- 积分
- 0
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 1
- 听众
- 收听
网络小白
|
初始配置有问题,IPS接口没有分配vlan 其他的都没问题!
* |! F! d* l# _0 O& n' a# `
$ z e4 t) l$ n0 R5 H; `! s- K1.1 ASA1 Initial
& L7 j4 ^0 _3 R8 n) P1.2 ASA2 Initial. |+ r$ C8 q' I4 d$ G( [ Z6 }# @
1.3 ASA2 Syslog) e# f: r4 g0 D: S. A2 M$ c& I
1.4 ASA2 NAT! Q; y7 I+ F/ E' R6 e$ R3 y
1.5 R3 Zone base firewall' \/ G; i+ o a6 k# z8 f0 Q
2.1 IPS Initial6 r5 r, v, a7 b F; q/ M/ E6 d$ r
2.2R2 IOS IPS6 d7 o8 r; t6 f' C
3.1SITE-TO-SITE VPN+ W& r* {& y% T/ v! X1 x9 X/ _
3.2DMVPN: H0 a" c2 D) e( z! Q
3.3EZVPN
* H( B# h% H: F1 ]# a6 l/ _3.4 SSL VPN2 c& x# g% @$ l. g# U
4.1R1 AAA( z; w' \* R: {- c+ C7 G- ?
4.2R1 Role-base CLI2 s4 S- s4 d. R s
5.1R5 COPP
. M7 w' j+ ? @" P% h5.2SW1 Port-security5 d* s1 k, r5 j( X* w/ x
5. 3BGP authentication through firewal
" m* ?, M8 D+ n- E6.1 SW2 ARP Inspection on Switch0 y* V5 X3 x, x( v$ Q$ o. b) B2 P' T
6.2ASA1/C1 TroubleShooting HTTP/DNS* E5 t0 k2 z4 P R% [1 `
6.3 R1 urpf
i9 `2 D W! d; z7.1 R4 NBAR
' j/ A- h+ A4 X8 y7.2 R3 ping sweep " R& p @/ `( a( \
! X0 R1 ]" q( `# k
能记住的写上了,大家自己看 也是帮助野战的 顺序上有差别 但题是全的
- S; z" v2 _# r) K; v" s- e/ c2 k$ I! J; q9 B; g5 I
/ |0 d' {2 q2 A* k$ ^5 w* n
1.1初始化 明确说了mac auto icmp准许
. x. {8 T6 c6 s9 o' A* a N5 J# e1.2icmp准许 ospf能看到r1 r3 r4在outside r5在inside router-id 已经配好了 1.1.1.1 2.2.2.2 3.3.3.3 4.4.4.4 收到默认路由1 e) ?. e) R0 O
1.3 logging server在inside dev-info是outside ipaddress 不要message 38001-380004 ospf的class是waring trap 是 critical# i# E* Q* @ t5 Q1 O/ q. L
1.4 版本一模一样,不细说了 ; K& C, Q/ K0 j( f& K
1.5 zfw 版本 要求all的icmp 所以我就no掉101 telnet的class-map也no掉了udp 接口没有分配zone security zone-pair下面没有调用service $ s } a3 S \% f5 S1 Q
8 H5 K. u- ^3 v3 U! A* ?2.1 IPS 初始化 没有注意的事项 只是测试的时候要求R1 sw1 ping IPS通1 b6 w7 ~" `5 M# n8 u; a
2.2 R2 IOS IPS location=flash:/ 其他的都和版本一样 要求应用到in方向 # }- _7 Z7 C, i( j4 |
) Y; S3 Z: m9 u! c
E8 e2 u$ F0 ^( Y [7 I3.1 L2L vpn 需要keyring router eigrp 199 没有指定ip address 我自己指定的192.168.100.1 192.168.100.5 测试需要ping 192.168.1.1 192.168.5.5成功 在这里面有个要求,在ping上面2个地址时候要求加解密快速增加 可是我从R5去pingR1的时候 发现加解密不明显增加 后来发现R1的ospf发布了直连路由 使得192.168.1.1已经被R5学习到了 所以我就把R1的预配改了 目前是pass 大家自己考虑是否修改(因为有一条写着可以修改firewall和routing的配置)" r+ \( F) @- e; J2 A. V2 }! K
( w1 z5 K5 X/ L: J) d# x/ o4 y
3.2 DMVPN 1、sw机上有vacl 我直接no掉vlan filter xxx vlan 6 2、 tunnul mode 没配置 3、nhrp authentic没有配置 好像就这么些 都是明显的错误 没有设置key拼写错误的陷阱 firewall routing的额外啊配置不属于错误$ a" V7 e# k5 j$ ], f- ?
