CCIE-DC

350-601 DC CORE 요약 정리

Weeding 2026. 3. 13. 00:14
반응형
SMALL

 

Cisco UCS Seires A,B,C

 

 

 

 

이 중에서도 B,C Series에 대한 문제가 많이 나온다.

 

 

** UCS B-Series (Blade Server)

 

  • CMC (Chassis Management Controller) 라는 관리 컨트롤러 사용 (CIMC랑 동일하다 봐도 무방)
  • CLI 계층 : scope chassic -> scope cmc
  • 샷시 내부 Backplane 연결로 서버 개별 케이블 없음
  • FI가 필수로 필요하다

 

 

** UCS C-Series (RAC Mount Server)

 


연결 방식 1: Standalone (CIMC로 독립 관리)
연결 방식 2: UCS Manager 통합 (FI + Sideband/Dedicated)
연결 방식 3: Intersight 직접 관리

 

  • CIMC 컨트롤러 사용
  • CLI 계층 : scope server -> scope cimc
  • 서버별 개별 케이블 필요

 

 

 

1. Fibre Channel(FC)

  • DC에서 사용하는 고속 Storage network와 서버 간 데이터 전송에 사용되는 프로토콜 
  • 정확히는 SCSI 명령을 SAN 인프라를 통해 FC 프레임을 전달하여 서버에서 Storage로 전송하는 기술
  • 주로 SAN에서 사용되며, FC Switch, HBA(Host Bus Adaptor), Storage Array 장비들을 사용
  • 스위치의 Ethernet으로 이해하면 된다. (Ethernet 위에서 동작)

[패킷 구조]

Ethernet Frame
   └── FCoE Header
          └── Fibre Channel Frame

 

 

 

 

2. FCNS

  • Fibre Channel Name Server
  • Fibre Channel Fabric 내부에서 모든 노드(HBA, Storage, Switch Port)의 정보를 저장하고 조회하는 중앙 디렉토리 역할을 하는 데이터베이스
  • 스위치의 CAM table로 이해하면 된다.

 

 

3. Nexus Checkpoint

  • 작업 전 시점에서 running-config 시점을 기록하여, 원복 필요시 Rollback으로 복구 하는 기능
  • atomic rollback : 오류가 발생하지 않는 경우에만 복원 진행
  • ex) rollback running-config checkpoint stable 1 atomic

 

4. show incompatibility-all system bootflash:[image] 실행 시 보여주는 문구는?

  • 현재 컨피그 중 타깃 이미지와 호환되지 않는 기능/설정을 보여줌 

 

 

5. VTEP 구성 시 반드시 필요한 최초 구성 요소

  • VTEP Source IP (Loopback으로 사용)
  • NVE Interface (vXLAN Tunnel Interface 역할)
  • ex) 
    feature nv overlay
    interface looback0
    Ip add 1.1.1.1/32
    int nve1
    source-interface loopback0
    int eth1/1
    ip unnumbered loopback0
  • 물리 인터페이스에 ip 절약형 설정을 하는게 초기 VTEP 설정에 표준이다.

 

6. NX-OS install 구조 -> deactivate 동작 -> package feaures for the line card are disabled

 

install add 패키지 추가
install activate 패키지 활성화
install deactivate 패키지 기능 비활성화
install commit 변경 영구 적용
install remove 패키지 삭제
install abort install process 중단

 

 

 

7.  SPAN 구성 완성 예시 컨피그

 

configure terminal

interface fc2/1
  switchport speed 4000
  no shutdown

interface fc2/2
  [switchport speed 4000]
  [switchport mode SD]   --> 해당 컨피그는 SPAN 전용 목적지 포트 모드, Span Destination 
  no shutdown

monitor session 1
  source interface fc2/1
  destination interface fc2/2
  no shutdown

 

 

8. Cisco UCS에서 Private VLAN(PVLAN) secondary VLAN을 fabric A/B에 추가하는 방법

 

**조건

- primary VLAN already exists
- secondary VLAN must be added to both fabrics  

  • Private VLAN은 하나의 Primary VLAN 아래 여러 Secondary VLAN을 두는 구조
  • Secondary VLAN 종류 
    1. Isolated : Gateway만 통신, 서버<->서버 통신 차단, 즉 같은 VLAN이여도 서로 통신 불가.
    2. Community : 같은 Community 끼리 통신 (communiy vlan 10 안의 서버a,b는 서로 통신 가능이라는 뜻)
  • UCS Fabric 구조는 Fabric Interconnect 2개(A/B)로 구성됨
            +----------------------+
            |    Fabric A (FI-A)   |
            +----------+-----------+
                       |
                   UCS Chassis
                       |
            +----------+-----------+
            |    Fabric B (FI-B)   |
            +----------------------+
  • UCS에서는 VLAN을 Fabric 단위로 생성
    scope eth-uplink
    scpoe fabrc a
    create vlan

** 실제 구성 예시 (답안)

UCS-A# scope eth-uplink
UCS-A /eth-uplink# scope fabric a
UCS-A /eth-uplink/fabric# create vlan vlan1981 1981
UCS-A /eth-uplink/fabric/vlan# set sharing isolated
UCS-A /eth-uplink/fabric/vlan# commit

 

 

 

 

9. 포트보안 설정

  • switchport port-security violation restrict
    - 기존 mac 영향 없이 허용되지 않은 MAC 주소 차단 및 로그 기록
  • switchport port-security violation protect
    - 로그도 남기지 않고 조용히 차단만 하는 모드 (가장 낮은 수준 제한 방식)
    - 문제에서 log/알림 요구가 없으면 protect로 하는게 맞을듯

 

 

10. UCS 기본 구조와 FI

Fabric Intercooncect(FI)는 UCS의 접선 장비

즉, 서버와 스토리지, 서버와 네트워크 연결을 해주는 장비이다.

Ethernet / FCoE 트래픽 처리 역할을하며, Up/down Link 역할을 수행한다. 

** 구조 : 서버 -> FI -> Switch -> SAN

 

 

        FC SAN
          │
          │   (스토리지 네트워크)
          │
       Nexus 5K
          │
          │  FCoE / Ethernet uplink
          │
   ┌──────┴──────┐
   │             │
 UCS FI-A     UCS FI-B
   │             │
   └──────┬──────┘
          │
      UCS Blade Server

 

 

 

11. nondisruptive upgrade for the ISSU process

1. Stateful Swtichover (SSO, Control Plane)

2. nonstop forwarding (NSF, ASIC, Data Plane)

 

** graceful restart

R1 - R2 - R3

R2에서 라우팅 프로세스가 재시작될 때 Data Plane(FIB)을 유지하여 R1->R3간 패킷 드롭 없이 데이터 전달

즉, OSPF 기준으로 보면 LSA와 adjacency를 유지해주는 기능. (Default 120초)

 

보통 위 3가지를 같이 사용해야 ISSU 중에도 트래픽 손실이 없다.

 

ex) SUP-A , SUP-B 

actvie sup을 업그레이드를 하기 위해 swtichover를 진행하면 standby sup에 미리 RIB가 복제되어있어 라우팅 상태가 유지된다. 이 때, Control-plane이 순단이 날 수 있는데(또는 멈추거나), 하지만 NSF를 통해 FIB에서 패킷 forwarding은 계속 유지한다. 순단이 날 때 이웃 라우터가 세션을 끊어버리면 neighbor가 끊길 수 있는데 이 때 Graceful Restart가 neighbor를 유지시켜준다.

 

 

12. vPC 문제

엔지니어가 vPC가 적용된 VXLAN POD 환경을 운영하고 있다.
POD1 스위치 업그레이드 중 Leaf102가 vPC 페어에 다시 합류(rejoin) 하기 시작했다.
이때 Web Cluster로 가는/오는 트래픽이 5분 동안 간헐적(intermittent) 으로 끊긴다.
이 문제를 해결하기 위해 양쪽 스위치에 추가로 적용해야 하는 명령어는 무엇인가?

 

             [구성도]

         Spine/상위망
           /      \
          /        \
      Leaf101====Leaf102
            vPC Peer-Link
                |
           Web Cluster

 

vpc domain 110
  peer-switch
  role priority 8192
  system-priority 8192
  peer-keepalive destination 10.0.0.1 source 10.0.0.2
  delay restore 120          ← vPC 멤버포트 복구 딜레이 (120초)
  peer-gateway
  auto-recovery
  ip arp synchronize

 

 

여기서 핵심 포인트는 아래와 같다.

delay restore 120 → vPC 멤버 포트(물리 포트) 복구만 지연
                    ↑
SVI (interface-vlan) 복구는 별도 제어 없음!

