在配置IPSec的安全提议proposal时,以下命令属于缺省配置的是()。A、encapsulation-mode tunnelB、transform espC、esp encryption-algorithm desD、esp encryption-algorithm 3desE、esp authentication-algorithm md5
在配置IPSec的安全提议proposal时,以下命令属于缺省配置的是()。
- A、encapsulation-mode tunnel
- B、transform esp
- C、esp encryption-algorithm des
- D、esp encryption-algorithm 3des
- E、esp authentication-algorithm md5
相关考题:
对于VLAN端口的配置,以下描述正确的选项为()A.当把一个端口从某一VLAN中删除后,此端口将被加入到缺省VLAN之中B.当把一个已配置给其它VLAN的端口加入到VLAN时,必须先从原VLAN中通过配置命令删除此端口C.当用port命令给某一VLAN配置端口时,可以将一个干道链路配置给此VLAND.可以通过undoport命令将缺省VLAN的端口删除
如果按上图中所示网络结构配置IPSec VPN,安全机制选择的是ESP,那么IPSec工作在隧道模式。一般情况下,在图中所标注的四个网络接口中,将(4)和(5)配置为公网IP,将(6)和(7)配置为内网IP。
IPSec提供了在局域网、广域网和互联网中安全通信的能力。以下关于IPSec说法错误的是______。A.IPSec协议在发起者和应答者之间可定义预先共享密钥、数字签名、公共密钥PKE等相互认证方式B.IPSec可以手工静态配置SA,也可利用Internet密钥交换(IKE)动态建立SAC.IPSec能在IPv4环境下工作,但不适应IPv6环境D.IPSec可提供同一公司各分支机构通过Intenet的安全连接
下列关于stack enable命令描述错误的是() A.只有以堆叠卡方式连接的堆叠需要进行此配置;以业务口方式连接的堆叠不支持此配置B.在以堆叠卡方式连接堆叠时,必须在插入堆叠卡后才能进行相关命令的配置C.缺省情况下,设备堆叠功能处于使能状态D.stack enable命令配置在设备重启后生效
试题四(共15分)阅读以下说明,回答问题1至问题5,将解答填入答题纸对应的解答栏内。【说明】某公司两分支机构之间的网络配置如图4-1所示,为保护通信安全,在路由器router-a和router-b上配置IPSec安全策略,对192.168.8.0/24网段和 192.168.9.0/24网段之间的数据进行加密处理。【问题1】(3分)为建立两分支机构之间的通信,请完成下面的路由配置命令。router-a (config) iproute 0.0.0.0 0.0.0.0 (1)router-b(config)iproute 0.0.0.0 0.0.0.0 (2)【问题2】(3分)下面的命令是在路由器router-a中配置IPSec隧道。请完成下面的隧道配置命令。router-a(config) crypto tunnel tun1 (设置IPSec隧道名称为tunl)router-a(config-tunnel) peer address (3) (设置隧道对端IP地址,router-a(config-tunnel)local address (4) 设置隧道本端IP地址)router-a(config-tunnel) set auto-up (设置为自动协商)router-a(config-tunnel) exit (退出隧道设置)【问题3】(3分)router-a 与 router-b之间采用预共享密钥“12345678”建立IPSec关联,请完成下面配置router-a(config) cryptike key 12345678 addressrouter_a(config)cryt ike key 12345678 addresS (5)router-b(config) crypt ike key 12345678 address (6)【问题4】(3分)下面的命令在路由器router-a中配置了相应的IPSec策略,请说明该策略的含义。router-a(config) crypto policyplrouter-a(config-policy) flow192.168.8.0255.255.255.0192.168.9.0.255.255.255.255.0ip tunnel tunlrouter-a(config-policy)exit【问题5】(3分)下面的命令在路由器router-a中配置了相应的IPSec提议。router-a(config) crypto ipsec proposal secplrouter-a(config-ipsec-prop) esp 3des shalrouter-a(config-ipsecprop)exit该提议表明:IPSec采用ESP报文,加密算法 (7) ,认证算法采用 (8) 。
IKE为IPSec提供了哪些功能() A.IPSec可以通过手工配置单独使用,但是IKE可以大大简化IPSec的配置B.可以设置IPSecSA的生存时间,定时更换密钥,具有更高的安全性C.可以允许在IPSec通信期间更换密钥D.可以使IPSec具有防重放的功能E.可以使用认证中心(Certification Authority)提供的支持
某全国连锁企业的总部和分布在全国各地的30家分公司之间经常需要传输各种内部数据,因此公司决定在总部和各分公司之间建立VPN技术。具体拓扑如下:配置部分只显示了与总部与分公司1的配置。根据拓扑完成问题1-问题3。[问题1](3分):在总部与分公司之间相连的VPN方式是(1),在IPsec工作模式中有传输模式和隧道模式,其中将源IP数据包整体封装后再进行传输的模式是(2).1备选答案:A.站点到站点 B.端到端C.端到站点[问题2](13分):请将相关配置补充完整。总部防火墙firewall1的部分配置如下。 (3)[FIREWALL1] interface(4)[FIREWALL1-GigabitEthernet1/0/2] ip address (5)[FIREWALL1-GigabitEthernet1/0/2] quit[FIREWALL1] interface GigabitEthernet 1/0/1[FIREWALL1-GigabitEthernet1/0/1] ip address 202.1.3.1 24[FIREWALL1-GigabitEthernet1/0/1] quit# 配置接口加入相应的安全区域。