4月17日成都CCNP642-825戰報詳解
2.93 + 3.10的部分:26、32、45、78、95、118、127、130、144、153、156、162、177、198、216、225、245、257、260-261、263-265、270、278-291、301,303、306-310 。
(記住在題目開始前的選擇中,全部選B,別去選C:self-study,這樣就會避免很多在"三:論壇已PASS的兄弟曾經發過的新題"里面的那些新題了)
在寫這篇貼子前,仔細又翻完了2.93和3.10的題庫,真正遇見2道沒見過的題,1道是關于SDM里面防火墻DMZ配置的截圖后選擇;另外1道有論壇兄弟稍稍點到帶過的拖圖新題,不過那個兄弟沒有說清楚題目及選項,一會兒后面給大家一個比較清楚點的回憶內容。最后看了下其他都是100%,只有IOS Firewall是88%,估計就是錯的那道沒見過的SDM配置防火墻的選擇題上了。
PS:如果下面任何題目有讓您疑惑或懷疑的地方,請一定向您的指導老師詢問最后答案,并多結合課件和書來對比查看,或許是原著這總結的東西有錯,或許是您有某些地方沒理解到。
原著就是Name:yeyingfei的兄弟,以下都代表了
一:修正
1. 3.10題庫287題。(原著注解:竟然沒有一個兄弟曾經發現…)
修正的信心來源于PPT課件,見下截圖:
 |
所以原著覺得287題的答案應該是:
 |
題庫的答案順序不是這樣,本人還是同意戰報原著及書本上的,本人同意上面這個。
2.還有道3.10題庫里面 261 題,已經被某兄弟指出修正的:
 |
二:原著所遇見的新題。
1、防火墻里關于DMZ的配置,題目中給出的截圖類似PPT課件里面的下圖:
 |
題目要求好像是叫你選擇在這個DMZ區里可以實現什么功能,題里的圖片給的好像是TCP的23號端口還是25號端口,原著覺得應該是錯在這個上面了。
2、拖圖題:8選6,題目要求在各個Interface里面配置PPPOE的NAT/PAT。
可以拖動的8條命令大概是(命令的前后順序稍有差錯,但命令本身大致應該是差不多的)
a. ip nat inside
b. ip nat outside
c. no ip address
d. ip address 10.x.x.x 255.255.255.0
e. access-list 101 permit ip 10.x.x.x 255.255.255.0 any
f. access-list 101 deny ip any any
g. ip nat inside source list 101 interface Dialer 0 overload
h. ip nat inside source list 101 interface e 0/0 overload
global command ( 2個需要拖入的空格)
e. access-list 101 permit ip 10.x.x.x 255.255.255.0 any
g. ip nat inside source list 101 interface Dialer 0 overload
interface e0/0 ( 2個需要拖入的空格)
c. no ip address
a. ip nat inside
interface dialer 0 ( 1個需要拖入的空格)
b. ip nat outside
interface e0/1 ( 1個需要拖入的空格)
d. ip address 10.x.x.x 255.255.255.0
這道題原著是記得自己是這樣選擇的,大家最好再看看書和課件里面PPPOE的PAT/NAT的配置,然后聯系給出的8條命令來選擇適合的拖進適合的接口里面。
論壇新題:
1. MPLS拖圖題,給出了6個概念,分成兩類,
一類是control plane,控制平面,負責處理相鄰設備的路由選擇和標簽信息的交換。
另外一類是data plane,數據平面(也叫轉發平面),根據目的地址或標簽轉發流量。
前面三個選項都是data plane的,后面三個都是control plane的
例如FIB LFIB是data plane的,LDP,TDP,RSVP和各種路由協議都是control plane的
2. 拖圖ADSL分離器 6選3
答案是:1,安裝在end user端;
2,將語音信號傳遞給老式電話同時隔離adsl上的語音信號;
3,將ADSL信號傳遞給modem同時阻止post上的adsl信號。
3.MPLS其中一道是選擇題,之前有朋友提到過的了大意是RB和RC已經建立了LDP,而有一個路由過來沒有打到標簽,問為什么?選使用了IGP匯總路由,答案是A
 |
4. 原著把題目忘了,原著選的是最后一個,前4個有only的單詞最后一個沒有。選最后一個。
5. 有個atm mtu得問題 原著選了在dialer0上 稍大1492
6. 有個關于ssh的domain、vty下應用、還有本地或tacacs
7. 其中有一道拖圖題是選擇IPSEC VPN的建立順序,5個中選3個。
8. 另外一道拖圖題是把各種攻擊拖到對應的防范方法,如DOS,ping攻擊,中間人攻擊,端口掃描,包嗅探等
各種攻擊對應解決辦法:左面給出Dos,Packet Sniffer, Password exploitation, Man-in-middle,IP spoofing, Worm attack,右面給出各種應對方式,拖放對應項,下面的內容足以應付。
Packet sniffer attacks :can be mitigated by cryptography, switched infrastructure, and antisniffer tools.
