2.93 + 3.10的部分：26、32、45、78、95、118、127、130、144、153、156、162、177、198、216、225、245、257、260-261、263-265、270、278-291、301,303、306-310 。

(記住在題目開始前的選擇中，全部選B，別去選C：self-study，這樣就會避免很多在"三：論壇已PASS的兄弟曾經(jīng)發(fā)過的新題"里面的那些新題了）

在寫這篇貼子前，仔細(xì)又翻完了2.93和3.10的題庫，真正遇見2道沒見過的題，1道是關(guān)于SDM里面防火墻DMZ配置的截圖后選擇；另外1道有論壇兄弟稍稍點到帶過的拖圖新題，不過那個兄弟沒有說清楚題目及選項，一會兒后面給大家一個比較清楚點的回憶內(nèi)容。最后看了下其他都是100%，只有IOS Firewall是88%，估計就是錯的那道沒見過的SDM配置防火墻的選擇題上了。

PS：如果下面任何題目有讓您疑惑或懷疑的地方，請一定向您的指導(dǎo)老師詢問最后答案，并多結(jié)合課件和書來對比查看，或許是原著這總結(jié)的東西有錯，或許是您有某些地方?jīng)]理解到。
原著就是Name：yeyingfei的兄弟，以下都代表了

一：修正
1. 3.10題庫287題。（原著注解：竟然沒有一個兄弟曾經(jīng)發(fā)現(xiàn)…）
修正的信心來源于PPT課件，見下截圖：

所以原著覺得287題的答案應(yīng)該是：
題庫的答案順序不是這樣，本人還是同意戰(zhàn)報原著及書本上的，本人同意上面這個。
2.還有道3.10題庫里面 261 題，已經(jīng)被某兄弟指出修正的：

 

二：原著所遇見的新題。
1、防火墻里關(guān)于DMZ的配置，題目中給出的截圖類似PPT課件里面的下圖：

 

題目要求好像是叫你選擇在這個DMZ區(qū)里可以實現(xiàn)什么功能，題里的圖片給的好像是TCP的23號端口還是25號端口，原著覺得應(yīng)該是錯在這個上面了。
2、拖圖題：8選6，題目要求在各個Interface里面配置PPPOE的NAT/PAT。
可以拖動的8條命令大概是（命令的前后順序稍有差錯，但命令本身大致應(yīng)該是差不多的）
a. ip nat inside
b. ip nat outside
c. no ip address
d. ip address 10.x.x.x  255.255.255.0
e. access-list 101 permit ip 10.x.x.x 255.255.255.0 any
f. access-list 101 deny ip any any
g. ip nat inside source list 101 interface Dialer 0 overload
h. ip nat inside source list 101 interface e 0/0 overload
global command   ( 2個需要拖入的空格)
e. access-list 101 permit ip 10.x.x.x 255.255.255.0 any
g. ip nat inside source list 101 interface Dialer 0 overload
interface e0/0     ( 2個需要拖入的空格)
c. no ip address
a. ip nat inside
interface dialer 0   ( 1個需要拖入的空格)
b. ip nat outside
interface e0/1      ( 1個需要拖入的空格)
d. ip address 10.x.x.x  255.255.255.0
這道題原著是記得自己是這樣選擇的，大家最好再看看書和課件里面PPPOE的PAT/NAT的配置，然后聯(lián)系給出的8條命令來選擇適合的拖進(jìn)適合的接口里面。
論壇新題：
1. MPLS拖圖題，給出了6個概念，分成兩類，
一類是control plane，控制平面，負(fù)責(zé)處理相鄰設(shè)備的路由選擇和標(biāo)簽信息的交換。
另外一類是data plane，數(shù)據(jù)平面（也叫轉(zhuǎn)發(fā)平面），根據(jù)目的地址或標(biāo)簽轉(zhuǎn)發(fā)流量。
前面三個選項都是data plane的，后面三個都是control plane的
例如FIB LFIB是data plane的，LDP，TDP，RSVP和各種路由協(xié)議都是control plane的

2. 拖圖ADSL分離器  6選3
答案是:1,安裝在end user端；
       2,將語音信號傳遞給老式電話同時隔離adsl上的語音信號；
       3,將ADSL信號傳遞給modem同時阻止post上的adsl信號。
3.MPLS其中一道是選擇題，之前有朋友提到過的了大意是RB和RC已經(jīng)建立了LDP，而有一個路由過來沒有打到標(biāo)簽，問為什么？選使用了IGP匯總路由，答案是A

4. 原著把題目忘了，原著選的是最后一個，前4個有only的單詞最后一個沒有。選最后一個。
5. 有個atm mtu得問題  原著選了在dialer0上 稍大1492
6. 有個關(guān)于ssh的domain、vty下應(yīng)用、還有本地或tacacs
7. 其中有一道拖圖題是選擇IPSEC VPN的建立順序，5個中選3個。
8. 另外一道拖圖題是把各種攻擊拖到對應(yīng)的防范方法，如DOS，ping攻擊，中間人攻擊，端口掃描，包嗅探等
各種攻擊對應(yīng)解決辦法：左面給出Dos，Packet Sniffer, Password exploitation, Man-in-middle,IP spoofing, Worm attack,右面給出各種應(yīng)對方式，拖放對應(yīng)項，下面的內(nèi)容足以應(yīng)付。
Packet sniffer attacks ：can be mitigated by cryptography, switched infrastructure, and antisniffer tools.
Port scans and ping sweeps： are mitigated by network and host IPS.
Password attacks： can be mitigated by strong password rules, disabling accounts after unsuccessful logins,and never sending passwords in plaintext.
Trust exploitation and port redirection ：are defended against by a proper use of trust model.
Man-in-the-middle attacks ：can be mitigated through cryptography.
IP spoofing attacks：can be defended against by access control, RFC 3704 filtering, and additional authentication.
DoS and distributed DoS attacks： can be mitigated through antispoof features, anti-DoS features and traffic rate limiting.
Worm attacks： can be mitigated by containment, inoculation, quarantine, and treatment.
Viruses and Trojan horse attacks ：can be defended against using up-to-date antivirus software.
Application layer attacks ：can be mitigated by IPS, as well as operating system and application hardening.
Management protocol attacks ：can be mitigated by selecting secure protocols and filtering the management traffic.
9. 選擇題是給出ACL的截圖，然后問這是用來抵御什么攻擊的，原著選的是IP地址欺騙攻擊（ip spoofing attacks），應(yīng)該是對的。
10. 還有一道新題，是說主機(jī)不能ping通server。主機(jī)和server之間是2個router。
ROUTER之間建立的是GRE 隧道。給出了2個ROUTER的配置，然后問是什么原因造成的。
從配置上能看到主機(jī)這邊的ROUTER的隧道源接口用的是一個down了接口，而對端router的隧道目的地址是另外一個接口的IP地址，所以答案應(yīng)該選源接口使用錯誤
11. 有一道的答案是什么A:11 B:17 C: 17,23800 D:23800
問哪個是vpn ipv4的標(biāo)簽，選d
12. 拖圖有1道新題，很簡單，關(guān)于IPSEC IKE的 5拖3 有兩個錯的不選 一個是主模式是IKE第二階段 還一個是快速模式是IKE第一階段 很明顯這兩個不選
13.  C1 and C2 are customer routers , Rta ,Rtb ,Rtc and Rtd are provider routers .which of the following frame mode MPLS configuration statements is ture?

A. the mpls ip command must be applied to all routers .
B. the mpls ip command is only applied on the provider routers .
C. the mpls ip command is only applied on both Ethernet interfaces of routers Ra and Rd .
D. the mpls ip command is only applied on the Ethernet 1 interface of routers Ra and Rd .
E. the mpls ip command is enabled by default on all routers .
AN:B
14.  access-list 101 permit tcp any eq 20 10.2.1.0 0.0.0.255 gt 1023
    what is the effect of the access list ?
A. to permit FTP commands originating from hosts on the 10.2.1.0/24 network .
B. to permit FTP commands that are destined for the 10.2.1.0/24 network.
C. to permit initial packets from the FTP date sessions so that FTP clients in the 10.2.1.0/24 network can use FTP .
D. to permit initial packets from the FTP data sessions so that FTP clients can access servers in the 10.2.1.0/24 network .
AN:C
15. which Security Device Manager(SDM) action is used to customize the intrusion prevention services(IPS) signature options ?（choose one）
A. Click the Security Audit task .
B. Click the Launch IPS Rule Wizard button .
C. Click the Edit IPS tab.
D. Click the Firewall and ACL task .
AN:C