[FIREWALL1] firewall zone trust [FIREWALL1-zone-trust] add interface (6)[FIREWALL1-zone-trust] quit[FIREWALL1](7)[FIREWALL1-zone-untrust] add interface GigabitEthernet 1/0/1[FIREWALL1-zone-untrust] quit2. 配置安全策略,允许私网指定网段进行报文交互。# 配置Trust域与Untrust域的安全策略,允许封装前和解封后的报文能通过[FIREWALL1](8)[FIREWALL1-policy-security] rule name 1[FIREWALL1-policy-security-rule-1] source-zone (9)[FIREWALL1-policy-security-rule-1] destination-zone untrust[FIREWALL1-policy-security-rule-1] source-address (10)[FIREWALL1-policy-security-rule-1] destination-address 192.168.200.0 24[FIREWALL1-policy-security-rule-1] action (11)[FIREWALL1-policy-security-rule-1] quit…..# 配置Local域与Untrust域的安全策略,允许IKE协商报文能正常通过FIREWALL1。[FIREWALL1-policy-security] rule name 3[FIREWALL1-policy-security-rule-3] source-zone local[FIREWALL1-policy-security-rule-3] destination-zone untrust[FIREWALL1-policy-security-rule-3] source-address 202.1.3.1 32[FIREWALL1-policy-security-rule-3] destination-address 202.1.5.1 32[FIREWALL1-policy-security-rule-3] action permit[FIREWALL1-policy-security-rule-3] quit…3. 配置IPSec隧道。# 配置访问控制列表,定义需要保护的数据流。[FIREWALL1] (12)[FIREWALL1-acl-adv-3000] rule permit (13)[FIREWALL1-acl-adv-3000] quit# 配置名称为tran1的IPSec安全提议。[FIREWALL1] ipsec proposal tran1[FIREWALL1-ipsec-proposal-tran1] encapsulation-mode (14)[FIREWALL1-ipsec-proposal-tran1] transform esp[FIREWALL1-ipsec-proposal-tran1] esp authentication-algorithm sha2-256[FIREWALL1-ipsec-proposal-tran1] esp encryption-algorithm aes[FIREWALL1-ipsec-proposal-tran1] quit# 配置序号为10的IKE安全提议。[FIREWALL1] (15)[FIREWALL1-ike-proposal-10] authentication-method pre-share[FIREWALL1-ike-proposal-10] authentication-algorithm sha2-256[FIREWALL1-ike-proposal-10] quit# 配置IKE用户信息表。[FIREWALL1] ike user-table 1[FIREWALL1-ike-user-table-1] user id-type ip 202.1.5.1 pre-shared-key Admin@gkys[FIREWALL1-ike-user-table-1] quit# 配置IKE Peer。[FIREWALL1] ike peer b[FIREWALL1-ike-peer-b] ike-proposal 10[FIREWALL1-ike-peer-b] user-table 1[FIREWALL1-ike-peer-b] quit# 配置名称为map_temp序号为1的IPSec安全策略模板。[FIREWALL1] ipsec policy-template map_temp 1[FIREWALL1-ipsec-policy-template-map_temp-1] security acl 3000[FIREWALL1-ipsec-policy-template-map_temp-1] proposal tran1[FIREWALL1-ipsec-policy-template-map_temp-1] ike-peer b[FIREWALL1-ipsec-policy-template-map_temp-1] reverse-route enable[FIREWALL1-ipsec-policy-template-map_temp-1] quit# 在IPSec安全策略map1中引用安全策略模板map_temp。[FIREWALL1] ipsec policy map1 10 isakmp template map_temp# 在接口GigabitEthernet 1/0/1上应用安全策略map1。[FIREWALL1] interface GigabitEthernet 1/0/1[FIREWALL1-GigabitEthernet1/0/1] ipsec policy map1[FIREWALL1-GigabitEthernet1/0/1] quit [问题3]IPsec中,通过一些协议的处理,可以有效的保护分组安全传输。其中能够确保数据完整性,但是不能确保数据机密性的是(17),而技能报数数据传输的机密性又能保证数据完整性的是(18)
以下关于VPN技术描述正确的是()A、配置GRETunnel时,Tunnel接口必须配置IP地址;B、IPSEC由于是三层VPN,所以无法穿越NAT;C、IPSEC只能对IP报文进行安全加密,不能对GRE、L2TP报文进行安全加密;D、GRETunnel接口由于是逻辑接口,所以该接口不能启用OSPF路由协议
对于VLAN端口的配置,以下描述正确的选项为?()A、当把一个端口从除缺省VLAN之外的某一VLAN中删除后,此端口将被加入到缺省VLAN之中B、当把一个已配置给其它VLAN的端口加入到另一VLAN时,必须先从原VLAN中通过配置命令删除此端口C、在VLAN视图下用port命令配置属于该VLAN的端口时,可以将一个Trunk端口配置给此VLAND、在VLAN视图下可以通过undoport命令将缺省VLAN1的端口删除
