После CCNA R&S

После CCNA R&S — мои размышления о том, в каком направлении продолжать обучение после получения этого популярного сертификата.

Очень короткая заметка. Как всегда, не претендуя на какую-то истину, просто рассказываю про себя (ну а про кого мне ещё рассказывать) и свои размышления. Всё сказанное здесь, это мои субъективные домыслы. Надеюсь, может быть, кому-то будет любопытно. Кто-то согласится, кто-то скажет "что за чушь", тем не менее.

Смена треков CCNA/CCNP

Кто ещё не знает, в начале следующего года все сертификации обновляются. Последний день сдачи по старым трекам 23 февраля 2020:

После CCNA R&S

Некоторые центры тестирования (например, Stars&S) принимают экзамены по старым трекам до конца года. Так что по факту времени ещё меньше.

Как там всё это получится с новыми сертификациями пока непонятно, пока выпустят официальные гайды, пока подготовят курсы.., поэтому рассказываю по той сертификации, что есть сейчас.

CCNA R&S

Очень умные дядьки уровня CCIE говорят, что CCNA R&S (далее CCNA) надо сдавать "за 2 месяца, прочитав 2 книжки". Это дословно. А потом в этом же видео.. умный дядька путает ABR с ASBR и не помнит номера портов для протоколов. Оно и понятно: путает как раз потому, что учил 2 месяца.

Вывод первый: То, что вещи базовые, не значит, что на них надо забивать. Да, много воды, да, много теории, но базовые — значит фундаментальные. И если ты в CCNA не выучил их, то дальше ни в каких CCNP тебе этого никто не расскажет (ну на самом деле расскажет, но это будет кратко, больше как напоминание, подразумевается, что это ты уже учил).

Моё (очень скромное) мнение такое: учить CCNA нужно за полгода (плюс-минус), месяц готовиться потом к экзамену, сдавать. И потом минимум год, а лучше 1,5-2 нарабатывать, набивать руку с коммутаторами (STP, VTP, VLANs, транки, агрегация, статическая маршрутизация) на профильной работе. Да и вряд ли кто-то возьмёт только отстрелявшегося CCNA'я сразу на динамические протоколы маршрутизации. Без профильной же работы всё забудется очень быстро.

Другой вариант сразу после CCNA учить и сдавать экзамен CCNP Route, затем искать работу с динамическими протоколами маршрутизации. Обычно это BGP+OSPF, где-то BGP+EIGRP — зависит от компании, её размеров, оборудования. В этом подходе есть некоторый минус, об этом чуть позже.

Минусы CCNA

Когда учишься на CCNA, этот сертификат видится чем-то бОльшим, а вот после сдачи и последующей профильной работы понимаешь, что это очень (очень-очень-очень) базовая вещь. Тут с умным дядькой согласен.

Вообще, нельзя считать этот сертификат какими-то законченными знаниями. Раз ты специалист CISCO, то должен закрывать какие-то самые типичные вопросы на оборудовании CISCO, правильно? Правильно. А этого как раз не происходит. Поясню: в организации всегда есть граничный маршрутизатор, то есть который смотрит в интернет. Этот маршрутизатор нужно защищать. Если, допустим, в организации используется маршрутизатор CISCO (опять же к примеру, мегапопулярный 2801 или 2901), хватит знаний курса CCNA? — Нет.

  • В курсе CCNA нет ни слова про защиту граничного маршрутизатора. Можно конечно в нете надёргать готовых солюшенов, но насколько это полноценно? И если потом (после солюшенов) возникнут проблемы, то как траблшутить? Ведь ни о каком глубоком понимании при таком подходе речь не идёт.

Далее, вместо роутера, где-то в филиале, может стоять ASA (5505 или 5510/5520, очень распространённые железки).

  • Точно также нет ни слова про настройку ASA, а синтаксис IOS там здорово отличается. Вообще, концепция ASA она другая по сравнению с ISR, ни за 2 дня, ни за неделю разобраться хорошо не получится.

В организации могут быть многочисленные филиалы, конечно же они соединены с главным офисом VPN-туннелями, конечно же для CISCO это IPSec VPN как минимум или DMVPN. Насколько CCNA в этом разбирается? — Никак.

  • Самые общие (вводные) сведения о структуре IPSec в 4 части курса CCNA (Соединение сетей/Connecting networks) и там же в лабе 7.3.2.8 пример настройки для GRE over IPSec без всякого объяснения команд (на самом деле эта лаба в PT далека от реалий GRE over IPSec на железе). Подробно объясняется только сам GRE, который не имеет нативного шифрования и значит применим в чистом виде где-то внутри большого офиса конторы между отделами, типа того. О DMVPN есть несколько предложений в Bridging Course CCNA 6.0: только название концепций, которые там применяются, на 1 страничке.

Выводы

Из вышесказанного видно, что знаний CCNA недостаточно чтобы закрывать даже самые общие потребности организации на оборудовании CISCO (коммутаторы+маршрутизатор/маршрутизаторы).

Кто-то скажет: ну а что мешает посидеть, покурить интернет и закрыть эти пробелы? Не согласен. Баловство это. Тут знаю, тут не знаю, обрывочные сведения в голове. Целостные знания дают только курсы. Курсы составляются далеко неглупыми людьми и уж тем более в CISCO, если есть курс, то он достаточно сбалансирован и оптимален, даёт разноплановое видение технологии. Ну и достаточное количество лаб.

То, что солюшены из интернета дают обрывочные знания, это полбеды. Они все разные: тут так написано, тут вот так, здесь так. Зачастую солюшен просто нерабочий. Даже если он работает, в нём могут быть ошибки, неточности и избыточные, ненужные команды. Как увиделось человеку, так он и излагает (и я так тоже делаю), а потом открываешь официальный гайд, читаешь и понимаешь, что человек несёт какую-то ересь.

Если нужно что-то быстро выучить, какой-то кусок материала, ищется в каком курсе это изучают, скачивается гайд к курсу и он — основной документ.

CCNP R&S

Этот сертификат является разумным минимумом для сетевого инженера. Если посмотреть вакансии на должность сетевой инженер/администратор, то везде будет: "Сертификат CCNP R&S", или "Реальные знания не ниже CCNP", или "Проф. навыки и знания на уровне CCNP" и так далее.

А что же CCNA? Идёт как дополнительное требование для несетевых специалистов, либо как основное для начинающих сетевиков. Посмотрев резюме разных спецов видно, сертификат CCNA есть у многих и только ленивый не прошёл "курсы CCNA при заборостроительном техникуме". Всё это снижает и без того небольшую стоимость CCNA.

Изначально посчитал, что CCNP R&S (далее CCNP) будет логичным продолжением после CCNA. И это было ошибкой. Поясняю: самое смешное, что CCNP (несмотря на свою глубину) имеет всё те же самые недостатки, что и CCNA. Почему так происходит? Потому. Если CISCO решила, что разновидности VPN должны разбираться в треке Security, то в других треках, включая R&S, про VPN будет "вода" и то немного. В курсе CCNP ROUTE (1/3 CCNP) также есть раздел Router and Routing Security, но что в нём рассматривается? Защита роутера с помощью time-based ACLs. Вы серьёзно? Посмотрим, может в 2020 что-то изменится.

Кроме того, начав заниматься по курсу CCNP ROUTE обнаружил, что в этом курсе подразумевается наличие уже очень хорошего знания учащимся структуры AAA (как концепции, так и команд). Стоп, но этого же не было в CCNA! По этим 2 причинам роадмап CCNA R&S -> CCNP R&S мне видится неверным. Или же учить CCNP закрывая глаза на непонятные куски материала. А так вообще стоит делать? Думаю нет. Ведь цель не сертификат, а знания и сертификат как подтверждение этих знаний.

Есть ещё 1 момент, поскольку технологии усложняются непрерывно, сложность сертификаций не стоит на месте, выходят обновлённые сертификации, где добавлено много нового. Сейчас же будет ещё круче. В феврале 2020, то есть чуть больше чем через полгода, CCNP заменяется новой сертификацией CCNP Enterprise. Кто уже чего-то сдал в старом треке CCNP, получает плюшки. Кто планирует сдавать, нужно поторопиться, так как сертификация в очередной раз усложняется.

