200911网工下午真题

第 1 题

(典型试题,请认真学习)

阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某校园网中的无线网络拓扑结构如图1-1所示。

 

图1-1

该网络中无线网络的部分需求如下:
1.学校操场要求部署AP,该操场区域不能提供外接电源。
2.学校图书馆报告厅要求高带宽、多接入点。
3.无线网络接入要求有必要的安全性。

【问题1】(4分)
根据学校无线网络的需求和拓扑图可以判断,连接学校操场无线AP的是(1)交换机,它可以通过交换机的(2)口为AP提供直流电。
【问题2】(6分)
1.根据需求在图书馆报告厅安装无线AP,如果采用符合IEEE 802.11b规范的AP,理论上可以提供(3)Mb/s的传输速率;如果采用符合IEEE 802.11g规范的AP,理论上可以提供最高(4)Mb/s的传输速率。如果采用符合(5)规范的AP,由于将MIMO技术和(6)调制技术结合在一起,理论上最高可以提供600Mbps的传输速率。
(5)备选答案
A.IEEE 802.11a   
B.IEEE 802.11e  
C.IEEE 802.11i   
D.IEEE 802.11n
(6)备选答案
A.BFSK  
B.QAM   
C.OFDM   
D.MFSK
2.图书馆报告厅需要部署10台无线AP,在配置过程中发现信号相互干扰严重,这时应调整无线AP的(7)设置,用户在该报告厅内应选择(8),接入不同的无线AP。
(7)~(8)备选答案
A.频道  
B.功率  
C.加密模式  
D.操作模式  
E. SSID
【问题3】(5分)
若在学校内一个专项实验室配置无线AP,为了保证只允许实验室的PC机接入该无线AP,可以在该无线AP上设置不广播(9),对客户端的(10)地址进行过滤,同时为保证安全性,应采用加密措施。无线网络加密主要有三种方式:(11)、WPA/WPA2、WPA-PSK/WPA2-PSK。在这三种模式中,安全性最好的是(12),其加密过程采用了TKIP和(13)算法。
(13)备选答案
A.AES   
B.DES   
C.IDEA   
D.RSA

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>WLAN
  • 试题答案:

     

    【问题1】(4分)
    (1)PoE(或答802.3af也给全分) (2分)
    (2)以太(或Ethernet) (2分)
    【问题2】(6分)
    (3)11 (1分)
    (4)54 (1分)
    (5)D(或IEEE 802.11n) (1分)
    (6)C(或OFDM) (1分)
    (7)A(或 频道) (1分)
    (8)E(或SSID) (1分)
    【问题3】(5分)
    (9) SSID (1分)
    (10)MAC(或物理地址) (1分)
    (11)WEP(或有线等效加密) (1分)
    (12)WPA-PSK/WPA2-PSK (1分)
    (13)A(或AES) (1分)

     

  • 试题解析:

