【問題1】
ipsec實(shí)現(xiàn)的vpn主要有下面四個(gè)配置部分。
1、 為ipsec做準(zhǔn)備
為ipsec做準(zhǔn)備涉及到確定詳細(xì)的加密策略,包括確定我們要保護(hù)的主機(jī)和網(wǎng)絡(luò),選擇一種認(rèn)證方法,確定有關(guān)ipsec對等體的詳細(xì)信息,確定我們所需的ipsec特性,并確認(rèn)現(xiàn)有的訪問控制列表允許ipsec數(shù)據(jù)通過。
步驟1:根據(jù)對等體的數(shù)量和位置在ipsec對等體間確定一個(gè)ike(ike階段1或者主模式)策略;
步驟2:確定ipsec(ike階段2,或快捷模式)策略,包括ipsec對等體的細(xì)節(jié)信息,例如ip地址及ipsec變換集和模式;
步驟3:用“write terminal”、“show isakmp”、“show isakmp policy”、“show crypto map”命令及其它的show命令來檢查當(dāng)前的配置;
步驟4:確認(rèn)在沒有使用加密前網(wǎng)絡(luò)能夠正常工作,用ping命令并在加密前運(yùn)行測試數(shù)據(jù)來排除基本的路由故障;
步驟5:確認(rèn)在邊界路由器和防火墻中已有的訪問控制列表允許ipsec數(shù)據(jù)流通過,或者想要的數(shù)據(jù)流將可以被過濾出來。
2、 配置ike
配置ike涉及到啟用ike(和isakmp是同義詞),創(chuàng)建ike策略,驗(yàn)證我們的配置。
步驟1:用isakmp enable命令來啟用或關(guān)閉ike;
步驟2:用isakmp policy命令創(chuàng)建ike策略;
步驟3:用isakmp key命令和相關(guān)命令來配置預(yù)共享密鑰;
步驟4:用show isakmp[policy]命令來驗(yàn)證ike的配置。
3、 配置ipsec
ipsec配置包括創(chuàng)建加密用訪問控制列表、定義變換集、創(chuàng)建加密圖條目、并將加密集應(yīng)用到接口上去。
步驟1:用access-list命令來配置加密用訪問控制列表:
例如:
access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr des_mask [operator port [port]]
步驟2:用cryto ipsec transform-set命令配置交換集;
例如:
crypto ipsec transformp-set transform-set-name transform1 [transform2 [transform3]]
步驟3:(任選)用crypto ipsec security-accociation lifetime命令來配置全局性的ipsec安全關(guān)聯(lián)的生存期;
步驟4:用crypto map命令來配置加密圖;
步驟5:用interface命令和crypto map map-name interface應(yīng)用到接口上;
步驟6:用各種可用的show命令來驗(yàn)證ipsec的配置。
4、 測試和驗(yàn)證ipsec
該任務(wù)涉及到使用“show”、“debug”和相關(guān)的命令來測試和驗(yàn)證ipsec加密工作是否正常,并為之排除故障。
注:此類題目要求答出主要步驟即可。
編輯推薦:
2013 年上半年軟件水平考試合格標(biāo)準(zhǔn)
北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |