После CCNA R&S

После CCNA R&S — мои размышления о том, в каком направлении продолжать обучение после получения этого популярного сертификата.

Как всегда, не претендуя на какую-то истину, просто рассказываю про себя (ну а про кого мне ещё рассказывать). Всё сказанное здесь, это моё субъективное мнение. Надеюсь, может быть, кому-то будет любопытно.

---

Смена треков CCNA/CCNP

Кто ещё не знает, в начале следующего года все сертификации обновляются. У CISCO больше не будет направления R&S, сертификация R&S становится устаревшей (retired), её заменяет сертификация Enterprise. Последний день сдачи по старым трекам 23 февраля 2020:

После этой даты новые сертификаты R&S не будут выдаваться, старые не будут продлеваться (но если сертификат получен до этой даты, он будет действовать свои положенные 3 года). Некоторые центры тестирования принимают экзамены по старым трекам до конца года. Так что по факту времени ещё меньше.

Как там всё это получится с новыми сертификациями пока непонятно, пока выпустят официальные гайды, пока подготовят курсы.., поэтому рассказываю по той сертификации, что есть сейчас.

---

CCNA R&S

Очень умные дядьки уровня CCIE говорят, что CCNA R&S (далее CCNA) надо сдавать "за 2 месяца, прочитав 2 книжки". Это дословно. А потом в соседнем видео.., умный дядька путает ABR с ASBR и не помнит номера портов для протоколов. Оно и понятно, путает как раз потому, что учил 2 месяца. Вывод первый:

То, что вещи базовые, не значит, что на них надо забивать. Да, много воды, да, много теории, но базовые — значит фундаментальные. И если ты в CCNA хорошо не выучил их, то дальше в CCNP тебе придётся непросто.

Пример. Несложные вопросы: к какому уровню модели OSI относится Ethernet, что такое подуровни LLC и MAC?

В CCNA данные вопросы разбираются очень подробно и даже с картинками. 🙂 В CCNP про это ничего нет. И насколько хорош сетевик, который мало что знает про Ethernet, самый распространённый стандарт передачи данных? Таких примеров много.

Моё (очень скромное) мнение такое: учить CCNA оптимально за полгода (плюс-минус), месяц готовиться потом к экзамену, сдавать. Объясню почему.

Курс не такой уж и маленький: в нем 4 части, каждая примерно из 10 глав. Всё это нужно прочитать, местами несколько раз, разобрать вопросы к каждой главе. Уже со 2 главы первой части идёт изучение IOS и нужно делать лабы.

Лабы придётся искать самому в интернете. Сначала они короткие и простые минут на 15-20, но уже к середине курса лабы становятся куда больше (до часа и более). Если даже делать по 1 лабе к главе, то это порядка 40 лаб. В конце курса начнёт подзабываться что училось в его начале. Нужно повторять. За 2 месяца? Если поставить крест на остальной мир.., наверное можно. А нужно?

Это если заниматься самостоятельно. Официальный курс Netacad куда больше: там может быть несколько лаб в одной главе, симуляции, вопросы и обязательный экзамен в конце главы. На итоговую экзаменационную лабу в конце части может легко уйти 3-4 часа. Одних только комплексных лаб Skills Integration Challenge в курсе 25. Понятно, ни за месяц, ни за два, такой объём вместе с теорией освоить не удастся.

Метод с быстрым просматриванием курса через строчку сразу отбрасываем. Так можно и за неделю "выучить", но профит-то какой? Придёшь на собеседование, там тебе дадут, к примеру, схему трехстороннего рукопожатия TCP, спросят что это такое. А ты будешь сидеть и медленно моргать..

Вот CCNA сдан, что дальше? Минимум год, а лучше 1,5-2 нарабатывать, набивать руку с коммутаторами (стекирование, STP, VTP, VLANs, транки, агрегация, статическая маршрутизация) на профильной работе. Это не я придумал, это рекомендации CISCO. CCNA подразумевает опыт работы 1-3 года.

Да и вряд ли кто-то возьмёт только отстрелявшегося CCNA'я сразу на динамические протоколы маршрутизации. Без профильной же работы всё забудется очень быстро.

Другой вариант сразу после CCNA учить и сдавать экзамен CCNP Route, затем искать работу с динамическими протоколами маршрутизации. Обычно это BGP+OSPF, где-то BGP+EIGRP — зависит от компании, её размеров, оборудования. В этом подходе есть некоторый минус, об этом чуть позже.

---

Минусы CCNA

Когда учишься на CCNA, этот сертификат видится чем-то бОльшим, а вот после сдачи и последующей профильной работы понимаешь, что это очень (очень-очень-очень) базовая вещь. Тут с умным дядькой согласен.

Вообще, нельзя считать этот сертификат какими-то законченными знаниями. Раз ты специалист CISCO, то должен закрывать какие-то самые типичные вопросы на оборудовании CISCO, правильно? Правильно. А этого как раз не происходит.

Поясню, в организации всегда есть граничный маршрутизатор, то есть который смотрит в интернет. Этот маршрутизатор нужно защищать. Если, допустим, в организации используется маршрутизатор CISCO (опять же к примеру, мегапопулярный 2801 или 2901), хватит знаний курса CCNA? — Нет.

