Tùng Anh, Bắc Kinh, 11/1/2011

Tôi có lần thử đầu tiên của mình ngày hôm qua, Bắc Kinh -1 độ, tinh thần thoải mái, 1 chút hồi hộp, không có vấn đề gì liên quan đến tinh thần cả, trước khi đi đã ăn cơm, và vệ sinh đầy đủ, không có vấn đề gì liên quan đến sức khỏe. Có trượt cũng là tại trình mình chưa đủ, giá như thế. Nhưng 12h sau khi thi, nhìn kết quả thi, tôi chỉ muốn ném vỡ cái màn hình.

Tôi vốn đã tự nhủ rằng chuyện thi trượt lần đầu tiên CCIE là chuyện bình thường, và nếu có thế thì cũng chấp nhận. Tôi cũng đã đọc vô số blog nói rằng sau khi thi xong trượt đỗ là tự mình cũng cảm nhận được rồi. Trên 4rum của INE nói rằng mức độ CCIE tương đương level 6-7 của INE WB. Tôi đi café chém gió, nói rằng CCIE không quá khó. Bây giờ nghĩ lại, trước khi đi thi về, tất cả những gì mình nói bấy lâu, mình nghe bấy lâu, cứ như thể là chém gió.

Khi vào thi bạn sẽ được cấp cho 1 số báo danh, của tôi là 34, tôi ngồi vào vị trí bàn 34. Trước mặt bạn chỉ có 1 màn hình rất lớn, chuột và bàn phím. Bạn nhập email, và password để đăng nhập vào bài thi. Bài Tshoot hiện ra trước, và sẽ có 1 topo rất lớn trên màn hình, sẽ có khoảng 30 Routers, nhưng bạn không phải lo lắng vì không thể kiếm soát tất cả, mỗi phần của bài lab chỉ liên quan đến 5-7 router là cùng. Bạn click vào icon Router nào trên màn hình thì màn hình console Router đó hiện ra. Bài Tshoot tất cả chỉ là giả lập, bất kỳ thay đổi config nào cũng diễn ra rất nhanh, bạn show run, hay thay đổi 1 câu lệnh nào đó thay đổi diễn ra gần như tức thời, cứ như thể packet tracert.

Và đây là điều đầu tiên tôi muốn nhấn mạnh, Tshoot tương đối khó, thậm chí cảm giác khó hơn cả bài Config. Bạn sẽ có 10 ticket, nhưng cảm tưởng 2h trôi qua rất nhanh. Sẽ có khoảng 4 câu dễ, 3 câu tương đối trick, và 3 câu khó. Câu dễ là những câu chỉ có khoảng 2-3 Router trong đó, liên quan đến L2 như Frame-relay hoặc Switching. Câu trick là những câu có khoảng 4-5 Router, trong đó sẽ có các bẫy filter (ACL, CoPP, ZBFW,… cho cả Unicast routing, lẫn Multicast) đặt trên các Router dọc đường, câu hỏi liên quan đến câu dễ hoặc trick thường là làm sao để 2 đầu telnet tới nhau, làm sao để multicast traffic ping được, làm sao để 1 dịch vụ nào đó hoạt động. Câu khó là các câu có nhiều Router hơn, và chủ yếu liên quan đến advanced routing như BGP, hoặc SMDP trong multicast, VPN hoặc Tunneling của Ipv6. Câu hỏi sẽ có kiểu làm sao để ra kết quả giống như trong 1 output (1 câu lệnh show) hoặc làm sao để 1 số mạng nào đó convergence,… Tôi nghĩ rằng mình đã perfect những câu dễ và trick, còn 2 câu khó, 1 câu BGP làm sao để ra được ouput gồm 2 phần tôi làm chắc chắn được 1. Câu còn lại liên quan đến MSDP, PIM-SM và MP-BGP tôi không làm được đáng kể. Những cái gì tôi gọi là làm được nghĩa là mình phải làm được giống output của người ta, hoặc là làm 2 đầu thông nhau = telnet hoặc ping (tùy đề bài)

