- 积分
- 0
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 1
- 听众
- 收听
网络小白
|
初始配置有问题,IPS接口没有分配vlan 其他的都没问题!
0 w, \- s7 P! |: ^. [& l" X1 t+ E @$ K$ j. X4 k: C
1.1 ASA1 Initial
$ y& D9 K u) J1.2 ASA2 Initial9 B7 F0 Z3 C; a0 j
1.3 ASA2 Syslog9 T6 o1 t! |% Q" Q0 m% P
1.4 ASA2 NAT0 k, e# Z0 _/ t* u, R
1.5 R3 Zone base firewall2 X0 e% A, i8 p) ], \- N
2.1 IPS Initial
6 ?* A; a _2 I; x' o0 q ~2.2R2 IOS IPS
4 m+ F( y4 G/ [3.1SITE-TO-SITE VPN5 Z6 R8 s- N- E. l, S
3.2DMVPN5 g- u V" f4 Y- }- |
3.3EZVPN
8 n1 y7 F! H' G2 a' I L2 r7 S* k9 w3.4 SSL VPN
4 ?7 V4 o( }4 A' e4.1R1 AAA0 Z( U, m9 _! l% Y4 K) h1 P
4.2R1 Role-base CLI
1 j3 W6 K r* x0 v5.1R5 COPP
5 l4 S' j: s/ E0 @9 l2 N( u( v5.2SW1 Port-security) [7 z; H( w: o
5. 3BGP authentication through firewal
+ {3 }# Y% D' s; j6 Y6.1 SW2 ARP Inspection on Switch' L# ~4 D, j( a7 @ [
6.2ASA1/C1 TroubleShooting HTTP/DNS
R) G. G& u7 @# x6.3 R1 urpf
9 i ^6 D3 E) p* O7.1 R4 NBAR
+ h8 ]& {' M* e5 l! Q7 o7.2 R3 ping sweep
& K4 d+ S0 i1 a' Z2 R
( s1 V1 ]$ q8 q0 a/ Q3 i8 d能记住的写上了,大家自己看 也是帮助野战的 顺序上有差别 但题是全的: O' ]2 F3 `: m6 x$ X& P {; M
y3 d! C& w& c
- V0 d: Y5 m) W. Y! c1.1初始化 明确说了mac auto icmp准许
n% T+ ?6 m- o; f1.2icmp准许 ospf能看到r1 r3 r4在outside r5在inside router-id 已经配好了 1.1.1.1 2.2.2.2 3.3.3.3 4.4.4.4 收到默认路由( s: h! g; n) z0 n% `9 O- \$ j
1.3 logging server在inside dev-info是outside ipaddress 不要message 38001-380004 ospf的class是waring trap 是 critical
& _! B% T% I2 ]$ \" p9 F1.4 版本一模一样,不细说了
$ o( P4 D; u# L8 l+ Q1.5 zfw 版本 要求all的icmp 所以我就no掉101 telnet的class-map也no掉了udp 接口没有分配zone security zone-pair下面没有调用service / B: ~5 I- w! U( O8 L0 Y e: _
: Y7 s Y" l( p; ?( |% A9 z& }
2.1 IPS 初始化 没有注意的事项 只是测试的时候要求R1 sw1 ping IPS通2 x3 \4 v1 F: H8 r) \1 y
2.2 R2 IOS IPS location=flash:/ 其他的都和版本一样 要求应用到in方向 1 k' o/ q; s% `6 Z4 s( d
9 c, H- r; ]! U) z! [, d* w
3 Y1 e+ a* L) m. _+ w2 d
3.1 L2L vpn 需要keyring router eigrp 199 没有指定ip address 我自己指定的192.168.100.1 192.168.100.5 测试需要ping 192.168.1.1 192.168.5.5成功 在这里面有个要求,在ping上面2个地址时候要求加解密快速增加 可是我从R5去pingR1的时候 发现加解密不明显增加 后来发现R1的ospf发布了直连路由 使得192.168.1.1已经被R5学习到了 所以我就把R1的预配改了 目前是pass 大家自己考虑是否修改(因为有一条写着可以修改firewall和routing的配置)7 p! k: d* N1 } a- C
( B; l& K2 {) I) ?5 F" V6 G: k0 S3.2 DMVPN 1、sw机上有vacl 我直接no掉vlan filter xxx vlan 6 2、 tunnul mode 没配置 3、nhrp authentic没有配置 好像就这么些 都是明显的错误 没有设置key拼写错误的陷阱 firewall routing的额外啊配置不属于错误7 Q) p# _2 j' X3 F0 \( D
