2017年网络工程师考试考试内容
计算机人工智能的研究是建立在现代科学基础之上。智能化是计算机发展的一个重要方向,新一代计算机,将可以模拟人的感觉行为和思维过程的机理。下面是小编整理的关于网络工程师考试考试内容,欢迎大家参考!
【问题】
crypto isakmp policy 1 //配置ike策略1
authentication pre-share //ike策略1的验证方法设为pre_share
group 2 //加密算法未设置则取默认值:des
crypto isakmp key test123 address //设置pre-share密钥为test123,此值两端需一致
crypto ipsec transform-set vpntag ah-md5-hmac esp-des //设置ah散列算法为md5,esp加密算法为des
crypto map vpndemp 10 ipsec-isakmp //定义crypto map
set peer //设置隧道对端ip地址
set transform-set vpntag //设置隧道ah及esp
match address 101
!
interface tunnel0 //定义隧道接口
ip address //隧道端口ip地址
no ip directed-broadcast
tunnel source //隧道源端地址
tunnel destination //隧道目标端地址
crypto map vpndemo //应用vpndemo于此接口
interface serial0/0
ip address //串口的internet ip地址
no ip directed-broadcast
crypto map vpndemo //应用vpndemo于此端口
!
interface ethernet0/1
ip address //外部端口ip地址
no ip directed-broadcast
interface ethernet0/0
ip address //内部端口ip地址
no ip directed-broadcast
!
ip classless
ip route //默认静态路由
ip route //到内网静态路由(经过隧道)
access-lost 101 permit gre host host //定义访问控制列表
【问题1】
访问列表能够帮助控制网上ip包的传输,主要用在以下几个方面:
1、控制一个端口的包传输
2、控制虚拟终端访问数量
3、限制路由更新的内容
【问题2】
•标准ip访问列表
–检查源地址
–通常允许、拒绝的是完整的协议
•扩展ip访问列表
–检查源地址和目的地址
–通常允许、拒绝的是某个特定的协议
【问题3】
在此例中所有的ip数据包将全部不能从serial 0端口发送出去。
原因:在默认情况下,除非明确规定允许通过,访问列表总是阻止或拒绝一切数据包的通过,即实际上在每个访问列表的最后,都隐含有一条"deny any"的语句。
假设我们使用了前面创建的标准ip访问列表,从路由器的角度来看,这条语句实际内容如下:
access-list 1 deny
access-list 1 deny any
因此我们应将配置改为:
access-list 1 deny
access-list 1 permit any
interface serial 0
ip access-group 1 out
【问题1】
ipsec实现的vpn主要有下面四个配置部分。
1、 为ipsec做准备
为ipsec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关ipsec对等体的详细信息,确定我们所需的ipsec特性,并确认现有的访问控制列表允许ipsec数据通过。
步骤1:根据对等体的数量和位置在ipsec对等体间确定一个ike(ike阶段1或者主模式)策略;
步骤2:确定ipsec(ike阶段2,或快捷模式)策略,包括ipsec对等体的细节信息,例如ip地址及ipsec变换集和模式;
步骤3:用“write terminal”、“show isakmp”、“show isakmp policy”、“show crypto map”命令及其它的命令来检查当前的配置;
步骤4:确认在没有使用加密前网络能够正常工作,用ping命令并在加密前运行测试数据来排除基本的路由故障;
步骤5:确认在边界路由器和防火墙中已有的访问控制列表允许ipsec数据流通过,或者想要的数据流将可以被过滤出来。
2、 配置ike
配置ike涉及到启用ike(和isakmp是同义词),创建ike策略,验证我们的配置。
步骤1:用isakmp enable命令来启用或关闭ike;
步骤2:用isakmp policy命令创建ike策略;
步骤3:用isakmp key命令和相关命令来配置预共享密钥;
步骤4:用show isakmp[policy]命令来验证ike的配置。
3、 配置ipsec
ipsec配置包括创建加密用访问控制列表、定义变换集、创建加密图条目、并将加密集应用到接口上去。
步骤1:用access-list命令来配置加密用访问控制列表:
例如:
access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr des_mask [operator port [port]]
步骤2:用cryto ipsec transform-set命令配置交换集;
例如:
crypto ipsec transformp-set transform-set-name transform1 [transform2 [transform3]]
步骤3:(任选)用crypto ipsec security-accociation lifetime命令来配置全局性的ipsec安全关联的生存期;
步骤4:用crypto map命令来配置加密图;
步骤5:用interface命令和crypto map map-name interface应用到接口上;
步骤6:用各种可用的show命令来验证ipsec的配置。
4、 测试和验证ipsec
该任务涉及到使用“show”、“debug”和相关的命令来测试和验证ipsec加密工作是否正常,并为之排除故障。
注:此类题目要求答出主要步骤即可。
-
关于华为交换机vlan的配置代码
华为交换机vlan配置名称后我们要进入每一个端口来华为交换机vlan配置。在交换机中,要进入某个端口比如说第4个端口,要用interfaceEthernet0/4,好的,结合上面给出的图我们让端口2、3、4和5属于VLAN2,端口17---22属于VLAN3。命令是vlan-membershipstatic/dynamicVLAN...
-
2016年华为认证认证试题(笔试)
华为认证体系基于个人职业发展生命周期不同阶段,提供从职场新人、工程师到技术专家的完整的能力提升解决方案,产品覆盖IT,CT,IP,匹配ICT产业融合对人才的需求。那么华为认证的考试题你做过了吗?快跟yjbys小编一起来看看吧!选择题:(每题2分,共100分)以下属于物理层的设...
-
华为交换机AR18-22-8配置命令
华为做为网络产品的著名厂商,一直享有很高的盛誉。AR18-22-8路由器是华为3Com公司开发的新一代专业的宽带路由器,它将路由和交换设备有机地结合在一起,为中小企业和网吧提供交换及接入的一体化解决方案。下面一起来看看这台机器的配置命令吧!一、vlan配置1、vlan...
-
华为认证考试:华为路由器网守配合技巧
网守上维护电话号码和IP地址对应表,华为路由器要想打某个号码,本地没有对应表,则到网守上被过滤广告去查找。网守根据电话号码反馈给华为路由器一个IP地址。目前华为路由器的应用非常广泛,同时其市场需求也很广泛,这这里我们主要分析了华为路由器网守配合技巧,路由器...