* s2 U7 ?5 {5 t$ g
3.3 ezvpn 这是我唯一开始敲没有通 做完整个实验回来从新再看的 第一次没做通还是很影响心情的
$ A" W1 M9 p4 Y 1、错误有 sw1的R4的接口上有acl no掉 2、R4的2个接口都是inside 3、R4上的VIT 没有应用 4、R2上iskamp的prof里面缺少 client authentic list 5、transform-set的加密算法不对改成esp-3des esp-md5-h 不包括R4预配错误的话 正好4个错误
' B; E: t+ B5 B7 @$ |% v. O7 B
+ c9 L s: @- ~$ \+ `0 {* O- a对于 ezvpn的检测要求:1、在current status:IPSEC-xxx什么的 开始我的是stock-xxx 2、download 1 访问控制列表 3、 ping 192.168.2.2 通 用cry eng conn activ 可以看到加解密 + z/ d2 L6 }; E
8 N& I. Z6 t/ R2 D/ A* e- r3 v
" z# q8 {4 o2 D$ S0 F; t; n( W& k3.4 ssl 我就按照版本配置了,没有任何问题( c4 d0 W* V* t' D
" t$ [% N4 r( P6 h8 z' u4 p4.1 这个是我唯一配置了noacs的 因为这也是整个考试中唯一明确要求的不影响con aux接口 & O+ J3 \5 O/ U1 T
要求tacacs host 150.1.100.241 使用R1的g0/0接口 ACS配置2个用户user1 root tacacs client 是R1 : d# |) q3 O9 m* ~% m4 H0 j
测试使用test aaa group tacacs user1 cisco123 le 成功
e ^# i9 o8 t: A/ @* D( |# h" M2 S, u, I# q$ p x
4.2 希望你们没有提前配置noacs 不然这个需求没法做了 enable view要求con和aux没有配置noacs 配置按照版本敲 password要求是cisco123 只要求配置user1的acs:shell、privilege、cli-view-name了
# W3 S9 `' I3 l8 |# d5 E, P+ p1 ]: _测试:1、telnet 44.44.6.1 使用user1 cisco123 2、登录看到的是#号 3、show parser 看到的是xxxxview“user1” 4、输入config t 打?号能看到aaa exit radius-server tacacs-server % S. N5 h5 u6 c% J
6 M: E9 U( n9 R" K# e5.1 copp 是BGP router的udp和tcp opent端口的限速 BGP50 另外一个200 * {8 r; P! z1 v* n' R7 J6 }+ K
按照版本敲 没问题" K+ ?$ _ Q3 P/ Q
& w: L7 W! `5 K; r/ g* B5.2 只准许test pc 连接f0/24 1、f0/24有channl的预配 no掉 2、 配置sw mod acc sw port sw port mac xxxxx(test-pc的mac地址) 3、erridisable 自动回复psxxxx-erridisable 时间是默认的一半150
5 Q2 m( k( |, {) r( k6 Z5 I% J6 t' }3 C/ E' s9 B, c! g* Q' c
5.3 bgp 穿越 版本一致 show ip bgp 就是最优的
; f) {* z3 R& u; m( G9 [' z- I! E3 [
6.1 SW2 ARP Inspection on Switch 就是写了一个arp 的access-list 在ip arp inspection 调用- D" A; a' ?# @7 ]' V0 v
/ I6 t6 M: @ h6 F6.2ASA1/C1 TroubleShooting HTTP/DNS http是reques 不能用class-map 要去应用到现有的全局policy-map和全局内的class-map6 ^4 h5 L9 `! C/ Z% |9 D0 J6 [! C
?9 V$ }6 P' `' {' z$ v$ X; h' l
6.3 R1 urpf 题目预配的是rx 主题意也是rx 最后增加个access-list 就好了2 n1 {) P4 D3 z- _
& }. i/ Y: O a# L" T
7.1 R4 NBAR 版本一模一样
, K% h; c& M1 x. C+ M3 J! x" p8 _9 U! Y' J5 M9 g" H
1 U+ P9 O* O/ P" w6 x8 Y: K1 |( o0 I
: \+ y4 {. |; s1 r2 C' G3 B3 u' M5 c4 e% D( Z% M
+ x8 ]" }2 M; L% L5 p
- w* C- j7 e7 d5 Q/ ~2 m
! `. t1 e+ g. R6 L% ]- g3 y5 u$ N# r% W% W$ `6 e5 c( C7 f% H
) O) q3 W$ p5 s- N6 K( Y
3 R: j) c( p- g9 i
/ H, @5 z5 Q* E& B7 _ {0 A- y! s9 q4 f0 N3 \$ z; |( q
|
评分
-
查看全部评分
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
[复制链接]
发表于 2012-5-25 11:01:29
置顶卡
喧嚣卡
变色卡
千斤顶
