XX年网络工程师考试考试内容.doc

XX年网络工程师考试考试内容 计算机人工智能的研究是建立在现代科学基础之上。智能化是计算机发展的一个重要方向，新一代计算机，将可以模拟人的感觉行为和思维过程的机理。下面是的关于网络工程师考试考试内容，欢迎大家参考! 【问题】 cryptoisakmppolicy1/配置ike策略1 authenticationpre-share/ike策略1的验证方法设为pre_share group2/加密算法未设置则取默认值:des cryptoisakmpkeytest123address202.96.1.2/设置pre-share密钥为test123，此值两端需一致 cryptoipsectransform-setvpntagah-md5-hmacesp-des/设置ah散列算法为md5，esp加密算法为des cryptomapvpndemp10ipsec-isakmp/定义cryptomap setpeer202.96.1.2/设置隧道对端ip地址 settransform-setvpntag/设置隧道ah及esp matchaddress101 ! interfacetunnel0/定义隧道接口 ipaddress192.168.1.1255.255.255.0/隧道端口ip地址 noipdirected-broadcast tunnelsource202.96.1.1/隧道源端地址 tunneldestination202.96.1.2/隧道目标端地址 cryptomapvpndemo/应用vpndemo于此接口 interfaceserial0/0 ipaddress202.96.1.1255.255.255.252/串口的interip地址 noipdirected-broadcast cryptomapvpndemo/应用vpndemo于此端口 ! interfaceether0/1 ipaddress168.1.1.1255.255.255.0/外部端口ip地址 noipdirected-broadcast interfaceether0/0 ipaddress172.22.1.100255.255.255.0/内部端口ip地址 noipdirected-broadcast ! ipclassless iproute0.0.0.00.0.0.0202.96.1.2/默认静态路由 iproute172.22.2.0255.255.0.0192.168.1.2/到内网静态路由(经过隧道) aess-lost101permitgrehost202.96.1.1host202.96.1.2/定义访问控制列表 【问题1】 访问列表能够帮助控制网上ip包的传输，主要用在以下几个方面： 1、控制一个端口的包传输 2、控制虚拟终端访问数量 3、限制路由更新的内容 【问题2】 ?标准ip访问列表 检查源地址 通常允许、拒绝的是完整的协议 ?扩展ip访问列表 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议 【问题3】 在此例中所有的ip数据包将全部不能从serial0端口发送出去。 原因：在默认情况下，除非明确规定允许通过，访问列表总是阻止或拒绝一切数据包的通过，即实际上在每个访问列表的最后，都隐含有一条denyany的语句。 假设我们使用了前面创建的标准ip访问列表，从路由器的角度来看，这条语句实际内容如下： aess-list1deny172.16.4.130.0.0.0 aess-list1denyany 因此我们应将配置改为： aess-list1deny172.16.4.130.0.0.0 aess-list1permitany interfaceserial0 ipaess-group1out 【问题1】 ipsec实现的vpn主要有下面四个配置部分。 1、为ipsec做准备 为ipsec做准备涉及到确定详细的加密策略，包括确定我们要保护的主机和网络，选择一种认证方法，确定有关ipsec对等体的详细信息，确定我们所需的ipsec特性，并确认现有的访问控制列表允许ipsec数据通过。 步骤1：根据对等体的数量和位置在ipsec对等体间确定一个ike(ike阶段1或者主模式)策略; 步骤2：确定ipsec(ike阶段2，或快捷模式)策略，包括ipsec对等体的细节信息，例如ip地址及ipsec变换集和模式; 步骤3：用“writeterminal”、“showisakmp”、“showisakmppolicy”、“showcryptomap”命令及其它的show命令来检查当前的配置; 步骤4：确认在没有使用加密前网络能够正常工作，用ping命令并在加密前运行测试数据来排除基本的路由故障; 步骤5：确认在边界路由器和防火墙中已有的访问控制列表允许ipsec数据流通过，或者想要的数据流将可以被过滤出来。 2、配置ike 配置ike涉及到启用ike(和isakmp是同义词)，创建ike策略，验证我们的配置。 步骤1：用isakmpenable命令来启用或关闭ike; 步骤2：用isakmppolicy命令创建ike策略; 步骤3：用isakmpkey命令和相关命令来配置预共享密钥; 步骤4：用showisakmppolicy命令来验证ike的配置。 3、配置ipsec ipsec配置包括创建加密用访问控制列表、定义变换集、创建加密图条目、并将加密集应用到接口上去。 步骤1：用aess-list命令来配置加密用访问控制列表： 例如： aess-listacl-namepermit|denyprotocolsrc_addrsrc_maskoperatorportportdest_addrdes_maskoperatorportport 步骤2：用crytoipsectransform-set命令配置交换集; 例如： cryptoipsectransformp-settransform-set-nametransform1transform2transform3 步骤3：(任选)用cryptoipsecsecurity-aociationlifetime命令来配置全局性的ipsec安全关联的生存期; 步骤4：用cryptomap命令来配置加密图; 步骤5：用interface命令和cryptomapma