. H4 g: u" ?! S: @% T# g3.3 ezvpn 这是我唯一开始敲没有通 做完整个实验回来从新再看的 第一次没做通还是很影响心情的 $ ~4 G) K$ y _& P H" v
1、错误有 sw1的R4的接口上有acl no掉 2、R4的2个接口都是inside 3、R4上的VIT 没有应用 4、R2上iskamp的prof里面缺少 client authentic list 5、transform-set的加密算法不对改成esp-3des esp-md5-h 不包括R4预配错误的话 正好4个错误 ' s8 }: S- s8 T! X0 V: y: N
& D) H9 e' h2 P5 ~2 F! p/ q7 j对于 ezvpn的检测要求:1、在current status:IPSEC-xxx什么的 开始我的是stock-xxx 2、download 1 访问控制列表 3、 ping 192.168.2.2 通 用cry eng conn activ 可以看到加解密
* y" b' q( S& x$ m! @, |1 j
0 [; z6 b5 y& v, x
9 {$ Y+ x1 s5 R( C3.4 ssl 我就按照版本配置了,没有任何问题
# b; y1 k) R' _: v; t
0 n; _5 }+ ~4 }$ X# o4 w3 u4.1 这个是我唯一配置了noacs的 因为这也是整个考试中唯一明确要求的不影响con aux接口
- [, O2 F# v* W: J+ \* ? 要求tacacs host 150.1.100.241 使用R1的g0/0接口 ACS配置2个用户user1 root tacacs client 是R1
% Z& M2 l, y8 l测试使用test aaa group tacacs user1 cisco123 le 成功- B8 p# v; ?" y$ M. S" F
( C: i. A3 r0 q1 {: {# e
4.2 希望你们没有提前配置noacs 不然这个需求没法做了 enable view要求con和aux没有配置noacs 配置按照版本敲 password要求是cisco123 只要求配置user1的acs:shell、privilege、cli-view-name了
8 a$ k+ S- |9 n/ c0 b3 E7 _测试:1、telnet 44.44.6.1 使用user1 cisco123 2、登录看到的是#号 3、show parser 看到的是xxxxview“user1” 4、输入config t 打?号能看到aaa exit radius-server tacacs-server
0 }! A& E$ s3 Z0 ~" w% P% L( \# u" m6 _# l( E
5.1 copp 是BGP router的udp和tcp opent端口的限速 BGP50 另外一个200 + t. d) j1 W) Y
按照版本敲 没问题 M* f3 F$ D1 U3 C" k9 V- o: W9 R
) m# U0 w+ ~5 o9 O8 f- J
5.2 只准许test pc 连接f0/24 1、f0/24有channl的预配 no掉 2、 配置sw mod acc sw port sw port mac xxxxx(test-pc的mac地址) 3、erridisable 自动回复psxxxx-erridisable 时间是默认的一半150
$ m- \3 t2 K: Z, w0 a( [: J2 ?2 P% S" _
5.3 bgp 穿越 版本一致 show ip bgp 就是最优的' r# c8 J/ k: u+ q# Y
5 t1 ]" ^" c$ r. c8 \$ F* I
6.1 SW2 ARP Inspection on Switch 就是写了一个arp 的access-list 在ip arp inspection 调用
& Q* _' F$ e5 l# h0 V
4 S; d& ^4 L! x2 h6.2ASA1/C1 TroubleShooting HTTP/DNS http是reques 不能用class-map 要去应用到现有的全局policy-map和全局内的class-map6 T) X% D% G7 h& I
# ]( Y0 Y4 d, O$ T, w- Y. ^
6.3 R1 urpf 题目预配的是rx 主题意也是rx 最后增加个access-list 就好了, o) J5 O9 I3 }
4 E! z: O7 V9 }. M7.1 R4 NBAR 版本一模一样6 r- w" H8 A( B5 E
0 a. B& R" N' R+ f: A" K
7 e- q) J( Y4 T, P/ F3 s
" |. z0 p, s5 r4 {- g
0 v; v9 M4 |" [
7 K0 I4 @$ T0 r! e6 ?: k
: \" K2 z/ p& d" U/ u' f- K' }% z
: R% q5 K8 [6 C
4 a9 R$ h4 E- `! _2 O
$ ^) _2 v( Z, r, | f
6 f) l1 g9 P) J, D7 s3 J' x V7 H+ p
" g" U! H t9 ]' m; g" G: W |
评分
-
查看全部评分
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
[复制链接]
发表于 2012-5-25 11:01:29
置顶卡
喧嚣卡
变色卡
千斤顶
