计算机人工智能的研究是建立在现代科学基础之上。智能化是计算机发展的一个重要方向，新一代计算机，将可以模拟人的感觉行为和思维过程的机理。下面是小编整理的关于网络工程师考试考试内容，欢迎大家参考!

　　【问题】

　　crypto isakmp policy 1 //配置ike策略1

　　authentication pre-share //ike策略1的验证方法设为pre_share

　　group 2 //加密算法未设置则取默认值:des

　　crypto isakmp key test123 address 202.96.1.2 //设置pre-share密钥为test123，此值两端需一致

　　crypto ipsec transform-set vpntag ah-md5-hmac esp-des //设置ah散列算法为md5，esp加密算法为des

　　crypto map vpndemp 10 ipsec-isakmp //定义crypto map

　　set peer 202.96.1.2 //设置隧道对端ip地址

　　set transform-set vpntag //设置隧道ah及esp

　　match address 101

　　!

　　interface tunnel0 //定义隧道接口

　　ip address 192.168.1.1 255.255.255.0 //隧道端口ip地址

　　no ip directed-broadcast

　　tunnel source 202.96.1.1 //隧道源端地址

　　tunnel destination 202.96.1.2 //隧道目标端地址

　　crypto map vpndemo //应用vpndemo于此接口

　　interface serial0/0

　　ip address 202.96.1.1 255.255.255.252 //串口的internet ip地址

　　no ip directed-broadcast

　　crypto map vpndemo //应用vpndemo于此端口

　　!

　　interface ethernet0/1

　　ip address 168.1.1.1 255.255.255.0 //外部端口ip地址

　　no ip directed-broadcast

　　interface ethernet0/0

　　ip address 172.22.1.100 255.255.255.0 //内部端口ip地址

　　no ip directed-broadcast

　　!

　　ip classless

　　ip route 0.0.0.0 0.0.0.0 202.96.1.2 //默认静态路由

　　ip route 172.22.2.0 255.255.0.0 192.168.1.2 //到内网静态路由(经过隧道)

　　access-lost 101 permit gre host 202.96.1.1 host 202.96.1.2 //定义访问控制列表

　　【问题1】

　　访问列表能够帮助控制网上ip包的传输，主要用在以下几个方面：

　　1、控制一个端口的包传输

　　2、控制虚拟终端访问数量

　　3、限制路由更新的内容

　　【问题2】

　　•标准ip访问列表

　　–检查源地址

　　–通常允许、拒绝的是完整的协议

　　•扩展ip访问列表

　　–检查源地址和目的地址

　　–通常允许、拒绝的是某个特定的协议

　　【问题3】

　　在此例中所有的ip数据包将全部不能从serial 0端口发送出去。

　　原因：在默认情况下，除非明确规定允许通过，访问列表总是阻止或拒绝一切数据包的通过，即实际上在每个访问列表的最后，都隐含有一条"deny any"的语句。

　　假设我们使用了前面创建的标准ip访问列表，从路由器的角度来看，这条语句实际内容如下：

　　access-list 1 deny 172.16.4.13 0.0.0.0

　　access-list 1 deny any

　　因此我们应将配置改为：

　　access-list 1 deny 172.16.4.13 0.0.0.0

　　access-list 1 permit any

　　interface serial 0

　　ip access-group 1 out

　　【问题1】

　　ipsec实现的vpn主要有下面四个配置部分。

　　1、 为ipsec做准备

　　为ipsec做准备涉及到确定详细的加密策略，包括确定我们要保护的主机和网络，选择一种认证方法，确定有关ipsec对等体的详细信息，确定我们所需的ipsec特性，并确认现有的访问控制列表允许ipsec数据通过。

　　步骤1：根据对等体的数量和位置在ipsec对等体间确定一个ike(ike阶段1或者主模式)策略;

　　步骤2：确定ipsec(ike阶段2，或快捷模式)策略，包括ipsec对等体的细节信息，例如ip地址及ipsec变换集和模式;

　　步骤3：用“write terminal”、“show isakmp”、“show isakmp policy”、“show crypto map”命令及其它的show命令来检查当前的配置;

　　步骤4：确认在没有使用加密前网络能够正常工作，用ping命令并在加密前运行测试数据来排除基本的路由故障;

　　步骤5：确认在边界路由器和防火墙中已有的访问控制列表允许ipsec数据流通过，或者想要的数据流将可以被过滤出来。

　　2、 配置ike

　　配置ike涉及到启用ike(和isakmp是同义词)，创建ike策略，验证我们的配置。

　　步骤1：用isakmp enable命令来启用或关闭ike;

　　步骤2：用isakmp policy命令创建ike策略;

　　步骤3：用isakmp key命令和相关命令来配置预共享密钥;

　　步骤4：用show isakmp[policy]命令来验证ike的配置。

　　3、 配置ipsec

　　ipsec配置包括创建加密用访问控制列表、定义变换集、创建加密图条目、并将加密集应用到接口上去。

　　步骤1：用access-list命令来配置加密用访问控制列表：

　　例如：

　　access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]] dest_addr des_mask [operator port [port]]

　　步骤2：用cryto ipsec transform-set命令配置交换集;

　　例如：

　　crypto ipsec transformp-set transform-set-name transform1 [transform2 [transform3]]

　　步骤3：(任选)用crypto ipsec security-accociation lifetime命令来配置全局性的ipsec安全关联的生存期;

　　步骤4：用crypto map命令来配置加密图;

　　步骤5：用interface命令和crypto map map-name interface应用到接口上;

　　步骤6：用各种可用的show命令来验证ipsec的配置。

　　4、 测试和验证ipsec

　　该任务涉及到使用“show”、“debug”和相关的命令来测试和验证ipsec加密工作是否正常，并为之排除故障。

　　注：此类题目要求答出主要步骤即可。