【問(wèn)題1】
ipsec實(shí)現(xiàn)的vpn主要有下面四個(gè)配置部分�����。
1、 為ipsec做準(zhǔn)備
為ipsec做準(zhǔn)備涉及到確定詳細(xì)的加密策略��,包括確定我們要保護(hù)的主機(jī)和網(wǎng)絡(luò)����,選擇一種認(rèn)證方法,確定有關(guān)ipsec對(duì)等體的詳細(xì)信息��,確定我們所需的ipsec特性�,并確認(rèn)現(xiàn)有的訪問(wèn)控制列表允許ipsec數(shù)據(jù)通過(guò)。
步驟1:根據(jù)對(duì)等體的數(shù)量和位置在ipsec對(duì)等體間確定一個(gè)ike(ike階段1或者主模式)策略;
步驟2:確定ipsec(ike階段2����,或快捷模式)策略,包括ipsec對(duì)等體的細(xì)節(jié)信息�����,例如ip地址及ipsec變換集和模式;
步驟3:用“write terminal”、“show isakmp”�、“show isakmp policy”、“show crypto map”命令及其它的show命令來(lái)檢查當(dāng)前的配置;
步驟4:確認(rèn)在沒(méi)有使用加密前網(wǎng)絡(luò)能夠正常工作���,用ping命令并在加密前運(yùn)行測(cè)試數(shù)據(jù)來(lái)排除基本的路由故障;
步驟5:確認(rèn)在邊界路由器和防火墻中已有的訪問(wèn)控制列表允許ipsec數(shù)據(jù)流通過(guò)���,或者想要的數(shù)據(jù)流將可以被過(guò)濾出來(lái)。
2���、 配置ike
配置ike涉及到啟用ike(和isakmp是同義詞)���,創(chuàng)建ike策略,驗(yàn)證我們的配置���。
步驟1:用isakmp enable命令來(lái)啟用或關(guān)閉ike;
步驟2:用isakmp policy命令創(chuàng)建ike策略;
步驟3:用isakmp key命令和相關(guān)命令來(lái)配置預(yù)共享密鑰;
步驟4:用show isakmp[policy]命令來(lái)驗(yàn)證ike的配置�。
3��、 配置ipsec
ipsec配置包括創(chuàng)建加密用訪問(wèn)控制列表��、定義變換集�、創(chuàng)建加密圖條目、并將加密集應(yīng)用到接口上去。
步驟1:用access-list命令來(lái)配置加密用訪問(wèn)控制列表:
例如:
access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr des_mask [operator port [port]]
步驟2:用cryto ipsec transform-set命令配置交換集;
例如:
crypto ipsec transformp-set transform-set-name transform1 [transform2 [transform3]]
步驟3:(任選)用crypto ipsec security-accociation lifetime命令來(lái)配置全局性的ipsec安全關(guān)聯(lián)的生存期;
步驟4:用crypto map命令來(lái)配置加密圖;
步驟5:用interface命令和crypto map map-name interface應(yīng)用到接口上;
步驟6:用各種可用的show命令來(lái)驗(yàn)證ipsec的配置���。
4�、 測(cè)試和驗(yàn)證ipsec
該任務(wù)涉及到使用“show”�����、“debug”和相關(guān)的命令來(lái)測(cè)試和驗(yàn)證ipsec加密工作是否正常�����,并為之排除故障�����。
注:此類題目要求答出主要步驟即可�����。
編輯推薦:
2013 年上半年軟件水平考試合格標(biāo)準(zhǔn)
各地 2013年軟件水平考試報(bào)名時(shí)間匯總
考試吧策劃:2013年軟件水平考試報(bào)考指南
