题目
以下是指定VPN在建立连接时协商IKE使用的策略,阅读下面的配置信息,解释(6)、(7)处的命令。
Router(config) crypto isakmp policy 10(定义策略为10)
Router(config-isakmp) hash md5(6)
Router(config-isakmp) authentication prc-sharc(7)
Router(config-isakmp) exit
Router(config) crypto isakmp key cisco123 address 0,0.0.0 0.0.0.0
(配置预共享密钥为cisc0123,对等端为所有IP)
第1题
【说明】
图5-1是某公司利用Internet建立的VPN
【问题1】(4分)
使用VPN技术,是为了保证内部数据通过Internet安全传输,VPN技术主要采用哪些技术来保证数据安全
【问题2】(3分)
分部1采用DDN通过一台路由器接入Internet。 阅读下面的路由配置信息,将(1)~(3)处标识的语句进行解释。
Router>en (进入特权模式)
Router config terminal (进入全局配置模式)
Router(config)enable secret cisco (设置特权口令)
Router(config)line vty 04
Router(config-line)password goodbad ___(1)___
Router(config-line)exit
Router(config) interface eth 0/0 (进入以太网接口配置模式)
Router(config-if) ip address 202.117.1.1 255.255.255.0 (设置IP地址和掩码)
Router(config-if)no shutdown (启用以太网接口)
Router(config-if)exit
Router(confi9)interface serialO/O (进入串口配置模式)
RouteI<config-if)ip address 211.175.132.10 255.255.255.252 (设置IP地址和掩码)
Router(config-if) bandwidth 256 (指定带宽为256k)
Router(config-if) encapsulation PPP ___(2)___
Router(config-if) no cdpenable ___(3)___
Router(config-if) no shutdown (启用serial接口)
Router(config-if) exit
Router(config)
【问题3】(4分)
分部1的路由器配置为ethernet0/0端口接内部网络,serialO/O端口接外部网络。下列配置指定内外网端口,完成下列配置,将答案填写在答题纸相应的位置。
Router(config-if) inter ethO/O
Router(config-if) ___(4)___
Router(config-if) inter serial0/0
Router(config-if) ___(5)___
Router(config-if) exit
Router(config-if)
【问题4】(4分)
以下是指定VPN在建立连接时协商IKE使用的策略,阅读下面的配置信息,解释(6)、(7)处的命令,将答案填写在答题纸相应的位置。
Router(config-if) crypto isakmp policy 10 (定义策略为10)
Router(config-isakmp) hash md5___(6)___
Router(config-imp) authentication pre-share___(7)___
Router(config-isakmp) exit
Router(config)crypto isakmp keycisc0 123 address 0.0.0.00.0.0.0 (配置预共享密钥为cisco123,对等端为所有IP)
第4题
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某企业总部设立在A地,在B地建有分支机构,分支机构和总部需要在网络上进 行频繁的数据传输,该企业网络采用IPSec VPN虚拟专用网技术实现分支机构和总部 之间安全、快捷、经济的跨区域网络连接。
该企业的网络拓扑结构如图4-1所示。
该企业的网络地址规划及配置如表4-1所示。
【问题1】(7分)
为了完成对RouterA和RouterB的远程连接管理,以RouterA为例,完成初始化路 由器,并配置RouterA的远程管理地址(192.168.1.20),同时开启RouterA的Telnet 功能并设置全局配置模式的访问密码,请补充完成下列配置命令。
RouterA >enable
RouterAconfigure terminal
RouterA(config)interface f0/0 //进入 F0/0 的 (1) 于模式
RouterA(config-if)ip addr (2) //为 F0/0 接口配置 IP 地址
RouterA(config-if)no shut // (3) FO/O接口,默认所有路由器的接口都为down状态 RouterA(config-iQinter (4) //进入 loopback 0 的接口配置子模式
RouterA(config-if)ip addr (5) // 为 loopback0 接口配置 IP 地址
RouterA(config) (6) //进入虚拟接口 0-4的配置子模式
RouterA(config4ine)pass word abc00 1 //配置vty口令为”abc001“
RouterA(config)enable password abc001 / / 配置全局配置模式的明文密码为“abc001” RouterA(config) enable (7) abc001 //配置全局配置模式的密文密码为“abc001”
【问题2】(5分)
VPN是建立在两个局域网出口之间的隧道连接,所以两个VPN设备必须能够满足内网访问互联网的要求,以及需要配置NAT。按照题目要求以RouterA为例,请补充完 成下列配置命令。
RouterA(config) access-list 101 (8) ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 RouterA(config) access-list 101 (9) ip 192.168.1.0 0.0.0.255 any// 定义需要被 NAT 的数据流 RouterA(config)ip nat inside source list 101 interface (10) overload // 定义 NAT 转换关系 RouterA(config)int (11)
RouterA(config-if)ip nat inside
RouterA(config)int (12)
RouterA(config-iQip nat outside //定义 NAT 的内部和外部接 口
【问题3】(4分)
配置IPSec VPN时要注意隧道两端的设备配置参数必须对应匹配,否则VPN配置 将会失败。以RouterB为例配置IPSecVPN,请完成相关配置命令。
RouterB(config) access-list 102 permit ip (13) //定义需要通过 VPN 加密传输的数据流 RouterB(config)crypto isakmp (14) //启用 ISAKMP(IKE)
RouterB(config)crypto isakmp policy 10
RouterB(config-isakmp)authentication pre-share
RouterB(config-isakmp)encryption des
RouterB(config-isakmp)hash md5
RouterB (config-isakmp)group 2
RouterB(config)crypto isakmp identity address
RouterB(config)crypto isakmp key abcOOl address (15) //指定共享密钥和对端设备地址 RouterB (config)crypto ipsec transform-set ccie esp-des esp_md5_hmac
RouterB (cfg-crypto-trans)model tunnel
RouterB(config)crypto map abcOOl 10 ipsec-isakmp
RouterB(config)int (16)
RouterB(config)-if)crypto map abc001 // 在外部接口上应用加密图
【问题4】
根据题目要求,企业分支机构与总部之间采用 IPSec VPN 技术互连,IPSec(IP Security) 是IETE 为保证在Internet 上传送数据的安全保密性而制定的框架协议,该协议用用在 17 层,用于保证和认证用户IP数据包。
IP S ec VPN 可使用的模式有两种,其中 18 模式的安全性较强, 19 模式的安全性较弱。IPSec主要由AH/ESP和IKE组成,在使用IKE协议时,需要定义IKE协商策略,该策略由 20 进行定义。
第6题
A.主要是使用对称密钥体制和X509数字证书技术保护信息传输的机密性和完整性
B.可以在网络层建立VPN
C.主要适用于点对点之间的信息传输,常用WebServer方式
D.包含三个主要协议:AH、ESP、IKE
第7题
阅读以下说明,回答【问题1】和【问题2】。
【说明】VPN是通过公用网络Internet将分布在不同地点的终端连接在一起的专用网络。目前大多采用IPSec来实现IP网络上端点间的认证和加密服务(见图3)。
VPN的基本配置如下:
.公司总部网络子网为192.168.1.0/24。
.路由器为100.10.15.1。
.公司分部服务器为192.168.10.0/24。
.路由器为200.20.25.1。
执行下列步骤:
(1)确定一个预先共享的密钥(保密密码)(保密密码假设为csai);
(2)为SA协商过程配置IKE;
(3)配置IPSec:
Router(config) crypto isakmp policy1
//policy1表示策略1,假如想多配几个VPN,可以写成policy2、policy3
Router(config-isakmp) group1
//使用group1长度的密钥,group命令有两个参数值:1和2
//参数1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥
Router(config-isakm)authentication pre-share(1)
Router(config-isakm) ifetime 3600
//对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是,两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期内到达中断
Router(config) crypto isakmp key csai address 200.20.25.1
//返回到全局设置模式,确定要使用的预先共享密钥,指定VPN另一端路由器IP地址,即目的路由器IP地址。相应地,另一端路由器的配置也和以上命令类似,只不过把IP地址改成100.10.15.1
Router(config) access-list 130 permit ip 192.168.1.00.0.0.255172.16.10.00.0.0.255(2)
Router(config) crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac(3)
Router(config) crypto map shortsec 60 ipsec-isakmp
//为定义生成新保密密钥的周期,如果攻击者破解了保密密钥,则他能够使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期,比如,每分钟生成一个新密钥,这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联
Router(config-crypto-map)setpeer200.20.25.(4)
Router(config-crypto-map)set transform-set vpn1(5)
Router(config-crypto-map)match address 130
Router(config)interface s0
Router(config-if) crypto map shortsec //将刚才定义的密码图应用到路由器的
//外部接口
请简述IPSec协议。
第9题
A.IKE第一阶段建立IKE安全关联
B.IKE第二阶段建立IPSec安全关联
C.IKE第一阶段协商加密算法和MAC算法等
D.IKE第二阶段完成双向身份鉴别过程
第10题
A.主模式(Main Mode)
B.快速模式( New Group Mode)
C.野蛮模式( Aggressive Mode)
D.信息交换模式( nformational Exchange Mode)
为了保护您的账号安全,请在“赏学吧”公众号进行验证,点击“官网服务”-“账号验证”后输入验证码“”完成验证,验证成功后方可继续查看答案!