Đối với TS, đây là 1 số lời khuyên:
- Bạn phải làm thật nhanh, không có nhiều thời gian đâu
- Làm xong wr config ngay
- Các ticket của TS có thể đá nhau, của tôi là như vậy, nên hãy chắc là mình kiểm tra 1 lần cuối
- Hãy làm các ticket dễ và trick trước, cảm thấy câu nào khó để sau
- Hãy cẩn thận

Tôi làm xong phần TS với tâm trạng tương đối thoải mái, mặc dù không thể làm hết. Tôi nghĩ, khác với config, TS đã có mục tiêu rõ ràng ngay ở phần câu hỏi rồi, làm được sẽ được 100% điểm. Tôi có thể không được 100%, nhưng trên 80% là điều tôi nghĩ rằng không bàn cãi, vì mỗi ticket chỉ có 2 điểm thôi. Với TS, nếu không làm được sẽ biết ngay. Thực tế tôi chỉ được có 81%, nên nhận định trên có thể không chính xác, tôi vẫn chẳng biết sao tôi chỉ có được bằng ấy.

Bước vào phần Config. Tôi đã xác định sẵn rằng 6 tiếng là thời gian đủ dài, nên không vội vã, thay vào đó tôi cố gắng dành nhiều thời gian nắm bắt cấu trúc topo và bài lab cũng như init config. Có 2 lỗi init config, tôi sửa được 1 trong lúc show run, còn 1 lỗi liên quan đến backup interface tôi không nhận ra nhưng sau đó đến đoạn làm cấu hình access vlan thì cũng không mất thời gian để nhận ra đó là vấn đề vừa sửa lại

Nhìn chung L2 Switching của bài này dễ, tôi được yêu cầu triển khai portfast bpdufilter default, rootguard + bpduguard enable. Không có gì liên quan đến điều chỉnh stp, mặc định đã chạy rapid-pvst+ hết rồi, cũng không có l2tunnel hay qinq,… nói chung với switching, học 10 chỉ lôi ra thi được 2,3. Tất nhiên tôi không vì thế mà chủ quan, trên tất cả trunk tôi luôn cẩn thận nonegotiate, và allow vlan chính xác. Nếu việc cấu hình là 1 phần, thì việc kiểm tra lại phai chiếm đến 2,3 phần thời gian.

L3 của bài này rất hay, tôi phải thừa nhận, sẽ không có 1 cái loop rõ ràng nào hiện ra trước mắt nhưng có rất nhiều loop “tiềm ẩn”, cho nên nếu chỉ dựa vào tclscript thì cũng chưa đủ nói lên điều gì cả. Đối với tôi, Routing và Switching như trò chơi, và lần đầu tiên trong đời tôi làm 1 bài lab cần thận đến vậy. Tôi soi từng route trên từng Router, kể cả next-hop của nó. Có OSPF, RIP và 2 cái EIGRP, trong đó EIGRP và RIP thì để auto-summary nên cái loop tiềm ẩn nằm ở (khoảng) chục route bị auto-summary, tôi cẩn thận filter để chúng không gây ra blackhole. Thậm chí không có yêu cầu nhưng tôi cũng giải quyêt suboptimize routing. Mất thời gian nhiều nhất vào phần này nên tôi tự tin nhất, những yêu cầu lặt vặt lẻ tẻ nhưng update chỉ gửi ra đúng interface thì tôi cũng xử lý 1 cách gọn gàng, vì đơn giản là đã quá quen thuộc với điều này rồi, passive-interface all, rồi lại no passive, wildcard 0.0.0.0 và đối với RIP thì passive- all + neighbor…

BGP, không có filter, nhưng có thay đổi attribue. Neighbor peering sử dụng peer-group + confederation. Không được đổi next-hop nhưng được quảng bá route vào. Có 5 route được ném vào BGP, bạn được yêu cầu điều chỉnh local-preference để 3 tuyến theo 1 đường, 2 tuyến còn lại theo đường khác.

