【计算机类职业资格】中级网络工程师下午试题-76及答案解析.doc

1、中级网络工程师下午试题-76 及答案解析(总分：74.00，做题时间：90 分钟)一、试题一(总题数：1，分数：15.00)1.网络测试是对 (1) 、网络系统以及网络对应用的支持进行检测，以展示矛口证明网络系统是否满足用户在 (2) 、安全、易用性、可管理性等方面需求的测试。而结构化布线是网络中最基本、最重要的组成部分，它是连接每一台服务器和工作站的纽带。在布线完成后，必须对整个布线系统进行全面的测试，通常由布线公司和企业的技术人员组成测试工作组，对所有信息点进行导通测试，5 类测试按照所有信息点的 (3) %进行抽查。在进行测试前，需要选择合适的 (4) 与 (5) 。通常采用国际上认可的

2、测试仪进行测试工作，比如，在对铜线进行测试时，采用 (6) 进行基本的连接性(导通)测试，在做光缆损耗方面的测试时，采用微软公司的 (7) 进行测试，同时选择 (8) 标准作为测试的依据。从工程的角度来讲，结构化布线非屏蔽双绞线测试可划分为两类，一类是 (9) ，一类是 (10) 。在进行光纤传输通道测试时，其测试的指标主要是 (11) ，如果在测试标准范围之内为“PASS”，反之为“FAII”。布线测试是保证网络正常工作不可或缺的一道工序，只有通过严格的的测试，网络系统才能投入运行。（分数：15.00）_二、试题二(总题数：4，分数：12.00)2.【问题 1】假如有一台 PC 连接在如图

3、10-1 所示的交换机(10/100M 自适应的交换机)上，通信正常，但是将 100M 的网卡连到交换机上时显示红灯，通信不正常，请分析故障原因并给予解决。（分数：3.00）_3.【问题 2】交换机设置了两个 VLAN，在同一 VLA_N 内的机器不在同一网段上，它们可以通信吗?（分数：3.00）_4.【问题 3】假如交换机设置了若干个 VLAN，在不同 VLAN 内的机器在同一网段，它们可以通信吗?（分数：3.00）_5.【问题 4】请简要区分三层交换机与路由器。（分数：3.00）_三、试题三(总题数：4，分数：16.00)6.【问题 1】解释图 10-2 中的 PVC 和 SVC。（分数：

4、4.00）_7.【问题 2】以下是 LANE 工作过程，其顺序已乱，请排序。LEC 接着便向其他 LEC 广播这个响应。在地址表中含有被称为 MAC 地址的 LEC 向 LEC 作出响应。LES 发送多点组播至网络上的其他 LEC。LANSwitch 从 Ethernet 终端接收到一个帧，这个帧的目的地址是 ATM 网络另一端的一台 Ethernet 终端。LEC，即 LANE Client(它驻留在 LAN Switch 中)，于是就发送一个 MAC-to-ATM 地址转换请求到 LES(LES驻留在 ATMSwitch 中)。发送地址转换请求的 LEC 认知这个响应，并得到目的地的 AT

5、M 地址，接着便通过 ATM 网建立一条 SVC 至目的 LEC，用 ATM 信元传送数据。（分数：4.00）_8.【问题 3】请把图 10-3 中(1)与(2)填写完整。（分数：4.00）_9.【问题 4】支持可变比特率(VBR)业务；支持面向连接的业务，其比特率是可变的。常见业务为压缩的分组语音通信和压缩的视频传输。请问根据其业务描述是属子图 10-3 中高层中的哪一级?（分数：4.00）_四、试题四(总题数：4，分数：16.00)10.【问题 1】利用手机与笔记本接入 Internet：手机接入在经过服务器 RADIUS 授权后，由 GGSN 分配私有地址，该私有地址通过 NAT 转换后

6、接入 CMNet(中国移动互联网)。请问 RADIUS 的作用是什么?RADIUS 通过什么加密和使用什么密钥?（分数：4.00）_11.【问题 2】 RADIUS 是基于什么结构的协议?它的客户端最初就是 NAS 服务器，现在任何运行 RADIUS 客户端软件的计算机都可以成为 RADIUS 的客户端。（分数：4.00）_12.【问题 3】在图 10-4 中为什么要进行 NAT 转化，设需要翻译的内部地址数为 m，可用的全局地址为 n，当 m:n=m:1 时，称这种技术为什么?（分数：4.00）_13.【问题 4】在图 10-4 中的 GPRS 骨干网与 Internet 中为什么要加入 G

7、GSN?（分数：4.00）_五、试题五(总题数：1，分数：15.00)14.说明IPSec(Internet 协议安全)是一个工业标准网络安全协议，为 IP 网络通信提供透明的安全服务，保护TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec 有两个基本目标：保护 IP 数据包安全；为抵御网络攻击提供防护措施。以下是 IPSec 部分配置清单。Cisco 3640 (config) # crygto isakmp policy 1 (1) Cisco 3640 (config-isakmp) # group 1 (2) Cisco 3640 (config-isa

8、kmp) # anthentication pre-share (3) Cisco 3640 (config-isalmap) # lifetime 3600Cisco 3640 (config) # crypto isakmp key noIP4u address202.10.36.1 (4) Cisco 3640 (config) # access-list 130 permit ip 192.168.1.0 0.0.0.255 172.19.20.0 0.0.0.255 (5) Cisco 3640 (config) # crypto ipsec transform-set vpn1 a

9、h-md5-hmac esp-des esp-md5-hmac (6) Cisco 3640 (config) # crypto map shortsec 60 ipsec-isakmpCisco 3640 (config-crypto-map) # set peer 202.10.36.1Cisco 3640 (config-crypto-map)# set ixansform-setvgnl (7) Cisco 3640 (config-crypto-map) # match address 130Cisco 3640 (config) # interface s0Cisco 3640 (

10、config-if) # crypto real/shortsec (8) 请解释上述标有下画线语句的含义。（分数：15.00）_中级网络工程师下午试题-76 答案解析(总分：74.00，做题时间：90 分钟)一、试题一(总题数：1，分数：15.00)1.网络测试是对 (1) 、网络系统以及网络对应用的支持进行检测，以展示矛口证明网络系统是否满足用户在 (2) 、安全、易用性、可管理性等方面需求的测试。而结构化布线是网络中最基本、最重要的组成部分，它是连接每一台服务器和工作站的纽带。在布线完成后，必须对整个布线系统进行全面的测试，通常由布线公司和企业的技术人员组成测试工作组，对所有信息点进行导

11、通测试，5 类测试按照所有信息点的 (3) %进行抽查。在进行测试前，需要选择合适的 (4) 与 (5) 。通常采用国际上认可的测试仪进行测试工作，比如，在对铜线进行测试时，采用 (6) 进行基本的连接性(导通)测试，在做光缆损耗方面的测试时，采用微软公司的 (7) 进行测试，同时选择 (8) 标准作为测试的依据。从工程的角度来讲，结构化布线非屏蔽双绞线测试可划分为两类，一类是 (9) ，一类是 (10) 。在进行光纤传输通道测试时，其测试的指标主要是 (11) ，如果在测试标准范围之内为“PASS”，反之为“FAII”。布线测试是保证网络正常工作不可或缺的一道工序，只有通过严格的的测试，网络

12、系统才能投入运行。（分数：15.00）_正确答案：(1)网络设备(2)性能(3)20(4)测试仪器(5)测试标准(6)电缆测试表(7)光缆测试仪(8)EIA/TIA568A(9)导通测试(10)认证测试)解析：网络测试是我们在工程验收前必须进行的一项工作，它牵涉到工程的质量，这一工作很重要。包括功能测试、性能测试、安全性测试、稳定性测试、 浏览器兼容性测试、可用性/易用性测试等。TIA(通信工业协会)制定了 EIA/TIA568A 测试标准，该标准包括：1定义“连接”模型2定义要测试的传输参数3为每一种连接模型及 3 类、4 类、5 类链路定义 PASS/FALL 测试极限4定义现场测试仪的性

