網(wǎng)絡(luò)工程師復(fù)習(xí)資料及習(xí)題集錦

1、2015年網(wǎng)絡(luò)工程師復(fù)習(xí)資料及習(xí)題集錦【問題】 crypto isakmp policy 1 /配置ike策略1 authentication pre-share /ike策略1的驗(yàn)證方法設(shè)為pre_share group 2 /加密算法未設(shè)置則取默認(rèn)值:des crypto isakmp key test123 address 202.96.1.2 /設(shè)置pre-share密鑰為test123，此值兩端需一致 crypto ipsec transform-set vpntag ah-md5-hmac esp-des /設(shè)置ah散列算法為md5，esp加密算法為des crypto map v

2、pndemp 10 ipsec-isakmp /定義crypto map set peer 202.96.1.2 /設(shè)置隧道對端ip地址 set transform-set vpntag /設(shè)置隧道ah及esp match address 101 ! interface tunnel0 /定義隧道接口 ip address 192.168.1.1 255.255.255.0 /隧道端口ip地址 no ip directed-broadcast tunnel source 202.96.1.1 /隧道源端地址 tunnel destination 202.96.1.2 /隧道目標(biāo)端地址 cryp

3、to map vpndemo /應(yīng)用vpndemo于此接口 interface serial0/0 ip address 202.96.1.1 255.255.255.252 /串口的internet ip地址 no ip directed-broadcast crypto map vpndemo /應(yīng)用vpndemo于此端口 ! interface ethernet0/1 ip address 168.1.1.1 255.255.255.0 /外部端口ip地址 no ip directed-broadcast interface ethernet0/0 ip address 172.22.1

4、.100 255.255.255.0 /內(nèi)部端口ip地址 no ip directed-broadcast ! ip classless ip route 0.0.0.0 0.0.0.0 202.96.1.2 /默認(rèn)靜態(tài)路由 ip route 172.22.2.0 255.255.0.0 192.168.1.2 /到內(nèi)網(wǎng)靜態(tài)路由（經(jīng)過隧道） access-lost 101 permit gre host 202.96.1.1 host 202.96.1.2 /定義訪問控制列表 【問題1】 訪問列表能夠幫助控制網(wǎng)上ip包的傳輸，主要用在以下幾個(gè)方面： 1、控制一個(gè)端口的包傳輸 2、控制虛擬終端訪

5、問數(shù)量 3、限制路由更新的內(nèi)容 【問題2】 標(biāo)準(zhǔn)ip訪問列表 檢查源地址 通常允許、拒絕的是完整的協(xié)議 擴(kuò)展ip訪問列表 檢查源地址和目的地址 通常允許、拒絕的是某個(gè)特定的協(xié)議 【問題3】 在此例中所有的ip數(shù)據(jù)包將全部不能從serial 0端口發(fā)送出去。 原因：在默認(rèn)情況下，除非明確規(guī)定允許通過，訪問列表總是阻止或拒絕一切數(shù)據(jù)包的通過，即實(shí)際上在每個(gè)訪問列表的最后，都隱含有一條deny any的語句。 假設(shè)我們使用了前面創(chuàng)建的標(biāo)準(zhǔn)ip訪問列表，從路由器的角度來看，這條語句實(shí)際內(nèi)容如下： access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1

6、deny any 因此我們應(yīng)將配置改為： access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit any interface serial 0 ip access-group 1 out2015年網(wǎng)絡(luò)工程師復(fù)習(xí)資料及習(xí)題(二)ipsec實(shí)現(xiàn)的vpn主要有下面四個(gè)配置部分。 1、為ipsec做準(zhǔn)備 為ipsec做準(zhǔn)備涉及到確定詳細(xì)的加密策略，包括確定我們要保護(hù)的主機(jī)和網(wǎng)絡(luò)，選擇一種認(rèn)證方法，確定有關(guān)ipsec對等體的詳細(xì)信息，確定我們所需的ipsec特性，并確認(rèn)現(xiàn)有的訪問控制列表允許ipsec數(shù)據(jù)通過。 步驟1：根據(jù)對等體的數(shù)量和位

