- 积分
- 0
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 注册时间
- 2009-3-7
- 最后登录
- 1970-1-1
- 阅读权限
- 1
- 听众
- 收听
网络小白
|
初始配置有问题,IPS接口没有分配vlan 其他的都没问题!+ m$ Z3 ?& i3 g
. S" m: V" c% r7 L; `
1.1 ASA1 Initial" r7 e) L( u7 v' j/ a) I! k
1.2 ASA2 Initial# Q5 } r8 ~/ k, H
1.3 ASA2 Syslog" y8 B( X2 ^! @: x
1.4 ASA2 NAT
- E7 Q3 t# H0 t6 W+ C1.5 R3 Zone base firewall9 U0 _) n7 f3 z3 Y% ]; |- j
2.1 IPS Initial
5 G/ f& Z6 A! p( x z' o2.2R2 IOS IPS
4 }8 {# ~/ W0 z, v7 n% J. j3.1SITE-TO-SITE VPN1 l8 J& b/ a' d/ p$ o) |
3.2DMVPN
- a& ~. p; P; P0 ]- X3.3EZVPN
2 s T$ A7 A' ]$ Q0 V" {- L; \3.4 SSL VPN
* t6 W+ O2 T* o8 D W" O! f4.1R1 AAA
; Y1 O$ u; A0 \+ U! R4 ]8 ^4.2R1 Role-base CLI
( Q( G0 p9 N2 _: j5.1R5 COPP h4 W* k8 W& {# E* O% D# r7 f; D
5.2SW1 Port-security- X0 Z# J% r* d/ v, C' F: D8 B
5. 3BGP authentication through firewal# W [4 X% {2 ~- f0 D3 `
6.1 SW2 ARP Inspection on Switch
0 K2 s4 }; i: H! V7 p2 \6.2ASA1/C1 TroubleShooting HTTP/DNS0 M3 V7 W' X% l0 M7 p# Z
6.3 R1 urpf
" l' F1 \; t# X) `1 y7.1 R4 NBAR4 ?- X- S4 b' ~3 x$ l
7.2 R3 ping sweep
% Q' k6 Q: u- G- F0 W5 G9 F3 L# ]9 j: H) W3 ~; `
能记住的写上了,大家自己看 也是帮助野战的 顺序上有差别 但题是全的% H* H+ m1 O6 g" M8 Y
( c4 c* m, ] j* Z& z& ^
# D5 u l' x/ _! n8 t9 `1.1初始化 明确说了mac auto icmp准许 5 J, {8 {& @8 a# L- @
1.2icmp准许 ospf能看到r1 r3 r4在outside r5在inside router-id 已经配好了 1.1.1.1 2.2.2.2 3.3.3.3 4.4.4.4 收到默认路由: L) u7 B7 v2 |# Y( T
1.3 logging server在inside dev-info是outside ipaddress 不要message 38001-380004 ospf的class是waring trap 是 critical
' H; X8 w" S% }: f( c4 q8 y1.4 版本一模一样,不细说了
9 e! @0 f" Z& f* Y" ]* `' c2 O1.5 zfw 版本 要求all的icmp 所以我就no掉101 telnet的class-map也no掉了udp 接口没有分配zone security zone-pair下面没有调用service : ] c* L4 v3 E
- G n- U9 [' c/ [& E: ?3 u+ d9 o. u
2.1 IPS 初始化 没有注意的事项 只是测试的时候要求R1 sw1 ping IPS通" T) ~! ?* K+ j0 A( h# D8 k
2.2 R2 IOS IPS location=flash:/ 其他的都和版本一样 要求应用到in方向 ' ^4 y G: E' g5 P# y5 K
+ K9 z2 e' D+ i2 ~/ p7 V- o9 k' D3 i7 b( }( D* O: U: U$ N! g
3.1 L2L vpn 需要keyring router eigrp 199 没有指定ip address 我自己指定的192.168.100.1 192.168.100.5 测试需要ping 192.168.1.1 192.168.5.5成功 在这里面有个要求,在ping上面2个地址时候要求加解密快速增加 可是我从R5去pingR1的时候 发现加解密不明显增加 后来发现R1的ospf发布了直连路由 使得192.168.1.1已经被R5学习到了 所以我就把R1的预配改了 目前是pass 大家自己考虑是否修改(因为有一条写着可以修改firewall和routing的配置)
0 Q) e- w" |' ^2 Q2 v+ o& D y7 v- A4 ^/ D I$ O: ]8 F {
3.2 DMVPN 1、sw机上有vacl 我直接no掉vlan filter xxx vlan 6 2、 tunnul mode 没配置 3、nhrp authentic没有配置 好像就这么些 都是明显的错误 没有设置key拼写错误的陷阱 firewall routing的额外啊配置不属于错误