 

 

따라서 타임라인을 살펴보면,

Leaf102 Rejoin 시작
     │
     ▼
Peer-link 복구
     │
     ▼
vPC 멤버포트 복구 (delay restore 120초 적용)
     │
     ▼
SVI (interface-vlan) 즉시 복구 시도
     │
     ▼
⚠️  VXLAN NVE/BGP EVPN 수렴 전에 SVI가 올라오면서
    트래픽 블랙홀/단속 발생 → 약 5분간 intermittent(간헐적 손실)

 

 

즉, 멤버포트가 복구되기 전 svi가 살아나면서 vpc가 안정화 되는 시간(120초) 전에 일부 트래픽이 Leaf102로 유입되면서 ARP/MAC/route/overlay 상태가 완전치 않은 상태이기 때문에 패킷이 간헐적 손실이 일어나게된다. 

따라서, delay resotre interface-vlan 120 이상으로 컨피그를 설정하여 SVI가 delay restore가 vpc member port delay restore보다 더 늦은 시간에 복구되게 하여 단말 트래픽 안정을 보정하면 된다. 

 

 

 

 

13. ARP Suppression

  • VXLAN/EVPN Fabirc에서 ARP 응답을 최적화하고, 불필요한 ARP 브로드캐스트를 줄이려할 때 사용
  • 즉, EVPN Route Tyep2 (MAC/IP Advertisement)가 핵심역할을 하여 Control Plane이 미리 로컬 endpoint를 학습하여 직접 응답해주게 하는 기능. 한줄요약 = ARP를 BGP로 미리 배우는 기능.
  • Type 2 Route 구성 요소
    [MAC Address] + [IP Address] + [VTEP IP] + [VNI]
  • ARP suppression은 NVE 인터페이스 VNI 멤버 설정에 적용
    interface nve1
     memver bni 10100
      suppress-arp
  • 즉, VTEP이 proxy 방식으로 응답이 가능한 구조이다.
  • Configrue suppress-arp within the VXLAN VNI configuration under the VTEP NVE interface.

 

 

 

14. Nexus Package

  • install add : 패키지 설치 준비 완료
  • install activate : 패키지 작동
  • install commit : 리붓후에도 변경 사항 유지

 

15. SAN Port channel 예시

 

          MDS / Nexus SAN Switch
                 │
        -----------------------
        |                     |

san-port-channel10   san-port-channel10
        |                     |
       FC1                   FC2
        \                    /
         \                  /
           Server / Storage

 

int san-port-channel 10

channel mode active

switchport trunk mode on

switchport trunk allowed vlan 10-20

 

 

16. shared LOM vs Dedicated

  • shared LOM : 기존 NIC 사용으로 케이블 연결을 줄이는 장점, inband
  • dedicated : 전용 oob 포트로 완전 분리된 네트웤, CIMC 전용 관리 포트

 

 

17. Cisco MDS Device Alias

  • SAN 환경에서 WWN 대신 alias 이름을 사용하능 기능
  • 예시)
    device-alias name DB-SERVER pwwn 50:00:00:00:00:01
    device-alias name BACKUP-SERVER pwwn 50:00:00:00:00:02
  • 1️⃣ database 수정
    2️⃣ pending state
    3️⃣ commit 실행 (confirm commit, prompt 제공 및 pending changes 표시 )
    4️⃣ fabric에 배포

 

 

18. Pinning vs Port-channel (반대개념)

항목 Pinning 알고리즘 Port-channel Hash
Load balancing 서버 단위 Flow 단위
Hash 없음 있음
변경 uplink down 시 flow hash
사용 환경 UCS FEX 일반 스위치

 

** Unified ports

- 동일 FI에서 서로 다른 속도의 Uplink가 지원됨. 

 

 

19. UCS Rack Server fan policy

  • chassis scope 아래에서 다룸
  • lower-power : 냉각보다 절전 우선
  • acoustic : 소음 감소 우선
  • balanced : 일반적인 권장값
  • high-power : 높은 냉각 필요시
    - server with PCIe cards 키워드가 확인되면 해당 항목이 정답
    - PCIe 카드는 일반적으로 발열이 더 커지고, 공기 흐름 요구사항이 올라가 보수적인 냉각 정책을 사용해야함.

 

 

20. chap 인증 방식

  • Challenge-response 방식
  • MD5 hashing 사용
  • identifier 증가

 

 

21. Storm-control

  • Storm-control thtreshold 초과 시 스위치는 traffic을 suppress 한다. (막는다)
  • drop X / Suppress O
  • interface Eth1/1
    storm-control broadcast level 0

 

 

22. NX-OS Session Manager

  • 설정을 바로 running-config에 적용하지 않고 staging area에 먼저 저장한 뒤 검증 후 적용하는 기능
  • 1️⃣ configuration session 생성
    2️⃣ 설정 변경
    3️⃣ verify
    4️⃣ commit

 

 

23. SAN Port Security

  • MDS SAN에서 Port Security는 FCID / WWN 기반 장칙 등록 DB를 관리
  • Port Security DB
            │
            ├── activate
            ├── learn mode (auto / manual)
            ├── distribute
            └── commit
  • initiate VSAN 4 port security database despite conflicts
    --> port-security activate vsan 4 force
  • New devices must be statically added
    --> no port-security auto-learn

 

 

24. IN Fibre Channel swich mode(FI) VSAN 생성

 

  • FI에서 FC Switch Mode일 때 VSAN 생성 구조
    scope fc-storage
       create vsan <name> <vsan-id> <fcoe-id> 
  • 포트 연결 구조
    create member-port fcoe <fabric> <slot> <port>
  • 마지막 입력
    commit-buffer

 

 

25. Nexus 업그레이드 시 서비스 중단 최소화 기술

  • Redundancy / Gateway Failover / Multi-switch topology
  • vPC, HSRP

 

 

26. vPC 문제

 

Refer to the exhibit. During a vPC peer switch reload, there is packet loss between the server and the router.
Which action must be taken to prevent this behavior during future events?

         

       Router
         /      \
  OSPF      OSPF
       /          \

Nexus-1 = Nexus-2
      vPC peer-link
             |
         Server

  • 문제의 핵심.
    1. vPC peer가 다시 올라옴
    2. L3 routed uplink / OSPF adjacency가 아직 완전히 안정화되지 않음
    3. 서버 쪽 vPC forwarding은 먼저 일부 복구됨
    4. 일부 트래픽이 아직 미수렴 상태인 peer로 향함
    5. packet loss 발생
  • 따라서, vPC Member port 복구를 더 늦춰서 상단 라우팅이 살아나고 서버 트래픽을 받게 만들게 하면 된다.

 

 

27. Fibre Channel interface 설정 문제

  • The interface must be disabled when the bit errors threshold is exceeded.
    -> no switchport ignore bit-errors
  • Buffer-to-buffer credits must be set to the maximum value.
    -> switchport fcrxbbcredit xxx(보기의 최대값 숫자로)
    -> FC buffer credit : credit은 한번에 보낼 수 있는 frame의 수를 뜻한다. 즉 high throughput
  • The interface must have full bandwidth allocated for its port group.
    -> switchport rate-mode dedicated
    -> shared : 포트 그룹 대역폭 공유 / dedicated : 해당 포트에 전체 대역폭 할당

 

 

28. ACI에서 같은 EPG 내부 통신(intra-EPG) 제어

  • 조건 : 여러 EP들이 Web_EPG라는 같은 EPG에 있을 때, 오직 ICMP만 허용해야한다.
  • 핵심 : 같은 EPG 내부 통신도 정책으로 통제하기
  • 1. intra EPG isolation = enforced 적용
  • 2. intra EPG contract 적용

오답 

Add Taboo contract

- 특정 트래픽 차단 목적

 

 

 

29. MDS Multi-Role RBAC 동작 방식

 

 

** If a user is assigned to multiple roles, the user can perform any operation permitted by ANY role."

= Cisco MDS NX-OS Security Configuration Guide

 

즉, 단일 롤 내에서는 rule number가 높을수록 우선 적용되지만, 멀티롤 환경에서는 "어느 한 롤이라도 permit이면 허용" 하는 Union 방식. 따라서, tacacs+도 conifg가 허용 가능하며, hardware는 컨피그가 아니기 때문에 탈락. 

