网络工程师复习资料及习题集锦.doc

2015年网络工程师复习资料及习题集锦【问题】 crypto isakmp policy 1 /配置ike策略1 authentication pre-share /ike策略1的验证方法设为pre_share group 2 /加密算法未设置则取默认值:des crypto isakmp key test123 address 202.96.1.2 /设置pre-share密钥为test123，此值两端需一致 crypto ipsec transform-set vpntag ah-md5-hmac esp-des /设置ah散列算法为md5，esp加密算法为des crypto map vpndemp 10 ipsec-isakmp /定义crypto map set peer 202.96.1.2 /设置隧道对端ip地址 set transform-set vpntag /设置隧道ah及esp match address 101 ! interface tunnel0 /定义隧道接口 ip address 192.168.1.1 255.255.255.0 /隧道端口ip地址 no ip directed-broadcast tunnel source 202.96.1.1 /隧道源端地址 tunnel destination 202.96.1.2 /隧道目标端地址 crypto map vpndemo /应用vpndemo于此接口 interface serial0/0 ip address 202.96.1.1 255.255.255.252 /串口的internet ip地址 no ip directed-broadcast crypto map vpndemo /应用vpndemo于此端口 ! interface ethernet0/1 ip address 168.1.1.1 255.255.255.0 /外部端口ip地址 no ip directed-broadcast interface ethernet0/0 ip address 172.22.1.100 255.255.255.0 /内部端口ip地址 no ip directed-broadcast ! ip classless ip route 0.0.0.0 0.0.0.0 202.96.1.2 /默认静态路由 ip route 172.22.2.0 255.255.0.0 192.168.1.2 /到内网静态路由（经过隧道） access-lost 101 permit gre host 202.96.1.1 host 202.96.1.2 /定义访问控制列表 【问题1】 访问列表能够帮助控制网上ip包的传输，主要用在以下几个方面： 1、控制一个端口的包传输 2、控制虚拟终端访问数量 3、限制路由更新的内容 【问题2】 标准ip访问列表 检查源地址 通常允许、拒绝的是完整的协议 扩展ip访问列表 检查源地址和目的地址 通常允许、拒绝的是某个特定的协议 【问题3】 在此例中所有的ip数据包将全部不能从serial 0端口发送出去。 原因：在默认情况下，除非明确规定允许通过，访问列表总是阻止或拒绝一切数据包的通过，即实际上在每个访问列表的最后，都隐含有一条"deny any"的语句。 假设我们使用了前面创建的标准ip访问列表，从路由器的角度来看，这条语句实际内容如下： access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 deny any 因此我们应将配置改为： access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit any interface serial 0 ip access-group 1 out2015年网络工程师复习资料及习题(二)ipsec实现的vpn主要有下面四个配置部分。 1、为ipsec做准备 为ipsec做准备涉及到确定详细的加密策略，包括确定我们要保护的主机和网络，选择一种认证方法，确定有关ipsec对等体的详细信息，确定我们所需的ipsec特性，并确认现有的访问控制列表允许ipsec数据通过。 步骤1：根据对等体的数量和位置在ipsec对等体间确定一个ike(ike阶段1或者主模式)策略； 步骤2：确定ipsec(ike阶段2，或快捷模式)策略，包括ipsec对等体的细节信息，例如ip地址及ipsec变换集和模式； 步骤3：用“write terminal”、“show isakmp”、“show isakmp policy”、“show crypto map”命令及其它的show命令来检查当前的配置； 步骤4：确认在没有使用加密前网络能够正常工作，用ping命令并在加密前运行测试数据来排除基本的路由故障； 步骤5：确认在边界路由器和防火墙中已有的访问控制列表允许ipsec数据流通过，或者想要的数据流将可以被过滤出来。 2、配置ike 配置ike涉及到启用ike（和isakmp是同义词），创建ike策略，验证我们的配置。 步骤1：用isakmp enable命令来启用或关闭ike； 步骤2：用isakmp policy命令创建ike策略； 步骤3：用isakmp key命令和相关命令来配置预共享密钥； 步骤4：用show isakmppolicy命令来验证ike的配置。 3、配置ipsec ipsec配置包括创建加密用访问控制列表、定义变换集、创建加密图条目、并将加密集应用到接口上去。 步骤1：用access-list命令来配置加密用访问控制列表： 例如： access-list acl-name permit|deny protocol src_addr src_mask operator port port dest_addr des_mask operator port port 步骤2：用cryto ipsec transform-set命令配置交换集； 例如： crypto ipsec transformp-set transform-set-name transform1 transform2 transform3 步骤3：（任选）用crypto ipsec security-accociation lifetime命令来配置全局性的ipsec安全关联的生存期； 步骤4：用crypto map命令来配置加密图； 步骤5：用interface命令和crypto map map-name interface应用到接口上； 步骤6：用各种可用的show命令来验证ipsec的配置。 4、测试和验证ipsec 该任务涉及到使用“show”、“debug”和相关的命令来测试和验证ipsec加密工作是否正常，并为之排除故障。 注：此类题目要求答出主要步骤即可。2015年网络工程师复习资料及习题(三)1、若是serial0 is up, line protocol is up表示该端口工作正常。 2、若是serial 0 is down, line protocol is down表示路由器到本地的modem之间无载波信号cd。连接串口和 modem,开启modem.看modem的发送灯td是否亮，td灯亮表示路由器有信号发送给modem.td灯若不亮,请检查modem,线缆(最好用cisco所配的)和端口.你可以用另外一个串口再试试看。 3、若serial is up,但line protocol is down.有几种可能: a.本地路由器未作配置. b.远端路由器未开或未配置. 路由器两端需要配置相同的协议打包方式.例如:路由器a打包hdlc,路由器b打包ppp,那么两台路由器的line protocol始终是down的.改变打包方式: router#conf t router(config)#interface serial 0 router(config-if)#encapsulation ppp router(config-if)#z router# c.若是使用newbridge的26xx,27xx的dtu设备,它不发送cd信号,请在路由器上设置: router#configure terminal router(config)#int serial 0 router(config-if)#ignored-dcd router(config-if)#z router# d.modem之间没通,即专线没通. 解决办法:作测试环路.请电信局帮助确定具体出现问题是哪一段线路.若作环路成功,line protocol会变成up(looped). 4、若serial is admsinstratively down,line protocol is down.表示端口管理性关闭。 在该端口做以下工作 router#conf t router(config)#interface serial 0 router(config-if)#no shutdown router(config-if)#z router#