    【问题1】
    本问题考查POE知识。根据题目要求,学校操场要求部署AP,该操场区域不能提供外接电源,所以应采用POE技术供电。
    POE(Power Over Ethernet)指的是在现有的以太网Cat.5布线基础架构不做任何改动的情况下,在为一些基于IP的终端(如IP电话机、无线局域网接入点AP、网络摄像机等)传输数据信号的同时,还能为此类设备提供直流供电的技术。POE技术能在确保现有结构化布线安全的同时现有网络的正常运作,最大限度地降低成本。
    POE也被称为基于局域网的供电系统(Power over LAN,POL)或有源以太网(Active Ethernet),有时也被简称为以太网供电,这是利用现存标准以太网传输电缆的同时传送数据和电功率的最新标准规范,并保持了与现存以太网系统和用户的兼容性。IEEE802.3af标准是基于以太网供电系统POE的新标准,它在IEEE 802.3的基础上增加了通过网线直接供电的相关标准,是现有以太网标准的扩展,也是第一个关于电源分配的国际标准。
    【问题2】
    本问题考查802.11的标准规范问题。
    802.11是IEEE最初制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中用户与用户终端的无线接入,业务主要限于数据存取,速率最高只能达到2Mbps。由于它在速率和传输距离上都不能满足人们的需要,因此IEEE小组又相继推出了新标准,主要如下:
    IEEE 802.11a(Wi-Fi5)标准是得到广泛应用的802.11b标准的后续标准,工作在5GHzU-NⅡ频带,物理层速率可达54Mbps,传输层可达25Mbps;可提供25Mbps的无线ATM接口和10Mbps的以太网无线帧结构接口,以及TDD/TDMA的空中接口;支持语音、数据、图像业务;一个扇区可接入多个用户,每个用户可带多个用户终端。
    IEEE802.11b是无线局域网的一个标准。其载波的频率为2.4GHz,传送速度为11Mbit/s。IEEE 802.11b在2.4-GHz-ISM频段共有14个频宽为22MHz的频道可供使用。IEEE 802.11b的后继标准是IEEE 802.11g,其传送速度为54Mb/s。
    IEEE 802.11n是2004年1月IEEE宣布组成的一个新的单位来发展新的802.11标准。它增加了MIMO(multiple-input multiple-output)的标准。利用MIMO使用多个发射和接收天线来允许更高的资料传输率。IEEE 802.11n将MIMO技术与OFDM调制技技术结合在一起,理论上最高可以提供600Mbps的传输速率。
    无线AP一般在某个频段工作。当在某个区域有多个无线AP,且使用同一频道时,可能出现信号相互干扰严重的问题。在某个频段下,实际有多个频道,可以通过手动方式修改无线AP所使用的频道,或在无线AP上安装一个5GHz的组件。5GHz可以使用的频段有23个,且几乎没有其他人在使用,这样可以解决信号相互干扰的问题:另外,在无线AP中,SSID(Service Set Identifier)用来区分不同的网络,最多可以有32个字符,无线网卡设置不同的SSID就可以进入不同网络,SSID通常由AP广播出来,用户选择不同的SSID,接入不同的无线AP。
    【问题3】
    本问题考查配置无线AP安全的问题。
    解决无线AP安全,首先要通过SSID和MAC地址过滤防止非法链接。
    SSID用来区分无线访问节点所使用的初始化字符串,客户端要通过SSID来完链接的初始化。该校验器由制造商进行设定,同一厂商产品使用同样的默认值。如果使用厂家的初始化字符串,那么就可能被非授权链接。因此,在配置无线网络时,应更改SSID初始化字符串,使其难于猜测,并在条件许可的情况下限制SSID广播,以此来杜绝非法链接。
    在无线AP中,可以设置MAC地址过滤,这样只用指定的MAC地址才能登录无线AP,从而保证杜绝非法链接。
    为保证无线网络的安全性,还应采用加密措施。无线网络加密主要有三种方式:WEP、WPA/WPA2和WPA-PSK/WPA2-PSK。
    无线网络最初采用的安全机制是WEP(有线等效私密),但是后来发现WEP是很不安全的,802.11组织开始着手制定新的安全标准,也就是后来的802.11i协议。但是标准的制定到最后的发布需要较长的时间,而且考虑到消费者不会为了网络的安全性而放弃原来的无线设备,因此Wi-Fi联盟在标准推出之前,在802.11i草案的基础上制定了一种称为WPA(Wi-Fi Protected Access)的安全机制,它使用TKIP(临时密钥完整性协议),使用的加密算法还是WEP中使用的加密算法RC4,所以不需要修改原来无线设备的硬件。WPA针对WEP中存在的问题:IV过短、密钥管理过于简单、对消息完整性没有有效的保护,通过软件升级的方法提高了网络的安全性。
    在802.11i颁布之后,Wi-Fi联盟推出了WPA-PSK/WPA2-PSK,它支持AES(高级加密算法),因此需要新的硬件支持,使用CCMP(计数器模式密码块链消息完整码协),其安全性最好。

第 2 题

(典型试题,请认真学习)

