2015年軟考網(wǎng)絡工程師復習題(一)

字號:

點擊查看>>計算機軟考題庫大全
    【問題】
     crypto isakmp policy 1 //配置ike策略1
     authentication pre-share //ike策略1的驗證方法設為pre_share
     group 2 //加密算法未設置則取默認值:des
     crypto isakmp key test123 address 202.96.1.2 //設置pre-share密鑰為test123,此值兩端需一致
     crypto ipsec transform-set *tag ah-md5-hmac esp-des //設置ah散列算法為md5,esp加密算法為des
     crypto map *demp 10 ipsec-isakmp //定義crypto map
     set peer 202.96.1.2 //設置隧道對端ip地址
     set transform-set *tag //設置隧道ah及esp
     match address 101
     !
     interface tunnel0 //定義隧道接口
     ip address 192.168.1.1 255.255.255.0 //隧道端口ip地址
     no ip directed-broadcast
     tunnel source 202.96.1.1 //隧道源端地址
     tunnel destination 202.96.1.2 //隧道目標端地址
     crypto map *demo //應用*demo于此接口
     interface serial0/0
     ip address 202.96.1.1 255.255.255.252 //串口的internet ip地址
     no ip directed-broadcast
     crypto map *demo //應用*demo于此端口
     !
     interface ethernet0/1
     ip address 168.1.1.1 255.255.255.0 //外部端口ip地址
     no ip directed-broadcast
     interface ethernet0/0
     ip address 172.22.1.100 255.255.255.0 //內部端口ip地址
     no ip directed-broadcast
     !
     ip classless
     ip route 0.0.0.0 0.0.0.0 202.96.1.2 //默認靜態(tài)路由
     ip route 172.22.2.0 255.255.0.0 192.168.1.2 //到內網(wǎng)靜態(tài)路由(經(jīng)過隧道)
     access-lost 101 permit gre host 202.96.1.1 host 202.96.1.2 //定義訪問控制列表
    【問題1】
     訪問列表能夠幫助控制網(wǎng)上ip包的傳輸,主要用在以下幾個方面:
     1、控制一個端口的包傳輸
     2、控制虛擬終端訪問數(shù)量
     3、限制路由更新的內容
     【問題2】
     •標準ip訪問列表
     –檢查源地址
     –通常允許、拒絕的是完整的協(xié)議
     •擴展ip訪問列表
     –檢查源地址和目的地址
     –通常允許、拒絕的是某個特定的協(xié)議
     【問題3】
     在此例中所有的ip數(shù)據(jù)包將全部不能從serial 0端口發(fā)送出去。
     原因:在默認情況下,除非明確規(guī)定允許通過,訪問列表總是阻止或拒絕一切數(shù)據(jù)包的通過,即實際上在每個訪問列表的最后,都隱含有一條"deny any"的語句。
     假設我們使用了前面創(chuàng)建的標準ip訪問列表,從路由器的角度來看,這條語句實際內容如下:
     access-list 1 deny 172.16.4.13 0.0.0.0
     access-list 1 deny any
     因此我們應將配置改為:
     access-list 1 deny 172.16.4.13 0.0.0.0
     access-list 1 permit any
     interface serial 0
     ip access-group 1 out