2.93 + 3.10的部分:26、32、45、78、95、118、127、130、144、153、156、162、177、198、216、225、245、257、260-261、263-265、270、278-291、301,303、306-310 。
(记住在题目开始前的选择中,全部选B,别去选C:self-study,这样就会避免很多在"三:论坛已PASS的兄弟曾经发过的新题"里面的那些新题了)
在写这篇贴子前,仔细又翻完了2.93和3.10的题库,真正遇见2道没见过的题,1道是关于SDM里面防火墙DMZ配置的截图后选择;另外1道有论坛兄弟稍稍点到带过的拖图新题,不过那个兄弟没有说清楚题目及选项,一会儿后面给大家一个比较清楚点的回忆内容。最后看了下其他都是100%,只有IOS Firewall是88%,估计就是错的那道没见过的SDM配置防火墙的选择题上了。
PS:如果下面任何题目有让您疑惑或怀疑的地方,请一定向您的指导老师询问最后答案,并多结合课件和书来对比查看,或许是原著这总结的东西有错,或许是您有某些地方没理解到。
原著就是Name:yeyingfei的兄弟,以下都代表了
一:修正
1. 3.10题库287题。(原著注解:竟然没有一个兄弟曾经发现…)
修正的信心来源于PPT课件,见下截图:
 |
所以原著觉得287题的答案应该是:
 |
题库的答案顺序不是这样,本人还是同意战报原著及书本上的,本人同意上面这个。
2.还有道3.10题库里面 261 题,已经被某兄弟指出修正的:
 |
二:原著所遇见的新题。
1、防火墙里关于DMZ的配置,题目中给出的截图类似PPT课件里面的下图:
 |
题目要求好像是叫你选择在这个DMZ区里可以实现什么功能,题里的图片给的好像是TCP的23号端口还是25号端口,原著觉得应该是错在这个上面了。
2、拖图题:8选6,题目要求在各个Interface里面配置PPPOE的NAT/PAT。
可以拖动的8条命令大概是(命令的前后顺序稍有差错,但命令本身大致应该是差不多的)
a. ip nat inside
b. ip nat outside
c. no ip address
d. ip address 10.x.x.x 255.255.255.0
e. access-list 101 permit ip 10.x.x.x 255.255.255.0 any
f. access-list 101 deny ip any any
g. ip nat inside source list 101 interface Dialer 0 overload
h. ip nat inside source list 101 interface e 0/0 overload
global command ( 2个需要拖入的空格)
e. access-list 101 permit ip 10.x.x.x 255.255.255.0 any
g. ip nat inside source list 101 interface Dialer 0 overload
interface e0/0 ( 2个需要拖入的空格)
c. no ip address
a. ip nat inside
interface dialer 0 ( 1个需要拖入的空格)
b. ip nat outside
interface e0/1 ( 1个需要拖入的空格)
d. ip address 10.x.x.x 255.255.255.0
这道题原著是记得自己是这样选择的,大家最好再看看书和课件里面PPPOE的PAT/NAT的配置,然后联系给出的8条命令来选择适合的拖进适合的接口里面。
论坛新题:
1. MPLS拖图题,给出了6个概念,分成两类,
一类是control plane,控制平面,负责处理相邻设备的路由选择和标签信息的交换。
另外一类是data plane,数据平面(也叫转发平面),根据目的地址或标签转发流量。
前面三个选项都是data plane的,后面三个都是control plane的
例如FIB LFIB是data plane的,LDP,TDP,RSVP和各种路由协议都是control plane的
2. 拖图ADSL分离器 6选3
答案是:1,安装在end user端;
2,将语音信号传递给老式电话同时隔离adsl上的语音信号;
3,将ADSL信号传递给modem同时阻止post上的adsl信号。
3.MPLS其中一道是选择题,之前有朋友提到过的了大意是RB和RC已经建立了LDP,而有一个路由过来没有打到标签,问为什么?选使用了IGP汇总路由,答案是A
 |
4. 原著把题目忘了,原著选的是最后一个,前4个有only的单词最后一个没有。选最后一个。
5. 有个atm mtu得问题 原著选了在dialer0上 稍大1492
6. 有个关于ssh的domain、vty下应用、还有本地或tacacs
7. 其中有一道拖图题是选择IPSEC VPN的建立顺序,5个中选3个。
8. 另外一道拖图题是把各种攻击拖到对应的防范方法,如DOS,ping攻击,中间人攻击,端口扫描,包嗅探等
各种攻击对应解决办法:左面给出Dos,Packet Sniffer, Password exploitation, Man-in-middle,IP spoofing, Worm attack,右面给出各种应对方式,拖放对应项,下面的内容足以应付。
Packet sniffer attacks :can be mitigated by cryptography, switched infrastructure, and antisniffer tools.
Port scans and ping sweeps: are mitigated by network and host IPS.
Password attacks: can be mitigated by strong password rules, disabling accounts after unsuccessful logins,and never sending passwords in plaintext.
Trust exploitation and port redirection :are defended against by a proper use of trust model.
Man-in-the-middle attacks :can be mitigated through cryptography.