16. ACL拖圖題。

17. 拖圖題，是關(guān)于IPSec 的4個安全特性，防重放，數(shù)據(jù)加密，數(shù)據(jù)完整性，數(shù)據(jù)源驗證。（下面給出大家 這4個特性的英語）
Data confidentiality        數(shù)據(jù)機(jī)密性（數(shù)據(jù)加密）通過加密保持?jǐn)?shù)據(jù)的私密性。
Data intergrity            數(shù)據(jù)完整性，確保數(shù)據(jù)沒有被修改或改變。
Data origin authentication   數(shù)據(jù)源驗證，驗證通信源，確定對端的身份。
Anti-replay               防重放，確保數(shù)據(jù)沒有被復(fù)制。

18. 選擇題
Refer to the exhibt.Which field the displayed MPLS lable is used by Cicso devices to define a class of service(CoS)?

A. S
B. T
C. U
D. V
選B

19. 選擇題

Refer to the exhibt.Router C1 and C2 are customer routers. Router RTA and RTD are Cisco routers in the provider network Routers RTB and RTC are non-Cisco routers in the provider network.Which frame mode MPLS configuration statement is ture?
A. The MPLS lable protocol ldp interface configuration command is required on both Ethernet interfaces of routers RTA and RTD.
B. The MPLS lable protocol ldp interface configuration command is required on the Ethernet 0 interfaces of routers RTA and RTD.
C.  The MPLS lable protocol ldp interface configuration command is required on the Ethernet 1 interfaces of routers RTA and RTD.
D.  The MPLS lable protocol tcp interface configuration command is required on both Ethernet interfaces of routers RTA and RTD.
E.  The MPLS lable protocol tcp interface configuration command is required on the Ethernet 0 interfaces of routers RTA and RTD.
F. The MPLS lable protocol tcp interface configuration command is required on the Ethernet1 interfaces of routers RTA and RTD.
選 B

Config :
P4S-R(config)#int e0/0
P4S-R(config)# no ip address
P4S-R(config-if)#pppoe enable
P4S-R(config-if)#pppoe-client dial-pool-number 1
P4S-R(config-if)#no shut
P4S-R(config-if)#exit
P4S-R(config)#int dialer1
P4S-R(config-if)#encapsulation ppp
P4S-R(config-if)#ip address negotiated
P4S-R(config-if)#dialer pool 1
P4S-R(config-if)#dialer-group 1(有好多戰(zhàn)報的加了這句)
P4S-R(config-if)#ip mtu 1492
P4S-R(config-if)#no shut
P4S-R(config-if)#exit
P4S-R(config)#ip route 0.0.0.0 0.0.0.0 dialer1 <---- ip routing is default static to internet provider
P4S-R#copy run start
The test ip address given in the scenario: (題目中給的ip地址)
P4S-R# ping 172.16.1.1  !!!!! <----- if ping successful, you have completed this lab!
LAP 2: TACACS+ (AAA)
A company in installed new router R1 in their network. As a administrator you need to configure TACACS for the router with following configuration given below.
1. Enable the TACACS server in R1
2. Configure console and Aux for default authentication
3. Cinfigure VTY for TACACS server authentication
4. Configure the Tacacs server ip 10.2.2.2 and share key 123
5. Login to R2 using provided username and password ( username R2, password COL )
6. From R2 login to R1 using SSH and check the R1 TACACS ( username R1, Passwork TAC )

Config :
R1(Config)# aaa new-model
R1(Config)# tacacs-server host 10.2.2.2 key 123 ( IP and Key may change)
R1(Config)# aaa authentication login default local
R1(Config)# aaa authentication login NAME group tacacs+ ( Only required to allow TACACS )
R1(Config)# line console 0
R1(Config)# login authentication default
R1(Config)# line aux 0
R1(Config)# login authentication default
R1(Config)# line vty 0 15
R1(Config)# login authentication NAME
R1(Config)# exit
R1# copy run start
Login to R2 with provided credentials.
R2>username R2
R2>pass : COL
R2# ssh -l 192.168.1.1 ( It should be successful !!!)
其中名NAME部分隨便輸入你想用的，例如：sshlogin, ccnp, cisco123等等，只是個名稱而已，不過在aaa authen login 名稱 group tacacs+ 這里你用的什么名稱，后面在line vty 0 15后的login authen 名稱，這里就得相匹配。還有vty 那里最后你還是"？"一下，看下有多少，總之原著仍然是0 - 15。下面再給大家PPPOE的。