Tôi bước qua L3 trong suy nghĩ rằng CCIE thực sự không quá khó, va tôi thực sự đã làm rất tốt. Sau L3 là đến Ipv6, cũng rất … dễ, đặt địa chỉ Ipv6 eui-64, đổi sdm cho Switch, và chạy OSPFv3. Tất nhiên làm xong không phải để đấy, tôi kiểm tra 1 vài lần để đảm bảo prefix được trao đổi hoàn toàn cũng như ping giữa loopback thành công.

Xong Ipv6 là multicast. Multicast của Ipv6 nên sự khác biệt chỉ là igmp chuyển thành mld trên Switch. Đề bài muốn gì:
- Muốn chạy PIM trên 1 vài interface
- Muốn 1 interface làm DR trên 1 multiaccess Segment
- Muốn 1 interface join vào 1 group, muốn 1 interface làm DR cho riêng 1 group trên
- Muốn 1 interface filter mld cho riêng group đó thôi.

Những yêu cầu đơn giản đến thôi, ko có gì liên quan đến rpf check, hay tunnel, msdp, nbma, hay msdp … đúng là học 10 chỉ dùng 4,5. Tất nhiên bạn phải dễ dàng check được rằng liệu có ping được group đó không, liệu join 1 group khác có còn ping được không. Chỉ thế thôi.

Nhưng tôi được 0% cho phần này ????

Hết MultiAccess là tới Security, vâng sử dụng aaa, để authen login = secure-http, để autho cho exec-login, và để authen ppp chap. Có cấu hình Tacas+, Radius, nhưng nói chung là cũng không có gì đặc biệt. Làm xong sau đó telnet tới thấy kiểm tra, và ppp chap vẫn thành công là ok rồi. Ngoài ra còn 1 yêu cầu cấu hình tftp-server cho phép 1 Router được chỉ định truy cập tới 1 Router khác qua tftp để down 1 file trong flash. Tôi quên không nhớ đằng sau lệnh tftp-server flash:[] có được đặt ACL không, nên tôi đặt ACL lên các incoming interface, tất nhiên chỉ cho phép Router được chỉ định tftp tới, còn các Router khác thì không, test cái này cũng dễ quá rồi

Hết Security thì tới Optimize, có 1 câu EEM, rất tuyệt vời, bạn được yêu cầu trigger event dựa vào 1 cái oid, hành động là gửi mail đến 1 mail server với nội dung là kết quả của “show process cpu sort 5min”. Đến đây thì vẫn rất dễ (tất nhiên tôi vẫn phải tra doccd cho chắc ăn phần này) Tuy nhiên trick ở chỗ bạn chỉ được gửi vào email 10 dòng đầu tiên của output thôi, tôi bó tay chỗ này, tôi thử điều chỉnh length trong line console = 10 nhưng không được, tôi cũng đã thử dùng environment trong eem nhưng không ăn thua, tôi nghĩ chẵng lẽ dùng đến tclscript, đến đây thì tôi dừng lại để quay lại kiểm tra từ đầu