13、能要求和验证系统是否满足用户要求5定义现场测试仪与实验室设备测试结果的比较方法二、试题二(总题数：4，分数：12.00)2.【问题 1】假如有一台 PC 连接在如图 10-1 所示的交换机(10/100M 自适应的交换机)上，通信正常，但是将 100M 的网卡连到交换机上时显示红灯，通信不正常，请分析故障原因并给予解决。（分数：3.00）_正确答案：(这是由于配置不当引起的，交换机的端口很可能被强制成 10M，在连到 100M 的情况下才会报错。解决的方法是在端口配置下，将端口速度恢复成自适应或强制成 100M。)解析：在交换式以太网中，利用 VLAN 技术，可以将由交换机连接成的物理网络划分

14、成多个逻辑子网。也就是说，一个 VLAN 中的站点所发送的广播数据包将仅转发至属于同一 VLAN 的站点。而在传统局域网中，由于物理网络和逻辑子网的对应关系，因此任何一个站点所发送的广播数据包都将被转发至网络中的所有站点。在交换式以太网中，各站点可以分别属于不同的 VLAN。构成 VLAN 的站点不拘泥于所处的物理位置；它们既可以挂接在同一个交换机中，也可以挂接在不同的交换机中。VLAN 技术使得网络的拓扑结构变得非常灵活，例如位于不同楼层的用户或者不同部门的用户可以根据需要力口入不同的 VLAN。三层交换机是为 IP 设计的，接口类型简单，拥有很强的二层包处理能力，所以适用于大型局域网，为了

15、减小广播风暴的危害，必须把大型局域网按功能或地域等因素划分成一个一个的小局域网，也就是一个一个的小网段，这样必然导致不同网段之间存在大量的互访，单纯使用二层交换机没办法实现网间的互访，若单纯使用路由器，则由于端口数量有限，路由速度较慢，而限制了网络的规模和访问速度，所以在这种环境下，由二层交换技术和路由技术有机结合而成的三层交换机就最为适合。路由 SS 端口类型多，支持的三层协议多，路由能力强，所以适合于在大型网络之间的互连，虽然不少三层交换机甚 5 层交换机都有异质网络的互连端口，但一般大型网络的互连端口不多，互连设备的主要功能不在于在端口之间进行快速交换，而是要选择最佳路径，分担负载，链路

16、备份和与其他网络进行路由信息交换，所有这些都是路由完成的功能。使用三层交换机的最重要目的是加快大型局域网内部的数据交换，整合进去的路由功能也是为这目的服务的，所以它的路由功能没有同一档次的专业路由器强。在网络流量很大的情况下，如果三层交换机既做网内的交换，又做网间的路由，必然会大大加重它的负担，影响响应速度。在网络流量很大，但又要求响应速度很高的情况下由三层交换机做网内的交换，由路由器专门负责网间的路由工作，这样可以充分发挥不同设备的优势，是一个很好的配合。3.【问题 2】交换机设置了两个 VLAN，在同一 VLA_N 内的机器不在同一网段上，它们可以通信吗?（分数：3.00）_正确答案：(不

17、可以，同一个 VLAN 只能在同一网段内，如果将不同网段划在同一个 VLAN 中，则交换机会报错。)解析：4.【问题 3】假如交换机设置了若干个 VLAN，在不同 VLAN 内的机器在同一网段，它们可以通信吗?（分数：3.00）_正确答案：(不可以。不同 VLAN 之间应属于不同的网段，如果不通过路由功能，不同 VLAN 之间不可以通信。)解析：5.【问题 4】请简要区分三层交换机与路由器。（分数：3.00）_正确答案：(三层交换机是为 IP 设计的，接口类型简单，拥有很强的二层包处理能力，所以适用于大型局域网，可以减小广播风暴的危害，可加快大型局域网内部的数据交换。路由器端口类型多，支持的三

