NO.14394

（思科设备的配置，建议略过）

阅读以下说明，回答问题1至问题5，将解答填入答题纸对应的解答栏内。
【说明】
某公司两分支机构之间的网络配置如图4-1所示，为保护通信安全，在路由器router-a和router-b上配置IPSec安全策略，对192.168.8.0/24网段和192.168.9.0/24网段之间的数据进行加密处理。

图 4-1

【问题1】（3分）
为建立两分支机构之间的通信，请完成下面的路由配置命令。
router-a（config）#ip route 0.0.0.0 0.0.0.0   （1）
router-b（config）#ip route 0.0.0.0 0.0.0.0   （2）
【问题2】（3分）
下面的命令是在路由器router-a中配置IPSec隧道。请完成下面的隧道配置命令。
router-a(config)# crypto tunnel tun1    （设置IPSec隧道名称为tunl）
router-a(config-tunnel)# peer address （3）　（设置隧道对端IP地址）
router-a(config-tunnel)#local address （4）（设置隧道本端IP地址）
router-a(config-tunnel)# set auto-up    （设置为自动协商）
router-a(config-tunnel)# exit    （退出隧道设置）
【问题3】（3分）
router-a与router-b之间采用预共享密钥“12345678”建立IPSec关联，请完成下面配置router-a(config)# cryptike key 12345678 address
router-a(config)#crypt ike key 12345678 address （5）
router-b(config)# crypt ike key 12345678 address （6）
【问题4】（3分）
下面的命令在路由器router-a中配置了相应的IPSec策略，请说明该策略的含义。
router-a(config)# crypto policy p1
router-a(config-policy)# flow 192.168.8.0 255.255.255.0 192.168.9.0 255.255.255.0 ip tunnel tunl
router-a(config-policy)#exit
【问题5（3分）
下面的命令在路由器router-a中配置了相应的IPSec提议。
router-a(config)# crypto ipsec proposal secpl
router-a(config-ipsec-prop)# esp 3des sha1
router-a(config-ipsecprop)#exit
该提议表明：IPSec采用ESP报文，加密算法（7），认证算法采用（8）。

参考答案:

【问题1】（3分，每题1.5分）
（1）203.25.25.254
（2）201.18.8.254
【问题2】（3分，每题1.5分）
（3）201.18.8.1
（4）203.25.25.1
【问题3】（3分，每题1.5分）
（5）201.18.8.1
（6）203.25.25.1
【问题4】（3分，每题1.5分）
从192.168.8.0/24子网到192.168.9.0/24子网的所有lP报文经由IPSec隧道tunl到达。
【问题5】（3分，每题1.5分）
（7）3des
（8）shal

详细解析:

【问题1】
默认路由实际上就是静态路由的一个“变种”，它的命令格式和静态路由相似。为路由器配置默认路由后，当路由器在路由表里没有找到去往特定目标网络的路由条目时，它自动将该目标网络的所有数据发送到默认路由指定的下一跳路由器。
本题中router-a上配置默认路由的下一跳地址为203.25.25.254，router-b上配置默认路由的下一跳地址为201.18.8.254。
【问题2】
ipsec安全隧道是一个点对点的概念，是建立在本端和对端网关之间的，所以配置ipsec的加密映射表时必须正确设置对端地址才能成功的建立起一条安全隧道。
【问题3】
router-a(config)#crypt ike key 12345678 address 201.18.8.1
router-b(config)#crypt ike key 12345678 address 203.25.25.1
设置预共享密钥，同时设置对端IP地址。
【问题4】
从192.168.8.0/24子网到192.168.9.0/24子网的所有lP报文经由IPSec隧道tunl到达。
【问题5】
加密算法是3des，针对ESP的验证算法是sha1。