• В курсе CCNA нет ни слова про защиту граничного маршрутизатора. Можно конечно в нете надёргать готовых солюшенов, но насколько это полноценно? И если потом (после "солюшенов") возникнут проблемы, то как траблшутить? Ведь ни о каком глубоком понимании при таком подходе речь не идёт.

Далее, вместо роутера, где-то в филиале, может стоять ASA (5505 или 5510/5520, очень распространённые железки).

• Точно также нет ни слова про настройку ASA, а синтаксис IOS там здорово отличается. Вообще, концепция ASA она другая по сравнению с ISR, ни за 2 дня, ни за неделю разобраться хорошо не получится.

В организации могут быть многочисленные филиалы, конечно же они соединены с главным офисом VPN-туннелями, конечно же для CISCO это IPSec VPN как минимум или DMVPN. Насколько CCNA в этом разбирается? — Никак.

• Самые общие (вводные) сведения о структуре IPSec в 4 части курса CCNA (Соединение сетей/Connecting networks) и там же в лабе 7.3.2.8 пример настройки для GRE over IPSec без всякого объяснения команд (на самом деле эта лаба в PT далека от реалий GRE over IPSec на железе). Подробно объясняется только сам GRE, который не имеет нативного шифрования и значит применим в чистом виде где-то внутри большого офиса конторы между отделами, типа того. О DMVPN есть несколько предложений в Bridging Course CCNA 6.0: только название концепций, которые там применяются, на 1 страничке.

---

Выводы

Из вышесказанного видно, что знаний CCNA недостаточно чтобы закрывать даже самые общие потребности организации на оборудовании CISCO (коммутаторы+маршрутизатор/маршрутизаторы).

Кто-то скажет: ну а что мешает посидеть, покурить интернет и закрыть эти пробелы? Не согласен. Баловство это. Тут знаю, тут не знаю, обрывочные сведения в голове. Целостные знания дают только курсы. Курсы составляются далеко неглупыми людьми и уж тем более в CISCO, если есть курс, то он сбалансирован и оптимален, даёт разноплановое видение технологии. Ну и достаточное количество лаб.

То, что солюшены из интернета дают обрывочные знания, это полбеды. Они все разные: тут так написано, тут вот так, здесь так.

Зачастую солюшен просто нерабочий.

Даже если он работает, в нём могут быть ошибки, неточности и избыточные, ненужные команды. Как увиделось человеку, так он и излагает (и я так тоже делаю), а потом открываешь официальный гайд, читаешь и понимаешь, что человек несёт какую-то ересь.

Если нужно что-то быстро выучить, какой-то кусок материала, ищется в каком курсе это изучают, скачивается гайд к курсу и он — основной документ.

---

CCNP R&S

Этот сертификат является разумным минимумом для сетевого инженера. Если посмотреть вакансии на должность сетевой инженер/администратор, то везде будет: "Сертификат CCNP R&S", или "Реальные знания не ниже CCNP", или "Проф. навыки и знания на уровне CCNP" и так далее.

А что же CCNA? Идёт как дополнительное требование для несетевых специалистов, либо как основное для начинающих сетевиков. Посмотрев резюме разных спецов видно, сертификат CCNA есть у многих и только ленивый не прошёл "курсы CCNA при заборостроительном техникуме". Всё это снижает и без того небольшую стоимость CCNA.

Изначально посчитал, что CCNP R&S (далее CCNP) будет логичным продолжением после CCNA. И это было ошибкой. Поясняю, самое смешное, что CCNP (несмотря на свою глубину) имеет всё те же самые недостатки, что и CCNA.

Почему так происходит? Потому. Если CISCO решила, что разновидности VPN должны разбираться в треке Security, то в других треках, включая R&S, про VPN будет "вода" и то немного. В курсе CCNP ROUTE (1/3 CCNP) также есть раздел Router and Routing Security, но что в нём рассматривается? Защита роутера с помощью time-based ACLs. Вы серьёзно? Посмотрим, может в 2020 что-то изменится.

Кроме того, начав заниматься по курсу CCNP ROUTE обнаружил, что в этом курсе подразумевается наличие уже очень хорошего знания учащимся структуры AAA (как концепции, так и команд). Стоп, но этого же не было в CCNA! По этим 2 причинам роадмап CCNA R&S -> CCNP R&S мне видится неверным. Или же учить CCNP закрывая глаза на непонятные куски материала. А так вообще стоит делать? Думаю нет. Ведь цель не сертификат, а знания и сертификат, как подтверждение этих знаний.

---

Что же делать или CCNAS

Как быть (всё пропало, МКАД стоит..)? Да легко и просто. Все недостатки CCNA/CCNP R&S неплохо для начала покрывает курс CCNA Security (не до конца, DMVPN там нет):

• Защита граничного маршрутизатора с помощью ZBF, подробный рассказ про саму концепцию ZBF, подробный рассказ про настройку;
• Настройка различных прав доступа к устройству CISCO для его конфигурирования/просмотра конфигурации;
• 2 главы про настройку ASA, настройка в CLI, настройка через ASDM. Особенности CISCO ASA 5505 и отличие её от ASA 55X0;
• Мега-подробное разжёвывание концепции IPSec VPN с разбором каждой команды при настройке;
• Очень подробно про AAA на устройстве CISCO, сравнение протоколов RADIUS и TACACS+. После изучения данного раздела все эти непонятные команды aaa.., они как родные и это радует.