18、层协议多，路由能力强，所以适合于在大型网络之间的互连，主要功能不在于在端口之间进行快速交换，而是要选择最佳路径，分担负载，链路备份，与其他网络进行路由信息交换。三层交换机有整合的路由功能，但其路由功能没有专业路由器强。)解析：三、试题三(总题数：4，分数：16.00)6.【问题 1】解释图 10-2 中的 PVC 和 SVC。（分数：4.00）_正确答案：(PVC：永久型虚电路业务；SVC：交换型虚电路业务。)解析：ATM 即异步传输模式，采用超大规模集成(VLSl)技术对需要传输的各种数据高速地进行分段处理，主要是对来自 OSI 参考模型数据链路层的数据高速地进行分段处理，将它们分解成许多信

19、元(cell)，每一个信元均为 53 个字节。信元的传递和转发由 ATM 交换机实现。ATM 交换机先分析信元的头信息，根据信元头内容将信元转发给下一个 ATM 交换机或最终目标，从而实现信元的高速传送和转发。ATM 技术既像电路交换技术一样具有固定的传输延迟和约定的传输能力，又像分包交换技术一样能有效处理非连续传输。在同步传输模式中，采用时分多路选择技术来为用户预先分配时间片。而 ATM 技术根据包含在信元头部的源地址分配时间片。ATM 参考模型有以下几层。(1)物理层：控制数据位在物理介质上的转发和接收，并将 ATM 信元封装成合适的类型和大小的数据帧；(2)ATM 层：建立连接并通过 A

20、TM 网络传递信元；(3)ATM 转换层(AAL)：在上层协议处理所产生的大型服务性数据单元(SDU)和 ATM 信元间建立一种转换关系。ATM 转换层接收上层协议的封包，并将其分解成 48 字节的数据段。加上 ATM 信头，形成统一的 ATM信元再传送。LAN 仿真规范模型包括 LAN 仿真客户机(LEC)、LAN 仿真服务器(LES)，广播和未知服务器(BUS)以及 LAN 仿真配置服务器(LECS)。LEC 为 ELAN 中的单个终端系统执行数据传送、地址分析和其他控制功能，同时还为自己与任何高层机构提供一个标准的服务接口。与 ELAN 接口的 ATMNIC 或 LAN 交换机构在每个连

21、接的 ELAN 上支持一个 LEC，每个 LEC 由一个独立的 ATM 地址来标识，而且与一个或多个可通过该 ATM 地址到达的 MAC 地址相连。LES 为一个特定的 ELAN 执行控制功能。每个 ELAN 只有一个逻辑 LES，即 LES 属于一个特定的 ELAN。每个 LES 都有自己专用的一个 ATM 地址来标识。BUS 是一个多点广播服务器，其作用是扩展未知目标地址流量，并向一个特定 ELAN 中的客户机传递多点广播和广播流量，每个 LEC 在 ELAN 上只与一个 BUS 相连，但在一特定的 ELAN 上可能有多个 BUS，它们以厂商确定的方式进行通信和协调。一个 LEC 连接的

22、BUS 有自己专用的一个 ATM 地址标识。在 LES 中，该地址与广播 MAC 地址相连这一映射通常配置在 LES 中。LECS 通过将各个 LANE 客户机分配到 ELAN 相应的 LES，把客户机指定给特定的 ELAN。每个管理域只有一个逻辑 LECS，它为本域中所有的 ELAN 服务。LANE 协议没有规定 LES、BUS 和 LECS 的具体位置， 目前大多数厂商都在网络设备(ATM 交换机和路由器)而不是主机和工作站上实施，以保证其高性能和可靠性。LANE 通过一系列 ATM 连接进行相互通信。LEC 间保持各自连接，以便传输数据和控制流量。控制连接包括直接配置虚通道连接(Virt

23、ual Channel Connection，VCC)、直接控制 VCC 和分布控制VCC。直接配置 VCC 是一个双向点对点 VCC，是由 LEC 设置到 LECS 的；直接控制 VCC 也是个双向 VCC，是由 LEC 设置到 LES 的；分布控制 VCC 是一个单向 VCC，从 LES 返回 LEC，通常这是一个点对多点的连接。数据连接包括直接数据 VCC。多点广播发送 VCC 和多点广播传递 VCC。直接数据 VCC 是在两个希望交换数据的 LEC 间设置的双向点对点 VCC。通常两个 LEC 使用同一个值按数据 VCC 传送它们之间的所有信息包，而不是为它们之间的每对 MAC 地址建

24、立一个新的 VCC，这样可以节约连接资源和设置连接的等待时间；多点广播发送 VCC 也是一个双向点对点 VCC，是由 LEC 设置到 BUS 的；多点广播传递 VCC 是一个单向 VCC，是从 BUS 设置到 LEC 的，通常这是一个点对多点连接，每个 LEC 是它的叶节点。LAN 仿真的运行包括初始化、连接和数据传输 3 个阶段。 AAL 的业务分类情况如下所示。 业务 A 类 B 类 C 类 D 类源和目的定时 要求 要求 不要求 不要求比特率 固定 可变 可变 可变连接方式 面向连接 面向连接 面向连接 无业务举例 电路仿真，恒定比特图象 可变比特率视像，音频 x.25 帧中继 SMDS

25、，IPAAL 类型 AAL1 AAL2 AAL3/4，AAL5 AAL3/4，AAL57.【问题 2】以下是 LANE 工作过程，其顺序已乱，请排序。LEC 接着便向其他 LEC 广播这个响应。在地址表中含有被称为 MAC 地址的 LEC 向 LEC 作出响应。LES 发送多点组播至网络上的其他 LEC。LANSwitch 从 Ethernet 终端接收到一个帧，这个帧的目的地址是 ATM 网络另一端的一台 Ethernet 终端。LEC，即 LANE Client(它驻留在 LAN Switch 中)，于是就发送一个 MAC-to-ATM 地址转换请求到 LES(LES驻留在 ATMSwit

26、ch 中)。发送地址转换请求的 LEC 认知这个响应，并得到目的地的 ATM 地址，接着便通过 ATM 网建立一条 SVC 至目的 LEC，用 ATM 信元传送数据。（分数：4.00）_正确答案：()解析：8.【问题 3】请把图 10-3 中(1)与(2)填写完整。（分数：4.00）_正确答案：(AAL1， (2)ATM 层。)解析：9.【问题 4】支持可变比特率(VBR)业务；支持面向连接的业务，其比特率是可变的。常见业务为压缩的分组语音通信和压缩的视频传输。请问根据其业务描述是属子图 10-3 中高层中的哪一级?（分数：4.00）_正确答案：(B 级。)解析：四、试题四(总题数：4，分数：

27、16.00)10.【问题 1】利用手机与笔记本接入 Internet：手机接入在经过服务器 RADIUS 授权后，由 GGSN 分配私有地址，该私有地址通过 NAT 转换后接入 CMNet(中国移动互联网)。请问 RADIUS 的作用是什么?RADIUS 通过什么加密和使用什么密钥?（分数：4.00）_正确答案：(对拨入用户进行身份验证，防止非法用户拨入 GRPS 骨干网。RADIUS 通过 MD5 加密，使用共享密钥。)解析：GPRS 的英文全称为 General Packet Radio Service，中文含义为通用分组无线服务，他是利用“包交换” (Packet-Switched)的概

28、念所发展出的一套无线传输方式。所谓的包交换就是将 Date 封装成许多独立的封包，再将这些封包一个一个传送出去，形式上有点类似寄包裹。采用包交换的好处是只有在有资料需要传送时才会占用频宽，而且可以以传输的资料量计价，这对用户来说是比较合理的计费方式。 RADIUS(Remote Authentication Dial In User Service)协议最初是由 Livingston 公司提出的，开始是为拨号用户进行认证和计费。后来形成了一项通用的认证计费协议。RADIUS 是一种 C/S 结构的协议；它的客户端最初就是 NAS(Net Access Server)服务器，现在任何运行 RAD

29、IUS 客户端软件的计算机都可以成为 RADIUS 的客户端。RADIUS 协议认证机制灵活，可以采用 PAP、CHAP 或者 UNIX 登录认证等多种方式。RADIUS 是一种可扩展的协议，它进行的全部工作都是基于 Attribute-Length-Value 的向量进行的。RADIUS 的基本工作原理是用户接入 NAS，NAS 向 RADIUS 服务器使用 Access-Require 数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过 MD5 加密的，双方使用共享密钥，这个密钥不经过网络传播。RADIUS 服务器对用户名和密码的合法性进行检验，必要时可以提出一个 Chal

30、lenge，要求进一步对用户进行认证，也可以对 NAS 进行类似的认证。如果合法，给 NAS 返回 Access-Accept 数据包，允许用户进行下一步工作，否则返回 Access-Reject 数据包，拒绝用户访问。如果允许访问，NAS 向 RADIUS 服务器提出计费请求 Account-Require，RADIUS 服务器响应 Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。RADIUS 服务器和 NAS 服务器通过 UDP 协议进行通信，RADIUS 服务器的 1812 端口负责认证，1813 端口负责计费工作。采用 UDP 的基本考虑是因为 NAS

31、和 RADIUS 服务器大多在同一个局域网中，所以使用 UDP 更加快捷方便。RADIUS 协议还规定了重传机制。如果 NAS 向某个 RADIUS 服务器提交请求而没有收到返回信息，那么可以要求备份 RADIUS 服务器重传。由于有多个备份 RADIUS 服务器，因此 NAS 进行重传的时候，可以采用轮询的方法。如果备份 RADIUS 服务器的密钥和以前 RADIUS 服务器的密钥不同，则需要重新进行认证。RADIUS 协议应用范围很广，包括普通电话、上网业务计费，对 VPN 的支持可以使不同的拨入服务器的用户具有不同权限。11.【问题 2】 RADIUS 是基于什么结构的协议?它的客户端最

32、初就是 NAS 服务器，现在任何运行 RADIUS 客户端软件的计算机都可以成为 RADIUS 的客户端。（分数：4.00）_正确答案：(C/S，即客户端与服务器端。)解析：12.【问题 3】在图 10-4 中为什么要进行 NAT 转化，设需要翻译的内部地址数为 m，可用的全局地址为 n，当 m:n=m:1 时，称这种技术为什么?（分数：4.00）_正确答案：(把一个大的地址空间映像到一个小的地址空间，或把私有地址转化为公有地址，节约 IP 地址空间的方法称为伪装。所以，NAT(网络地址转化)的目的是为了节约 p 地址，当 m:n=m:1 时，这种技术称为；过载”技术，即允许多个私有地址转换到

33、同一个公有地址。)解析：13.【问题 4】在图 10-4 中的 GPRS 骨干网与 Internet 中为什么要加入 GGSN?（分数：4.00）_正确答案：(GGSN 把收到的消息进行解装处理，转换为可在公用数据网中传送的格式(如 PSPDN 的 PDU)，最终送给公用数据网的用户。)解析：五、试题五(总题数：1，分数：15.00)14.说明IPSec(Internet 协议安全)是一个工业标准网络安全协议，为 IP 网络通信提供透明的安全服务，保护TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec 有两个基本目标：保护 IP 数据包安全；为抵御网络攻击提供防