7、置在ipsec對等體間確定一個(gè)ike(ike階段1或者主模式)策略； 步驟2：確定ipsec(ike階段2，或快捷模式)策略，包括ipsec對等體的細(xì)節(jié)信息，例如ip地址及ipsec變換集和模式； 步驟3：用“write terminal”、“show isakmp”、“show isakmp policy”、“show crypto map”命令及其它的show命令來檢查當(dāng)前的配置； 步驟4：確認(rèn)在沒有使用加密前網(wǎng)絡(luò)能夠正常工作，用ping命令并在加密前運(yùn)行測試數(shù)據(jù)來排除基本的路由故障； 步驟5：確認(rèn)在邊界路由器和防火墻中已有的訪問控制列表允許ipsec數(shù)據(jù)流通過，或者想要的數(shù)據(jù)流將可以被過

8、濾出來。 2、配置ike 配置ike涉及到啟用ike（和isakmp是同義詞），創(chuàng)建ike策略，驗(yàn)證我們的配置。 步驟1：用isakmp enable命令來啟用或關(guān)閉ike； 步驟2：用isakmp policy命令創(chuàng)建ike策略； 步驟3：用isakmp key命令和相關(guān)命令來配置預(yù)共享密鑰； 步驟4：用show isakmppolicy命令來驗(yàn)證ike的配置。 3、配置ipsec ipsec配置包括創(chuàng)建加密用訪問控制列表、定義變換集、創(chuàng)建加密圖條目、并將加密集應(yīng)用到接口上去。 步驟1：用access-list命令來配置加密用訪問控制列表： 例如： access-list acl-name

9、permit|deny protocol src_addr src_mask operator port port dest_addr des_mask operator port port 步驟2：用cryto ipsec transform-set命令配置交換集； 例如： crypto ipsec transformp-set transform-set-name transform1 transform2 transform3 步驟3：（任選）用crypto ipsec security-accociation lifetime命令來配置全局性的ipsec安全關(guān)聯(lián)的生存期； 步驟4：用c

10、rypto map命令來配置加密圖； 步驟5：用interface命令和crypto map map-name interface應(yīng)用到接口上； 步驟6：用各種可用的show命令來驗(yàn)證ipsec的配置。 4、測試和驗(yàn)證ipsec 該任務(wù)涉及到使用“show”、“debug”和相關(guān)的命令來測試和驗(yàn)證ipsec加密工作是否正常，并為之排除故障。 注：此類題目要求答出主要步驟即可。2015年網(wǎng)絡(luò)工程師復(fù)習(xí)資料及習(xí)題(三)1、若是serial0 is up, line protocol is up表示該端口工作正常。 2、若是serial 0 is down, line protocol is dow

11、n表示路由器到本地的modem之間無載波信號(hào)cd。連接串口和 modem,開啟modem.看modem的發(fā)送燈td是否亮，td燈亮表示路由器有信號(hào)發(fā)送給modem.td燈若不亮,請檢查modem,線纜(最好用cisco所配的)和端口.你可以用另外一個(gè)串口再試試看。 3、若serial is up,但line protocol is down.有幾種可能: a.本地路由器未作配置. b.遠(yuǎn)端路由器未開或未配置. 路由器兩端需要配置相同的協(xié)議打包方式.例如:路由器a打包hdlc,路由器b打包ppp,那么兩臺(tái)路由器的line protocol始終是down的.改變打包方式: router#conf

12、t router(config)#interface serial 0 router(config-if)#encapsulation ppp router(config-if)#z router# c.若是使用newbridge的26xx,27xx的dtu設(shè)備,它不發(fā)送cd信號(hào),請?jiān)诼酚善魃显O(shè)置: router#configure terminal router(config)#int serial 0 router(config-if)#ignored-dcd router(config-if)#z router# d.modem之間沒通,即專線沒通. 解決辦法:作測試環(huán)路.請電信局幫助確定具體出現(xiàn)問題是哪一段線路.若作環(huán)路成功,line protocol會(huì)變成up(l