- 积分
- 0
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 1
- 听众
- 收听
网络小白
|
初始配置有问题,IPS接口没有分配vlan 其他的都没问题!$ G2 B2 m; n0 n3 c
- A1 j; b& L2 O% t6 K6 Q# g# b
1.1 ASA1 Initial
9 F, r, x6 I$ _4 U1.2 ASA2 Initial7 [' W: h) D5 Q8 X* I" c; l* a6 C0 S& e
1.3 ASA2 Syslog& ~ G& m, _9 ^& B7 z3 Q: I6 X4 B8 S
1.4 ASA2 NAT
# k2 r9 @1 U! A; d1 L1.5 R3 Zone base firewall
# z. [' y. X E" X2.1 IPS Initial
3 M" `6 _+ S, j' |5 ]! o2 K8 f9 o2.2R2 IOS IPS
7 c5 L" c @* d3.1SITE-TO-SITE VPN$ v, B7 a3 N/ m. J1 q5 k
3.2DMVPN
! M# k) p( A3 a* {( s* T* C7 \# p! H9 `3.3EZVPN) d+ a& d; P& b7 W( H
3.4 SSL VPN
$ ^; l* B" p, @4.1R1 AAA
" L6 G$ K, `& f. i, z' O. y4.2R1 Role-base CLI
% }6 y L$ }" z0 D2 J5.1R5 COPP 4 r" g3 a& L& P+ ]. \
5.2SW1 Port-security
/ d. x( r4 B/ m& Q& y6 C- K. W5. 3BGP authentication through firewal5 W4 g+ x) B& Q$ g3 {
6.1 SW2 ARP Inspection on Switch
1 m2 F' \; f0 G3 J4 u4 n: a1 ~6.2ASA1/C1 TroubleShooting HTTP/DNS
y( g' ~3 d2 w; x) _7 x. _6.3 R1 urpf
+ U$ }4 ]+ y6 Z& ^7.1 R4 NBAR) [0 l3 M2 u! ~; b2 C* T
7.2 R3 ping sweep % Q$ }! `! x1 z+ D* _
/ ]5 [$ C) G1 N5 U. Q
能记住的写上了,大家自己看 也是帮助野战的 顺序上有差别 但题是全的! Y/ w- W) R5 a: I/ g1 D$ |2 C
& a8 m% E/ S/ C, l0 ~
2 _# i/ P- Z6 `; x% q8 G9 T. B- U, H
1.1初始化 明确说了mac auto icmp准许 ( a6 N, Z+ v& M( ~
1.2icmp准许 ospf能看到r1 r3 r4在outside r5在inside router-id 已经配好了 1.1.1.1 2.2.2.2 3.3.3.3 4.4.4.4 收到默认路由, y( M: i2 t5 Y5 q/ a1 @( M" m/ H
1.3 logging server在inside dev-info是outside ipaddress 不要message 38001-380004 ospf的class是waring trap 是 critical, z9 @* Q) e" z3 T/ n+ N6 f
1.4 版本一模一样,不细说了 ( X3 x, H" u! Q, L
1.5 zfw 版本 要求all的icmp 所以我就no掉101 telnet的class-map也no掉了udp 接口没有分配zone security zone-pair下面没有调用service
$ B8 }6 {- E S1 i K) v7 G
9 u( G d0 x5 b& S; B2.1 IPS 初始化 没有注意的事项 只是测试的时候要求R1 sw1 ping IPS通
! {6 b: w% O& L" d% ~2.2 R2 IOS IPS location=flash:/ 其他的都和版本一样 要求应用到in方向
+ `& O* z: G @ M
6 x" f& t X7 _
* U9 i, o" _' A9 n' v' m0 W9 h& X3.1 L2L vpn 需要keyring router eigrp 199 没有指定ip address 我自己指定的192.168.100.1 192.168.100.5 测试需要ping 192.168.1.1 192.168.5.5成功 在这里面有个要求,在ping上面2个地址时候要求加解密快速增加 可是我从R5去pingR1的时候 发现加解密不明显增加 后来发现R1的ospf发布了直连路由 使得192.168.1.1已经被R5学习到了 所以我就把R1的预配改了 目前是pass 大家自己考虑是否修改(因为有一条写着可以修改firewall和routing的配置). ?+ h6 ]7 A! q, q, O
$ v$ u! w" C! L+ g4 y+ X0 D* D3.2 DMVPN 1、sw机上有vacl 我直接no掉vlan filter xxx vlan 6 2、 tunnul mode 没配置 3、nhrp authentic没有配置 好像就这么些 都是明显的错误 没有设置key拼写错误的陷阱 firewall routing的额外啊配置不属于错误