Что же делать или CCNAS

Как быть (всё пропало, МКАД стоит..)? Да легко и просто. Все недостатки CCNA/CCNP R&S неплохо (для начала) покрывает курс CCNA Security (не до конца, DMVPN, к примеру, там нет):

  • Защита граничного маршутизатора с помощью ZBF, подробный рассказ про саму концепцию ZBF, подробный рассказ про настройку;
  • Настройка различных прав доступа к устройству CISCO для его конфигурирования/просмотра конфигурации;
  • 2 главы про настройку ASA, настройка в CLI, настройка через ASDM. Особенности CISCO ASA 5505 и отличие её от ASA 55X0;
  • Мега-подробное разжёвывание концепции IPSec VPN с разбором каждой команды при настройке;
  • Очень подробно про AAA на устройстве CISCO, сравнение протоколов RADIUS и TACACS+. После изучения данного раздела все эти непонятные команды aaa.., они как родные и это радует.

Кроме того:

  • Варианты подключения отдельных пользователей через интернет в корпоративную сеть, используя ASA;
  • Базовый обзор IPS/IDS. Настройка IOS IPS. Тут немного, но лучше чем ничего;
  • Хороший обзор видов атак на 2 уровне и вариантов защиты от них, с разбором концепции NPF.

Ну а в последствии будет неплохо разобрать часть трека CCNP Security, где нормально рассматривается DMVPN. Сейчас это SIMOS (300-209). Что значит нормально? В Learning Gide CCNP ROUTE (официальный гайд CISCO для подготовки к экзамену 300-101) рассказывается про DMVPN, даже больше чем в курсе CCNA, но без примеров настройки. В уроках CCNP ROUTE (типа CBT Nuggets) даже есть примеры настройки, но без IPSec. А это очень частный случай, применимый только где-то внутри большой приватной сети. Вот как-то так..

Обобщая: Нет понимания куда двигаться после CCNA? Учи CCNA Security, сдавай экзамен. Твои знания станут более полными и законченными.

После CCNA R&S

Было бы неправильным выложить только свое мнение, вот Your Cisco Cert Success Path by Kevin Wallace.

После CCNA R&S

В последствии буду данный материал дополнять. Хотя уже сейчас понятно, что помимо непосредственно сертификации CISCO нужно знать Zabbix (в качестве системы мониторинга сетевых устройств), нужно знать хотя бы 1 из систем автоматизации (NOC Project), придётся хотя бы на минимальном уровне овладеть Python и активно использовать CISCO DevNet для обучения SDN.

После CCNA R&S: 6 комментариев

  1. Добрый день.
    На каком языке порекомендуете сдавать CCNA? На Русском или на Английском?

  2. Скажите, а можно ли на экзамене пользоваться автоматическим дописанием команд с помощью Tab? Я слышал, что Cisco требует знать все команды наизусть и на экзаменационных лабораторных Tab отключён.

    1. Абсолютно точно, что не все команды доступны, а только очень выборочно. Те команды, которые дают возможность ответить на вопросы. Вопросов 4.
      Насколько помню: команды надо вбивать целиком. На экзамене Security вообще без команд, там предлагалось изучить настройку ASA
      через ASDM. Типы вопросов обычно рассмотрены в официальных гайдах. Точно есть в CCNP Routing and Switching ROUTE 300-101 Official Cert Guide by Kevin Wallace.

  3. Круто, спасибо что поделились своим взглядом, интересует тема по QoS, будете ли вы освещать ее в своем блоге? (CCNA)
    Так как понимание по этой теме хромает

    1. Спасибо, можно на ты. Вопрос хороший. Пока не буду вообще ничего освещать) Открыты 4 новые записи, допилить их нет времени.
      Причина понятна: нужно до февраля 20 успеть закрыть из CCNP RS хоть что-то (300-101).
      Касаемо QoS. Тема толстая, сложная. Разобрать её быстро не получится.
      Тема не первоочередная для RS/Security. Понятно, что хороший специалист должен знать много и о многом.
      Но если ты RS, то всё-таки нужно вначале хорошо BGP и OSPF? А потом всё остальное? Или нет?
      Сам не знаю QoS, пробовал разобрать, с наскока не получилось. Пользуюсь готовыми шаблонами от коллег.
      С другой стороны материалов выше крыши. Было бы желание и время. Выложил видосы, надеюсь пригодится.
      Пароль 333222.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *