以下是指定VPN在建立连接时协商IKE使用的策略，阅读下面的配置信息，解释（6)、（7)处的命令。 Router（

【说明】

图5-1是某公司利用Internet建立的VPN

【问题1】(4分)

使用VPN技术，是为了保证内部数据通过Internet安全传输，VPN技术主要采用哪些技术来保证数据安全

【问题2】(3分)

分部1采用DDN通过一台路由器接入Internet。 阅读下面的路由配置信息，将(1)～(3)处标识的语句进行解释。

Router＞en (进入特权模式)

Router config terminal (进入全局配置模式)

Router(config)enable secret cisco (设置特权口令)

Router(config)line vty 04

Router(config-line)password goodbad ___(1)___

Router(config-line)exit

Router(config) interface eth 0/0 (进入以太网接口配置模式)

Router(config-if) ip address 202.117.1.1 255.255.255.0 (设置IP地址和掩码)

Router(config-if)no shutdown (启用以太网接口)

Router(config-if)exit

Router(confi9)interface serialO/O (进入串口配置模式)

RouteI＜config-if)ip address 211.175.132.10 255.255.255.252 (设置IP地址和掩码)

Router(config-if) bandwidth 256 (指定带宽为256k)

Router(config-if) encapsulation PPP ___(2)___

Router(config-if) no cdpenable ___(3)___

Router(config-if) no shutdown (启用serial接口)

Router(config-if) exit

Router(config)

【问题3】(4分)

分部1的路由器配置为ethernet0/0端口接内部网络，serialO/O端口接外部网络。下列配置指定内外网端口，完成下列配置，将答案填写在答题纸相应的位置。

Router(config-if) inter ethO/O

Router(config-if) ___(4)___

Router(config-if) inter serial0/0

Router(config-if) ___(5)___

Router(config-if) exit

Router(config-if)

【问题4】(4分)

以下是指定VPN在建立连接时协商IKE使用的策略，阅读下面的配置信息，解释(6)、(7)处的命令，将答案填写在答题纸相应的位置。

Router(config-if) crypto isakmp policy 10 (定义策略为10)

Router(config-isakmp) hash md5___(6)___

Router(config-imp) authentication pre-share___(7)___

Router(config-isakmp) exit

Router(config)crypto isakmp keycisc0 123 address 0.0.0.00.0.0.0 (配置预共享密钥为cisco123，对等端为所有IP)

A.SPI

B.ESP

C.AH

D.IKE

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。

【说明】

某企业总部设立在A地，在B地建有分支机构，分支机构和总部需要在网络上进 行频繁的数据传输，该企业网络采用IPSec VPN虚拟专用网技术实现分支机构和总部 之间安全、快捷、经济的跨区域网络连接。

该企业的网络拓扑结构如图4-1所示。

该企业的网络地址规划及配置如表4-1所示。

【问题1】(7分)

为了完成对RouterA和RouterB的远程连接管理，以RouterA为例，完成初始化路 由器，并配置RouterA的远程管理地址(192.168.1.20)，同时开启RouterA的Telnet 功能并设置全局配置模式的访问密码，请补充完成下列配置命令。

RouterA ＞enable

RouterAconfigure terminal

RouterA(config)interface f0/0 //进入 F0/0 的 (1) 于模式

RouterA(config-if)ip addr (2) //为 F0/0 接口配置 IP 地址

RouterA(config-if)no shut // (3) FO/O接口，默认所有路由器的接口都为down状态 RouterA(config-iQinter (4) //进入 loopback 0 的接口配置子模式

RouterA(config-if)ip addr (5) // 为 loopback0 接口配置 IP 地址

RouterA(config) (6) //进入虚拟接口 0-4的配置子模式

RouterA(config4ine)pass word abc00 1 //配置vty口令为”abc001“

RouterA(config)enable password abc001 / / 配置全局配置模式的明文密码为“abc001” RouterA(config) enable (7) abc001 //配置全局配置模式的密文密码为“abc001”

【问题2】(5分)

VPN是建立在两个局域网出口之间的隧道连接，所以两个VPN设备必须能够满足内网访问互联网的要求，以及需要配置NAT。按照题目要求以RouterA为例，请补充完 成下列配置命令。

RouterA(config) access-list 101 (8) ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 RouterA(config) access-list 101 (9) ip 192.168.1.0 0.0.0.255 any// 定义需要被 NAT 的数据流 RouterA(config)ip nat inside source list 101 interface (10) overload // 定义 NAT 转换关系 RouterA(config)int (11)

RouterA(config-if)ip nat inside

RouterA(config)int (12)

RouterA(config-iQip nat outside //定义 NAT 的内部和外部接 口

【问题3】(4分)

配置IPSec VPN时要注意隧道两端的设备配置参数必须对应匹配，否则VPN配置 将会失败。以RouterB为例配置IPSecVPN，请完成相关配置命令。

RouterB(config) access-list 102 permit ip (13) //定义需要通过 VPN 加密传输的数据流 RouterB(config)crypto isakmp (14) //启用 ISAKMP(IKE)

RouterB(config)crypto isakmp policy 10

RouterB(config-isakmp)authentication pre-share

RouterB(config-isakmp)encryption des

RouterB(config-isakmp)hash md5

RouterB (config-isakmp)group 2

RouterB(config)crypto isakmp identity address

RouterB(config)crypto isakmp key abcOOl address (15) //指定共享密钥和对端设备地址 RouterB (config)crypto ipsec transform-set ccie esp-des esp_md5_hmac

RouterB (cfg-crypto-trans)model tunnel

RouterB(config)crypto map abcOOl 10 ipsec-isakmp

RouterB(config)int (16)

RouterB(config)-if)crypto map abc001 // 在外部接口上应用加密图

【问题4】

根据题目要求，企业分支机构与总部之间采用 IPSec VPN 技术互连，IPSec(IP Security) 是IETE 为保证在Internet 上传送数据的安全保密性而制定的框架协议，该协议用用在 17 层，用于保证和认证用户IP数据包。

IP S ec VPN 可使用的模式有两种，其中 18 模式的安全性较强， 19 模式的安全性较弱。IPSec主要由AH/ESP和IKE组成，在使用IKE协议时，需要定义IKE协商策略，该策略由 20 进行定义。

A.IKE策略

B.IPSec策略

C.专线

D.IPSec站点连接

A.主要是使用对称密钥体制和X509数字证书技术保护信息传输的机密性和完整性

B.可以在网络层建立VPN

C.主要适用于点对点之间的信息传输，常用WebServer方式

D.包含三个主要协议：AH、ESP、IKE

阅读以下说明，回答【问题1】和【问题2】。

【说明】VPN是通过公用网络Internet将分布在不同地点的终端连接在一起的专用网络。目前大多采用IPSec来实现IP网络上端点间的认证和加密服务(见图3)。

VPN的基本配置如下：

.公司总部网络子网为192.168.1.0/24。

.路由器为100.10.15.1。

.公司分部服务器为192.168.10.0/24。

.路由器为200.20.25.1。

执行下列步骤：

(1)确定一个预先共享的密钥(保密密码)(保密密码假设为csai)；

(2)为SA协商过程配置IKE；

(3)配置IPSec:

Router(config) crypto isakmp policy1

//policy1表示策略1，假如想多配几个VPN，可以写成policy2、policy3

Router(config-isakmp) group1

//使用group1长度的密钥，group命令有两个参数值：1和2

//参数1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥

Router(config-isakm)authentication pre-share(1)

Router(config-isakm) ifetime 3600

//对生成新SA的周期进行调整。这个值以秒为单位，默认值为86400，也就是一天。值得注意的是，两端的路由器都要设置相同的SA周期，否则VPN在正常初始化之后，将会在较短的一个SA周期内到达中断

Router(config) crypto isakmp key csai address 200.20.25.1

//返回到全局设置模式，确定要使用的预先共享密钥，指定VPN另一端路由器IP地址，即目的路由器IP地址。相应地，另一端路由器的配置也和以上命令类似，只不过把IP地址改成100.10.15.1

Router(config) access-list 130 permit ip 192.168.1.00.0.0.255172.16.10.00.0.0.255(2)

Router(config) crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac(3)

Router(config) crypto map shortsec 60 ipsec-isakmp

//为定义生成新保密密钥的周期，如果攻击者破解了保密密钥，则他能够使用同一个密钥的所有通信。基于这个原因，我们要设置一个较短的密钥更新周期，比如，每分钟生成一个新密钥，这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联

Router(config-crypto-map)setpeer200.20.25.(4)

Router(config-crypto-map)set transform-set vpn1(5)

Router(config-crypto-map)match address 130

Router(config)interface s0

Router(config-if) crypto map shortsec //将刚才定义的密码图应用到路由器的

//外部接口

请简述IPSec协议。

A.IKE第一阶段建立IKE安全关联

B.IKE第二阶段建立IPSec安全关联

C.IKE第一阶段协商加密算法和MAC算法等

D.IKE第二阶段完成双向身份鉴别过程

A.主模式（Main Mode）

B.快速模式（ New Group Mode）

C.野蛮模式（ Aggressive Mode）

D.信息交换模式（ nformational Exchange Mode）