hq解法
5道題的答案: 1,tunnel source ; 2,tunnel destination ; 3,eigrp as number ; 4,eigrp statement ;5 default route;
step 1:
hq路由器上show run,有4個tunnel source相同 ----解一題:tunnel source；
step 2:
hq路由器上show run,有4個tunnel destinatine 是x.x.x.1,有一個是x.x.x.2  ----解一題:tunnel destination
step 3:
在5個branch路由器上同時show run,有4個as number 是1，有一個是11 ----解一題:eigrp as number
step 4:
在5個branch路由器上同時show run,有一個router eigrp下網(wǎng)絡(luò)狀態(tài)是network x.x.x.0 0.0.0.0，解一題:eigrp statement
step 5:
在5個branch路由器上同時show run,有一個沒有默認(rèn)路由
Final summary:
1：題目開始前問的幾個問題一定全部選B，切記切記，別選self-study，因為原著沒有選那個self-study，所以上面第三個大內(nèi)容里面那些曾經(jīng)兄弟發(fā)出過的新題，原著基本都沒碰見。

2：
3：HQ那道題，一定要將HQ和5個branch全部都"show run"，。
SDM1 和SMD2，你可以背下來，或者理解都可以，反正原著做的時候題目和順序都沒變。不過最好是理解到，萬一改變了下順序或一些網(wǎng)段參數(shù)什么的呢。

補(bǔ)充題
1. Virus------An attempt to spread through the network of malicious code, usually attached to the other applications, when running the application is the user's workstation will not expect to carry out certain functions（一種試圖通過網(wǎng)絡(luò)進(jìn)行傳播的惡意代碼，通常附著在其他應(yīng)用程序上，當(dāng)運行該應(yīng)用程序是就會在用戶工作站執(zhí)行某些不期望的功能）
*****
Trojan-----Refers to some may seem harmless but in fact contain harmful code applications（通指某些看似無害但實際上包含了有害代碼的應(yīng)用程序）
*****
Reconnaissance attacks -----can consist of packet sniffers,port scans,ping sweeps,and internet information queries這個不用翻譯，相信大家都很熟悉了
*****
Worm------the worm executes arbitrary code and installs copies of itself in the memory of the infected computer
worm ,蠕蟲,病毒的清除, Data confidentiality    Data intergrity     Data origin authentication   Anti-replay
2. PPPOA的ATM口的配置順序，將下面的命令拖到step 1~4的圖標(biāo)上：
※Create PVC
※Associate interface with pool
※configure modulation mode
※Define encapsulation
參考書上示例的答案（不保證100%正確）1. configure modulation mode  2. Create PVC
3. Define encapsulation 4. Associate interface with pool

3. 左面給出FIB, LIB and LFIB，右面三個概念定義，進(jìn)行對應(yīng)拖放。
和交換標(biāo)簽對路由的綁定信息，以此建Label Information Table(LIB)標(biāo)簽信息表。
同時再根據(jù)路由表和LIB生成Forwarding Information Table(FIB)表和Label Forwarding Information Table(LFIB)表

4. 類似下圖，左面是各條語句，右面給出四個選項1.interface F0/0，2.interface F0/1, 3.ip access-list extended OUTSIDEACL, 4. ip access-list extended INSIDEACL，將對應(yīng)語句拖入右面對應(yīng)選項。

5. 給一個VPN冗余的圖，下面寫一段配置，選擇使用了哪種技術(shù)。這個一看就知道選HSRP！

新的選擇題有3題ios firewall 的，還有一個題目是問CBAC IOS firewall set 的
還有2題是給了aaa配置,有本地,遠(yuǎn)程,問你telnet console 分別要用那個密碼驗證
另外一道是拖圖題，好像是7選7，和IOS FIREWALL有關(guān)
還有就是把ping sweeps ，port scans，packet sniffer，trust exploitation， port redirection , man-in-the-middle這幾個的相關(guān)題目了解清楚，有人遇到過相關(guān)拖圖題。

【編輯推薦】

1. 4月27日北京CCNP825戰(zhàn)報
2. 4月12日成都CCNP642－845戰(zhàn)報
3. 4月5日CCNP(642-892)1000分通過