34、护措施。以下是 IPSec 部分配置清单。Cisco 3640 (config) # crygto isakmp policy 1 (1) Cisco 3640 (config-isakmp) # group 1 (2) Cisco 3640 (config-isakmp) # anthentication pre-share (3) Cisco 3640 (config-isalmap) # lifetime 3600Cisco 3640 (config) # crypto isakmp key noIP4u address202.10.36.1 (4) Cisco 3640 (config

35、) # access-list 130 permit ip 192.168.1.0 0.0.0.255 172.19.20.0 0.0.0.255 (5) Cisco 3640 (config) # crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac (6) Cisco 3640 (config) # crypto map shortsec 60 ipsec-isakmpCisco 3640 (config-crypto-map) # set peer 202.10.36.1Cisco 3640 (config-cr

36、ypto-map)# set ixansform-setvgnl (7) Cisco 3640 (config-crypto-map) # match address 130Cisco 3640 (config) # interface s0Cisco 3640 (config-if) # crypto real/shortsec (8) 请解释上述标有下画线语句的含义。（分数：15.00）_正确答案：(设置策略为 policy 1。(2)使用 group 1 长度的密钥为 768 位密钥。(3)告诉路由器要使用预先共享的密码。(4)指定 VPN 另一端路由器 IP 地址，即目的路由器 IP

37、地址。(5)设置访问列表。(6)设置 AH 散列算法为 MD5。(7)VPNI 传输设置。(8)将定义的密码图应用到路由器的外部接口。)解析：IPSec VPN(IpSec Vitual Private Network)技术在 IP 传输上通过加密隧道，在用公网传送内部专网的内容的同时，保证内部数据的安全性，从而实现企业总部与各分支机构之间的数据、话音与视频业务的互通。1配置前准备(1)根据对等体的数量和位置在 IPSec 对等体间确定一个 IKE(1KE 阶段 1，或者主模式)策略。(2)确定 IPSec(1KE 阶段 2，或快捷模式)策略，包括 IPSec 对等体的细节信息，例如 IP 地

38、址及 IPSec 变换集和模式。(3)用“write terminal”、 “show isahnp”、 “show isakmp policy”、 “show crypto map”命令及其他“show”命令检查当前的配置。(4)确认在没有使用加密前网络能够正常工作，用“ping”命令并在加密前运行测试数据流来排除基本的路由故障；2配置 IKE配置 IKE 涉及到启用 IKE(它与 isakmp 是同义词)，创建 IKE 策略和验证配置。(1)用“isakmp enable”命令来启用或关闭 IKE。(2)用”isakmp policy”命令创建 IKE 策略。(3)用“isakmp key

39、”命令和相关命令来配置预共享密钥。(4)用“show isakmp policy”命令来验证 IKE 的配置。3配置 IPSecIPSec 配置包括创建加密访问控制列表，定义变换集，创建加密图条目，并将加密集应用到接口上去。(1)用 access-list 命令配置加密用访问控制列表。例如：access-list acl-name permit|denyprotocol src_addrsrc_mask operator port Portdest_addr dest_mask operator prot port(2)用 crypto ipsec transform-set 命令配置变换集。

40、 例如：crypto ipsec transform-set transform-set-name transform1transform2transform3(3)用 crypto ipsec security-association lifetime 命令配置全局性的 IPSec 安全关联的生存期(任选)。(4)用 crypto map 命令来配置加密图。(5)用 interface 命令和 crypto map map-name interface 应用到接口上；(6)用各种可用的 show 命令来验证 IPSec 的配置。4测试和验证 IPSec该任务涉及使用“show”、“debug”和相关的命令测试和验证 IPSec 加密工作是否正常，并为之排除故障。