3.3.5　2006年上半年下午试题5

3.3.5.1    试题描述

阅读下面的说明，回答问题1至问题4。将解答填入答题纸对应的解答栏内。（15分）

【说明】

图3-9是某公司利用Internet建立的VPN。

图3-9  某公司VPN拓扑结构图

【问题1】（4分）

使用VPN技术，是为了保证内部数据通过Internet安全传输，VPN技术主要采用哪些技术来保证数据安全？

【问题2】（3分）

分部1采用DDN通过一台路由器接入Internet。 阅读下面的路由配置信息，将（1）~（3）处标识的语句进行解释。

Router>en                                                                     （进入特权模式）

Router# config terminal                                              （进入全局配置模式）

Router（config）#enable secret cisco                               （设置特权口令）

Router（config）#line vty 0 4                                        

Router（config-line）#password goodbad                        （1）

Router（config-line）#exit　

Router（config）# interface eth0/0                                  （进入以太网接口配置模式）

Router（config-if）# ip address 202.117.1.1 255.255.255.0      （设置IP地址和掩码）

Router（config-if）# no shutdown                                         （启用以太网接口）

Router（config-if）# exit

Router（config）# interface serial0/0                               （进入串口配置模式）

Router（config-if）#ip address 211.175.132.10 255.255.255.252  （设置IP地址和掩码）

Router（config-if）# bandwidth 256                               （指定带宽为256k）

Router（config-if）# encapsulation  ppp                              （2）

Router（config-if）# no cdp enable                                 （3）

Router（config-if）# no shutdown                                         （启用serial接口）

Router（config-if）#exit

Router（config）#

【问题3】（4分）

分部1的路由器配置为ethernet0/0端口接内部网络，serial0/0端口接外部网络。下列配置指定内外网端口，完成下列配置，将答案填写在答题纸相应的位置。

Router（config）# inter eth0/0

Router（config-if）# （4）

Router（config-if）# inter serial0/0

Router（config-if）# （5）

Router（config-if）# exit

Router（config）#

【问题4】（4分）

以下是指定VPN在建立连接时协商IKE使用的策略，阅读下面的配置信息，解释（6）、（7）处的命令，将答案填写在答题纸相应的位置。

Router（config）# crypto isakmp policy 10               （定义策略为10）

Router（config-isakmp）# hash md5                        （6）

Router（config-isakmp）# authentication pre-share    （7）

Router（config-isakmp）# exit

Router（config）# crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 （配置预共享密钥为cisco123，对等端为所有IP）

3.3.5.2    要点解析

【问题1】（4分）

目前VPN技术主要采用①隧道技术（tunneling）、②加解密技术（Encryption & Decryption）、③密钥管理技术（Key Management）、④使用者与设备身份认证技术（Authentication）来保证内部数据通过Internet的安全传输。

【问题2】（3分）

本题主要考查路由器基本配置命令的解释，相关配置语句的解答如下：

Router（config-line）#password goodbad          为Telnet访问路由器设置用户模式口令为goodbad

Router（config-if）# encapsulation  ppp                将数据包设置为ppp封装形式

Router（config-if）# no cdp enable                   关闭CDP协议，不会定期发送CDP消息，节省带宽

【问题3】（4分）

根据（4）空缺处前面的进入接口e0/0配置子模式的命令“inter eth0/0”可知，（4）空缺处完成的是题干中关键信息“ethernet0/0端口接内部网络”的功能，其相应的配置语句是ip nat inside。

同理根据（5）空缺处前面的接口子模式配置命令“inter serial0/0”可知，（5）空缺处完成的是题干中关健信息“serial0/0端口接外部网络”的功能，其相应的配置语句是ip nat outside。

【问题4】（4分）

本题主要考查的是VPN在建立连接时，协商IKE使用的策略的配置过程，相关配置语句的注释如下：

Router（config-isakmp）# hash md5   在建立连接时协商IKE使用MD5散列算法

Router（config-isakmp）# authentication pre-share           在IKE协商过程中使用预共享密钥认证方式

3.3.5.3    参考答案

【问题1】（4分）

隧道技术（tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。

【问题2】（3分）

（1）为Telnet访问路由器设置用户模式口令为goodbad。

（2）数据包设置ppp封装。

（3）关闭CDP协议。

【问题3】（4分）

（4）ip nat inside。

（5）ip nat outside。

【问题4】（4分）

（6）在建立连接时协商IKE使用MD5散列算法。

（7）在IKE协商过程中使用预共享密钥认证方式。