2017年網(wǎng)絡(luò )工程師考試考試內容

　　計算機人工智能的研究是建立在現代科學(xué)基礎之上。智能化是計算機發(fā)展的一個(gè)重要方向，新一代計算機，將可以模擬人的感覺(jué)行為和思維過(guò)程的機理。下面是小編整理的關(guān)于網(wǎng)絡(luò )工程師考試考試內容，歡迎大家參考!

　　【問(wèn)題】

　　crypto isakmp policy 1 //配置ike策略1

　　authentication pre-share //ike策略1的驗證方法設為pre_share

　　group 2 //加密算法未設置則取默認值:des

　　crypto isakmp key test123 address 202.96.1.2 //設置pre-share密鑰為test123，此值兩端需一致

　　crypto ipsec transform-set vpntag ah-md5-hmac esp-des //設置ah散列算法為md5，esp加密算法為des

　　crypto map vpndemp 10 ipsec-isakmp //定義crypto map

　　set peer 202.96.1.2 //設置隧道對端ip地址

　　set transform-set vpntag //設置隧道ah及esp

　　match address 101

　　!

　　interface tunnel0 //定義隧道接口

　　ip address 192.168.1.1 255.255.255.0 //隧道端口ip地址

　　no ip directed-broadcast

　　tunnel source 202.96.1.1 //隧道源端地址

　　tunnel destination 202.96.1.2 //隧道目標端地址

　　crypto map vpndemo //應用vpndemo于此接口

　　interface serial0/0

　　ip address 202.96.1.1 255.255.255.252 //串口的internet ip地址

　　no ip directed-broadcast

　　crypto map vpndemo //應用vpndemo于此端口

　　!

　　interface ethernet0/1

　　ip address 168.1.1.1 255.255.255.0 //外部端口ip地址

　　no ip directed-broadcast

　　interface ethernet0/0

　　ip address 172.22.1.100 255.255.255.0 //內部端口ip地址

　　no ip directed-broadcast

　　!

　　ip classless

　　ip route 0.0.0.0 0.0.0.0 202.96.1.2 //默認靜態(tài)路由

　　ip route 172.22.2.0 255.255.0.0 192.168.1.2 //到內網(wǎng)靜態(tài)路由(經(jīng)過(guò)隧道)

　　access-lost 101 permit gre host 202.96.1.1 host 202.96.1.2 //定義訪(fǎng)問(wèn)控制列表

　　【問(wèn)題1】

　　訪(fǎng)問(wèn)列表能夠幫助控制網(wǎng)上ip包的傳輸，主要用在以下幾個(gè)方面：

　　1、控制一個(gè)端口的包傳輸

　　2、控制虛擬終端訪(fǎng)問(wèn)數量

　　3、限制路由更新的內容

　　【問(wèn)題2】

　　•標準ip訪(fǎng)問(wèn)列表

　　–檢查源地址

　　–通常允許、拒絕的是完整的協(xié)議

　　•擴展ip訪(fǎng)問(wèn)列表

　　–檢查源地址和目的地址

　　–通常允許、拒絕的是某個(gè)特定的協(xié)議

　　【問(wèn)題3】

　　在此例中所有的ip數據包將全部不能從serial 0端口發(fā)送出去。

　　原因：在默認情況下，除非明確規定允許通過(guò)，訪(fǎng)問(wèn)列表總是阻止或拒絕一切數據包的通過(guò)，即實(shí)際上在每個(gè)訪(fǎng)問(wèn)列表的最后，都隱含有一條"deny any"的語(yǔ)句。

　　假設我們使用了前面創(chuàng )建的標準ip訪(fǎng)問(wèn)列表，從路由器的角度來(lái)看，這條語(yǔ)句實(shí)際內容如下：

　　access-list 1 deny 172.16.4.13 0.0.0.0

　　access-list 1 deny any

　　因此我們應將配置改為：

　　access-list 1 deny 172.16.4.13 0.0.0.0

　　access-list 1 permit any

　　interface serial 0

　　ip access-group 1 out

　　【問(wèn)題1】

　　ipsec實(shí)現的vpn主要有下面四個(gè)配置部分。

　　1、 為ipsec做準備

　　為ipsec做準備涉及到確定詳細的加密策略，包括確定我們要保護的主機和網(wǎng)絡(luò )，選擇一種認證方法，確定有關(guān)ipsec對等體的詳細信息，確定我們所需的ipsec特性，并確認現有的訪(fǎng)問(wèn)控制列表允許ipsec數據通過(guò)。

　　步驟1：根據對等體的數量和位置在ipsec對等體間確定一個(gè)ike(ike階段1或者主模式)策略;

　　步驟2：確定ipsec(ike階段2，或快捷模式)策略，包括ipsec對等體的細節信息，例如ip地址及ipsec變換集和模式;

　　步驟3：用“write terminal”、“show isakmp”、“show isakmp policy”、“show crypto map”命令及其它的show命令來(lái)檢查當前的配置;

　　步驟4：確認在沒(méi)有使用加密前網(wǎng)絡(luò )能夠正常工作，用ping命令并在加密前運行測試數據來(lái)排除基本的路由故障;

　　步驟5：確認在邊界路由器和防火墻中已有的訪(fǎng)問(wèn)控制列表允許ipsec數據流通過(guò)，或者想要的數據流將可以被過(guò)濾出來(lái)。

　　2、 配置ike

　　配置ike涉及到啟用ike(和isakmp是同義詞)，創(chuàng )建ike策略，驗證我們的配置。

　　步驟1：用isakmp enable命令來(lái)啟用或關(guān)閉ike;

　　步驟2：用isakmp policy命令創(chuàng )建ike策略;

　　步驟3：用isakmp key命令和相關(guān)命令來(lái)配置預共享密鑰;

　　步驟4：用show isakmp[policy]命令來(lái)驗證ike的配置。

　　3、 配置ipsec

　　ipsec配置包括創(chuàng )建加密用訪(fǎng)問(wèn)控制列表、定義變換集、創(chuàng )建加密圖條目、并將加密集應用到接口上去。

　　步驟1：用access-list命令來(lái)配置加密用訪(fǎng)問(wèn)控制列表：

　　例如：

　　access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr des_mask [operator port [port]]

　　步驟2：用cryto ipsec transform-set命令配置交換集;

　　例如：

　　crypto ipsec transformp-set transform-set-name transform1 [transform2 [transform3]]

　　步驟3：(任選)用crypto ipsec security-accociation lifetime命令來(lái)配置全局性的ipsec安全關(guān)聯(lián)的生存期;

　　步驟4：用crypto map命令來(lái)配置加密圖;

　　步驟5：用interface命令和crypto map map-name interface應用到接口上;

　　步驟6：用各種可用的show命令來(lái)驗證ipsec的配置。

　　4、 測試和驗證ipsec

　　該任務(wù)涉及到使用“show”、“debug”和相關(guān)的命令來(lái)測試和驗證ipsec加密工作是否正常，并為之排除故障。

　　注：此類(lèi)題目要求答出主要步驟即可。

【網(wǎng)絡(luò )工程師考試考試內容】相關(guān)文章：

ACCA考試內容10-21

出國考試的種類(lèi)-考試內容09-24

托業(yè)考試內容10-13

日本留學(xué)考試內容09-01

科目三的考試內容06-20

紅帽認證考試內容07-27

微軟認證考試內容10-15

科目四考試內容08-27

育嬰師考試：考試內容05-12

網(wǎng)絡(luò )工程師考試大綱09-21