阅读下列说明,回答问题1至问题5, 将解答填入答题纸对应的解答栏内。
【说明】
网络拓扑结构如图2-1所示。

【问题1】(4分)
网络A的WWW服务器上建立了一个Web站点,对应的域名是www.abC.edu。DNS服务器1上安装Windows Server 2003操作系统并启用DNS服务。为了解析WWW服务器的域名,在图2-2所示的对话框中,新建一个区域的名称是(1);在图2-3所示的对话框中,添加的对应的主机“名称”为(2)。

   图2-2

  图2-3
【问题2】(3分)
在DNS系统中反向查询(Reverse Query)的功能是(3)。为了实现网络A中WWW服务器的反向查询,在图2-4和2-5中进行配置,其中网络ID应填写为(4)。主机名应填写为(5)。

   图2-4


              图2-5
【问题3】(3分)
DNS服务器1负责本网络区域的域名解析,对于非本网络的域名,可以通过设置“转发器”,将自己无法解析的名称转到网络C中的DNS服务器2进行解析。设置步骤:首先在“DNS管理器”中选中DNS服务器,单击鼠标右键,选择“属性”对话框中的“转发器”选项卡,在弹出的如图2-6所示的对话框中应如何配置?

   图2-6

【问题4】(2分)
网络C的Windows Server 2003 Server服务器上配置了DNS服务,在该服务器上两次使用nslookup www.sohu.com命令得到的结果如图2-7所示,由结果可知,该DNS服务器(6)。
(6)的备选答案:
A.启用了循环功能   
B.停用了循环功能
C.停用了递归功能   
D.启用了递归功能
【问题5】(3分)
在网络B中,除PC5计算机以外,其它的计算机都能访问网络A的WWW服务器,而PC5计算机与网络B内部的其它PC机器都是连通的。分别在PC5和PC6上执行命令ipconfig,结果信息如图2-8和图2-9所示:


请问PC5的故障原因是什么?如何解决?

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>DNS服务配置
  • 试题答案:

    【问题1】(4分)
    (1)abc.edu (2分)
    (2)www (2分)
    【问题2】(3分)
    (3)用IP地址查询对应的域名 (1分)
    (4)210.43.16 (1分)
    (5)www.abc.edu (1分)
    【问题3】(3分)
    选中“启用转发器”,在IP地址栏输入“51.202.22.18”,单击“添加”按钮,然后单击“确定”按钮关闭对话框。
    【问题4】(2分)
    (6)A 或 启用了循环功能
    【问题5】(3分)
    PC5的默认网关配置错误(2分),将默认网关IP地址修改为“192.168.0.3” (1分)

  • 试题解析:

    本题考查Windows Server 2003操作系统中DNS服务器的配置。
    【问题1】
    由网络A的WWW服务器对应的域名是www.abc.edu,故在DNS服务器上新建的区域的名称是abc.edu,主机名称为www。
    【问题2】
    在DNS系统中可利用反向查询功能来依据IP地址查询对应的域名。Windows Server 2003操作系统中配置DNS反向查询时IP地址倒写,且只取前3个字节,故(4)应填入“210.43.16”,对应的主机名为www.abc.edu。
    【问题3】
    转发器的功能是将自己无法解析的名称转到另一个DNS服务器进行转发,配置转发服务器时需要指定转发服务器的IP地址。故在图中应选中“启用转发器”复选框,并在IP地址栏输入DNS服务器2的IP地址,即“51.202.22.18”。
    【问题4】
    从DNS服务器上两次使用nslookup得到的结果可以看出,该DNS服务器启用了循环功能。
    【问题5】
    PC5和PC6Internet协议属性参数中网关地址不同,故PC5的默认网关配置错误。将其默认网关IP地址修改为“192.168.0.3”即可。

第 3 题

(典型试题,请认真学习)

阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
在大型网络中,通常采用DHCP完成基本网络配置会更有效率。