两台路由器间配置IPSec polic,将策略下发到相应接口上后,使用ping命令检查被保护数据流互通性,发现数据100%通过。使用displa ike sa和displa ipsec sa俞令,显示为IPSec SA未建立。则IPSec配置失败原因在于()。A、IPSec proposal中使用了传输模式,而被保护数据流是网段到网段的数据B、IKE的remote-add ress地址不是对端路由器的接口地址C、IKE的pre-shared-ke配置不匹配D、ACL配置不正确
VRP中关于ISIS中缺省路由发布描述正确的是()。A、配置发布缺省路由的命令为default-route-advertiseB、缺省情况下,只在L2LSP中生成缺省路由C、可以配置路由策略,在策略中应用apply isis level-1,在L1 LSP中生成缺省路由D、发布的缺省路由优于由L-1-2路由器在LSP的ATT位置1生成的缺省路由
多选题下面关于Local-Preference和MED描述正确的是()Adefaultlocal-preference命令来配置BGP的缺省本地优先级B缺省情况下,Local-Preference的值为0Cdefault med命令来配置BGP的缺省MED值D缺省情况下,MED的值为100
单选题Which statement contains the correct parameters for a route-based IPsec VPN?()A[edit security ipsec] user@host# show proposal ike1-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm 3des-cbc; lifetime-seconds 3200; }policy ipsec1-policy { perfect-forward-secrecy { keys group2; } proposals ike1-proposal; } vpn VpnTunnel { interface ge-0/0/1.0; ike { gateway ike1-gateway; ipsec-policy ipsec1-policy; } establish-tunnels immediately; }B[edit security ipsec] user@host# show proposal ike1-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm 3des-cbc; lifetime-seconds 3200; } policy ipsec1-policy { perfect-forward-secrecy { keys group2; } proposals ike1-proposal; } vpn VpnTunnel { interface st0.0; ike { gateway ike1-gateway; ipsec-policy ipsec1-policy; } establish-tunnels immediately; }C[edit security ipsec] user@host# show proposal ike1-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm 3des-cbc; lifetime-seconds 3200;} policy ipsec1-policy { perfect-forward-secrecy { keys group2; } proposals ike1-proposal; } vpn VpnTunnel { bind-interface ge-0/0/1.0; ike { gateway ike1-gateway; ipsec-policy ipsec1-policy; } establish-tunnels immediately; }D[edit security ipsec] user@host# show proposal ike1-proposal { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm 3des-cbc; lifetime-seconds 3200; }policy ipsec1-policy { perfect-forward-secrecy { keys group2; } proposals ike1-proposal; } vpn VpnTunnel { bind-interface st0.0; ike { gateway ike1-gateway; ipsec-policy ipsec1-policy; } establish-tunnels immediately; }
单选题下面关于各个协议下发缺省路由配置命令描述错误的是()A在静态路由中,Iproute-static default-preference命令用来在当前路由器生成一条缺省路由。B在RIP协议中,default-route originate命令用来在当前路由器生成一条缺省路由或者将路由表中存在的缺省路由发送给邻居C在OSPF协议中,default-route-advertise命令用来将缺省路由通告到普通OSPF区域中D在BGP协议中,default-route importd命令来使能将缺省路由引入到BGP路由表中的功能
多选题关于OSPF路由聚合命令描述正确的是()Aadvertise是abr-summary命令的缺省参数,即配置abr-summary命令不指定not-advertise的话则默认为advertiseBnot-advertise是abr-summary命令的缺省参数,即配置abr-summary命令不指定advertise还是not-advertise的话则默认为not-advertiseCabr-summary命令是OSPF区域视图下的命令Dasbr-summary命令是OSPF视图下的命令
多选题如下哪些属于UGW和EPCN命令行的实现差异()。AEPCN增加了EPCn-viewBEPCN查询命令增加“EPCn”关键字CEPCN配置命令的缺省级别为“2:配置级”,命令组为“G_ll,EPCN业务配置组”D配置命令在Vrpcfg文件中的保存顺序为:EPCN形态命令在前,GUL形态命令在后
多选题IPSec的配置步骤包括:()A防火墙基本配置B定义保护数据流和域间规则C配置IPSec安全提议D配置IKEPeer