計算機人工智慧的研究是建立在現代科學基礎之上。智慧化是計算機發展的一個重要方向,新一代計算機,將可以模擬人的感覺行為和思維過程的機理。下面是小編整理的關於網路工程師考試考試內容,歡迎大家參考!
【問題】
crypto isakmp policy 1 //配置ike策略1
authentication pre-share //ike策略1的驗證方法設為pre_share
group 2 //加密演算法未設定則取預設值:des
crypto isakmp key test123 address //設定pre-share金鑰為test123,此值兩端需一致
crypto ipsec transform-set vpntag ah-md5-hmac esp-des //設定ah雜湊演算法為md5,esp加密演算法為des
crypto map vpndemp 10 ipsec-isakmp //定義crypto map
set peer //設定隧道對端ip地址
set transform-set vpntag //設定隧道ah及esp
match address 101
!
interface tunnel0 //定義隧道介面
ip address //隧道埠ip地址
no ip directed-broadcast
tunnel source //隧道源端地址
tunnel destination //隧道目標端地址
crypto map vpndemo //應用vpndemo於此介面
interface serial0/0
ip address //串列埠的internet ip地址
no ip directed-broadcast
crypto map vpndemo //應用vpndemo於此埠
!
interface ethernet0/1
ip address //外部埠ip地址
no ip directed-broadcast
interface ethernet0/0
ip address //內部埠ip地址
no ip directed-broadcast
!
ip classless
ip route //預設靜態路由
ip route //到內網靜態路由(經過隧道)
access-lost 101 permit gre host host //定義訪問控制列表
【問題1】
訪問列表能夠幫助控制網上ip包的傳輸,主要用在以下幾個方面:
1、控制一個埠的包傳輸
2、控制虛擬終端訪問數量
3、限制路由更新的內容
【問題2】
•標準ip訪問列表
–檢查源地址
–通常允許、拒絕的是完整的協議
•擴充套件ip訪問列表
–檢查源地址和目的地址
–通常允許、拒絕的是某個特定的協議
【問題3】
在此例中所有的ip資料包將全部不能從serial 0埠傳送出去。
原因:在預設情況下,除非明確規定允許通過,訪問列表總是阻止或拒絕一切資料包的通過,即實際上在每個訪問列表的最後,都隱含有一條"deny any"的語句。
假設我們使用了前面建立的標準ip訪問列表,從路由器的角度來看,這條語句實際內容如下:
access-list 1 deny
access-list 1 deny any
因此我們應將配置改為:
access-list 1 deny
access-list 1 permit any
interface serial 0
ip access-group 1 out
【問題1】
ipsec實現的vpn主要有下面四個配置部分。
1、 為ipsec做準備
為ipsec做準備涉及到確定詳細的加密策略,包括確定我們要保護的主機和網路,選擇一種認證方法,確定有關ipsec對等體的詳細資訊,確定我們所需的ipsec特性,並確認現有的訪問控制列表允許ipsec資料通過。
步驟1:根據對等體的數量和位置在ipsec對等體間確定一個ike(ike階段1或者主模式)策略;
步驟2:確定ipsec(ike階段2,或快捷模式)策略,包括ipsec對等體的細節資訊,例如ip地址及ipsec變換集和模式;
步驟3:用“write terminal”、“show isakmp”、“show isakmp policy”、“show crypto map”命令及其它的命令來檢查當前的配置;
步驟4:確認在沒有使用加密前網路能夠正常工作,用ping命令並在加密前執行測試資料來排除基本的路由故障;
步驟5:確認在邊界路由器和防火牆中已有的訪問控制列表允許ipsec資料流通過,或者想要的資料流將可以被過濾出來。
2、 配置ike
配置ike涉及到啟用ike(和isakmp是同義詞),建立ike策略,驗證我們的配置。
步驟1:用isakmp enable命令來啟用或關閉ike;
步驟2:用isakmp policy命令建立ike策略;
步驟3:用isakmp key命令和相關命令來配置預共享金鑰;
步驟4:用show isakmp[policy]命令來驗證ike的配置。
3、 配置ipsec
ipsec配置包括建立加密用訪問控制列表、定義變換集、建立加密圖條目、並將加密集應用到介面上去。
步驟1:用access-list命令來配置加密用訪問控制列表:
例如:
access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr des_mask [operator port [port]]
步驟2:用cryto ipsec transform-set命令配置交換集;
例如:
crypto ipsec transformp-set transform-set-name transform1 [transform2 [transform3]]
步驟3:(任選)用crypto ipsec security-accociation lifetime命令來配置全域性性的ipsec安全關聯的生存期;
步驟4:用crypto map命令來配置加密圖;
步驟5:用interface命令和crypto map map-name interface應用到介面上;
步驟6:用各種可用的show命令來驗證ipsec的配置。
4、 測試和驗證ipsec
該任務涉及到使用“show”、“debug”和相關的命令來測試和驗證ipsec加密工作是否正常,併為之排除故障。
注:此類題目要求答出主要步驟即可。