IP spoofing attacks:can be defended against by access control, RFC 3704 filtering, and additional authentication.
DoS and distributed DoS attacks: can be mitigated through antispoof features, anti-DoS features and traffic rate limiting.
Worm attacks: can be mitigated by containment, inoculation, quarantine, and treatment.
Viruses and Trojan horse attacks :can be defended against using up-to-date antivirus software.
Application layer attacks :can be mitigated by IPS, as well as operating system and application hardening.
Management protocol attacks :can be mitigated by selecting secure protocols and filtering the management traffic.
9. 选择题是给出ACL的截图,然后问这是用来抵御什么攻击的,原著选的是IP地址欺骗攻击(ip spoofing attacks),应该是对的。
10. 还有一道新题,是说主机不能ping通server。主机和server之间是2个router。
ROUTER之间建立的是GRE 隧道。给出了2个ROUTER的配置,然后问是什么原因造成的。
从配置上能看到主机这边的ROUTER的隧道源接口用的是一个down了接口,而对端router的隧道目的地址是另外一个接口的IP地址,所以答案应该选源接口使用错误
11. 有一道的答案是什么A:11 B:17 C: 17,23800 D:23800
问哪个是vpn ipv4的标签,选d
12. 拖图有1道新题,很简单,关于IPSEC IKE的 5拖3 有两个错的不选 一个是主模式是IKE第二阶段 还一个是快速模式是IKE第一阶段 很明显这两个不选
13. C1 and C2 are customer routers , Rta ,Rtb ,Rtc and Rtd are provider routers .which of the following frame mode MPLS configuration statements is ture?
 |
A. the mpls ip command must be applied to all routers .
B. the mpls ip command is only applied on the provider routers .
C. the mpls ip command is only applied on both Ethernet interfaces of routers Ra and Rd .
D. the mpls ip command is only applied on the Ethernet 1 interface of routers Ra and Rd .
E. the mpls ip command is enabled by default on all routers .
AN:B
14. access-list 101 permit tcp any eq 20 10.2.1.0 0.0.0.255 gt 1023
what is the effect of the access list ?
A. to permit FTP commands originating from hosts on the 10.2.1.0/24 network .
B. to permit FTP commands that are destined for the 10.2.1.0/24 network.
C. to permit initial packets from the FTP date sessions so that FTP clients in the 10.2.1.0/24 network can use FTP .
D. to permit initial packets from the FTP data sessions so that FTP clients can access servers in the 10.2.1.0/24 network .
AN:C
15. which Security Device Manager(SDM) action is used to customize the intrusion prevention services(IPS) signature options ?(choose one)
A. Click the Security Audit task .
B. Click the Launch IPS Rule Wizard button .
C. Click the Edit IPS tab.
D. Click the Firewall and ACL task .
AN:C
16. ACL拖图题。
 |
17. 拖图题,是关于IPSec 的4个安全特性,防重放,数据加密,数据完整性,数据源验证。(下面给出大家 这4个特性的英语)
Data confidentiality 数据机密性(数据加密)通过加密保持数据的私密性。
Data intergrity 数据完整性,确保数据没有被修改或改变。
Data origin authentication 数据源验证,验证通信源,确定对端的身份。
Anti-replay 防重放,确保数据没有被复制。
18. 选择题
Refer to the exhibt.Which field the displayed MPLS lable is used by Cicso devices to define a class of service(CoS)?
 |
A. S
B. T
C. U
D. V
选B
19. 选择题
 |
A. The MPLS lable protocol ldp interface configuration command is required on both Ethernet interfaces of routers RTA and RTD.
B. The MPLS lable protocol ldp interface configuration command is required on the Ethernet 0 interfaces of routers RTA and RTD.
C. The MPLS lable protocol ldp interface configuration command is required on the Ethernet 1 interfaces of routers RTA and RTD.
D. The MPLS lable protocol tcp interface configuration command is required on both Ethernet interfaces of routers RTA and RTD.
E. The MPLS lable protocol tcp interface configuration command is required on the Ethernet 0 interfaces of routers RTA and RTD.
F. The MPLS lable protocol tcp interface configuration command is required on the Ethernet1 interfaces of routers RTA and RTD.
选 B
 |
 |
Config :
P4S-R(config)#int e0/0
P4S-R(config)# no ip address
P4S-R(config-if)#pppoe enable
P4S-R(config-if)#pppoe-client dial-pool-number 1
P4S-R(config-if)#no shut
P4S-R(config-if)#exit
P4S-R(config)#int dialer1
P4S-R(config-if)#encapsulation ppp
P4S-R(config-if)#ip address negotiated
P4S-R(config-if)#dialer pool 1
P4S-R(config-if)#dialer-group 1(有好多战报的加了这句)
P4S-R(config-if)#ip mtu 1492
P4S-R(config-if)#no shut
P4S-R(config-if)#exit
P4S-R(config)#ip route 0.0.0.0 0.0.0.0 dialer1 <---- ip routing is default static to internet provider
P4S-R#copy run start
The test ip address given in the scenario: (题目中给的ip地址)
P4S-R# ping 172.16.1.1 !!!!! <----- if ping successful, you have completed this lab!