 

 

 

30. Cisco imc(cimc) software

  • IMC는 서버의 Out-of-Band 관리 엔진으로, 서버가 꺼져있어도 동작하는 독립 펌웨어. Dell의 iDRAC, HP의 iLO에 해당하는 Cisco 고유 기술.
  • UCS Manager에서는 CIMC를 포함한 모든 서버 펌웨어를 하나의 Host Firmware Policy로 번들 관리

 

 

 

31. ACI Bare Metal Endpoint Deployment

 

An engineer is implementing multiple EPGs on a single access port in a large Cisco ACI fabric without using VMM integration. The relevant access policies and tenant policies have been created. A single AAEP is used to configure the access ports in the fabric. Which two additional steps must be taken to complete the configuration? (Choose two.)

 

A. The EPGs must be linked to the correct physical domain.
B. A contract must be defined between the EPGs.
C. The EPGs must be configured as static ports.
D. The corresponding bridge domains must be configured in legacy mode.
E. The EPGs must link directly to the corresponding AAEP.

 

 

핵심

  • without VMM integration = Bare Metal 방식
  • multple EPGs on a single access port = Static Path Binding 필요

 

** ACI <-> Bare Metal 서버 연결 시 기본 구조 (항상 운영망에서 서버 붙일 때의 구조랑 같음)

 

Domain (Physical Domain)
 ↓
AAEP
 ↓
Interface Policy Group
 ↓
Leaf Interface

 ↓

EPG

 ↓

LEAF Eth 1/1

 ↓

static path eth1/10 encap vlan 10

 

 

 

 

32. Auto-RP, Anycast RP

  • Mapping Agent라는 단어는 Auto-RP에서만 사용하는 용어

 

 

 

 

# Auto-RP 설정 (Nexus 9000)

# RP Candidate 스위치
feature pim
ip pim send-rp-announce loopback0 scope 16 group-list 224.0.0.0/4

# Mapping Agent 스위치
ip pim send-rp-discovery loopback0 scope 16

# 확인 명령어
show ip pim rp
show ip pim rp-hash 239.1.1.1   ← 그룹당 1개 RP 확인

 

 

 

 

33. UCS Firmware 및 번들 구조

 

Q. Install Infrastructure Firmware 기능을 사용할 때 업그레이드되는 Cisco UCS 구성 요소 두 가지는 무엇인가?

  • Infrastructure Firmware = Fabric 쪽 장비
    1. FI
    2. I/O Module (FEX)
    3. UCS Manager 

  • Server Firmware = Blade / Rack 서버 내부 장비
    1. BIOS
    2. CIMC (board controller)
    3. HBA (Storage Adapter)
    4. RAID Controller
    5. NIC firmware

 

UCS Firmware 구조

 

 

 

Q. "Cisco UCS의 infra 번들 'A' 소프트웨어 업그레이드는 어떤 컴포넌트에 적용되는가?"

 

 

 

 

 

 

 

 

 

34. Sideband Management

 

 

** 예시

scope server 2 ← C-Series 정확한 시작점

/server# scope cimc ← C-Series 관리 컨트롤러

/server/cimc# scope mgmt-conn sideband ← 단일케이블 모드 진입

/server/cimc/mgmt-conn# set mgmt-conn-state enabled ← set 포함 ✅

commit-buffer ← 변경사항 저장

 

 

 

 

 

35. UCS <-> Switch 연결 간 트러블 슈팅

 

"엔지니어가 VLAN 10에서 실행 중인 VM(UCS B-Series 블레이드)의 연결 문제를 트러블슈팅하고 있다. Cisco UCS Manager는 Port Channel 10을 통해 Nexus 9000에 연결되어 있다. 현재 VM은 UCS 도메인 외부 어디에서도 도달 불가 상태다. VM을 외부에서 접근 가능하게 하려면 어떤 조치를 취해야 하는가?"

 

** 보기

[VM - VLAN 10]
     │
     │ Veth4173
     ▼
[UCS FI-A]  ← MAC Table에 0050.56b8.1014 존재 ✅
     │
     │ Port Channel (FI → Nexus)  ← ❓ 여기가 문제
     ▼
[Nexus9K-A]  ← VM MAC 없음 ❌
[Nexus9K-B]  ← VM MAC 없음 ❌
     │
     ▼
[External Network]  ← VM 도달 불가

 

 

** 문제해결

VM (VLAN 10)
    │
    ▼
[vNIC → Veth4173 on FI-A]
    │ ✅ VM MAC 학습됨
    ▼
[FI Uplink → Po10 to Nexus]
    │ ❌ VLAN 10 not allowed on trunk
    │    → 여기서 프레임 드롭
    ▼
[Nexus9K-A/B]
    │ ← VM MAC 미학습 (0050.56b8.1014 없음)
    ▼
[External] → 도달 불가

──────────────────────────────────────
해결:
FI Uplink (Port Channel) 트렁크에
VLAN 10 추가 허용

UCS Manager:
  LAN → VLANs → VLAN 10
  → Uplink Port / Port Channel에 Allow

Nexus 측:
  interface port-channel 10
    switchport trunk allowed vlan add 10

 

 

 

 

 

36. SNMP 핵심 개념

 


** 핵심 포인트

= "임계값 초과 시 즉각 알림

이벤트 발생 시 장비가 먼저 통보
= Trap 또는 Inform

 

 

 

 

 

37. RBAC 권한 구조

 

An engineer must allow in-band Cisco IMC profile configuration and deploy local storage policies for disks and LUNs. Which set of permissions must be used for a user profile to permit these actions?

 

핵심 : 두 작업 모두 Server compute domain 권한 필요

 

Cisco IMC profile configuration 

= compute domain

 

Local storage policies for disks / LUN

= compute service profile

 

정답

ext-lan-config 
ls-compute

 

 

** RBAC  다른 문제

An administrator in UCS Manager must enable its users to reboot and decommission the servers and perform backup jobs. Which set of user privileges permits these activities?

  • 서버 reboot
  • 서버 decommission
  • backup job 수행

이 작업을 수행하려면 어떤 user privilege set이 필요한가?

 

A.

  • ls-network
  • ext-lan-security

B.

  • ls-server-oper
  • ls-security

C.

  • ls-storage
  • ls-config

D.

  • operations
  • maintenance

 

 

UCS RBAC 권한 구조

operations runtime operations (reboot, power cycle 등)
maintenance backup, restore, decommission
ls-network network service profile
ls-storage storage policy
ls-config configuration
ls-server-oper service profile operations

 

 

 

 

38. SAN,FC vs NAS 

  • SAN (Storage Area Network)
    - iSCSI : 블록 레벨, IP 기반 
    - FC
    : 블록 레벨, 광케이블 기반
    : 전용 FC 패브릭 구성
    : 고성능, 저지연, 고확장성
    : 구현 복잡, 비용 높음

  • NAS (Network Attached Storage)
    - NFS
    : 파일 레벨, Linux 표준, locally mapped, distributed file system
    : direct file access , allows clients to access files stored on a remote server.
    : 기존 IP/이더넷 사용
    : 구현 간단, 비용 낮음
    : 성능/지연시간이 FC보다 나쁘다.
    : Client를 위한것이지 storage 장치를 위한이라는 표현은 부정확하다.

    - CIFS : 파일 레벨, Windows 표준

 

 

39. Storm Control 

  • 이슈가 될 수 있는 BUM trafiic을 %로 트래픽 제한하는 기술 
  • 보통 멀티캐스트는 서비스 때문에 제한하지 않음
  • 포트 bandwidth 대비 퍼센트로 트래픽을 제한, 정상 트래픽은 허용하고 폭주만 차단
  • 예시)
    1Gbps port
    storm-control broadcast level 5 
    --> broadcast traffic > 5% (50Mbps) -> Drop
  • level 값 
    0 : 완전 차단
    40 : 40% 초과분만 제한
  • loop prevention, STP replacement가 아닌 traffic rate limiter 인것이 핵심.

