DOC《习题答案：》

例如: crypto ipsec transformp-set transform-set-name transform1 [transform2 [transform3]] 步骤3:(任选)用crypto ipsec security-accociation lifetime命令来配置全局性的IPSec安全关联的生存期;

步骤4:用crypto map命令来配置加密图;

步骤5:用interface命令和crypto map map-name interface应用到接口上;

步骤6:用各种可用的show命令来验证IPSec的配置.

4、?测试和验证IPSec 该任务涉及到使用 show 、 debug 和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障. 注:此类题目要求答出主要步骤即可. 【问题2】 crypto isakmp policy 1?配置IKE策略1 authentication pre-share?IKE策略1的验证方法设为pre_share group 2?加密算法未设置则取默认值:DES crypto isakmp key test123 address 202.96.1.2?? //设置pre-share密钥为test123,此值两端需一致 crypto ipsec transform-set VPNtag ah-md5-hmac esp-des?? //设置AH散列算法为md5,ESP加密算法为DES crypto map VPNdemp

10 ipsec-isakmp?定义crypto map set peer 202.96.1.2?设置隧道对端IP地址 set transform-set VPNtag?设置隧道AH及ESP match address

101 ! interface Tunnel0?定义隧道接口 ip address 192.168.1.1 255.255.255.0?隧道端口IP地址 no ip directed-broadcast tunnel source 202.96.1.1?隧道源端地址 tunnel destination 202.96.1.2?隧道目标端地址 crypto map VPNdemo?应用VPNdemo于此接口 interface serial0/0 ip address 202.96.1.1 255.255.255.252?串口的internet IP地址 no ip directed-broadcast crypto map VPNdemo?应用VPNdemo于此端口 ! interface Ethernet0/1 ip address 168.1.1.1 255.255.255.0?外部端口IP地址 no ip directed-broadcast interface Ethernet0/0 ip address 172.22.1.100 255.255.255.0?内部端口IP地址 no ip directed-broadcast ! ip classless ip route 0.0.0.0 0.0.0.0 202.96.1.2?默认静态路由 ip route 172.22.2.0 255.255.0.0 192.168.1.2??? //到内网静态路由(经过隧道) access-lost

101 permit gre host 202.96.1.1 host 202.96.1.2??? //定义访问控制列表 习题七: 【问题1】 ?访问列表能够帮助控制网上IP包的传输,主要用在以下几个方面:

1、控制一个端口的包传输

2、控制虚拟终端访问数量

3、限制路由更新的内容 【问题2】 ?标准IP访问列表 C检查源地址 C通常允许、拒绝的是完整的协议 ?扩展IP访问列表 C检查源地址和目的地址 C通常允许、拒绝的是某个特定的协议 【问题3】 在此例中所有的IP数据包将全部不能从serial 0端口发送出去. 原因:在默认情况下,除非明确规定允许通过,访问列表总是阻止或拒绝一切数据包的通过,即实际上在每个访问列表的最后,都隐含有一条 deny any 的语句. 假设我们使用了前面创建的标准IP访问列表,从路由器的角度来看,这条语句实际内容如下:??? access-list

1 deny 172.16.4.13 0.0.0.0? access-list

1 deny any 因此我们应将配置改为: access-list

1 deny 172.16.4.13 0.0.0.0 access-list

1 permit any? interface serial

0 ip access-group

1 out 习题八:

1、?若是Serial0 is up, line protocol is up表示该端口工作正常.

2、若是Serial

0 is down, line protocol is down表示路由器到本地的MODEM之间无载波信号CD.连接串口和MODEM,开启MODEM.看MODEM的发送灯TD是否亮,TD灯亮表示路由器有信号发送给MODEM.TD灯若不亮,请检查MODEM,线缆(最好用Cisco所配的)和端口.你可以用另外一个串口再试试看.

3、若Serial is up,但line protocol is down.有几种可能: a.本地路由器未作配置. b.远端路由器未开或未配置. 路由器两端需要配置相同的协议打包方式.例如:路由器A打包HDLC,路由器B打包PPP,那么两台路由器的line protocol始终是down的.改变打包方式: Router#conf t Router(config)#interface serial