【问题1】(1分)
在Linux系统中,DHCP服务默认的配置文件为(1)。
(1)备选答案:
A./etc/dhcpd.conf   
B./etc/dhcpd.config
C./etc/dhcp.conf   
D./etc/dhcp.config
【问题2】(共4分)
管理员可以在命令行通过(2)命令启动DHCP服务;通过(3)命令停止DHCP服务。
(2)、(3)备选答案:
A.service dhcpd start  
B.service dhcpd up
C.service dhcpd stop  
D.service dhcpd down
【问题3】(10分)
在Linux系统中配置DHCP服务器,该服务器配置文件的部分内容如下:
subnet 192.168.1.0 netmask 255.255.255.0{
option routers 192.168.1.254;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.1.255;
option domain-name-servers 192.168.1.3;
range 192.168.1.100  192.168.1.200;
default-lease-time 21600;
max-lease-time 43200;
host webserver{
hardware ethernet 52:54:AB:34:5B:09;
fixed-address 192.168.1.100;


在主机webserver上运行ifconfig命令时显示如下,根据DHCP配置,填写空格中缺少的内容。

该网段的网关IP地址为(7),域名服务器IP地址为(8)。

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>DHCP服务配置
  • 试题答案:

    【问题1】(1分)
    (1)A 或 /etc/dhcpd.conf
    【问题2】(4分)
    (2)A 或service dhcpd start (2分)
    (3)C 或service dhcpd stop (2分)
    【问题3】(10分)
    (4)52:54:AB:34:5B:09 (2分)
    (5)192.168.1.100 (2分)
    (6)255.255.255.0 (2分)
    (7)192.168.1.254 (2分)
    (8)192.168.1.3 (2分)

  • 试题解析:

    本题考查Linux下的DHCP服务配置相关问题。
    【问题1】
    在Linux系统中,DHCP服务默认的配置文件为/etc/dhcpd.conf。
    【问题2】
    在Linux系统中,可以在命令行下通过service dhcpd start和service dhcpd stop进行
    DHCP服务的启动和停止。
    【问题3】
    问题(4)~(6)是webserver的MAC地址、IP地址和网络掩码。在/etc/dhcpd.conf中有如下相关内容:
    option subnet-mask255.255.255.0;
    host webserver{
    hardware ethernet 52:54:AB:34:5B:09;
    fixed-address 192.168.1.100;

    因此可以知道webserver的MAC地址是52:54:AB:34:5B:09,IP地址是192.168.1.100,网路掩码为255.255.255.0。
    从dhcpd.conf中可以看到如下内容:
    option routers192.168.1.254;
    option domain-name-servers 192.168.1.3;
    因此该网段的网关IP地址为192.168.1.254,DNS为192.168.1.3。

第 4 题

(注意此题考的是思科设备的配置,在2018版本的考试大纲中,网络设备已经默认为华为设备,此题不需要学习和记忆,模拟题中已经有类似的华为配置,请注意学习)

阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某公司通过PIX防火墙接入Internet,网络拓扑如图4-1所示。


                    图4-1
在防火墙上利用show命令杳询当前配置信息如下:
PIX#show config

nameif eth0 outside security0
nameif eth1 inside security100
nameif eth2 dmz security40

fixup protocal ftp 21  (1)
fixup protocol http 80  …
ip address outside 61.144.51.42  255.255.255.248
ip address inside 192.168.0.1  255.255.255.0
ip address dmz 10.10.0.1  255.255.255.0

global(outside)1 61.144.51.46
nat(inside)1 0.0.0.0  0.0.0.000

route outside 0.0.0.0 0.0.0.0 61.144.51.45 1    (2)

【问题1】(4分)
解释(1)、(2)处画线语句的含义。
【问题2】(6分)
根据配置信息,填写表4-1。


【问题3】(2分)
根据所显示的配置信息,由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是(7)。
【问题4】(3分)
如果需要在dmz域的服务器(IP地址为10.10.0.100)对Internet用户提供Web服务(对外公开IP地址为61.144.51.43),请补充完成下列配置命令。
PIX(config)#static(dmz,outside)(8)(9)
PIX(config)#conduit permit tcp host(10)eq www any

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>防火墙配置
  • 试题答案:

    【问题1】(4分)
    (1)启用ftp服务 (2分)
    (2)设置eth0口的默认路由,指向61.144.51.45,且跳步数为1  (2分)
    【问题2】(6分)
    (3)192.168.0.1 (1.5分)
    (4)255.255.255.248 (1.5分)
    (5)eth2 (1.5分)
    (6)10.10.0.1 (1.5分)
    【问题3】(2分)
    (7)61.144.51.46
    【问题4】(3分)
    (8)61.144.51.43 (1分)
    (9)10.10.0.100 (1分)
    (10)61.144.51.43 (1分)

  • 试题解析:

    fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是PIX防火墙要侦听的服务。见下面例子: 
    例: Pix525(config)#fixup protocol ftp 21
    启用FTP协议,并指定FTP的端口号为21。 
    设置指向内网和外网的静态路由采用route命令:
    定义一条静态路由。route命令配置语法:
    route (if_name) 0 0 gateway_ip [metric] 
    其中参数解释如下:
    if_name表示接口名字,例如inside,outside;
    Gateway_ip表示网关路由器的ip地址;
    [metric]表示到gateway_ip的跳数,通常缺省是1。
    例:Pix525(config)# route outside 0 0 61.144.51.168 1
    设置eth0口的默认路由,指向61.144.51.168 ,且跳步数为1。
     
    防火墙通常具有一般有3个接口,使用防火墙时,就至少产生了3个网络,描述如下:
    内部区域(内网)。内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
    外部区域(外网)。外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。 
    非军事区(DMZ,又称停火区)。是一个隔离的网络,或几个网络。位于区域内的主机或服务器被称为堡垒主机。一般在非军事区内可以放置Web、Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许它们访问企业内部网络。
    由配置信息,ip address outside 61.144.51.42 255.255.255.248
    ip address inside 192.168.0.1 255.255.255.0
    ip address dmz 10.10.0.1 255.255.255.0
    可知eth1的IP地址为192.168.0.1,eth0的IP地址为61.144.51.42,子网掩码为255.255.255.248,dmz接口的名称为eth2,IP地址为10.10.0.1。
     
    Global命令把内网的IP地址翻译成外网的IP地址或一段地址范围。
    Global命令的配置语法:
    global (if_name) nat_id ip_address-ip_address [netmark global_mask] 
    其中参数解释如下:
    if_name表示外网接口名字,例如outside;
    Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配;
    ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围;
    [netmark global_mask]表示全局ip地址的网络掩码。 
    由配置命令:
    global(outside)1 61.144.51.46
    nat(inside)1 0.0.0.0 0.0.0.000
    可以看出由inside域发往Internet的IP分组,在到达路由器R1时的源IP地址是61.144.51.46。
     
    配置静态IP地址翻译(static) 
    如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。
    static命令配置语法:
    static (internal_if_nameexternal_if_name) outside_ip_address inside_ ip_address 
    其中参数解释如下:
    internal_if_name表示内部网络接口,安全级别较高。如inside;
    external_if_name为外部网络接口,安全级别较低。如outside等;
    outside_ip_address为正在访问的较低安全级别的接口上的ip地址;
    inside_ ip_address为内部网络的本地ip地址。 
    例:Pix525(config)# static (inside, outside) 61.144.51.62 192.168.0.8
    表示IP地址为192.168.0.8的主机,对于通过PIX防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部IP地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。 
    管道命令(conduit用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。 
    conduit命令配置语法:
    conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask] 
    【参数说明】
    permit | deny :允许 | 拒绝访问 。
    global_ip 指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
    port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
    protocol 指的是连接协议,比如:TCP、UDP、ICMP等。
    foreign_ip 表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。  

第 5 题

(注意此题考的是思科设备的配置,在2018版本的考试大纲中,网络设备已经默认为华为设备,此题不需要学习和记忆,模拟题中已经有类似的华为配置,请注意学习)阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某单位网络拓扑结构如图5-1所示,要求配置IPsec VPN使10.10.20.1/24网段能够连通10.10.10.2/24网段,但10.10.30.1 /24网段不能连通10.10.10.2/24网段。

