- 积分
- 0
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 1
- 听众
- 收听
网络小白
|
初始配置有问题,IPS接口没有分配vlan 其他的都没问题!7 D A; p1 l5 C$ \) R7 s( s: x) r# {
2 d- ^$ v9 p# }8 Q
1.1 ASA1 Initial5 g, L- P0 }0 W
1.2 ASA2 Initial3 I0 m- F3 a. i4 ?
1.3 ASA2 Syslog; [, {# `" r' a# {8 I
1.4 ASA2 NAT
2 a8 G( o( E. t/ i1.5 R3 Zone base firewall
% l! p# x5 B( h2 [, _2.1 IPS Initial
9 N# p% b# O. |/ Y3 y; r2.2R2 IOS IPS% n& b7 g, {9 }7 _/ R
3.1SITE-TO-SITE VPN
# w4 S# {& U( h3.2DMVPN, S* J- M4 [- r( u( b9 p ^# g3 [" V
3.3EZVPN
, M; ~& K! n: g# ^6 _3 S" C3.4 SSL VPN
' _) B& q! O; d4.1R1 AAA
9 o# {5 f3 _, Y4.2R1 Role-base CLI7 r+ Y; G# V. _ k& [/ I
5.1R5 COPP
1 T: e/ g! y% I5.2SW1 Port-security
4 }" V5 c" N6 D8 N' W. z5. 3BGP authentication through firewal
% j3 m' \3 P* e3 a/ J6 W9 I# x7 z6.1 SW2 ARP Inspection on Switch
8 }: L: o& r2 v" @6.2ASA1/C1 TroubleShooting HTTP/DNS7 Y9 ]5 |! K% q0 e8 c
6.3 R1 urpf3 K s$ ^. H2 ~8 H7 h; M2 O
7.1 R4 NBAR
. g4 W9 |2 Y& @$ j7.2 R3 ping sweep
: B5 y3 x2 P6 e& d+ \# s/ r' [4 J
]! a T% P. j9 {' c1 M能记住的写上了,大家自己看 也是帮助野战的 顺序上有差别 但题是全的/ }. a9 W O: z* y" ~
/ [2 u& A* F; X
% U; q1 B2 V5 e. m7 D1.1初始化 明确说了mac auto icmp准许
& E6 _8 ~6 M: |+ [6 E" C- t# C1.2icmp准许 ospf能看到r1 r3 r4在outside r5在inside router-id 已经配好了 1.1.1.1 2.2.2.2 3.3.3.3 4.4.4.4 收到默认路由
$ x. I, L" _6 C* W h: |8 W1.3 logging server在inside dev-info是outside ipaddress 不要message 38001-380004 ospf的class是waring trap 是 critical# a" ?! _* l$ i) A) D
1.4 版本一模一样,不细说了 - x8 N) h: ]( q2 k$ Z6 T
1.5 zfw 版本 要求all的icmp 所以我就no掉101 telnet的class-map也no掉了udp 接口没有分配zone security zone-pair下面没有调用service
) o* [2 P& s2 @+ ~! F" o6 u7 Q
( c! w# x6 Z- ?( \- z2.1 IPS 初始化 没有注意的事项 只是测试的时候要求R1 sw1 ping IPS通
% ]+ j3 o) s0 D. c4 s$ v$ {2.2 R2 IOS IPS location=flash:/ 其他的都和版本一样 要求应用到in方向
% ]. d5 \& x9 u8 j# J# x& m' W$ h, J$ v! \) `7 Y2 g5 @
) b5 P$ b Y& o) M4 a6 F
3.1 L2L vpn 需要keyring router eigrp 199 没有指定ip address 我自己指定的192.168.100.1 192.168.100.5 测试需要ping 192.168.1.1 192.168.5.5成功 在这里面有个要求,在ping上面2个地址时候要求加解密快速增加 可是我从R5去pingR1的时候 发现加解密不明显增加 后来发现R1的ospf发布了直连路由 使得192.168.1.1已经被R5学习到了 所以我就把R1的预配改了 目前是pass 大家自己考虑是否修改(因为有一条写着可以修改firewall和routing的配置)( r# n8 y' g# I
- u" C" P0 W7 }. Z5 F
3.2 DMVPN 1、sw机上有vacl 我直接no掉vlan filter xxx vlan 6 2、 tunnul mode 没配置 3、nhrp authentic没有配置 好像就这么些 都是明显的错误 没有设置key拼写错误的陷阱 firewall routing的额外啊配置不属于错误
( @5 w5 f. h, H2 P8 J5 t
7 T6 H7 x: Y# [8 [+ N3.3 ezvpn 这是我唯一开始敲没有通 做完整个实验回来从新再看的 第一次没做通还是很影响心情的
