зря его попробывал. Видел вывод конфигурации с провайдерского оборудования и это конечно пугает, но вроде как и вызов.
Знаете что самое хорошее в экзаменах Juniper? Никаких HSRP, EIGRP, FrameRelay, CDP, VTP, etc!
Следующий этап Enterprise Routing and Switching, Professional (JNCIP-ENT), где убрали ISIS, но добавили Multicast, Voice, QoS – понадобится чуть больше оборудования :)