在計算機等級考試即將到來之時，在計算機培訓(xùn)欄目中我們整理了大量的輔導(dǎo)資料，包括網(wǎng)絡(luò)工程師、軟件工程師、、電子商務(wù)師、網(wǎng)絡(luò)營銷、電腦維修的基本常識等輔導(dǎo)材料，更多內(nèi)容請點擊我們的計算機培訓(xùn)欄目。

【問題1】

ipsec實現(xiàn)的vpn主要有下面四個配置部分。

1、 為ipsec做準(zhǔn)備

為ipsec做準(zhǔn)備涉及到確定詳細(xì)的加密策略，包括確定我們要保護(hù)的主機和網(wǎng)絡(luò)，選擇一種認(rèn)證方法，確定有關(guān)ipsec對等體的詳細(xì)信息，確定我們所需的ipsec特性，并確認(rèn)現(xiàn)有的訪問控制列表允許ipsec數(shù)據(jù)通過。

步驟1：根據(jù)對等體的數(shù)量和位置在ipsec對等體間確定一個ike(ike階段1或者主模式)策略;

步驟2：確定ipsec(ike階段2，或快捷模式)策略，包括ipsec對等體的細(xì)節(jié)信息，例如ip地址及ipsec變換集和模式;

步驟3：用“write terminal”、“show isakmp”、“show isakmp policy”、“show crypto map”命令及其它的show命令來檢查當(dāng)前的配置;

步驟4：確認(rèn)在沒有使用加密前網(wǎng)絡(luò)能夠正常工作，用ping命令并在加密前運行測試數(shù)據(jù)來排除基本的路由故障;

步驟5：確認(rèn)在邊界路由器和防火墻中已有的訪問控制列表允許ipsec數(shù)據(jù)流通過，或者想要的數(shù)據(jù)流將可以被過濾出來。

2、 配置ike

配置ike涉及到啟用ike(和isakmp是同義詞)，創(chuàng)建ike策略，驗證我們的配置。

步驟1：用isakmp enable命令來啟用或關(guān)閉ike;

步驟2：用isakmp policy命令創(chuàng)建ike策略;

步驟3：用isakmp key命令和相關(guān)命令來配置預(yù)共享密鑰;

步驟4：用show isakmp[policy]命令來驗證ike的配置。

3、 配置ipsec

ipsec配置包括創(chuàng)建加密用訪問控制列表、定義變換集、創(chuàng)建加密圖條目、并將加密集應(yīng)用到接口上去。

步驟1：用access-list命令來配置加密用訪問控制列表：

例如：

access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr des_mask [operator port [port]]

步驟2：用cryto ipsec transform-set命令配置交換集;

例如：

crypto ipsec transformp-set transform-set-name transform1 [transform2 [transform3]]

步驟3：(任選)用crypto ipsec security-accociation lifetime命令來配置全局性的ipsec安全關(guān)聯(lián)的生存期;

步驟4：用crypto map命令來配置加密圖;

步驟5：用interface命令和crypto map map-name interface應(yīng)用到接口上;

步驟6：用各種可用的show命令來驗證ipsec的配置。

4、 測試和驗證ipsec

該任務(wù)涉及到使用“show”、“debug”和相關(guān)的命令來測試和驗證ipsec加密工作是否正常，并為之排除故障。

注：此類題目要求答出主要步驟即可。

唯學(xué)網(wǎng)在計算機等級考試專題頁面還為考生免費提供了計算機等級考試一級、三級、四級輔導(dǎo)資料、網(wǎng)絡(luò)工程師培訓(xùn)課程，希望能幫到大家。