2015年网络工程师复习资料及习题集锦.doc

2015年网络工程师复习资料及习题集锦 　　【问题】 　　crypto isakmp policy 1 //配置ike策略1 　　authentication pre-share //ike策略1的验证方法设为pre_share 　　group 2 //加密算法未设置则取默认值:des 　　crypto isakmp key test123 address 202.96.1.2 //设置pre-share密钥为test123，此值两端需一致 　　crypto ipsec transform-set vpntag ah-md5-hmac esp-des //设置ah散列算法为md5，esp加密算法为des 　　crypto map vpndemp 10 ipsec-isakmp //定义crypto map 　　set peer 202.96.1.2 //设置隧道对端ip地址 　　set transform-set vpntag //设置隧道ah及esp 　　match address 101 　　! 　　interface tunnel0 //定义隧道接口 　　ip address 192.168.1.1 255.255.255.0 //隧道端口ip地址 　　no ip directed-broadcast 　　tunnel source 202.96.1.1 //隧道源端地址 　　tunnel destination 202.96.1.2 //隧道目标端地址 　　crypto map vpndemo //应用vpndemo于此接口 　　interface serial0/0 　　ip address 202.96.1.1 255.255.255.252 //串口的internet ip地址 　　no ip directed-broadcast 　　crypto map vpndemo //应用vpndemo于此端口 　　! 　　interface ethernet0/1 　　ip address 168.1.1.1 255.255.255.0 //外部端口ip地址 　　no ip directed-broadcast 　　interface ethernet0/0 　　ip address 172.22.1.100 255.255.255.0 //内部端口ip地址 　　no ip directed-broadcast 　　! 　　ip classless 　　ip route 0.0.0.0 0.0.0.0 202.96.1.2 //默认静态路由 　　ip route 172.22.2.0 255.255.0.0 192.168.1.2 //到内网静态路由（经过隧道） 　　access-lost 101 permit gre host 202.96.1.1 host 202.96.1.2 //定义访问控制列表 　　【问题1】 　　访问列表能够帮助控制网上ip包的传输，主要用在以下几个方面： 　　1、控制一个端口的包传输 　　2、控制虚拟终端访问数量 　　3、限制路由更新的内容 　　【问题2】 　　标准ip访问列表 　　–检查源地址 　　–通常允许、拒绝的是完整的协议 　　扩展ip访问列表 　　–检查源地址和目的地址 　　–通常允许、拒绝的是某个特定的协议 　　【问题3】 　　在此例中所有的ip数据包将全部不能从serial 0端口发送出去。 　　原因：在默认情况下，除非明确规定允许通过，访问列表总是阻止或拒绝一切数据包的通过，即实际上在每个访问列表的最后，都隐含有一条deny any的语句。 　　假设我们使用了前面创建的标准ip访问列表，从路由器的角度来看，这条语句实际内容如下： 　　access-list 1 deny 172.16.4.13 0.0.0.0 　　access-list 1 deny any 　　因此我们应将配置改为： 　　access-list 1 deny 172.16.4.13 0.0.0.0 　　access-list 1 permit any 　　interface serial 0 　　ip access-group 1 out 2015年网络工程师复习资料及习题(二) 　　ipsec实现的vpn主要有下面四个配置部分。 　　1、为ipsec做准备 　　为ipsec做准备涉及到确定详细的加密策略，包括确定我们要保护的主机和网络，选择一种认证方法，确定有关ipsec对等体的详细信息，确定我们所需的ipsec特性，并确认现有的访问控制列表允许ipsec数据通过。 　　步骤1：根据对等体