 

 

 

40. NDFC 설정 문제

 

** NDFC 기본 흐름

1. Fabric 생성
2. 스위치/라우터 추가
3. 정책/설정 생성
4. Save
5. Deploy

 

보기

 

  • 장비: Core Router
  • Config Status: Out-Of-Sync
    --> 정책/설정은 NDFC 쪽에 존재하지만 아직 장비에 실제 반영(deploy/push) 되지 않았거나, 장비와 컨트롤러 설정 상태가 일치하지 않았다는 뜻. 즉, 설정을 만들었지만 아직 장비에 배포하지 않았다는 상황.
  • Oper Status: Minor
  • Discovery Status: Ok

 

 

 

 

 

41. Dual Supervisor Switch Upgrade시 현상

 

Which event takes place when upgrading a Cisco Nexus MDS 9000 Series Switch with dual supervisor modules?

 

A. The new code is loaded on the standby supervisor then on the active.
B. The new code is loaded on the active supervisor then on the secondary.
C. The old code is removed from the backup supervisor then from the primary.
D. The old code is removed from the primary supervisor module then from the standby.

 

 

ISSU vs Non-ISSU 관점에서 문제를 분석해야함.

ISSU 관점에서 보면 A가 맞음. 정답은 A

 

 

 

42. ECN

  • explicit congestion notifications
  • N9k에서 네트워크 혼잡 시 IP 헤더의 특정 비트를 설정함으로써 호스트가 혼잡을 감지하고 전송 속도를 줄여 지연 시간과 재전송 횟수를 감소시킬 수 있게 하는 기술.
  • 비트 마킹을 하고나서 송신자에게 혼잡 통보 패킷을 최종적으로 전송하는것.

 

 

 

 

43. ACI Python 통신 구조

 

 

 

 

44.  UCS Firmware Auto Sync Server Policy 

  • No Action
  • User Acknowledge 

 

 

 

 

45. Intersight IMM 프로파일 계층 구조

 

 

 

 

46. UCSM vs IMM

 

관리 방식특징

UCSM Managed Mode Fabric Interconnect에 관리 소프트웨어 포함
Intersight Managed Mode 관리 소프트웨어가 클라우드(Intersight)에 존재

 

주요 차이

- management plane 위치

 

Q. IMM이 UCSM과 구별되는 특징의 핵심.

It decouples the management software from the infrastructure.

 

 

 

 

47. MDS Director Switch epld upgrade

 

Dual Supervior가 장착된 Switch에서 epld upgrade시 ISSU 방식으로 하나씩 업그레이드 진행하여 무중단 가능.

Nondisruptive upgrades without traffic interruptions can be performed.

 

근데 이전에 install 문제보면 뭔가 좀... 기준이 애매한듯? 

 

 

 

 

48. Cisco NX-OS streaming Telemetry

 

 

 

 

 

49. OSPF Stub Area 유형 문제

 

구성

R1 --EIGRP-- N9K1 -- OSPF Area 0 -- N9K2 -- OSPF Area 1 -- N9K3
      10.1.1.15/32

 

조건

N9K3에서 10.1.1.15/32를 광고받지 않아야함.

즉 external LSA(Type 5)를 받지 않아야함.

 

풀이

 

N9K2가 ABR, N9K3가 inter router로서 stub area 조건을 만족해야함.

 

 

A. 

N9K2(config-router)# area 1 stub no-summary
N9K3(config-router)# area 1 stub

  • 해당 조건은, area 1을 totally stub area로 동작시켜 Type3, 5 전부 차단하여 default route만 받게 됨.
  • 따라서, 정상적인 ABR 중심 설계이지만 문제 요구보다 더 많이 차단하게됨. 즉, inter-area summary 까지 막아버림.
  • LAB으로 설정해본 결과  N9K2에서 내부 라우터가 외부로 나갈 수 있게 Type-3로 변환된 default route를 summary LSA(Type-3)로 주입한 database외에는 전부 안보이는걸 확인함. 
  • 2.2.2.2는 N9K2의 looback0으로 N9K3과 동일 area로 ospf 연결이 되어있으니 당연히 intra로 route에서 확인.
  • 하지만 결국 제대로 된 정답은 정상적인 설계로 하는걸 판단하여 해당 답을 정답으로 택해야함.

 

 

 

B. 

N9K3(config-router)# area 1 stub no-summary
N9K2(config-router)# area 1 stub

해당 조건은, N9K2에서 단순 stub으로 external LSA는 area 1로 들어가지 않고 no-summary는 N9K3 입장에서 사실상 의미가없음. 그래서 stub area 자체는 성립함. 즉, Totally stub이 아닌 Regular stub으로 동작. summary LSA를 ABR에서 차단하지는 않는다고 봐야함. 따라서 정상적인 설계는 아니므로, 정답X 

 

 

 

 

50. E Port vs N Port  /  E Port vs N Port

 

  • E Port : 동일 Fabric 스위치 간 ISL만 가능
    ex) xE Port = 자동 협상, 스위치간

  • N Port : 단일 디바이스 연결
    ex) Nx Port = 자동 협상, 스위치<->host간

 

다른 문제로는 E Port vs F Port 문제도 있다.

MDS <-> UCS Domain (FI) 와 연결 시 MDS 스위치에서는 switchport mode F를 선언해줘야한다.

 

 

 

51.  RDMA

 

Which technology provides the capability to transfer data into the memory of another device without involving the CPU?

-> Remote Direct Memory Access , NIC이 직접 memory를 읽고 쓰기 때문에 cPU 사용이 필요가 없다.

 

 

 

52. Intersight 배포 옵션

 

An engineer must deploy a UCS-X platform to a customer that requires an air gap between their management systems and the internet. Which Intersight deployment option must be used to accomplish this goal?

  • 중요 데이터를 외부 네트워크와 물리적으로 완전 분리해야함 (air gap)
  • 이러한 배포에는 Private Appliance (완전 On-premise, 인터넷 Zero)가 사용됨.

 

 

 

 

53. Static Password의 문제점

  • 탈취 시 즉시 악용 가능
  • 재사용 위험
  • 해결책 --> MFA (Multifactor Authentication)

 

 

 

 

 

54. SCP

  • 파일 전송 시 암호화와 인증이 사용됨.
  • 파일 크기 제한 없음
  • HTTPS도 동일하지만, CLI 전송 표준은 아님

 

 

 

 

55. 같은 External EPG 내부의 서로 다른 서브넷끼리의 통신 차단 방법

 

Q. A Cisco ACI fabric is created with a single L30ut with R1 and R2. The requirement is to prevent all received subnets from R1 and R2 from communicating. Which configuration accomplishes this goal?

 

A. Intra Ext-EPG isolation as Enforced. 

--> 같은 External EPG 안의 subnet 간 통신 차단.

 

 

 

56. ACI Preferred Group

  • 같은 VRF 안에 있는 EPG들 간 통신을 Contract 없이도 허용하는 기능. 
  • VRF에서 설정하는 부분과, EPG에서 설정하는 부분이 있다. (사진 참고)

 

 

 

57. UCS QoS 구조

Priority Drop Policy 사용 목적
Platinum No-Drop ★ FcoE / Storage traffic
Gold Drop 중요 애플리케이션
Silver  Drop 일반 트래픽
Bronze Drop 저우선순위
Best Effort Drop  기본 트래픽
FC No-Drop Native FC 전용

 

  • UCS에서는 Jumbo Frame을 9216 bytes로 설정(표준) 
  • Fragmentation 방지를 위해서는 모든 구간 MTU 일치 필요

 

 

58. EPLD 문제

Q. What is a feature of EPLD upgrades on a Cisco Nexus 7000 Series Switch?

A. They are independent of the Cisco NX-OS ISSU process

 

ISSU 명령어 

install all ~ 

 

EPLD 명령어

upgrade epld bootflash: ~ 

 

epld는 운영망에서도 경험해봣지만 보통 OS 업글 이후에 독립적으로 업그레이드하는 프로세스이다. 

 

 

 

 

59. NFS version

 

 

 

 

60. ACI Microsegmentation

 

  • uSeg EPG (Microsegmenation)은 동일한 IP 서브넷 혹은 동일한 Base EPG 내에 있는 ep를 세분화된 속성 기반으로 더 작은 그룹으로 분리하는 기능

 

Q. Several production and development database servers exist in the same EPG and IP subnet. The IT security policy is to prevent connections between production and development. Which attribute must be used to assign the servers to different microsegments?

 

A. 동일 EPG, Subnet인 상황에서는 MAC이 유일한 L2 식별자

 

 

Microsegmentation에서 사용하는 Attribute 

IP Endpoint IP 기반
VM attribute VM name / OS / tag
MAC Endpoint MAC
Port interface 기반

 

이런 화면을 만들어줫는데 실제 구성이 있는지는 운영망에서 확인해볼 예정.