9 x* U: @$ a9 m3 x, j1 l# k' ?' K, a. N 1、错误有 sw1的R4的接口上有acl no掉 2、R4的2个接口都是inside 3、R4上的VIT 没有应用 4、R2上iskamp的prof里面缺少 client authentic list 5、transform-set的加密算法不对改成esp-3des esp-md5-h 不包括R4预配错误的话 正好4个错误 % Q# ]& L$ c. v! f
1 r- }# {/ c y8 V2 H: {( w
对于 ezvpn的检测要求:1、在current status:IPSEC-xxx什么的 开始我的是stock-xxx 2、download 1 访问控制列表 3、 ping 192.168.2.2 通 用cry eng conn activ 可以看到加解密
/ z2 M/ F8 ]' m* I) W* s- _
2 l- a* S& T9 y0 u: S( h) d3 _9 W1 n9 h: m( c0 f9 v
3.4 ssl 我就按照版本配置了,没有任何问题1 R: |! K+ x7 M4 \! K3 v; X0 U% N9 P
# G: C8 E$ A# I: x6 P/ s$ i: r4 B4.1 这个是我唯一配置了noacs的 因为这也是整个考试中唯一明确要求的不影响con aux接口 - Y6 g( O& c; w! H' f4 D3 g! l
要求tacacs host 150.1.100.241 使用R1的g0/0接口 ACS配置2个用户user1 root tacacs client 是R1 ' L! L$ G$ w5 u$ m; T8 b+ K
测试使用test aaa group tacacs user1 cisco123 le 成功9 R8 w `2 f R; Q8 U
6 l, g5 R, v* d/ x5 F
4.2 希望你们没有提前配置noacs 不然这个需求没法做了 enable view要求con和aux没有配置noacs 配置按照版本敲 password要求是cisco123 只要求配置user1的acs:shell、privilege、cli-view-name了
5 t0 P g1 Q L, O& \测试:1、telnet 44.44.6.1 使用user1 cisco123 2、登录看到的是#号 3、show parser 看到的是xxxxview“user1” 4、输入config t 打?号能看到aaa exit radius-server tacacs-server . L5 d; V7 E' g2 H0 p
9 E- q- ^7 N* R! z4 y! D% ~
5.1 copp 是BGP router的udp和tcp opent端口的限速 BGP50 另外一个200 ; x, F3 H. J7 O* U
按照版本敲 没问题
$ f: a: a* F% w4 A" D8 a% ^2 ~7 t! J- S3 d, z( }: O" }0 b, x
5.2 只准许test pc 连接f0/24 1、f0/24有channl的预配 no掉 2、 配置sw mod acc sw port sw port mac xxxxx(test-pc的mac地址) 3、erridisable 自动回复psxxxx-erridisable 时间是默认的一半150+ @: s& g' ^3 ^
; `; s, A1 ]3 }9 b! z5.3 bgp 穿越 版本一致 show ip bgp 就是最优的0 E- }7 ], y! d' F \1 W0 w. y$ T
' j5 e0 p" c2 W0 G6.1 SW2 ARP Inspection on Switch 就是写了一个arp 的access-list 在ip arp inspection 调用
& C. {8 t0 J" L
1 N R* O3 q6 ^& i6.2ASA1/C1 TroubleShooting HTTP/DNS http是reques 不能用class-map 要去应用到现有的全局policy-map和全局内的class-map
+ Z- Z6 F0 j# L5 b! h
) P& ?1 R& r% V' z) B6.3 R1 urpf 题目预配的是rx 主题意也是rx 最后增加个access-list 就好了
* ~9 }7 q u9 U8 G0 `1 u& Z7 \: a' z
7.1 R4 NBAR 版本一模一样1 [, l* m* c) |2 E
3 f4 H8 y6 _" ?
; \' s+ c* P) M$ p1 p2 }
: q( Q$ `& `1 O, k
: B( G+ \! K0 y" c* }
' g4 a; r9 A, e* z# s2 O, @' v4 p! r; {" r: ?0 F
, ~) c; K' t& p+ [
- G4 M. p; K9 [+ a9 B! k6 ?% F
, z; D8 @6 _* \' @9 N
. o" k% d" S2 [& D t, j; q) W/ D9 X0 Q7 u+ T9 Z* \
$ I& ^5 t$ R+ \ j9 A
) E% u2 ?, ]5 t% e, F; | |
评分
-
查看全部评分
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
[复制链接]
发表于 2012-5-25 11:01:29
置顶卡
喧嚣卡
变色卡
千斤顶
