问题
填空题
阅读以下说明,回答问题1~2,将解答填入对应栏内。
VPN是通过公用网络Internet将分布在不同地点的终端联接而成的专用网络。目前大多采用IPsec实现IP网络上端点间的认证和加密服务。
答案
参考答案:(1)创建标识为“100”的IKE策略
解析:
(2)采用md5 hashing算法
(3)采用预共享密钥认证方法
(4)与远端IP为172.16.2.1的对等体的共享密钥为“mcns”
(5)配置名为1&2的交换集,指定esp-des和esp-md5-hmac两种变换
(6)分配给该加密图集的名称:sharef;序号:10
(7)指定允许的IPSec对等体的IP地址为172.16.2.1
(8)此加密图使用交换集1&2
(9)此接口使用名为sharef的加密图进行加密
配置IKE涉及到启用IKE、创建IKE策略、验证配置等,其步骤如下表所示。
| 步骤 | 任务 | 命令 |
| ① | 启用IKE | R1(config)#crypto isakmp enable |
| ② | 创建IKE策略 | R1(config)#crypto isakmp policy policy-number |
| ③ | 选择加密算法 | R1(config-isakmp)#encutption {des|3des} |
| ④ | 选择认证方法 | R1(config-isakmp)#authentication {pre-share|rsa-encr|rsa-slg} |
| ⑤ | 选择哈希散列算法 | R1(config-isakmp)#hash {md5|sha} |
| ⑥ | 选择DH的组标识 | R1(config-isakmp)#group {1|2} |
| ⑦ | 设置IKE协商安全联盟的生存周期 | R1(config-isakmp)#lifetime seconds |
| ⑧ | 返回特权模式 | R1(config-isakmp)#exit |
| ⑨ | 配置与对等体的共享密钥 | R1(config)#crypto isakmp key keystring address peer-addres |
| ⑩ | 配置IKE keeepalive定时器 | R1(config)#crypto isakmp keepalive secs retries |
| (11) | 验证IKE的配置 | R1#show crypto isakmp policy |
| 步骤 | 任务 | 命令 |
| ① | 创建加密访问控制列表 | R1(config)#access-list access-list-id permit…… |
| ② | 配置变换表 | R1(config)#crypto ipsec transform-set transform-name |
| ③ | (可选)配置全局性IPSec安全关联的生存期 | R1(config)#set security-association lifetime seconds seconds |
| ④ | 创建加密图 | R1(config)#crypto map map-name seq-num {ipsec-isakmp|manual} |
| ⑤ | 配置安全策略引用的访问控制列表 | R1(config-crypto-map)#match address access-list-id |
| ⑥ | 指定安全隧道的终点 | R1(config-crypto-map)#set peer {hostname|ip-address} |
| ⑦ | 配置加密图中引用的转换方式 | R1(config-crypto-map)#set transform-set transform-set-mane1[transform-set-name2…transform-set-name6] |
| ⑧ | 在接口上应用加密图 | R1(config)#interface interface-id R1(config-if)#erypto map map-name |
| ⑨ | 验证IPSec的配置 | show crypto map |