計算機人工智能的研究是建立在現代科學基礎之上。智能化是計算機發展的一個重要方向,新一代計算機,將可以模擬人的感覺行為和思維過程的機理。下面是小編整理的關於網絡工程師考試考試內容,歡迎大家參考!
【問題】
crypto isakmp policy 1 //配置ike策略1
authentication pre-share //ike策略1的驗證方法設為pre_share
group 2 //加密算法未設置則取默認值:des
crypto isakmp key test123 address //設置pre-share密鑰為test123,此值兩端需一致
crypto ipsec transform-set vpntag ah-md5-hmac esp-des //設置ah散列算法為md5,esp加密算法為des
crypto map vpndemp 10 ipsec-isakmp //定義crypto map
set peer //設置隧道對端ip地址
set transform-set vpntag //設置隧道ah及esp
match address 101
!
interface tunnel0 //定義隧道接口
ip address //隧道端口ip地址
no ip directed-broadcast
tunnel source //隧道源端地址
tunnel destination //隧道目標端地址
crypto map vpndemo //應用vpndemo於此接口
interface serial0/0
ip address //串口的internet ip地址
no ip directed-broadcast
crypto map vpndemo //應用vpndemo於此端口
!
interface ethernet0/1
ip address //外部端口ip地址
no ip directed-broadcast
interface ethernet0/0
ip address //內部端口ip地址
no ip directed-broadcast
!
ip classless
ip route //默認靜態路由
ip route //到內網靜態路由(經過隧道)
access-lost 101 permit gre host host //定義訪問控制列表
【問題1】
訪問列表能夠幫助控制網上ip包的傳輸,主要用在以下幾個方面:
1、控制一個端口的包傳輸
2、控制虛擬終端訪問數量
3、限制路由更新的內容
【問題2】
•標準ip訪問列表
–檢查源地址
–通常允許、拒絕的是完整的協議
•擴展ip訪問列表
–檢查源地址和目的地址
–通常允許、拒絕的是某個特定的協議
【問題3】
在此例中所有的ip數據包將全部不能從serial 0端口發送出去。
原因:在默認情況下,除非明確規定允許通過,訪問列表總是阻止或拒絕一切數據包的通過,即實際上在每個訪問列表的最後,都隱含有一條"deny any"的語句。
假設我們使用了前面創建的標準ip訪問列表,從路由器的角度來看,這條語句實際內容如下:
access-list 1 deny
access-list 1 deny any
因此我們應將配置改為:
access-list 1 deny
access-list 1 permit any
interface serial 0
ip access-group 1 out
【問題1】
ipsec實現的vpn主要有下面四個配置部分。
1、 為ipsec做準備
為ipsec做準備涉及到確定詳細的加密策略,包括確定我們要保護的主機和網絡,選擇一種認證方法,確定有關ipsec對等體的詳細信息,確定我們所需的ipsec特性,並確認現有的訪問控制列表允許ipsec數據通過。
步驟1:根據對等體的數量和位置在ipsec對等體間確定一個ike(ike階段1或者主模式)策略;
步驟2:確定ipsec(ike階段2,或快捷模式)策略,包括ipsec對等體的細節信息,例如ip地址及ipsec變換集和模式;
步驟3:用“write terminal”、“show isakmp”、“show isakmp policy”、“show crypto map”命令及其它的命令來檢查當前的配置;
步驟4:確認在沒有使用加密前網絡能夠正常工作,用ping命令並在加密前運行測試數據來排除基本的路由故障;
步驟5:確認在邊界路由器和防火牆中已有的訪問控制列表允許ipsec數據流通過,或者想要的數據流將可以被過濾出來。
2、 配置ike
配置ike涉及到啟用ike(和isakmp是同義詞),創建ike策略,驗證我們的配置。
步驟1:用isakmp enable命令來啟用或關閉ike;
步驟2:用isakmp policy命令創建ike策略;
步驟3:用isakmp key命令和相關命令來配置預共享密鑰;
步驟4:用show isakmp[policy]命令來驗證ike的配置。
3、 配置ipsec
ipsec配置包括創建加密用訪問控制列表、定義變換集、創建加密圖條目、並將加密集應用到接口上去。
步驟1:用access-list命令來配置加密用訪問控制列表:
例如:
access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr des_mask [operator port [port]]
步驟2:用cryto ipsec transform-set命令配置交換集;
例如:
crypto ipsec transformp-set transform-set-name transform1 [transform2 [transform3]]
步驟3:(任選)用crypto ipsec security-accociation lifetime命令來配置全局性的ipsec安全關聯的生存期;
步驟4:用crypto map命令來配置加密圖;
步驟5:用interface命令和crypto map map-name interface應用到接口上;
步驟6:用各種可用的show命令來驗證ipsec的配置。
4、 測試和驗證ipsec
該任務涉及到使用“show”、“debug”和相關的命令來測試和驗證ipsec加密工作是否正常,併為之排除故障。
注:此類題目要求答出主要步驟即可。
