查看汇总:2014年软考网络工程师复习题汇总
【问题】
crypto isakmp policy 1 //配置ike策略1
authentication pre-share //ike策略1的验证方法设为pre_share
group 2 //加密算法未设置则取默认值:des
crypto isakmp key test123 address 202.96.1.2 //设置pre-share密钥为test123,此值两端需一致
crypto ipsec transform-set vpntag ah-md5-hmac esp-des //设置ah散列算法为md5,esp加密算法为des
crypto map vpndemp 10 ipsec-isakmp //定义crypto map
set peer 202.96.1.2 //设置隧道对端ip地址
set transform-set vpntag //设置隧道ah及esp
match address 101
!
interface tunnel0 //定义隧道接口
ip address 192.168.1.1 255.255.255.0 //隧道端口ip地址
no ip directed-broadcast
tunnel source 202.96.1.1 //隧道源端地址
tunnel destination 202.96.1.2 //隧道目标端地址
crypto map vpndemo //应用vpndemo于此接口
interface serial0/0
ip address 202.96.1.1 255.255.255.252 //串口的internet ip地址
no ip directed-broadcast
crypto map vpndemo //应用vpndemo于此端口
!
interface ethernet0/1
ip address 168.1.1.1 255.255.255.0 //外部端口ip地址
no ip directed-broadcast
interface ethernet0/0
ip address 172.22.1.100 255.255.255.0 //内部端口ip地址
no ip directed-broadcast
!
ip classless
ip route 0.0.0.0 0.0.0.0 202.96.1.2 //默认静态路由
ip route 172.22.2.0 255.255.0.0 192.168.1.2 //到内网静态路由(经过隧道)
access-lost 101 permit gre host 202.96.1.1 host 202.96.1.2 //定义访问控制列表
【问题1】
访问列表能够帮助控制网上ip包的传输,主要用在以下几个方面:
1、控制一个端口的包传输
2、控制虚拟终端访问数量
3、限制路由更新的内容
【问题2】
标准ip访问列表
–检查源地址
–通常允许、拒绝的是完整的协议
扩展ip访问列表
–检查源地址和目的地址
–通常允许、拒绝的是某个特定的协议
【问题3】
在此例中所有的ip数据包将全部不能从serial 0端口发送出去。
原因:在默认情况下,除非明确规定允许通过,访问列表总是阻止或拒绝一切数据包的通过,即实际上在每个访问列表的最后,都隐含有一条"deny any"的语句。
假设我们使用了前面创建的标准ip访问列表,从路由器的角度来看,这条语句实际内容如下:
access-list 1 deny 172.16.4.13 0.0.0.0
access-list 1 deny any
因此我们应将配置改为:
access-list 1 deny 172.16.4.13 0.0.0.0
access-list 1 permit any
interface serial 0
ip access-group 1 out
相关推荐:
北京 | 天津 | 上海 | 江苏 | 山东 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
广东 | 河北 | 湖南 | 广西 | 河南 |
海南 | 湖北 | 四川 | 重庆 | 云南 |
贵州 | 西藏 | 新疆 | 陕西 | 山西 |
宁夏 | 甘肃 | 青海 | 辽宁 | 吉林 |
黑龙江 | 内蒙古 |