【问题1】(4分)
根据网络拓扑和要求,解释并完成路由器R1上的部分配置。
R1(config)#crypto isakmp enable    (启用IKE)
R1(config)#crypto isakmp(1)20 (配置IKE策略20)
R1(config-isakmp)#authentication pre-share    (2)
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 378 address 192.168.2.2(配置预共享密钥为378)
R1(config)#access-list 101 permit ip(3)0.0.0.255(4)0.0.0.255
(设置ACL)
【问题2】(4分)
根据网络拓扑和要求,完成路由器R2上的静态路由配置。
R2(config)#ip route(5)255.255.255.0 192.168.1.1
R2(config)#ip route 10.10.30.0 255.255.255.0(6)
R2(config)#ip route 10.10.10.0 255.255.255.0 192.168.2.2
【问题3】(空(9)1分,其他2分,共7分)
根据网络拓扑和R1的配置,解释并完成路由器R3的部分配置。
R3(config)#crypto isakmp key(7)address(8)
R3(config)#crypto transform-set testvpn ah-md5-hmac esp-des esp-md5-hmac(9)
R3(cfg-crypto-trans)#exit
R3(config)#crypto map test 20 ipsec-isakmp
R3(config-crypto-map)#set peer 192.168.1.1
R3(config-crypto-map)#set transform-set (10)

答案与解析

  • 试题难度:较难
  • 知识点:案例分析>IPSEC VPN
  • 试题答案:

    【问题1】(4分)
    (1)Policy (1分)
    (2)在IKE协商过程中使用预共享密钥认证方式 (1分)
    (3)10.10.20.0 (1分)
    (4)10.10.10.0 (1分)
    【问题2】(4分)
    (5)10.10.20.0 (2分)
    (6)192.168.1.1 (2分)
    【问题3】(空(9)1分,其他2分,共7分)
    (7)378 (2分)
    (8)192.168.1.1 (2分)
    (9)设置名为testvpn的VPN,采用MD5认证、DES进行数据加密。(1分)
    (10)testvpn (2分)

  • 试题解析:

    本题目考查IPSec VPN的配置问题。
    【问题1】
    R1 (config)#crypto isakmp enable  (启用IKE)
    R1 (config)#crypto isakmp Policy 20(配置IKE策略20)
    R1 (config-isakmp)#authentication pre-share(在IKE协商过程中使用预共享密钥认证)
    R1 (config-isakmp)#exit
    R1 (config)#crypto isakmp key 378 address 192.168.2.2(配置预共享了密钥为378)
    R1 (config)#access-list 101 permit ip 10.10.20.0   0.0.0.255  10.10.10.0 0.0.0.255
    (设置ACL允许10.10.20.1/24网段能够连通10.10.10.2/24网段)
    【问题2】
    R2 (config)#ip route 10.10.20.0   255.255.255.0   192.168.1.1
    (设置静态路由10.10.20.0/24下一跳地址为192.168.1.1)
    R2 (config)#ip route 10.10.30.0   255.255.255.0   192.168.1.1
    (设置静态路由10.10.30.0/2 下一跳地址为192.168.1.1)
    R2 (config)#ip route 10.10.10.0   255.255.255.0   192.168.2.2
    (设置静态路由10.10.10.0/24下一跳地址为192.168.2.2)
    【问题3】
    根据R1配置和拓扑结构可知,R3路由器配置IPSec VPN对端连接地址192.168.1.1,其预共享密钥为378。

    R3(config)#crypto isakmp key 378 address 192.168.1.1(配置预共享密钥为378)
    R3(config)#crypto transform-set testvpn ah-md5-hmac esp-des esp-md5-hmac
    (设置名为testvpn的VPN,采用MD5认证、DES进行数据加密)
    R3(cfg-crypto-trans)#exit
    R3(config)#crypto map test 20 ipsec-isakmp
    (crypto map名为test,优先级20, IPSec链接采用IKE自动协商)
     R3(config-crypto-map)#set peer 192.168.1.1
    (指定此VPN链路,对端的IP地址为192.168.1.1)。
    R3 (config-crypto-map)#set transform-set testvpn(IPSec传输模式的名字为testvpn)

results matching ""

    No results matching ""