 

 

 

 

61. SAN connectivity 구성 

  • Storage connection policy 
    - storage array WWPN
    - zonning type
    - target 연결 방식
  • Fiber Channel adapter policy
    - queue depth
    - interrupt handling
    - error recovery
    - adapter tuning
    - timeouts

 

[Service Profile]
      |
      +-- vHBA
            |
            +-- SAN Connectivity Policy
            |      └─ fabric / VSAN / 연결 틀
            |
            +-- Storage Connection Policy
            |      └─ storage WWPN / zoning type
            |
            +-- FC Adapter Policy
                   └─ queues / interrupt / adapter tuning

 

 

 

62. Slow Drain Analysis

 

** Slow drain이란?

  • FC SAN 환경에서 특정 디바이스(HBA, Storage Port 등)가 프레임을 정상 속도로 소비하지 못할 때 발생하는 현상.
  • Buffer Credit이 고갈되면서 Upstream 전체로 Back-pressure 가 전파되어 latency가 급격히 증가
  • DCNM 접속 --> Monitor --> SAN --> Slow Drain Analysis 

 

 

 

63. SingleConnect vs Direct Connect

 

Q. An engineer must migrate a Cisco UCS C-Series server from Cisco SingleConnect to direct connect integration mode. The Cisco UCS Manager Rack Server Discovery Policy and Rack Management Connection Policy are set to Immediate and 2. Which action accomplishes this task?

 

A. Disconnect the cables from the FEX Connect the cables to server ports on the fabric interconnect. Reacknowledge the server.

 

 

 

 

64. AAA 프로토콜 / 포트

RADIUS 1812 / 1813 , UDP, Password만 암호화
LDAP 389, TCP, TLS 필요
LDAPS 636
TACACS+ 49, TCP, 전체 패킷 암호화

 

 

 

 

65. vHBA 템플릿 요구사항

1. logical addresses used by the vHBA

--> WWPN Pool : vHBA 포트의 고유 논리 주소 할당

 

2. path through which SAN traffic flows

--> Fabric ID : 트래픽이 Fabric A or B 어디로 흐를지 경로 지정

 

 

** UCS SAN 주소 체계 (WWNN vs WWPN)

 

 

** Fabric ID의 역할 (SAN 트래픽 경로 결정)

 

 

 

 

66. UCS Backup Type 및 전송 프로토콜 분석

 

Backup Type내용

Logical Configuration 정책 / 논리 설정(Policies, vNIC/vHBA), 서버관련 정책만 가져오고 인프라는 제외
System Configuration 시스템 설정(Hardware 관련), 보안/관리 설정 포함(AAA, RBAC), Human-readable
username ,roles, service profiles
All Configuration System + Logical
Full State 전체 시스템 snapshot, Snapshot of entire system,
Enter the setup mode (Setup/restore) ? restore ★
System + Logical + Runtime state, 가장 많은 백업

 

 

프로토콜TCP/UDP암호화

프로토콜 TCP/UDP 암호화
FTP TCP ❌ (insecure)
SCP TCP
SFTP TCP
TFTP UDP

 

 

 

 

 

67. vXLAN 관련 문제

 

Q. An engineer must implement a VXLAN-based data center interconnect. The long-distance transport provided by a service provider is IP-based, supports a maximum MTU of 1554 bytes, and does not support outbound traffic replication. Which action must be taken to build the data center interconnect?

 

  • A. Implement BGP EVPN ingress replication.
  • B. Announce host reachability over BGP.
    (-> BGP EVPN Type-2/5 Route로 Unicast host 경로 광고 기능. BUM 트래픽 복제와 무관)
  • C. Create an IP access list and associate it with VNI to replicate traffic to remote VTEPs.
    (-> Static Ingress Replication 구성 방식, 확장성 없으며 BGP EVPN 동적 학습 불가, DCI 환경에 부적합)
  • D. Configure a route map to associate the IPs of the remote VTEPs.
    (-> VXLAN 표준 구성에 존재하지 않는 방식, Route Map은 BGP 경로 정책 조작 도구)

 

** SP가 제공하는 장거리 전송망은 조건들이 있기 때문에 DC 상호 연결 구축에 어떤 조치를 취해야하는지가 Point.

 

핵심 조건

  • MTU 1554 bytes
    - Inner Ethernet Frame : 1514
    - VXLAN Header : 8
    - Outer UDP Header : 8
    - Outer IP Header : 20
    = 총 필요 MTU : 1550 bytes 

  • Outbound Replication not supported
    - 이 말은 즉, SP 네트워크에서 멀티캐스트 미지원
    - BUM을 SP가 복제해서 뿌려줄 수 없음.
    = 즉, VTEP 자신이 직접 복제해야함.
    = Ingress Replication 필요

  • VXLAN EVPN Fabric에서 BUM 트래픽을 처리하는 2가지 방법
    1. Ingress Replication 
    - underlay에서 multicast 없이 unicast에서 패킷을 복제하여 배포를 간소화
    - 설정이 간편하고 underlay에 PIM이 필요없음, 소규모 Fabric에 적합하지만 확장성이 떨어짐.
    2. Multicast
    - Spine을 통해 트래픽을 분산
    - 대규모 데이터센터에 적합, underlay에 PIM 필요

  • 따라서, 이 문제에서는 Ingress Replication이 필요하기 때문에 로컬 VTEP이 모든 원격 VTEP에 Unicast를 복제하고, BGP EVPN으로 원격 VTEP 주소를 자동 학습해야함.

** 설정 예시

 

# BGP EVPN 기반 Ingress Replication 설정

feautre nv overlay

feature bgp

 

# VXLAN VNI에 Ingress Replication 프로토콜 지정

vlan 10

 vn-segment 10000

 

int vlan nve1

 no shut

 source-interface loopback 0

 member vni 10000

  ingress-replication protocol bgp (BGP EVPN으로 원격 VTEP 자동 학습)

 

# BGP EVPN 설정

router bgp 65000

 address-family l2vpn evpn

  advertise-pip

 neighbor x.x.x.x (원격 VTEP / Route Reflector)

  address-family l2vpn evpn

   send-community extended 

 

 

 

 

 

68. ACI + VMware DVS 통합 Topology

 

 

 

69. ERSPAN 문제

 

vSphere Promiscuous Mode

  • 무차별 모드
  • vSwitch 또는 포트 그룹 보안 정책으로 허용으로 설정 시 해당 network adaptor가 해당 vSwitch를 통과하는 모든 패킷을 읽을 수 있다. 
  • 기본적으로 deny되어있음
  • 스니퍼 또는 보안 장치와 같이 트래픽을 모니터링하는 VM에 필요

 

Promiscuous Mode가 비활성화 되있을 시 ?

  • Mode Off
    - 내 MAC 아닌 패킷은 Drop 
    - 즉, 일반 SPAN 수신 불가 
  • Mode On
    - MAC 상관없이 전부 수신
    - 일반 SPAN 수신 가능하지만, 보안상 디폴트로 비활성화됨.
  • SPAN은 원본 패킷 그대로 복사하여 목적지로 던지는데 vSwitch 입장에서는 내거 mac이 아니면 drop
  • 따라서, ERSAPN 필요 -> IP 목적지로 GRE 캡슐화로 전송, 새 IP로 직접 라우팅

 

 

configure terminal

monitor session 1 type erspan-source

# ↑ ERSPAN 소스 세션 선언 (GRE 캡슐화하여 원격 전송)

 

erspan-id 1

# ERSPAN 세션 식별자 (목적지와 매칭 필요)

 

destination ip 10.1.1.1

# 복사 트래픽을 전송할 목적지 IP (로드밸런서)

 

source interface ethernet 1/9 both

# ↑ # both = TX + RX 양방향 ✅

 

vrf default

# 목적지 IP 도달을 위한 VRF 지정

 

 

 

 

70. default-information originate / always

 

** default-information originate

 

1. default 출처는 외부 라우터로부터 어떠한 프로토콜이든 redib으로 전파된 경로만 asbr에 올라오면 type-5 lsa 생성

2. 또는 ASBR 자기 자신에 default route를 설정하면 해당 경로가 type5로 전파된다.

 

 

** default-information originate always

1. 앞에 조건들이 모두 없어도, 자동으로 type-5를 default 경로로 생성한다. 

