[说明] 某单位网络拓扑结构如图8-14所示,要求配置IPSec VPN使10.10.20.1/24网段能够连通10.10.10.2/24网段,但10.10.30.1/24网段不能连通10.10.10.2/24网段。
[问题1] 根据网络拓扑和要求,解释并完成路由器R1上的部分配置。
R1(config)# crypto isakmp enable (启用IKE)
R1(config)# cypto isakmp ______ 20 (配置IKE策略20)
R1(config-isakmp)# authentication pre-share ______
R1(config-isakmp)# exit
R1(config)# crypto isakmp key 378 address 192.168.2.2(配置预共享密钥为378)
R1(config)# access-liSt 101 permit ip ______ 0.0.0.255______0.0.0.255
(设置ACL)
参考答案:policy;验证方法为使用预共享密钥;10.10.20.0;10.10.10.0
解析:
[分析]: 该题考查的是VPN的配置。
[问题1] 主要考查IKE的配置,包括启用IKE、创建IKE策略、验证配置。
启用IKE的命令为R1(config)#crypto isakmp enable
创建IKE策略的命令为R1(config)#crypto isakmp policy policy-number
所以第一空为policy。
选择认证方法命令为R1(config-isakmp)#authentication {pre-share | rsa-encr |rsa-slg),因此第二空为验证方法为使用预共享密钥。
设置ACL规则:R1(config)#access-list access-list-id Permit…
“access-list 101 permit ip ______ 0.0.0.255______0.0.0.255”的意思是“从本地站点第三空发出的和来自远程站点第四空的数据将得到保护”,因此第三空为10.10.20.0,第四空为10.10.10.0。