Кроме того:

• Варианты подключения удалённых пользователей через интернет в корпоративную сеть, используя ASA;
• Базовый обзор IPS/IDS. Настройка IOS IPS. Тут немного, но лучше чем ничего;
• Хороший обзор видов атак на 2 уровне и вариантов защиты от них, с разбором концепции NPF.

Ну а в последствии будет неплохо разобрать часть трека, где нормально рассматривается DMVPN. Раньше это был SIMOS (300-209) из CCNP Security, сейчас, в 2020, это точно есть в ENARSI (300-410) из CCNP Enterprise. То есть некоторые улучшения треков всё же произошли.

Что значит нормально? В Learning Guide CCNP ROUTE (официальный гайд CISCO для подготовки к экзамену 300-101) рассказывается про DMVPN, больше чем в курсе CCNA, но без примеров настройки. В уроках CCNP ROUTE (типа CBT Nuggets) даже есть примеры настройки, но без IPsec. А это очень умозрительный случай, не для продакшена. Вот как-то так.

Обобщая: Нет понимания куда двигаться после CCNA? Учи CCNA Security, сдавай экзамен. Твои знания станут более полными и законченными.

---

Другие варианты Pathway

Было бы неправильным выложить только свое мнение, вот Your Cisco Cert Success Path by Kevin Wallace.

Ну а тут вариант развития сетевика от Netacad. Всё это дело интерактивное, можно потыкать и почитать:

---

Update 16.04.2020

Время прошло, смена треков произошла, пора добавить что-то новое. Во-первых, конечно же всё изменилось кардинально. Теперь всё иначе в плане сертификации.

Во-вторых, все эти изменения насчёт позиционирования и ценности новых сертификаций произойдут не сразу, а минимум через год. Пока же подавляющее большинство работодателей вообще про новую сертификацию не знает.

Ну собственно ситуацию неплохо и достаточно подробно обрисовывает центр обучения Atraining в своём видео.

Тезисно с чем согласен

• Произошел сдвиг сертификаций, сертификации CCNA, CCNP потеряли свои насиженные места и позиционируются по-новому. Глобально и по отношению друг к другу;
• Новая сертификация CCNA 7 потеряла свою актуальность. Так как больше не является обязательным требованием для получения CCNP Enterprise. Её можно смело пропускать и учить сразу курс из CCNP Enterprise;
• Получение любой сертификации CCNP упрощается. Раньше нужно было сдать CCNA плюс 3 экзамена самого CCNP, итого 4 экзамена. А в CCNP Security вообще 4 экзамена было.. Теперь всего 2 экзамена;
• Легче сдать, большее число людей сдаст. Соответственно сертификатов CCNP на рынке труда станет больше, конкуренция за рабочие места возрастёт;
• По этим причинам ценность всех сертификаций CCNP снижается.

Тут хочу немного дополнить про "большее число людей сдаст". Имею опыт сдачи экзаменов, как из старого трека CCNP, так и из нового. И старые экзамены на 50+ вопросов не идут ни в какое сравнение с новыми 100+ вопросов. К 60-70 вопросу начинаешь уставать, сказывается напряжение за всю эту ситуацию, за результаты. И не так-то просто получается сдать CORE, хотя бы по этой причине.

Сюда же нужно добавить обширный диапазон тем экзамена, а вопросы будут из каждой темы. Значит если ты где-то просалабонил, где-то недоучил, что немудрено при таком количестве тем, то шансы снижаются.

С чем не согласен с пояснениями

• Базовой сертификацией вместо CCNA становится CCNP;

Нет, в этот раз нет. Базовой сертификацией вместо CCNA становится Specialist:

1. Уровень знаний нужный для получения Specialist'а гораздо выше уровня знаний в CCNA;
2. В Specialist'е знания практические, в CCNA больше теория. И в старой версии CCNA теория, и в CCNA 7. Поэтому Specialist как новый базовый уровень будет ценится выше.

Говоря про Specialist'а, подразумеваю ENARSI и ENCOR, с другими экзаменами CCNP пока не знаком. Подробнее про эти экзамены можно прочитать в моей записи CCNP Enterprise.

• Новый CCNP вносит неясность относительно знаний его обладателя.

Действительно, CCNP Enterprise можно получить 6 разными способами: 1 центровой экзамен и 6 на выбор. Пути получения разные, а лычка называется у всех одниково CCNP Enterprise. И вроде бы это должно пугать, путать и сбивать с толку работодателя.

На самом деле ничего такого. За каждый сданный экзамен уровня CCNP даётся свой сертификат специалиста. Соответственно по набору сертификатов специалиста мгновенно определяется какие экзамены человек сдал и какими знаниями обладает.

Пиши своё мнение в комментариях. Мне и другим интересно будет почитать. 🙂