Port scans and ping sweeps: are mitigated by network and host IPS.
Password attacks: can be mitigated by strong password rules, disabling accounts after unsuccessful logins,and never sending passwords in plaintext.
Trust exploitation and port redirection :are defended against by a proper use of trust model.
Man-in-the-middle attacks :can be mitigated through cryptography.
IP spoofing attacks:can be defended against by access control, RFC 3704 filtering, and additional authentication.
DoS and distributed DoS attacks: can be mitigated through antispoof features, anti-DoS features and traffic rate limiting.
Worm attacks: can be mitigated by containment, inoculation, quarantine, and treatment.
Viruses and Trojan horse attacks :can be defended against using up-to-date antivirus software.
Application layer attacks :can be mitigated by IPS, as well as operating system and application hardening.
Management protocol attacks :can be mitigated by selecting secure protocols and filtering the management traffic.
9. 選擇題是給出ACL的截圖,然后問這是用來抵御什么攻擊的,原著選的是IP地址欺騙攻擊(ip spoofing attacks),應該是對的。
10. 還有一道新題,是說主機不能ping通server。主機和server之間是2個router。
ROUTER之間建立的是GRE 隧道。給出了2個ROUTER的配置,然后問是什么原因造成的。
從配置上能看到主機這邊的ROUTER的隧道源接口用的是一個down了接口,而對端router的隧道目的地址是另外一個接口的IP地址,所以答案應該選源接口使用錯誤
11. 有一道的答案是什么A:11 B:17 C: 17,23800 D:23800
問哪個是vpn ipv4的標簽,選d
12. 拖圖有1道新題,很簡單,關于IPSEC IKE的 5拖3 有兩個錯的不選 一個是主模式是IKE第二階段 還一個是快速模式是IKE第一階段 很明顯這兩個不選
13. C1 and C2 are customer routers , Rta ,Rtb ,Rtc and Rtd are provider routers .which of the following frame mode MPLS configuration statements is ture?
 |
A. the mpls ip command must be applied to all routers .
B. the mpls ip command is only applied on the provider routers .
C. the mpls ip command is only applied on both Ethernet interfaces of routers Ra and Rd .
D. the mpls ip command is only applied on the Ethernet 1 interface of routers Ra and Rd .
E. the mpls ip command is enabled by default on all routers .
AN:B
14. access-list 101 permit tcp any eq 20 10.2.1.0 0.0.0.255 gt 1023
what is the effect of the access list ?
A. to permit FTP commands originating from hosts on the 10.2.1.0/24 network .
B. to permit FTP commands that are destined for the 10.2.1.0/24 network.
C. to permit initial packets from the FTP date sessions so that FTP clients in the 10.2.1.0/24 network can use FTP .
D. to permit initial packets from the FTP data sessions so that FTP clients can access servers in the 10.2.1.0/24 network .