2. 따라서, default routing을 외부 라우터의 redib으로 받고 있는 경우에는 해당 라우터와 neigbor가 끊기게 되도 LSA가 계속 광고되어 Blackhole 발생 위험이 생기므로 안정성 부분에서 originate보다 떨어진다.

 

 

** default route는 외부 라우터에서 eigrp든, bgp든, static이든 redib으로 선언해줘야 ASBR에서 ospf type 5로 전파되게된다. 물론 당연히 ASBR에서 default-information originate 옵션이 선언되어야한다.

 

 

 

71. OSPF fast reconvergence 문제 

 

Q. A network architect must redesign a data center network based on OSPFv2. The network must perform fast reconvergence between directly connected switches. Which two actions must be taken to meet the requirements? (Choose two.)

  • A. Implement a virtual link between the switches.
  • B. Configure all links on AREA 0.
  • C. Use OSPF point-to-point links only.
  • D. Set low OSPF hello and DEAD timers.
  • E. Enable BFD for failure detection.

 

A.  C,E

  • 해당 문제는 링크 장애를 얼마나 빨리 감지하고, 얼마나 빨리 SPF 재계산을 하냐의 문제
  • C가 정답인 이유는 broadcast type은 adjacency를 형성하는 과정에서 dr election을 할시 전체 토폴로지 re-adjacency와 SPF 재계산을 하기 때문에 P-to-P type처럼 Hello 교환 후 즉시 adjacency를 하고 SPF 재계산을 하는 방식이 장애 시 더 빠른 convergence를 제공한다.
  • Bidirectional Forwarding Detection은 두 장비 사이의 양방향 경로가 살아있는지 빠르게 확인하는 프로토콜이다. 특정 라우팅 프로토콜 자체가 아닌, OSPF/BGP/IS-IS 같은 상위 프로토콜에게 링크 단절을 빨리 알려주는 감시자 역할을 하는것. 따라서, OSPF에서는 물리 링크가 문제가 생긴걸 감지해야 ospf hello, dead time을 계산해서 이웃 생존을 확인하기 때문에 해당 문제에서는 E가 D보다 정답에 가깝다. 
  • 참고로, BFD가 설정되있고, BFD를 통해 Link down 통보를 받게되면 ospf는 neighbor down 처리를 한다. 이 때 hello/dead time은 BFD의 백업 역할을 하는거라 생각하면된다.

 

 

 

72. vPC Peer Switch 기능

 

구성&조건

- vPC Pair + Non-vPC Switch

- 스위치들 간 STP Bridge ID를 동일하게 해야한다. 

 

솔루션

- vPC Pair 스위치간 BPDU를 확인해보면 Bridge ID가 당연히 다르기 때문에, 하나의 logical switch로 보이게 하려면 peer switch 명령어를 vpc 설정에 넣어줘야한다. 활성화 시 vPC Pair 스위치는 같은 Bridge ID로 BPDU를 보내게된다. 해당 Bridge ID는 virtual mac(=system mac)으로 생성된다. 

 

 

 

73. Nexus Dashbord SSO 기능

  • switch between site controllers of Cisco ACI 
  • 여러 ACI 사이트의 APIC을 별도 로그인 없이 자유롭게 전환하는 기능

 

 

74. UCS Manager 백업 프로토콜 비교

 

Protocol 전송 암호화 인증방식
TFTP UDP 없음 없음
FTP TCP 없음 Username/Password
SFTP TCP SSH Username/Password로 가능
사전 인증 불필요
SCP TCP SSH SSH Host Key 기반
사전 인증 필요

 

 

 

75. NX-OS guest shell / VRF management / Linux ping 사용 방식

 

 Q. An engineer installed a new Nexus switch with the mgm0 interface in vrf management. Connectivity to the rest of the network needs to be tested from the guest shell of the NX-OS. Which command tests connectivity from the guest shell of the NX-OS?

 

  • NX-OS guest shell에서 네트워크 연결 테스트에 사용할 명령어 적용 문제
  • guest shell = linux // mgmt0 
    --> Lunux shell에서 NX-OS vrf를 사용해서 ping 
  • 따라서, ping vrf management와 같은 NX-OS CLI 문법 사용 불가
  • chvrf 
    : bash에서 특정 vrf namespace로 command 실행
    : ex)  chvrf management ping 8.8.8.8

 

 

76. IP SLA 

 

 

Answer.

event manager applet ROUTER-DOWN-SLA 

event track 5 state down

action 1.0 event-default

action 2.0 cli command source routerdown.py

 

  • 해당 EEM 동작 구조는 IP SLA 10 실패시 Trak 5를 트리거하여 action을 발동하게 하는것

 

 

 

77. MDS Switch epld upgrade

 

 

  • 위 명령어 입력 시 각 모듈별 epld 업그레이드가 순차적으로 진행되고 power recycle도 순차적으로 진행된다.
  • Lincard -> Fan -> supervisor 순으로 처리됨

 

 

78. NFS vs iSCSI 

 

  • 둘 다 IP 네트워크를 사용하여 비용 우위는 비교할 수 없다.
  • NFS simplifies storage management by allwing file-based data sharding.

 

 

 

79. VXLAN 학습 방식 (DP/CP, BGP EVPN , BUM)

 

Q. Refer to the exhibit. Which command must be used to configure a VXLAN nve tunnel interface such that MAC and IP address information are learned in the control plane?

  • A. host-reachability protocol static
  • B. host-reachability protocol bgp
  • C. ingress-replication protocol bgp
  • D. ingress-replication protocol static

[조건]

interface nve1

 no sh

 source-interface loopback1

 host-rachability protocol bgp  --> CP 모드 활성화

 member vni 500

  mcast-group 239.0.0.140  --> BUM은 Multicast 처리

 member vni 511

  mcast-group 239.0.0.141

member vni 599 associate-vrf --> L3 VNI (VRF 연결)

 

 

  • Data Plane (DP)
    - BUM Flooding으로 MAC 학습
    - Muicast or Ingress Replication

  • Controle Plane (CP)
    - BGP EVPN으로 MAC/IP 사전 배포
    - 즉, MAC/IP를 BGP로 광고하며, flooding이 없고, ARP suppression이 가능하다.
    - ★ host-reachability protocol bgp (ACI / EVPN VXLAN 환경에서는 무조건 기본값)

★ host-reachability protocol bgp 선언시 동작 원리

  • BGP EVPN Type-2 Route(MAC/IP Advertisement)
    --> Flooding없이 MAC+IP를 사전 모든 VTEP에 배포
    --> Spine이 RR 역할을 하여 연결된 모든 Leaf에 BGP Update를 하여 Host MAC/IP 정보를 사전에 등록
  • show nvc peers, show bgp l2vpn evpn 

 

★ BGP EVPN이 있어도 BUM을 완전히 없앨 수는 없는 이유

  • 첫 통신, 즉, BGP로 광고되기 "전" 상태 이므로 ARP Request와 같은 BUM 유형은 보통 Multicast Group으로 Flooding.
  • GARP, 미등록 Multicast group traffic 
  • BGP EVPN은 BUM을 "최소화"하는 것이지 "제거"가 아님
  • 단, Ingress Replication 방식 사용 시 Multicast 인프라 없이도 운용 가능

 

 

 

 

80. ECN과 PFC

 

ECN

  • explicit congestion notification
  • congestion 발생 전에 marking을 통해 sender가 속도를 줄임
  • Early Warning

PFC

  • Priority Flow Control
  • congestion이 심해지면 Sender에게 pause frame을 전송하여 패킷 포워딩을 멈추게 함.
  • 일반 Pause처럼 링크 전체를 멈추는게 아닌, 특정 priority(trafiic)만 멈춤
  • Last Resort

 

 

 

81. VXLAN MP-BGP EVPN 구성 필수 Feature

 

[조건]

 

  • Underlay: OSPF
  • VTEP: VLAN 인터페이스(SVI) 기반의 Distributed Default Gateway 운용

 

feature nv overlay VXLAN NVE Tunnel, VTEP
feature vn-segement-vlan-based VLAN -> VNI 매핑, vlan10 <-> vn-sement 10100 
feature bgp BGP EVPN Control Plane, type2/3/5 Route 광고/수신
nv overlay-evpn EVPN Overlay 활성화
feature ospf Underlay Routing
feature interface-vlan SVI 기반 분산 게이트웨이, Anycast IP 설정

 

 

 

 

 

82. NX-API Sandbox

 

 

 

 

 

 

83. ACI Debounce time 설정

 

Q. In a Cisco ACI fabric, the status of interface Eth1/1 changes frequently. Which set of actions configures the fabric to disable Eth1/1 when the port flaps more than 10 times within 1 minute?

