阅读以下说明,回答问题1~3,将答案填入对应的解答栏内。 某公司由总部和分支机构构成,通过IPSec实现网络安全,网络拓扑结构如图4-1所示。
路由器之间的地址分配如表4-1所示。
路由器之间的地址分配如表4-1所示。
问答题
总部端路由器的部分配置如下,解释配置中语句部分含义。 crypto isakmp policy 1 (1) authentication pre-share (2) group 2 crypto isakmp key test123 address 202.96.1.2 (3) crypto ipsec transform-set VPNtag ah-md5-hmac esp-des (4) crypto map VPNdemp 10 ipsec-isakmp set peer 202.96.1.2 (5) set transform-set VPNtag match address 101 ! interface Tunnel0 ip address 192.168.1.1 255.255.255.0 (6) no ip directed-broadcast tunnel source 202.96.1.1 tunnel destination 202.96.1.2 (7) crypto map VPNdemo interface serial0/0 ip address 202.96.1.1 255.255.255.252 no ip directed-broadcast crypto map VPNdemo (8) ! interface Ethernet0/1 ip address 168.1.1.1 255.255.255.0 no ip directed-broadcast interface Ethernet0/0 ip address 172.22.1.100 255.255.255.0 no ip directed-broadcast ! ip classless ip route 0.0.0.0 0.0.0.0 202.96.1.2 (9) ip route 172.22.2.0 255.255.0.0 192.168.1.2 (10) access-lost 101 permit gre host 202.96.1.1 host 202.96.1.2
【正确答案】正确答案:(1)配置IKE策略1 (2)IKE策略1的验证方法设为pre_share (3)设置pre-share密钥为test123,此值两端需一致 (4)设置AH散列算法为md5,ESP加密算法为DES (5)设置隧道对端IP地址为202.96.1.2 (6)隧道端口IP地址192.168.1.1,子网掩码为255.255.255.0 (7)设置隧道的目的端口的IP地址为202.96.1.2 (8)应用VPNdemo于此端口 (9)定义默认路由 (10)定义到内网(经过隧道)静态路由
【答案解析】解析:主要考查Cisco路由器中IPSec的配置。
问答题
IPSec是IETE以RFC)侈式公布的一组安全协议集,它包括(11)与(12)两个安全机制,其中(11)用于传输非机密数据。
【正确答案】正确答案:(11)AH (12)ESP
【答案解析】解析:IPSec包括AH与ESP两个安全机制,其中,AH为IP数据包提供无连接的数据完整性和数据源身份认证。数据完整性通过消息认证码(如MD5、SHA1)产生的校验值来保证,数据源身份认证通过在待认证的数据中加入一个共享密钥来实现,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据:ESP为IP数据报提供数据的保密性(通过加密机制)、无连接的数据完整性、数据源身份认证以及防重放攻击保护,它提供机密性并可防止篡改。
问答题
IPSec工作在OSI/RM的(13)层,它有(14)和(15)两种工作模式。
【正确答案】正确答案:(13)网络 (14)传输模式 (15)隧道模式
【答案解析】解析:IPsec,即IP安全,它是在IP层来保证数据的安全性和完整性,因此它工作在网络层。IPsec有两种工作模式:传输模式和隧道模式。在传输模式下,VPN服务器只对IP数据报中TCP/UDP报文段部分进行加密和验证,而IP报头仍采用原始明文IP报头,只是做适当的修改;但在隧道模式下,VPN服务器会对整个IP数据报进行加密和验证,即将原IP数据报看做一个整体进行加密和验证,为了能在Internet正确传送,VPN服务器还需要重新生成IP报头。