AN:C
15. which Security Device Manager(SDM) action is used to customize the intrusion prevention services(IPS) signature options ?(choose one)
A. Click the Security Audit task .
B. Click the Launch IPS Rule Wizard button .
C. Click the Edit IPS tab.
D. Click the Firewall and ACL task .
AN:C
16. ACL拖圖題。
 |
17. 拖圖題,是關于IPSec 的4個安全特性,防重放,數據加密,數據完整性,數據源驗證。(下面給出大家 這4個特性的英語)
Data confidentiality 數據機密性(數據加密)通過加密保持數據的私密性。
Data intergrity 數據完整性,確保數據沒有被修改或改變。
Data origin authentication 數據源驗證,驗證通信源,確定對端的身份。
Anti-replay 防重放,確保數據沒有被復制。
18. 選擇題
Refer to the exhibt.Which field the displayed MPLS lable is used by Cicso devices to define a class of service(CoS)?
 |
A. S
B. T
C. U
D. V
選B
19. 選擇題
 |
A. The MPLS lable protocol ldp interface configuration command is required on both Ethernet interfaces of routers RTA and RTD.
B. The MPLS lable protocol ldp interface configuration command is required on the Ethernet 0 interfaces of routers RTA and RTD.
C. The MPLS lable protocol ldp interface configuration command is required on the Ethernet 1 interfaces of routers RTA and RTD.
D. The MPLS lable protocol tcp interface configuration command is required on both Ethernet interfaces of routers RTA and RTD.
E. The MPLS lable protocol tcp interface configuration command is required on the Ethernet 0 interfaces of routers RTA and RTD.
F. The MPLS lable protocol tcp interface configuration command is required on the Ethernet1 interfaces of routers RTA and RTD.
選 B
 |
 |
Config :
P4S-R(config)#int e0/0
P4S-R(config)# no ip address
P4S-R(config-if)#pppoe enable
P4S-R(config-if)#pppoe-client dial-pool-number 1
P4S-R(config-if)#no shut
P4S-R(config-if)#exit
P4S-R(config)#int dialer1
P4S-R(config-if)#encapsulation ppp
P4S-R(config-if)#ip address negotiated
P4S-R(config-if)#dialer pool 1
P4S-R(config-if)#dialer-group 1(有好多戰報的加了這句)
P4S-R(config-if)#ip mtu 1492
P4S-R(config-if)#no shut
P4S-R(config-if)#exit
P4S-R(config)#ip route 0.0.0.0 0.0.0.0 dialer1 <---- ip routing is default static to internet provider
P4S-R#copy run start
The test ip address given in the scenario: (題目中給的ip地址)
P4S-R# ping 172.16.1.1 !!!!! <----- if ping successful, you have completed this lab!
LAP 2: TACACS+ (AAA)
A company in installed new router R1 in their network. As a administrator you need to configure TACACS for the router with following configuration given below.
1. Enable the TACACS server in R1
2. Configure console and Aux for default authentication
3. Cinfigure VTY for TACACS server authentication
4. Configure the Tacacs server ip 10.2.2.2 and share key 123
5. Login to R2 using provided username and password ( username R2, password COL )
6. From R2 login to R1 using SSH and check the R1 TACACS ( username R1, Passwork TAC )
 |
Config :
R1(Config)# aaa new-model
R1(Config)# tacacs-server host 10.2.2.2 key 123 ( IP and Key may change)
R1(Config)# aaa authentication login default local
R1(Config)# aaa authentication login NAME group tacacs+ ( Only required to allow TACACS )
R1(Config)# line console 0
R1(Config)# login authentication default
R1(Config)# line aux 0
R1(Config)# login authentication default
R1(Config)# line vty 0 15
R1(Config)# login authentication NAME
R1(Config)# exit
R1# copy run start
Login to R2 with provided credentials.
R2>username R2
R2>pass : COL
R2# ssh -l 192.168.1.1 ( It should be successful !!!)