! z0 d# ^7 W/ f3 W6 |+ M( S* u% @9 f9 s/ L4 i
3.3 ezvpn 这是我唯一开始敲没有通 做完整个实验回来从新再看的 第一次没做通还是很影响心情的 8 I- m9 M; H) K( `& g7 e' R( }( n2 @
1、错误有 sw1的R4的接口上有acl no掉 2、R4的2个接口都是inside 3、R4上的VIT 没有应用 4、R2上iskamp的prof里面缺少 client authentic list 5、transform-set的加密算法不对改成esp-3des esp-md5-h 不包括R4预配错误的话 正好4个错误
$ G4 j1 ]# l/ \5 t3 i# H+ n, G( q' a1 M( G1 N* B$ _2 a) P8 t0 K
对于 ezvpn的检测要求:1、在current status:IPSEC-xxx什么的 开始我的是stock-xxx 2、download 1 访问控制列表 3、 ping 192.168.2.2 通 用cry eng conn activ 可以看到加解密 , O ?9 N; R, A0 {9 ]
* Q$ u) h) A& \
8 q. B& u3 f$ J3.4 ssl 我就按照版本配置了,没有任何问题
H8 e* X3 V* h3 f' T3 g C$ \5 `" H3 Z0 K
4.1 这个是我唯一配置了noacs的 因为这也是整个考试中唯一明确要求的不影响con aux接口
' R6 ?. `2 s, j" v. O8 o 要求tacacs host 150.1.100.241 使用R1的g0/0接口 ACS配置2个用户user1 root tacacs client 是R1
! I6 [' I( t: S; e! o测试使用test aaa group tacacs user1 cisco123 le 成功* @5 {5 S3 `* T# ^& A# |
4 h8 H. G g! {
4.2 希望你们没有提前配置noacs 不然这个需求没法做了 enable view要求con和aux没有配置noacs 配置按照版本敲 password要求是cisco123 只要求配置user1的acs:shell、privilege、cli-view-name了
- K# Z! c. s, ?2 x: R测试:1、telnet 44.44.6.1 使用user1 cisco123 2、登录看到的是#号 3、show parser 看到的是xxxxview“user1” 4、输入config t 打?号能看到aaa exit radius-server tacacs-server 3 B: ~; p2 L; z3 N% t4 ~
W1 @1 }/ \' L3 h% `
5.1 copp 是BGP router的udp和tcp opent端口的限速 BGP50 另外一个200
# n3 }$ r1 w' @ 按照版本敲 没问题
+ C- c- i2 g: D9 ]
, `2 k% W8 u- e; C5.2 只准许test pc 连接f0/24 1、f0/24有channl的预配 no掉 2、 配置sw mod acc sw port sw port mac xxxxx(test-pc的mac地址) 3、erridisable 自动回复psxxxx-erridisable 时间是默认的一半1505 r5 J3 ~$ ~( }7 V% U ?: x
4 W1 R- t1 K6 v, }' T3 B5.3 bgp 穿越 版本一致 show ip bgp 就是最优的
% S% z: _: @8 _9 B1 y; @
" D! Z5 l3 k2 d" Q: w; D6.1 SW2 ARP Inspection on Switch 就是写了一个arp 的access-list 在ip arp inspection 调用7 C) \( [& o+ ^6 N. [6 E! B
3 r3 c1 d0 S5 }
6.2ASA1/C1 TroubleShooting HTTP/DNS http是reques 不能用class-map 要去应用到现有的全局policy-map和全局内的class-map5 U+ Z9 Z& A. n& o( X J6 A2 [0 k0 ~
( }4 X0 }) ?1 j
6.3 R1 urpf 题目预配的是rx 主题意也是rx 最后增加个access-list 就好了, B9 \' |: e6 z. K! t
. {- @% c* {( j6 k% o" b/ a! z! ?: s7.1 R4 NBAR 版本一模一样
( g- j7 {1 C6 P C" E$ @ U8 l8 o/ Q) O/ P% G
) N, j& u! J, M* l* V4 y8 ^. g2 _3 Q6 b- X5 ^
" A; c) J, C6 v
N K3 |6 Y' h. B( U% v4 A' I# D+ x3 ~9 W8 @5 x
. p: {9 Z5 g" h4 w7 y
4 F6 N2 _, Q7 ]
& T( W1 R% Z6 W& a2 `/ @4 i
9 c( ?9 z3 z n4 ]( x6 H, a* U, m* e) K: ~! R2 S" }; i4 w
; B: ?$ m& d5 [
0 W3 v7 h: F9 j1 D2 x1 z |
评分
-
查看全部评分
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
[复制链接]
发表于 2012-5-25 11:01:29
置顶卡
喧嚣卡
变色卡
千斤顶
