2014軟考網(wǎng)絡工程師習題

為大家收集整理了《2014軟考網(wǎng)絡工程師習題》供大家參考，希望對大家有所幫助?。?！
    【問題1】nat可以分為靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、復用動態(tài)地址轉(zhuǎn)換三種方式。
    【問題2】
     current configuration：
     version 11.3
     no service password-encryption
     hostname 2501 //路由器名稱為2501
     ip nat pool aaa 192.1.1.2 192.1.1.10 netmask 255.255.255.0 //內(nèi)部合法地址池名稱為aaa，地址范圍為192.1.1.2~192.1.1.10，子網(wǎng)掩碼為255.255.255.0
     ip nat inside source list 1 pool aaa //將由access-list 1指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池aaa進行地址轉(zhuǎn)換。
     interface ethernet0
     ip address 10.1.1.1 255.255.255.0
     ip nat inside //指定與內(nèi)部網(wǎng)絡相連的內(nèi)部端口為ethernet0
     interface serial0
     ip address 192.1.1.1 255.255.255.0
     ip nat outside
     no ip mroute-cache
     bandwidth 2000 //帶寬為2m
     no fair-queue
     clockrate 2000000
     interface serial1
     no ip address
     shutdown
     no ip classless
     ip route 0.0.0.0 0.0.0.0 serial0 //指定靜態(tài)缺省路由指向serial0
     access-list 1 permit 10.1.1.0 0.0.0.255 //定義一個標準的access-list 1以允許10.1.1.0 網(wǎng)段，子網(wǎng)掩碼的反碼為0.0.0.255的內(nèi)部地址可以進行動態(tài)地址轉(zhuǎn)換
     line con 0
     line aux 0
     line vty 0 4
     password cisco
     end
    【問題3】此配置中nat采用了動態(tài)地址轉(zhuǎn)換。
    習題二：
    【問題1】路由器router1和router2的s0口均封裝ppp協(xié)議，采用chap做認證，在router1中應建立一個用戶，以對端路由器主機名作為用戶名，即用戶名應為router2。同時在router2中應建立一個用戶，以對端路由器主機名作為用戶名，即用戶名應為router1。所建的這兩用戶的password必須相同。
    【問題2】
     router1:
     hostname router1 //路由器名為router1
     username router2 password xxx //建立一用戶，用戶名為router2,口令為xxx
     interface serial0
     ip address 192.200.10.1 255.255.255.0
     encapsulation ppp //設置ppp封裝
     clockrate 1000000
     ppp authentication chap //設置ppp認證方法為chap
     !
     router2:
     hostname router2 　　username router1 password xxx
     interface serial0
     ip address 192.200.10.2 255.255.255.0
     encapsulation ppp
     ppp authentication chap
    【問題1】
     ipsec實現(xiàn)的*主要有下面四個配置部分。
     1、 為ipsec做準備
    為ipsec做準備涉及到確定詳細的加密策略，包括確定我們要保護的主機和網(wǎng)絡，選擇一種認證方法，確定有關ipsec對等體的詳細信息，確定我們所需的ipsec特性，并確認現(xiàn)有的訪問控制列表允許ipsec數(shù)據(jù)通過。
    步驟1：根據(jù)對等體的數(shù)量和位置在ipsec對等體間確定一個ike(ike階段1或者主模式)策略；
    步驟2：確定ipsec(ike階段2，或快捷模式)策略，包括ipsec對等體的細節(jié)信息，例如ip地址及ipsec變換集和模式；
    步驟3：用“write terminal”、“show isakmp”、“show isakmp policy”、“show crypto map”命令及其它的show命令來檢查當前的配置；
    步驟4：確認在沒有使用加密前網(wǎng)絡能夠正常工作，用ping命令并在加密前運行測試數(shù)據(jù)來排除基本的路由故障；
    步驟5：確認在邊界路由器和防火墻中已有的訪問控制列表允許ipsec數(shù)據(jù)流通過，或者想要的數(shù)據(jù)流將可以被過濾出來。
     2、 配置ike
    配置ike涉及到啟用ike（和isakmp是同義詞），創(chuàng)建ike策略，驗證我們的配置。
    步驟1：用isakmp enable命令來啟用或關閉ike；
    步驟2：用isakmp policy命令創(chuàng)建ike策略；
    步驟3：用isakmp key命令和相關命令來配置預共享密鑰；
    步驟4：用show isakmp[policy]命令來驗證ike的配置。
     3、 配置ipsec
     ipsec配置包括創(chuàng)建加密用訪問控制列表、定義變換集、創(chuàng)建加密圖條目、并將加密集應用到接口上去。
    步驟1：用access-list命令來配置加密用訪問控制列表：
    例如：
     access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr des_mask [operator port [port]]
    步驟2：用cryto ipsec transform-set命令配置交換集；
    例如：
     crypto ipsec transformp-set transform-set-name transform1 [transform2 [transform3]]
    步驟3：（任選）用crypto ipsec security-accociation lifetime命令來配置全局性的ipsec安全關聯(lián)的生存期；
    步驟4：用crypto map命令來配置加密圖；
    步驟5：用interface命令和crypto map map-name interface應用到接口上；
    步驟6：用各種可用的show命令來驗證ipsec的配置。
     4、 測試和驗證ipsec
    該任務涉及到使用“show”、“debug”和相關的命令來測試和驗證ipsec加密工作是否正常，并為之排除故障。
    注：此類題目要求答出主要步驟即可。