  • A. From fabric policies, set link debounce interval to 60.
  • B. From access policies, set link debounce interval to 1.
  • C. From access policies, set the time allowed for max flaps to 60.
  • D. From fabric policies, set the time allowed for max flaps to 60.

 

 

  • 해당 문제는 겉보기에는 flap 횟수 제어같지만, 본질은 ACI에서 flab을 어떻게 억제하는지에 대한 문제
  • ACI는 일반 IOS처럼 "n번 flab 시 shutdown"이 아닌 debounce 기반으로 flap을 억제
  • 링크 상태 변화 발생
    → 일정 시간(debounce interval) 동안 상태를 무시
    → 안정되면 반영
  • 위 문제 Eth1/1은 Spine<->Leaf 간의 Fabric port이다. Fabric port는 내부 패브릭 링크이므로 Disable시 Fabric 전체 영향이 가기 때문에, Error-Disable 보호 장치는 없고, DOM이나 Debounce Timer로 fault 모니터링 설계가 되어있다. 

** 예시

[Leaf1 Eth1/1] ---- [상대 장비]

문제 상황:
UP ↓ UP ↓ UP ↓ UP (짧은 시간에 반복)

Debounce = 60초 설정 시 (ACI link level policy - Debounce interval - default 100ms)

→ 60초 동안 상태 변화를 확정하지 않음
→ flap이 지속되면 결국 disable 상태로 처리됨

 

 

 

84. ACI SPAN Type

 

3가지 포트 역할

1) Source → 트래픽을 가져오는 곳
2) Monitor port → 복사된 트래픽이 나가는 포트 (분석기 연결)
3) Uplink port → Fabric 내부 전달 경로

 

 

 

 

85. Link Group Preference

 

UCS에서는 LACP 설정을 Ling Group Preference를 통해 설정한다.

 

 

항목일반 스위치UCS

Aggregation LACP 직접 설정 Link Group Preference
Control CLI 중심 UCSM 정책 기반
구성 방식 Interface 단위 System-wide policy

 

 

 

 

86. UCS C-Server Configure

 

조건 

1. VLAN ID 110 

2. Priority value of 20

 

scope cimc

scope network

set vlan-enabled yes

set vlan-id 110

set vlan-priority 20

commit

 

 

 

87. POAP 동작 및 필요 구성 요소

 

1. DHCP server

2. TFTP Server for Python Script

3. SCP File Repository for nexus image and config

4. 만약 이미지,Config 다운에 UDP만 허용한다라는 문구가 나오면, FTP + 67번 조합이 정답

 

 

 

 

 

 

88. UCS Power redundancy policy

 

1. Grid

- 서로 다른 두 전원 소스를 기준으로 전력 분산 

- two power sources being used to power the server

- ex) PSU 4개

 

  • PSU1, PSU2 → Power Source A
  • PSU3, PSU4 → Power Source B

 

scope org

scope psu-policy

set redundancy grid

commit-buffer

 

 

2. N+1 Redundancy

- 총 필요 전력을 공급하는 데 필요한 PSU 수(N)에 예비 PSU를 두는 방식

 

 

 

 

89. ISSU 중 LACP peer impact

LACP Timer 

1. default : 30초/90초

2. Fast : 1초/3초 (운영 환경에서 권장하지않음, ISSU보다 빠르게 LACPDU를 미수신하게됨)

 

 

 

 

 

90. NX-OS Rollback 옵션

 

1. atomic 

- 오류 발생 시 전체 롤백 중단 + 원복

 

2. stop-at-first-failure

- 첫 번째 오류 발생 즉시 중단

- 이미 적용된 설정은 유지됨 (부분 적용 상태로 중단)

 

3. verbose 

- 상세 출력 모드 (오류 처리 방식 변경 없음)

 

4. best-effort

- 오류 스킵 + 완료 보장

 

 

 

 

91. NFS Version 및 RPC

 

RPC

  • NFS는 Server- Client 간 모든 요청/응답을 RPC로 처리
  • TCP/UDP 111 (Portmapper/rpcbind)

 

NFS

1. NFSv2 : UDP 기반 RPC

2. NFSv3 : UDP/TCP 모두 지원

3. NFSv4 : TCP 전용, Stateful RPC

4. NFSv4.1 : pNFS 확장, 병렬 RPC

 

 

 

 

92. NSSA , LSA Type 7

 

** 구성

 

[R1: 10.1.1.15/32]
        |
     
      [N9K1]        ← OSPF Area 0 (Backbone)

        |

      [N9K2]        ← ABR (Area 0 ↔ Area 1)

        |
      [N9K3]        ← OSPF Area 1 내부 라우터

 

 

  • R1으로부터 외부 경로를 받은 N9k1이 ASBR
  • area 0 에서 해당 경로는 Type 5 LSA로 플러딩됨
  • 따라서, 외부 경로를 N9K3에 배포하려면 Area1을 NSSA로 설정해야하기 때문에 N9K2,3을 Area1로 설정
  • N9K2는 Area0에서 받은 Type5 LSA를 Type7 LSA로 변환하여 Area1로 플러딩
  • Type 7 LSA는 NSSA  Area에서만 존재하기 때문에 N9K1에서는 Type5로 확인

 

 

 

93. NX-OS key-string 암호화 타입

 

  • key-string에서는 0, 7, 6 총 3가지가 존재. 1,5는 없음
  • 1,5는 MD5/SHA 인증 알고리즘
  • type 7은 running-config에 평문 노출을 방지하며, 모든 Cisco 플랫폼에 호환된다.

 

 

 

94. RMON Alarm 구조

 

rmon alarm <id> <OID> <interval> {absolute | delta} rising-threshold <value> <event>

 

 

 

 

95. FCSP 인증방식

 

Q. A company provides applications and database hosting services to multiple customers using isolated infrastructure-as-a-service services within the same datacenter environment. The environment is based on Cisco MDS 9000 Series Switches. The requirement is to manage the environment by using Fibre Channel Security Protocol and to enable user authentication when the centralized AAA server is unreachable. All communication between the MDS switches and the remote servers must be encrypted. Which command set must be used to meet these requirements?

 

A.

aaa group server tacacs+ TacacsServer1
aaa authentication dhchap default group TacacsServer1

 

 

 

96. vPC BUM 트래픽 처리 원칙

 

 

☆ vPC Split-Horizon Rule

  • vPC Member port로 수신한 BUM 트래픽은 필요의 경우 Peer-link로 전송이 가능하다.
  • Peer link로 수신한 BUM 트래픽은 vPC Member port로 재전송 X (Loop 방지)
  • 두 peer 스위치 모두 vPC Member port에서 BUM 트래픽 수신 시, 각자 uplink로만 전달.
    Peer Link 및 Port-channel로 전달 X 

 

따라서, Access-2 host에서 브로드캐스트 패킷이 발생했다면, vPC Member port에서 브로드캐스트가 발생하였기 때문에 필요 시 peer-link로 Agg-2에서 Agg-1로도 패킷을 전달하지만, vPC member port로는 절대 BUM 트래픽을 내보내지 않는다. 

 

 

 

 

97. Rolling Upgrade

  • Rolling EPLD는 한번에 하나씩, 즉 모듈 단위로 순차 업그레이드를 진행한다는 뜻.
  • EPLD는 disruptive한 특성으로 재시작이 필요.
  • 따라서, Rolling 으로 진행하면 일부 영향을 받는 것으로 영향을 최소화
  • Only the modules that are being upgraded are disrupted

 

 

 

98. NETCONF

[조건]

IETF RFC 6241 공식 표준
② SSH(포트 830) 기반 암호화 전송
③ XML 포맷 (human-readable)

 

 

 

 

99.  FC vs iSCSI 식별자 

 

  • FC = WWPN
  • iSCSI = IQN

 

 

 

100. PIM 문제

 

Q. A customer deploys a media server to distribute streaming videos to network clients. The requirement is to allow the video feed to reach only requesting clients. The shared trees must not propagate the video feed if no clients from that tree request it. To reduce configuration touchpoints, the solution must support the automatic discovery and announcement of RP-set information. Each router in the network is responsible for selecting the RP. Which configuration set meets these requirements?