LAP 2: TACACS+ (AAA)
A company in installed new router R1 in their network. As a administrator you need to configure TACACS for the router with following configuration given below.
1. Enable the TACACS server in R1
2. Configure console and Aux for default authentication
3. Cinfigure VTY for TACACS server authentication
4. Configure the Tacacs server ip 10.2.2.2 and share key 123
5. Login to R2 using provided username and password ( username R2, password COL )
6. From R2 login to R1 using SSH and check the R1 TACACS ( username R1, Passwork TAC )
 |
Config :
R1(Config)# aaa new-model
R1(Config)# tacacs-server host 10.2.2.2 key 123 ( IP and Key may change)
R1(Config)# aaa authentication login default local
R1(Config)# aaa authentication login NAME group tacacs+ ( Only required to allow TACACS )
R1(Config)# line console 0
R1(Config)# login authentication default
R1(Config)# line aux 0
R1(Config)# login authentication default
R1(Config)# line vty 0 15
R1(Config)# login authentication NAME
R1(Config)# exit
R1# copy run start
Login to R2 with provided credentials.
R2>username R2
R2>pass : COL
R2# ssh -l 192.168.1.1 ( It should be successful !!!)
其中名NAME部分随便输入你想用的,例如:sshlogin, ccnp, cisco123等等,只是个名称而已,不过在aaa authen login 名称 group tacacs+ 这里你用的什么名称,后面在line vty 0 15后的login authen 名称,这里就得相匹配。还有vty 那里最后你还是"?"一下,看下有多少,总之原著仍然是0 - 15。下面再给大家PPPOE的。
hq解法
5道题的答案: 1,tunnel source ; 2,tunnel destination ; 3,eigrp as number ; 4,eigrp statement ;5 default route;
step 1:
hq路由器上show run,有4个tunnel source相同 ----解一题:tunnel source;
step 2:
hq路由器上show run,有4个tunnel destinatine 是x.x.x.1,有一个是x.x.x.2 ----解一题:tunnel destination
step 3:
在5个branch路由器上同时show run,有4个as number 是1,有一个是11 ----解一题:eigrp as number
step 4:
在5个branch路由器上同时show run,有一个router eigrp下网络状态是network x.x.x.0 0.0.0.0,解一题:eigrp statement
step 5:
在5个branch路由器上同时show run,有一个没有默认路由
Final summary:
1:题目开始前问的几个问题一定全部选B,切记切记,别选self-study,因为原著没有选那个self-study,所以上面第三个大内容里面那些曾经兄弟发出过的新题,原著基本都没碰见。
2:
3:HQ那道题,一定要将HQ和5个branch全部都"show run",。
SDM1 和SMD2,你可以背下来,或者理解都可以,反正原著做的时候题目和顺序都没变。不过最好是理解到,万一改变了下顺序或一些网段参数什么的呢。
补充题
1. Virus------An attempt to spread through the network of malicious code, usually attached to the other applications, when running the application is the user's workstation will not expect to carry out certain functions(一种试图通过网络进行传播的恶意代码,通常附着在其他应用程序上,当运行该应用程序是就会在用户工作站执行某些不期望的功能)
*****
Trojan-----Refers to some may seem harmless but in fact contain harmful code applications(通指某些看似无害但实际上包含了有害代码的应用程序)
*****
Reconnaissance attacks -----can consist of packet sniffers,port scans,ping sweeps,and internet information queries这个不用翻译,相信大家都很熟悉了
*****
Worm------the worm executes arbitrary code and installs copies of itself in the memory of the infected computer
worm ,蠕虫,病毒的清除, Data confidentiality Data intergrity Data origin authentication Anti-replay
2. PPPOA的ATM口的配置顺序,将下面的命令拖到step 1~4的图标上:
※Create PVC
※Associate interface with pool
※configure modulation mode
※Define encapsulation
参考书上示例的答案(不保证100%正确)1. configure modulation mode 2. Create PVC
3. Define encapsulation 4. Associate interface with pool
3. 左面给出FIB, LIB and LFIB,右面三个概念定义,进行对应拖放。
和交换标签对路由的绑定信息,以此建Label Information Table(LIB)标签信息表。
同时再根据路由表和LIB生成Forwarding Information Table(FIB)表和Label Forwarding Information Table(LFIB)表
4. 类似下图,左面是各条语句,右面给出四个选项1.interface F0/0,2.interface F0/1, 3.ip access-list extended OUTSIDEACL, 4. ip access-list extended INSIDEACL,将对应语句拖入右面对应选项。
 |
5. 给一个VPN冗余的图,下面写一段配置,选择使用了哪种技术。这个一看就知道选HSRP!
新的选择题有3题ios firewall 的,还有一个题目是问CBAC IOS firewall set 的
还有2题是给了aaa配置,有本地,远程,问你telnet console 分别要用那个密码验证
另外一道是拖图题,好像是7选7,和IOS FIREWALL有关
还有就是把ping sweeps ,port scans,packet sniffer,trust exploitation, port redirection , man-in-the-middle这几个的相关题目了解清楚,有人遇到过相关拖图题。
【编辑推荐】