QoS tương đối trick vì đó là nested-QoS, kết hợp CBWFQ và Traffic-shaping, nhưng frame-relay based nên phải đặt trong map-class và đặt vào DLCI tương ứng trong frame-relay. Nói chung tôi cũng quen với cái này nên đọc đề xong cũng hiểu rằng nó là nested và nested như thế nào. 1 câu nữa là autoqos cho voip trên interface ppp, thêm 1 yêu cầu nhỏ là ko được để discovery = nbar, cái này cũng dễ (thực ra là tôi phải mất 15’ tra doccd). AutoQoS xong thấy log bắn ra tung tóe trong 5s rồi bình thường lại. Việc đầu tiên sau đó là tôi show run xem nó thêm những cái quái gì vào running-config của tôi, còn việc thứ 2 là tclscript để check xem nó có gây ra xáo trộn gì không. Không có gì nghiêm trọng cả… Đó là điều lúc đó tôi thấy. Nhưng bạn sẽ giật nảy mình khi còn 30’ nữa hết giờ nhận ra rằng cái eigrp neighbor của tôi trên link ppp trên đã mất, bạn sẽ phát hoảng, tự hỏi chuyện quái gì xảy ra ??? Và show eigrp, show run, trong điên loạn và vô vọng, không thấy 1 chút nào neighbor up hay có dấu hiệu trao đổi hello trở lại. Trong tiktak tôi nghĩ chẳng lẽ lab ảo nên feature vớ vẩn, nhưng vừa rồi tôi reload switch xong nên tôi clear chuyện đó. Vấn đề ở cái autoqos trên ppp link sẽ tự group cái link vào multilink, nhưng trong eigrp tôi đã passive-interface default, việc cần làm rất đơn giản, chỉ là no passive-interface cho multilink là xong. Và đó là việc tôi làm trong 5’ điên loạn đó.

1 điều tuyệt vời nhất về bài lab đó là show run quá sướng, tất nhiên tôi chẳng bao giờ show run để rồi ấn cách, cách vài lần mới tới đoạn cần tìm, nhưng thực sự gõ show run phát nhận kết quả ngay là 1 điều quá ư là sung sướng. Tôi hoàn thành bài lab của mình trước 1 tiếng rưỡi và dành nhiều thời gian kiểm tra lại, chưa 1 bài lab nào tôi cẩn thận như vậy, ít nhất phải 4 lần tclscript, check neighbor của IGP, BGP, check multicast, check ipv6,… Đến lúc giảm khảo nói rằng stop, trong lòng tôi mừng thầm rằng tôi đã có CCIE rồi, tôi đã rất tự tin, tôi đã rất mãn nguyện về bài làm của mình. Có lẽ mình sẽ có CCIE rồi. Có lẽ mình đã có CCIE rồi.

Tôi về nhà và ngủ 1 giấc.

Sáng hôm sau dậy việc đầu tiên tôi làm là mở email, tôi thấy điểm của mình, và 1 con 0% to tướng đập vào mắt, chữ thứ 2 tôi nhìn thấy là fail. Tôi pass TS, tất cả điểm của config của tôi đều ổn trừ con Multicast 0%. Tôi thực sự không hiểu được chuyện gì xảy ra nữa. Tại sao lại thế, nếu nó có điểm tôi đã có CCIE rồi, tại sao lại 0% như thế. Đến giờ tôi vẫn băn khoăn điều đó, và băn khoăn cả mình có nên gửi tiếp 5 triệu đi phúc tra lại.

Nhưng tôi vẫn giữ 1 điều chắc chắn, rằng dù thế nào năm nay tôi cũng sẽ thử lại lần nữa, và hành trình này quả thực rất có ý nghĩa. Tôi cũng không cảm giác quá nặng nề hay u ám, có những cái thuộc về mình thì mình càng tự tin hơn. Nên tôi muốn nói với các bạn điều này:

“Rằng CCIE không quá khó !”

Ở Bắc Kinh hôm đó, có những người đi thi tầm tuổi tôi, hoặc có lẽ trẻ hơn (tôi nghĩ thế), người trẻ nhất trên thế giới là 16 tuổi, đi lại trong thành phố Trung Hoa rộng lớn này điều tôi luôn nghĩ thấy rằng CCIE là 1 cái gì đó rất nhỏ bé, đơn giản, và không có gì đặc biệt cả. Việc đến thi 1 lần hay 2,3 lần cũng không phải vấn đề quá to tát. Câu chuyện về CCIE nhỏ bé cảm giác lại trở thành câu chuyện rất lớn về câu hỏi làm sao để mình giỏi hơn nữa để làm được những điều như người Trung Quốc này làm được. Trong khoảnh khắc tôi nhận ra rằng, chỉ việc nhỏ là bước chân ra nước ngoài cũng khiến nhận thức con người ta khác hơn trước nhiều.