 

 

  • 비디오 피드는 요청한 클라이언트에게만 전달되어야 한다.
    - 요청하지 않은 곳에도 뿌리는 Dense mode는 탈락

  • 공유 트리(shared tree)는 해당 트리에서 수신자가 요청하지 않으면 비디오를 전파하면 안 된다.
    - 수신자 쪽에 join이 있어야 shared tree가 형성되는 Sparse mode

  • 설정 포인트를 줄이기 위해 RP-set 정보의 자동 발견 및 광고가 지원되어야 한다.
    RP 정보를 자동으로 배포하는 방식 2가지
    - Auto-RP : Cisco 방식 / Rp announce , mapping agent 사용
    - BSR : 표준 방식 / 각 라우터가 RP-set(RP 후보들의 광고)을 받아 스스로 RP 선택

  • 네트워크 내 각 라우터는 RP를 스스로 선택해야 한다.

 

 

 

 

101. Peer Link Down + Keepalive Up

 

 

Peer Link Down + Keepalive Up 시나리오

  • Peer-Link Down 시 secondary 장비, 즉 N9k-2는 Split-brain 방지를 위해 스스로를 suspend 시킴
  • 즉, N9k-2에 연결된 포트들이 전부 down된다.
  • 따라서, high availability를 위해서는 한쪽 스위치에만 단독 연결된 포트, 즉 ASA_2와 연결된 포트를 Orphan-Port Suspend 설정으로 해당 링크를 자동으로 Suspend시켜서 ASA_2 연결을 강제 차단하게하여 모든 트래픽이 N9K-1로 경유하게 한다.

 

 

 

102. ACI Preferred Group

 

 

 

 

103. UCS Manager Firmaware Upgrade

 

** UCS 구조

 

[UCS Manager (Control Plane)]
        ↓
[Fabric Interconnect]
        ↓
[Servers (Data Plane)]

 

** 영향도

UCSM 프로세스 재시작
→ 관리 세션 끊김
→ 로그인 세션 종료

 

 

 

104. UCS-X HA

 

  • UCS-X는 Dual fabric interconnects를 통해 HA 향상을 이룬다.
  • ** Restful 을 통해 UCS-X를 manage한다.

 

 

 

 

 

105. InfiniBand 

 

** 기본 구조

 

[Node] ── [Switch] ── [Node]
              ↘   [SM]   ↙

 

  • Subnet Manager라는 핵심 컨트롤러가 존재
    - 각 노드에 LID(주소) 할당
    - End-to-End Path 계산
    - 라우팅 테이블 설정
    - Fabric 초기화 및 관리 

 

** 동작 흐름

 

[Fabric Start]
      ↓
Subnet Manager 활성화
      ↓
LID 할당
      ↓
Topology 수집
      ↓
경로 계산
      ↓
Switch forwarding table 배포

 

 

 

 

106. OSPF Priority

 

OSPF Multi-Access Network에서 DR 역할믈 묻는 문장

  • Controls the LSA Floods
    - LSA 교환 중심
  • advertises the network to the remaining nodes
    - Type 2 Network LSA 생성 
  • 이말은 즉, 해당 문제 조건의 스위치를 DR로 만들라는 뜻.
  • 추가 조건에 모든 스위치가 default OSPF Priority라고 하였고, (=1) 따라서 Priorty가 높게(예를들어 255) 셋팅된 보기를 고르면 된다.

 

 

 

 

107. ACI RR 문제

 

Q. Refer to the exhibit. An engineer configured an L3Out to exchange routes with the rest of the network, but the EIGRP routes are present only on the border leaf. As a result, the servers from Leaf1 fail to communicate with the external networks. The configuration of the L3Out was confirmed. Which action in the initial fabric setup must be taken to accomplish these goals?

A. Define the border leaf as BGP Route Reflector.
B. Change the ISIS metric for redistributed routes to 32.
C. Define spines as BGP Route Reflector.
D. Configure the redistribution between EIGRP and MP-BGP.

 

 

** 해설

  • 외부경로는 border leaf까지 들어오지만 다른 leaf들로 포워딩 되지 않는다. 해당 문구가 핵심
  • ACI fabric 내부 control plane으로 외부 경로를 반영해서 다른 leaf에 전달 필요
  • 내부 경로 배포 중심 역할 = MP-BGP RR
  • 문제 조건에 초기 Fabric setup 단계에서 해야 할 작업을 묻고있는 것 역시 핵심
  • D는 이미 ACI의 내부 메커니즘에 아키텍처적으로 정해져있고, 이를 배포시키는게 RR이다.

 

 

 

 

 

108. NP 포트

 

FC에서 NP 포트는 N-Port Proxy로 스위치가 자기 자신을 Fabric처럼 동작하지 않고 상위 SAN 스위치에 종속된 구조이다. 

 

NPV

- 스위치 동작 모드

 

NPIV

- 하나의 N-Port에서 여러 WWN을 사용하는 기능

 

 

 

109. bash 명령어

 

Question: An engineer upgrades the bash on the Cisco Nexus 9000 Series Switch. guestshell:~$ sudo [MISSING_COMMAND] /bootflash/bash-4.2_x86_64.rpm.rpm Preparing... ########################################## [100%] 1:bash ########################################## [100%] update-alternatives: Linking //bin/sh to /bin/bash

Which command must be used to complete the task?

  • A. update -vh
  • B. rpm -qa
  • C. upgrade –U
  • D. rpm -Uhv

 

** Guestshell은 NXOS Linux 컨테이너 환경으로 RPM 기반 패키지 사용

 

rpm -Uhv

  • -U : 업그레이드
  • -h : hash marks (진행률 #표시)
  • -v : Verbose (상세출력)

 

rpm -ivh : 신규 설치(i = install)

rpm -qa : 설치된 패키지 목록 조회

 

 

 

110. Checkpoint / NXOS Rollback 옵션

 

 

Question: Refer to the exhibit. Which command must be used to restore configuration changes made by disabling the PIM feature and skipping any errors?

  • A. rollback running-config checkpoint new-checkpoint verbose
  • B. rollback running-config checkpoint system-fm-pim best-effort
  • C. rollback running-config checkpoint system-fm-pim atomic
  • D. rollback running-config checkpoint new-checkpoint stop-at-first-failure

 

1. Pim-checkpoint

- admin이 수동 생성한 체크포인트

- Created by admin

 

2. system-fm-pim

- PIM Feature Manager가 자동 생성

- Created by Feature Manager

- PIM feature disable 시 자동 저장됨

 

 

** NXOS Rollback 옵션 

  • best-effort
    오류 발생 시 해당 명령 건너뛰고 진행
    skipping any erros
  • atomic 
    오류 발생 시 전체 롤백 중단 후 원복
    All-or-Nothing

  • stop-at-first-failure
    첫번째 오류에서 즉시 중단

 

 

 

111. Peer-gateway / Peer-switch

 

 

 

 

 

112. NXOS Maintenance Mode

  • 업그레이드 전 스위치를 안전하게 "격리"하는 기능
  • 모든 인터페이스 shut
  • 라우팅 프로토콜 Graceful 종료 
  • 업그레이드 후 Normal Mode 복귀

 

 

 

113. CPU C-State

 

On demand, 즉시 최대 성능을 원하면 C0/C1

 

 

 

114. Telemetry Process

 

1. Data Collection

2. Data Encoding

** Telemetry Agent는 총칭이지 component가 아니다.

 

 

 

115. CFS Distribution

 

Question: A network engineer must enable port security on all Cisco MDS Series Switches in the fabric. The requirement is to avoid the extensive manual configuration of the switch ports. Which action must be taken to meet these requirements?

  • A. Enable the auto-learning port security feature.
  • B. Activate CFS distribution and the auto-learning port security feature on a per-VSAN basis.
  • C. Enable the auto-learning port security feature on a per-VSAN basis.
  • D. Activate CFS distribution and the auto-learning port security feature.

 

 

** Per-VSAN basis

MDS Port Security는 구조적으로 Per-VSAN 단위로 동작하는 것이 기본 설계

따라서 정답은 B가 기술적으로 정확한 표현

 

 

 

 

116. Streaming telemetry 장점

  • periodic push-based subscription messages
  • A over B 는 A가 B에 대비하여~ 라는 뜻

 

반응형
LIST
저작자표시 비영리 변경금지 (새창열림)

'CCIE-DC'의 다른글

  • 현재글350-601 DC CORE 요약 정리

티스토리툴바