【問題1】
ipsec實現(xiàn)的vpn主要有下面四個配置部分����。
1��、 為ipsec做準備
為ipsec做準備涉及到確定詳細的加密策略�,包括確定我們要保護的主機和網(wǎng)絡(luò),選擇一種認證方法����,確定有關(guān)ipsec對等體的詳細信息��,確定我們所需的ipsec特性����,并確認現(xiàn)有的訪問控制列表允許ipsec數(shù)據(jù)通過����。
步驟1:根據(jù)對等體的數(shù)量和位置在ipsec對等體間確定一個ike(ike階段1或者主模式)策略;
步驟2:確定ipsec(ike階段2����,或快捷模式)策略,包括ipsec對等體的細節(jié)信息��,例如ip地址及ipsec變換集和模式;
步驟3:用“write terminal”�、“show isakmp”、“show isakmp policy”�、“show crypto map”命令及其它的show命令來檢查當前的配置;
步驟4:確認在沒有使用加密前網(wǎng)絡(luò)能夠正常工作,用ping命令并在加密前運行測試數(shù)據(jù)來排除基本的路由故障;
步驟5:確認在邊界路由器和防火墻中已有的訪問控制列表允許ipsec數(shù)據(jù)流通過�,或者想要的數(shù)據(jù)流將可以被過濾出來。
2��、 配置ike
配置ike涉及到啟用ike(和isakmp是同義詞)���,創(chuàng)建ike策略��,驗證我們的配置��。
步驟1:用isakmp enable命令來啟用或關(guān)閉ike;
步驟2:用isakmp policy命令創(chuàng)建ike策略;
步驟3:用isakmp key命令和相關(guān)命令來配置預(yù)共享密鑰;
步驟4:用show isakmp[policy]命令來驗證ike的配置�。
3、 配置ipsec
ipsec配置包括創(chuàng)建加密用訪問控制列表�����、定義變換集��、創(chuàng)建加密圖條目�����、并將加密集應(yīng)用到接口上去����。
步驟1:用access-list命令來配置加密用訪問控制列表:
例如:
access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr des_mask [operator port [port]]
步驟2:用cryto ipsec transform-set命令配置交換集;
例如:
crypto ipsec transformp-set transform-set-name transform1 [transform2 [transform3]]
步驟3:(任選)用crypto ipsec security-accociation lifetime命令來配置全局性的ipsec安全關(guān)聯(lián)的生存期;
步驟4:用crypto map命令來配置加密圖;
步驟5:用interface命令和crypto map map-name interface應(yīng)用到接口上;
步驟6:用各種可用的show命令來驗證ipsec的配置。
4�����、 測試和驗證ipsec
該任務(wù)涉及到使用“show”����、“debug”和相關(guān)的命令來測試和驗證ipsec加密工作是否正常,并為之排除故障��。
注:此類題目要求答出主要步驟即可�����。
編輯推薦:
2013 年上半年軟件水平考試合格標準
各地 2013年軟件水平考試報名時間匯總
考試吧策劃:2013年軟件水平考試報考指南
