- 积分
- 0
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 1
- 听众
- 收听
网络小白
|
初始配置有问题,IPS接口没有分配vlan 其他的都没问题!3 z S3 @) Q4 ?4 T' ^. Z) M$ s9 I/ R
& z3 N/ Y& l) a, g1 n. j* \1.1 ASA1 Initial
" n$ x1 B0 [% G) l- c1.2 ASA2 Initial
. ~* P; W. c% _5 l: X5 T+ D0 ^1 N1.3 ASA2 Syslog/ {5 T, I% D7 c7 R
1.4 ASA2 NAT
7 v) }- n& N/ P9 b, T& t* P4 z1.5 R3 Zone base firewall0 }8 ~, }3 C- i6 m3 \
2.1 IPS Initial' i6 w( M1 b& J; K9 F( t8 S1 g
2.2R2 IOS IPS/ w6 @5 l# b. Q t0 n2 S: s! I% T1 y
3.1SITE-TO-SITE VPN" p, u9 X( V0 V. d4 J
3.2DMVPN
: S! Y- C% q9 f. U" r* N% @& `" }3.3EZVPN
: s! K7 |& O' O- a/ K8 i ^3.4 SSL VPN
& a) D4 M7 q" y v! I4.1R1 AAA
8 x( R9 n6 K+ K( ?. A* ?4.2R1 Role-base CLI
. W$ Q( c, r2 D4 o, a E5.1R5 COPP
7 _" |# v+ O( [1 @6 z6 a5.2SW1 Port-security
9 S9 b, O7 Y) R- M$ \' _! F, H( W5. 3BGP authentication through firewal1 I5 }6 K% U- O( u8 p: d
6.1 SW2 ARP Inspection on Switch* k% g" w- U ^0 v
6.2ASA1/C1 TroubleShooting HTTP/DNS
5 ]+ V# k3 I h% q+ R! V4 N3 M6.3 R1 urpf5 Q& Y& t7 |+ V) ^& h( @4 b# A4 v
7.1 R4 NBAR1 @% o; n! l! s
7.2 R3 ping sweep
) h0 Y6 h( b' C o, K j! ^8 }; [. E1 K
能记住的写上了,大家自己看 也是帮助野战的 顺序上有差别 但题是全的- b) g" o9 n9 h& r9 y9 t, j5 {
4 \5 A6 K7 T3 M1 H. ^1 s& b8 V, X) F7 C
1.1初始化 明确说了mac auto icmp准许 2 A" D- j2 U5 I/ q% B
1.2icmp准许 ospf能看到r1 r3 r4在outside r5在inside router-id 已经配好了 1.1.1.1 2.2.2.2 3.3.3.3 4.4.4.4 收到默认路由
2 W; _9 [ [; ^1.3 logging server在inside dev-info是outside ipaddress 不要message 38001-380004 ospf的class是waring trap 是 critical9 Z' R% _7 s, ~+ t1 X
1.4 版本一模一样,不细说了
" _2 h2 W' Y% K- W* O4 ^1.5 zfw 版本 要求all的icmp 所以我就no掉101 telnet的class-map也no掉了udp 接口没有分配zone security zone-pair下面没有调用service
. p3 V( \ B" G2 V4 ^) U' G& c
$ [2 }9 o$ j U J' {2.1 IPS 初始化 没有注意的事项 只是测试的时候要求R1 sw1 ping IPS通
1 `, {2 l, _ ?) X1 |& e: A2.2 R2 IOS IPS location=flash:/ 其他的都和版本一样 要求应用到in方向
9 j( t. S7 F* e/ q3 _/ w
/ F3 X; w ?2 P2 ^9 Z! w) C+ d7 G! R6 Z, @1 }0 S
3.1 L2L vpn 需要keyring router eigrp 199 没有指定ip address 我自己指定的192.168.100.1 192.168.100.5 测试需要ping 192.168.1.1 192.168.5.5成功 在这里面有个要求,在ping上面2个地址时候要求加解密快速增加 可是我从R5去pingR1的时候 发现加解密不明显增加 后来发现R1的ospf发布了直连路由 使得192.168.1.1已经被R5学习到了 所以我就把R1的预配改了 目前是pass 大家自己考虑是否修改(因为有一条写着可以修改firewall和routing的配置)0 ]6 b0 P& Q; ^
- t0 }8 e9 Z) i7 A) X- h3.2 DMVPN 1、sw机上有vacl 我直接no掉vlan filter xxx vlan 6 2、 tunnul mode 没配置 3、nhrp authentic没有配置 好像就这么些 都是明显的错误 没有设置key拼写错误的陷阱 firewall routing的额外啊配置不属于错误% M Z4 p% g) T3 A
* N t& @; ^# f2 B I, M" O6 J