# n. E9 K" Z6 s7 V6 C0 X! {8 I7 ~1 x, s" H$ @, i7 C- J2 ?/ ?
3.3 ezvpn 这是我唯一开始敲没有通 做完整个实验回来从新再看的 第一次没做通还是很影响心情的
6 J B' }7 G$ |+ { 1、错误有 sw1的R4的接口上有acl no掉 2、R4的2个接口都是inside 3、R4上的VIT 没有应用 4、R2上iskamp的prof里面缺少 client authentic list 5、transform-set的加密算法不对改成esp-3des esp-md5-h 不包括R4预配错误的话 正好4个错误 2 K4 {/ `0 {9 g& ?" z& i
- z- P7 v7 I, g7 o2 r对于 ezvpn的检测要求:1、在current status:IPSEC-xxx什么的 开始我的是stock-xxx 2、download 1 访问控制列表 3、 ping 192.168.2.2 通 用cry eng conn activ 可以看到加解密
- u7 w3 B! ~: A: e, `, R, o% I8 w+ b" `8 m
5 T( Q$ A; ?7 |: ^; ]% v
3.4 ssl 我就按照版本配置了,没有任何问题
" s( d# x5 S+ c/ B( k! M, X, r* U7 h% L9 }
4.1 这个是我唯一配置了noacs的 因为这也是整个考试中唯一明确要求的不影响con aux接口
7 i& q* i7 i1 W 要求tacacs host 150.1.100.241 使用R1的g0/0接口 ACS配置2个用户user1 root tacacs client 是R1 # \1 x& E- }3 l3 i6 j" c
测试使用test aaa group tacacs user1 cisco123 le 成功+ Y* A. Z2 {3 B2 ~9 u
/ u1 [* f7 t4 ?+ ~, p; N
4.2 希望你们没有提前配置noacs 不然这个需求没法做了 enable view要求con和aux没有配置noacs 配置按照版本敲 password要求是cisco123 只要求配置user1的acs:shell、privilege、cli-view-name了 0 I4 j6 A6 Q& b% {1 \! F3 d
测试:1、telnet 44.44.6.1 使用user1 cisco123 2、登录看到的是#号 3、show parser 看到的是xxxxview“user1” 4、输入config t 打?号能看到aaa exit radius-server tacacs-server
2 R! X7 n7 ?+ A1 \& _/ p0 L
2 Z" h, Y* ~$ Q- }2 x5.1 copp 是BGP router的udp和tcp opent端口的限速 BGP50 另外一个200 ' n# P2 v1 p3 z# _) d
按照版本敲 没问题; H) Q+ }5 M# c% D9 V: Q
3 _& }, m5 }# `9 a M) O5.2 只准许test pc 连接f0/24 1、f0/24有channl的预配 no掉 2、 配置sw mod acc sw port sw port mac xxxxx(test-pc的mac地址) 3、erridisable 自动回复psxxxx-erridisable 时间是默认的一半150& a9 e8 f# S: e8 L; L# @7 d
1 C! ~% `$ ~/ f5.3 bgp 穿越 版本一致 show ip bgp 就是最优的
' q- Q( s% ^" m" h3 m, o3 w
7 O% W4 C* {" o7 [6.1 SW2 ARP Inspection on Switch 就是写了一个arp 的access-list 在ip arp inspection 调用
/ f- t: c3 C& v a$ k+ z* L5 c4 }' {! l. [. Z, r5 L
6.2ASA1/C1 TroubleShooting HTTP/DNS http是reques 不能用class-map 要去应用到现有的全局policy-map和全局内的class-map
: I: h( ^* H3 H& ^7 K. k; q1 R: K/ \( X% r
6.3 R1 urpf 题目预配的是rx 主题意也是rx 最后增加个access-list 就好了
3 l: ]' ~* o$ C' Z/ z+ B
& ^$ A6 A6 T: f* G1 v7.1 R4 NBAR 版本一模一样# v: u: t# V1 y, m% {1 I: b4 X' ]
- p/ W+ e0 x$ d( p) d
6 _2 d3 k4 t9 m: Y) W. Z! Q
) V0 j+ }; i$ p7 c
/ C4 r- I+ d7 O' _9 P( b9 L
% A% K0 L- f) }) f: K4 O0 {2 b: @! j1 M+ r' J
: D) a4 S: R: r7 D' M
* W, l! A8 X1 I; c1 J, P
- q" j6 c2 {* ~# d: D9 L& S# l. n7 }* B1 h1 h
$ E7 l0 M' {5 c! q- O0 C) x {/ f. r
) J4 t6 D" d; G* z" G8 x, C9 J
|
评分
-
查看全部评分
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
[复制链接]
发表于 2012-5-25 11:01:29
置顶卡
喧嚣卡
变色卡
千斤顶
