【问题2】
current configuration:
version 11.3
no service password-encryption
hostname 2501 //路由器名称为2501
ip nat pool aaa 192.1.1.2 192.1.1.10 netmask 255.255.255.0 //内部合法地址池名称为aaa,地址范围为192.1.1.2~192.1.1.10,子网掩码为255.255.255.0
ip nat inside source list 1 pool aaa //将由access-list 1指定的内部本地地址与指定的内部合法地址池aaa进行地址转换。
interface ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside //指定与内部网络相连的内部端口为ethernet0
interface serial0
ip address 192.1.1.1 255.255.255.0
ip nat outside
no ip mroute-cache
bandwidth 2000 //带宽为2m
no fair-queue
clockrate 2000000
interface serial1
no ip address
shutdown
no ip classless
ip route 0.0.0.0 0.0.0.0 serial0 //指定静态缺省路由指向serial0
access-list 1 permit 10.1.1.0 0.0.0.255 //定义一个标准的access-list 1以允许10.1.1.0 网段,子网掩码的反码为0.0.0.255的内部地址可以进行动态地址转换
line con 0
line aux 0
line vty 0 4
password cisco
end
【问题3】此配置中nat采用了动态地址转换。
习题二:
【问题1】路由器router1和router2的s0口均封装ppp协议,采用chap做认证,在router1中应建立一个用户,以对端路由器主机名作为用户名,即用户名应为router2。同时在router2中应建立一个用户,以对端路由器主机名作为用户名,即用户名应为router1。所建的这两用户的password必须相同。
【问题2】
router1:
hostname router1 //路由器名为router1
username router2 password xxx //建立一用户,用户名为router2,口令为xxx
interface serial0
ip address 192.200.10.1 255.255.255.0
encapsulation ppp //设置ppp封装
clockrate 1000000
ppp authentication chap //设置ppp认证方法为chap
!
router2:
hostname router2 username router1 password xxx
interface serial0
ip address 192.200.10.2 255.255.255.0
encapsulation ppp
ppp authentication chap
【问题1】
x.25网络设备分为数据终端设备(dte)、数据电路终端设备(dce)及分组交换设备(pse)。
【问题2】
router1:
interface serial0
encapsulation x25 //设置x.25封装
ip address 192.200.10.1 255.255.255.0 // 设置serial0口ip地址为192.200.10.1,子网掩码为255.255.255.0
x25 address 110101 //设置x.121地址为110101
x25 htc 16 //设置最大的双向虚电路数为16
x25 nvc 2 //设置一次连接可同时建立的虚电路数为2
x25 map ip 192.200.10.2 110102 broadcast //设置ip地址与x..121地址映射。对方路由器地址为192.200.10.2,对方的x.121地址为110102,并且允许在x..25线路上传送路由广播信息
x25 map ip 192.200.10.3 110103 broadcast
!
习题四:
【问题1】ce1的传输线路的带宽是2048k,它和e1的区别主要在于:e1不能划分时隙,ce1能划分时隙。ce1的每个时隙是64k,一共有32个时隙,在使用的时候,可以划分为n*64k,例如:128k,256k等等。ce1的0和15时隙是不用来传输用户的数据流量,0时隙是传送同步号,15时隙传送控制信令,这样实际能用的只有30个时隙,所以在具体配置ce1划分时隙时,要注意些了。ce1 和e1 也可以互联,但是ce1必须当e1来使用,即不可分时隙使用。 因为ce1比较灵活,所以我们能常常碰到ce1。
【问题2】
current configuration:
!
version 11.2
no service udp-small-servers
no service tcp-small-servers
!
hostname router1
!
enable secret 5 $1$xn08$ttr8nflop9.2rgzhcbzkk/
enable password cisco
!
!
ip subnet-zero
!
controller e1 0
framing no-crc4 //帧类型为no-crc4
channel-group 0 timeslots 1 //建立逻辑通道组0与时隙1的映射
channel-group 1 timeslots 2 //建立逻辑通道组1与时隙2的映射
channel-group 2 timeslots 3 //建立逻辑通道组2与时隙3的映射
!
interface ethernet0
ip address 133.118.40.1 255.255.0.0
media-type 10baset
!
interface ethernet1
no ip address
shutdown
!
interface serial0:0 //逻辑接口serial0:0
ip address 202.119.96.1 255.255.255.252
encapsulation hdlc
no ip mroute-cache
!
interface serial0:1
ip address 202.119.96.5 255.255.255.252
encapsulation hdlc
no ip mroute-cache
nterface serial0:2
ip address 202.119.96.9 255.255.255.252
encapsulation hdlc
no ip mroute-cache
!
no ip classless
ip route 133.210.40.0 255.255.255.0 serial0:0
ip route 133.210.41.0 255.255.255.0 serial0:1
ip route 133.210.42.0 255.255.255.0 serial0:2
!
line con 0
line aux 0
line vty 0 4
password cicso
login
!
end
习题五:
问题l:“console”端口是虚拟操作台端口,安装维护人员通过直接连接该端口实施设备配置。
“aux”端口是用于远程调试的端口,一般连接在 modem 上,设备安装维护人员通过远程拨号进行设备连接,实施设备的配置。
问题2:连接参数如下:速率 9600bps、数据位 8 位、奇偶检验无、停止位 2 位。
问题3:配置命令的含义如下:
(1) 配置 ras 的拨号用户网络配置信息。 <注1>
包括用户默认子网屏蔽码、默认网关、默认 dns 。
当用户拨入时,服务器自动将配置信息传递给用户。
(2) 设定第一组异步口的用户 ip 地址自动分配。
设置自动分配的 ip 地址来自于 ip 地址池 pool25090 <注2>
(3) 配置路由协议 rip。
指定设备直接连接到网络 202.112.77.0 与 202.112.79.0 。
(4) 设置来自 202.112.77.0 网段的用户可以访问拨号服务器。
配置用户登陆口令。
【问题1】
ipsec实现的vpn主要有下面四个配置部分。
1、 为ipsec做准备
为ipsec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关ipsec对等体的详细信息,确定我们所需的ipsec特性,并确认现有的访问控制列表允许ipsec数据通过。
步骤1:根据对等体的数量和位置在ipsec对等体间确定一个ike(ike阶段1或者主模式)策略;
步骤2:确定ipsec(ike阶段2,或快捷模式)策略,包括ipsec对等体的细节信息,例如ip地址及ipsec变换集和模式;
步骤3:用“write terminal”、“show isakmp”、“show isakmp policy”、“show crypto map”命令及其它的show命令来检查当前的配置;
步骤4:确认在没有使用加密前网络能够正常工作,用ping命令并在加密前运行测试数据来排除基本的路由故障;
步骤5:确认在边界路由器和防火墙中已有的访问控制列表允许ipsec数据流通过,或者想要的数据流将可以被过滤出来。
2、 配置ike
配置ike涉及到启用ike(和isakmp是同义词),创建ike策略,验证我们的配置。
步骤1:用isakmp enable命令来启用或关闭ike;
步骤2:用isakmp policy命令创建ike策略;
步骤3:用isakmp key命令和相关命令来配置预共享密钥;
步骤4:用show isakmp[policy]命令来验证ike的配置。
3、 配置ipsec
ipsec配置包括创建加密用访问控制列表、定义变换集、创建加密图条目、并将加密集应用到接口上去。
步骤1:用access-list命令来配置加密用访问控制列表:
例如:
access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr des_mask [operator port [port]]
步骤2:用cryto ipsec transform-set命令配置交换集;
例如:
crypto ipsec transformp-set transform-set-name transform1 [transform2 [transform3]]
步骤3:(任选)用crypto ipsec security-accociation lifetime命令来配置全局性的ipsec安全关联的生存期;
步骤4:用crypto map命令来配置加密图;
步骤5:用interface命令和crypto map map-name interface应用到接口上;
步骤6:用各种可用的show命令来验证ipsec的配置。
4、 测试和验证ipsec
该任务涉及到使用“show”、“debug”和相关的命令来测试和验证ipsec加密工作是否正常,并为之排除故障。
注:此类题目要求答出主要步骤即可。
【问题】
crypto isakmp policy 1 //配置ike策略1
authentication pre-share //ike策略1的验证方法设为pre_share
group 2 //加密算法未设置则取默认值:des
crypto isakmp key test123 address 202.96.1.2 //设置pre-share密钥为test123,此值两端需一致
crypto ipsec transform-set vpntag ah-md5-hmac esp-des //设置ah散列算法为md5,esp加密算法为des
crypto map vpndemp 10 ipsec-isakmp //定义crypto map
set peer 202.96.1.2 //设置隧道对端ip地址
set transform-set vpntag //设置隧道ah及esp
match address 101
!
interface tunnel0 //定义隧道接口
ip address 192.168.1.1 255.255.255.0 //隧道端口ip地址
no ip directed-broadcast
tunnel source 202.96.1.1 //隧道源端地址
tunnel destination 202.96.1.2 //隧道目标端地址
crypto map vpndemo //应用vpndemo于此接口
interface serial0/0
ip address 202.96.1.1 255.255.255.252 //串口的internet ip地址
no ip directed-broadcast
crypto map vpndemo //应用vpndemo于此端口
!
interface ethernet0/1
ip address 168.1.1.1 255.255.255.0 //外部端口ip地址
no ip directed-broadcast
interface ethernet0/0
ip address 172.22.1.100 255.255.255.0 //内部端口ip地址
no ip directed-broadcast
!
ip classless
ip route 0.0.0.0 0.0.0.0 202.96.1.2 //默认静态路由
ip route 172.22.2.0 255.255.0.0 192.168.1.2 //到内网静态路由(经过隧道)
access-lost 101 permit gre host 202.96.1.1 host 202.96.1.2 //定义访问控制列表
【问题1】
访问列表能够帮助控制网上ip包的传输,主要用在以下几个方面:
1、控制一个端口的包传输
2、控制虚拟终端访问数量
3、限制路由更新的内容
【问题2】
•标准ip访问列表
–检查源地址
–通常允许、拒绝的是完整的协议
•扩展ip访问列表
–检查源地址和目的地址
–通常允许、拒绝的是某个特定的协议
【问题3】
在此例中所有的ip数据包将全部不能从serial 0端口发送出去。
原因:在默认情况下,除非明确规定允许通过,访问列表总是阻止或拒绝一切数据包的通过,即实际上在每个访问列表的最后,都隐含有一条"deny any"的语句。
假设我们使用了前面创建的标准ip访问列表,从路由器的角度来看,这条语句实际内容如下:
access-list 1 deny 172.16.4.13 0.0.0.0
access-list 1 deny any
因此我们应将配置改为:
access-list 1 deny 172.16.4.13 0.0.0.0
access-list 1 permit any
interface serial 0
ip access-group 1 out
1、 若是serial0 is up, line protocol is up表示该端口工作正常。
2、若是serial 0 is down, line protocol is down表示路由器到本地的modem之间无载波信号cd。连接串口和 modem,开启modem.看modem的发送灯td是否亮,td灯亮表示路由器有信号发送给modem.td灯若不亮,请检查modem,线缆(最好用cisco所配的)和端口.你可以用另外一个串口再试试看。
3、若serial is up,但line protocol is down.有几种可能:
a.本地路由器未作配置.
b.远端路由器未开或未配置.
路由器两端需要配置相同的协议打包方式.例如:路由器a打包hdlc,路由器b打包ppp,那么两台路由器的line protocol始终是down的.改变打包方式:
router#conf t
router(config)#interface serial 0
router(config-if)#encapsulation ppp
router(config-if)#^z
router#
c.若是使用newbridge的26xx,27xx的dtu设备,它不发送cd信号,请在路由器上设置:
router#configure terminal
router(config)#int serial 0
router(config-if)#ignored-dcd
router(config-if)#^z
router#
d.modem之间没通,即专线没通.
解决办法:作测试环路.请电信局帮助确定具体出现问题是哪一段线路.若作环路成功,line protocol会变成up(looped).
4、若serial is admsinstratively down,line protocol is down.表示端口管理性关闭。
在该端口做以下工作
router#conf t
router(config)#interface serial 0
router(config-if)#no shutdown
router(config-if)#^z
router#
•des加密算法中,函数f的输出是(1)位。des算法是分组密码,数据分组长度是(2)位。用软件方法实现des一般至少比rsa快100倍。des通过(3)方法产生密文。
1.a.8 b.16 c.32 d.64
2.a.8 b.16 c.32 d.64
3.a.累加 b.迭代 c.逻辑与 d.异或
提醒:复习中des、ides、md5、sha的输入数据长度、输出长度等数据考前应记住。
使用什么方法(算法)或利用什么原理实现加密。
•rsa属于(4)加密方法。rsa的一个知名应用是用在(5)。
4.a.非对称 b.对称 c.流密码 d.密钥
5.a.公钥加密 b.ssl c.私钥加密 d.对称加密
提醒:传统密码的特点、公开钥密码系统的特点希望考生自己看一看。
• 为了防范主动攻击,数据发送方在发送端将可变长的报文经过报文摘要算法运算后产生固定长度的报文摘要,然后对报文摘要进行加密,把加密后的报文摘要和报文一起发送;接收方先对报文摘要解密,再对接收的报文进行运算,产生报文摘要,然后把接收的报文摘要和新产生的报文摘要进行比较,以验证接收的报文是否被篡改。使用报文摘要的优点是仅对短的定长报文摘要进行加密,这样比对整个报文加密简单,但是对于报文鉴别(认证)来说效果是一样的。
•报文摘要用于(6)。
6.a.报文鉴别 b.报文加密 c.报文解密 d.邮件传送
•数字签名一般用(7)算法实现。数字签名用(8)对数字签名进行加密。
7.a.对称 b.非对称 c.des d.ides
8.a.des b.ides c.私钥 d.公钥
提醒:数字证书用什么算法实现?用公钥加密,用私钥解密。
•数字证书由ca发放,用(9)来识别证书。
9.a.私钥 b.公钥 c.sra d.序列号
•实时通信中密钥分发多采用(10)分发。pki适用(11)。
10.a.动态 b.静态 c.批量 d.点对点