3.3 ezvpn 这是我唯一开始敲没有通 做完整个实验回来从新再看的 第一次没做通还是很影响心情的
" a0 ~3 P( |$ o- L 1、错误有 sw1的R4的接口上有acl no掉 2、R4的2个接口都是inside 3、R4上的VIT 没有应用 4、R2上iskamp的prof里面缺少 client authentic list 5、transform-set的加密算法不对改成esp-3des esp-md5-h 不包括R4预配错误的话 正好4个错误
* Q7 b5 \) {' r4 S; w
9 c! H" ^3 N( J' J: @对于 ezvpn的检测要求:1、在current status:IPSEC-xxx什么的 开始我的是stock-xxx 2、download 1 访问控制列表 3、 ping 192.168.2.2 通 用cry eng conn activ 可以看到加解密 7 |6 g8 ~0 A [" T- q5 Y5 p
3 l3 L3 K2 H- \7 s+ i$ E9 p2 L4 P# d7 J3 o
3.4 ssl 我就按照版本配置了,没有任何问题
$ l, L. d r# F4 e1 ^
; _. u7 w5 q7 K4.1 这个是我唯一配置了noacs的 因为这也是整个考试中唯一明确要求的不影响con aux接口
0 t; M) T/ c u, p" G1 t1 ? 要求tacacs host 150.1.100.241 使用R1的g0/0接口 ACS配置2个用户user1 root tacacs client 是R1
# s. t$ m# r( _2 ?测试使用test aaa group tacacs user1 cisco123 le 成功6 o. T( c9 X- p S2 X
/ n8 p8 A6 }0 W4.2 希望你们没有提前配置noacs 不然这个需求没法做了 enable view要求con和aux没有配置noacs 配置按照版本敲 password要求是cisco123 只要求配置user1的acs:shell、privilege、cli-view-name了 ' s; W" l5 ]5 \- q! o8 ~
测试:1、telnet 44.44.6.1 使用user1 cisco123 2、登录看到的是#号 3、show parser 看到的是xxxxview“user1” 4、输入config t 打?号能看到aaa exit radius-server tacacs-server
" x5 S8 S$ \0 Z- q
/ z `9 H2 t+ V' S* Y- u$ N# \6 E5.1 copp 是BGP router的udp和tcp opent端口的限速 BGP50 另外一个200 9 O$ P. S5 x% n! {( x! l; t
按照版本敲 没问题5 K; s5 u1 c5 t$ }/ g; A4 J1 x
$ g0 } f- `+ u: N' G) I
5.2 只准许test pc 连接f0/24 1、f0/24有channl的预配 no掉 2、 配置sw mod acc sw port sw port mac xxxxx(test-pc的mac地址) 3、erridisable 自动回复psxxxx-erridisable 时间是默认的一半150
j6 w& l2 K: X7 p
% n( ^- G# i9 P0 A2 F2 G- j$ P5.3 bgp 穿越 版本一致 show ip bgp 就是最优的
q, X; s! r7 r/ W
6 ?' r0 @0 S0 @! X4 Q- Q! K4 d6.1 SW2 ARP Inspection on Switch 就是写了一个arp 的access-list 在ip arp inspection 调用
9 v3 X4 F7 {" z5 m& w
) a7 M4 b5 y. p$ ?3 t4 `* W6.2ASA1/C1 TroubleShooting HTTP/DNS http是reques 不能用class-map 要去应用到现有的全局policy-map和全局内的class-map' K& L% u% U4 C8 y+ M
: f2 \- X/ P9 B# y i
6.3 R1 urpf 题目预配的是rx 主题意也是rx 最后增加个access-list 就好了" s2 }: ]3 L' M
& R% `+ V7 q. f! K; w; T7.1 R4 NBAR 版本一模一样
$ k. {; `& L' j+ @
8 U: {* j3 Y, @7 }
8 ]1 j5 r8 H( q4 J/ ^, W1 Q
8 j: N) x7 d- ?- G8 N7 X' i7 N. @! E7 ?# @# a! o
& w" p1 g i. q( M; X% A( O
+ [0 v S1 P$ c5 \
3 I+ n7 {; P, J. I
' f- c# H7 ?! ^# u5 d! d. b* O+ j
G6 Z) T7 r& f6 L( o6 P+ q, z
, w1 R; w# d5 ~6 V3 p- K. Q: K- m0 S. g; h8 T& l, ^0 w
7 s* E% B* Q1 h3 o3 K
! D; c/ b& D' d* l) v x7 y8 ~ |
评分
-
查看全部评分
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
[复制链接]
发表于 2012-5-25 11:01:29
置顶卡
喧嚣卡
变色卡
千斤顶