其中名NAME部分隨便輸入你想用的,例如:sshlogin, ccnp, cisco123等等,只是個名稱而已,不過在aaa authen login 名稱 group tacacs+ 這里你用的什么名稱,后面在line vty 0 15后的login authen 名稱,這里就得相匹配。還有vty 那里最后你還是"?"一下,看下有多少,總之原著仍然是0 - 15。下面再給大家PPPOE的。
hq解法
5道題的答案: 1,tunnel source ; 2,tunnel destination ; 3,eigrp as number ; 4,eigrp statement ;5 default route;
step 1:
hq路由器上show run,有4個tunnel source相同 ----解一題:tunnel source;
step 2:
hq路由器上show run,有4個tunnel destinatine 是x.x.x.1,有一個是x.x.x.2 ----解一題:tunnel destination
step 3:
在5個branch路由器上同時show run,有4個as number 是1,有一個是11 ----解一題:eigrp as number
step 4:
在5個branch路由器上同時show run,有一個router eigrp下網絡狀態是network x.x.x.0 0.0.0.0,解一題:eigrp statement
step 5:
在5個branch路由器上同時show run,有一個沒有默認路由
Final summary:
1:題目開始前問的幾個問題一定全部選B,切記切記,別選self-study,因為原著沒有選那個self-study,所以上面第三個大內容里面那些曾經兄弟發出過的新題,原著基本都沒碰見。
2:
3:HQ那道題,一定要將HQ和5個branch全部都"show run",。
SDM1 和SMD2,你可以背下來,或者理解都可以,反正原著做的時候題目和順序都沒變。不過最好是理解到,萬一改變了下順序或一些網段參數什么的呢。
補充題
1. Virus------An attempt to spread through the network of malicious code, usually attached to the other applications, when running the application is the user's workstation will not expect to carry out certain functions(一種試圖通過網絡進行傳播的惡意代碼,通常附著在其他應用程序上,當運行該應用程序是就會在用戶工作站執行某些不期望的功能)
*****
Trojan-----Refers to some may seem harmless but in fact contain harmful code applications(通指某些看似無害但實際上包含了有害代碼的應用程序)
*****
Reconnaissance attacks -----can consist of packet sniffers,port scans,ping sweeps,and internet information queries這個不用翻譯,相信大家都很熟悉了
*****
Worm------the worm executes arbitrary code and installs copies of itself in the memory of the infected computer
worm ,蠕蟲,病毒的清除, Data confidentiality Data intergrity Data origin authentication Anti-replay
2. PPPOA的ATM口的配置順序,將下面的命令拖到step 1~4的圖標上:
※Create PVC
※Associate interface with pool
※configure modulation mode
※Define encapsulation
參考書上示例的答案(不保證100%正確)1. configure modulation mode 2. Create PVC
3. Define encapsulation 4. Associate interface with pool
3. 左面給出FIB, LIB and LFIB,右面三個概念定義,進行對應拖放。
和交換標簽對路由的綁定信息,以此建Label Information Table(LIB)標簽信息表。
同時再根據路由表和LIB生成Forwarding Information Table(FIB)表和Label Forwarding Information Table(LFIB)表
4. 類似下圖,左面是各條語句,右面給出四個選項1.interface F0/0,2.interface F0/1, 3.ip access-list extended OUTSIDEACL, 4. ip access-list extended INSIDEACL,將對應語句拖入右面對應選項。
 |
5. 給一個VPN冗余的圖,下面寫一段配置,選擇使用了哪種技術。這個一看就知道選HSRP!
新的選擇題有3題ios firewall 的,還有一個題目是問CBAC IOS firewall set 的
還有2題是給了aaa配置,有本地,遠程,問你telnet console 分別要用那個密碼驗證
另外一道是拖圖題,好像是7選7,和IOS FIREWALL有關
還有就是把ping sweeps ,port scans,packet sniffer,trust exploitation, port redirection , man-in-the-middle這幾個的相關題目了解清楚,有人遇到過相關拖圖題。
【編輯推薦】
