违法和不良信息举报 联系客服
免费注册 登录

将路由器配置为 SSH 服务器时,发出 crypto key g

题目

将路由器配置为 SSH 服务器时,发出 crypto key generate rsa 命令之前应先配置什么? ()

  • A、安全的域名
  • B、VTP 域名
  • C、IP 域名
  • D、主机名
参考答案和解析
正确答案:C
如果没有搜索结果或未解决您的问题,请直接 联系老师 获取答案。
相似问题和答案

第1题:

某路由器的部分配置信息如下所示,请解释其中标有下划线部分的含义(“//”后为注释内容)。

*配置路由器信息

version 12.0

hostname SecRouter

boot system flash c1700-osy56i-mz 120-3-T3.bin

//应用IKE共享密钥进行认证

crypto isakmp policy 100 (1)

hash md5 (2)

/u>authentication pre-share (3)

//与远端IP为172.16.2.1的对等体的共享密钥为“mcns”

crypto isakmp key mcns address 172.16.2.1 (4)

crypto ipsec transform-set l&2 esp-des esp-md5-hmac (5)

//配置加密图

//指定用IKE来建立IPSec安全关联,以保护由该加密图条目所指定的数据流

crypto map sharef 10 ipsec-isakmp (6)

set peer 172.16.2.1 (7)

set transform-set 1&2 (8)

match address 151

//配置接口

interface serial0

ip address 172.16.1.1 255.255.255.252

ip access-group 101 in

crypto map sharef (9)

interface FastEthernet0

end


正确答案:(1)创建标识为“100”的IKE策略 (2)采用md5 hashing算法 (3)采用预共享密钥认证方法 (4)与远端IP为172.16.2.1的对等体的共享密钥为“mcns” (5)配置名为1&2的交换集指定esp-des和esp-md5-hmac两种变换 (6)分配给该加密图集的名称:sharef;序号:10 (7)指定允许的IPSec对等体的IP地址为172.16.2.1 (8)此加密图使用交换集1&2 (9)此接口使用名为sharef的加密图进行加密
(1)创建标识为“100”的IKE策略 (2)采用md5 hashing算法 (3)采用预共享密钥认证方法 (4)与远端IP为172.16.2.1的对等体的共享密钥为“mcns” (5)配置名为1&2的交换集,指定esp-des和esp-md5-hmac两种变换 (6)分配给该加密图集的名称:sharef;序号:10 (7)指定允许的IPSec对等体的IP地址为172.16.2.1 (8)此加密图使用交换集1&2 (9)此接口使用名为sharef的加密图进行加密 解析:配置IKE涉及到启用IKE、创建IKE策略、验证配置等,其步骤如下表所示。

配置IPSec则包括创建加密用访问控制列表、定义变换集、刨建加密图条目、并将加密集应用到接口上去,如下表所示。

第2题:

以下是指定VPN在建立连接时协商IKE使用的策略,阅读下面的配置信息,解释(6)、(7)处的命令。

Router(config) crypto isakmp policy 10(定义策略为10)

Router(config-isakmp) hash md5(6)

Router(config-isakmp) authentication prc-sharc(7)

Router(config-isakmp) exit

Router(config) crypto isakmp key cisco123 address 0,0.0.0 0.0.0.0

(配置预共享密钥为cisc0123,对等端为所有IP)


正确答案:(1)在建立连接时协商IKE使用MD5散列算法 (2)在IKE协商过程中使用预共享密钥认证方式
(1)在建立连接时协商IKE使用MD5散列算法 (2)在IKE协商过程中使用预共享密钥认证方式 解析:本题测试的是VPN在建立连接时,协商IKE使用的策略的配置过程:
Router(config-isakmp)# hash md5在建立连接时协商IKE使用MD5散列算法
Router(config-isakmp)#authentication pre-share在IKE协商过程中使用预共享密钥认证方式

第3题:

【问题1】(4分)

根据网络拓扑和要求,解释并完成路由器R1上的部分配置。

R1 (config)#crypto isakmp enable (启用 IKE)

R1 (config)#crypto isakmp (1) 20 (配置 IKE 策略20)

R1 (config-isakmp)#authentication pre-share (2)

R1 (config-isakmp)#exit

R1 (config)#crypto isakmp key 378 address 192.168.2.2 (配置预共享密钥为378)

R1 (config)#access-list 101 permit ip (3) 0.0.0.255 (4) 0.0.0.255

(设置 ACL)

……


正确答案:
(1)Policy          (1分)
(2)在IKE协商过程中使用预共享密钥认证方式  (1分)
(3)10.10.20.0         (1分)
(4)10.10.10.0         (1分)

第4题:

使用 SSH 连接路由器的目的是什么()

  • A、允许通过图形界面配置路由器。
  • B、允许建立到路由器命令行界面的安全远程连接。
  • C、允许通过网络管理应用程序监控路由器。
  • D、允许通过不安全的工作站或服务器安全传输 IOS 软件映像。

正确答案:A

第5题:

当为交换机配置使用SSH进行虚拟终端连接时,cryptokeygeneratersa命令的作用是什么()

A.显示使用SSH连接的主机

B.断开使用SSH连接的主机

C.创建公钥和私钥密钥对

D.显示交换机上激活的SSH端口

E.访问SSH数据库配置


参考答案:C

第6题:

根据网络拓扑和R1的配置,解释并完成路由器R3的部分配置。 R3(config)ctypto isakmp key(7)address(8)

R3(config)crypto transform-set testvpn ah—rod5—hmac esp-des esp-rod5-hmac(9)

R3(cfg—crypto—ttans)exit

R3(config)crypto map test 20 ipsec-isakmp

R3(config—crypto—map)set peer 192.168.1.1

R3(config—crypto—map)set transform-seI(10)


正确答案:(7)378 (8)192.168.1.1 (9)设置IPSec变换集testvpnAH鉴别采用ah-rod5-hmaeESP加密采用esp—desESP认证采用esp-md5-hmac。 (10)testvpn
(7)378 (8)192.168.1.1 (9)设置IPSec变换集testvpn,AH鉴别采用ah-rod5-hmae,ESP加密采用esp—des,ESP认证采用esp-md5-hmac。 (10)testvpn 解析:由R1(config)#crypto isakmp key 378 address 192.168.2.2得(7)(8)题答案。用crypto ipsee transform-set命令配置变换集;例如:crypt。ipsec transform-set transform-set-Dame transforml[transform2[transform3]]。set peer××.××.××.××(指定此VPN链路,对端的IP地址)。routerA(config-crypto-map)#set transform-set test(IPSec传输模式的名字)

第7题:

试题四(共15分)

阅读以下说明,回答问题1至问题5,将解答填入答题纸对应的解答栏内。

【说明】

某公司两分支机构之间的网络配置如图4-1所示,为保护通信安全,在路由器router-a和router-b上配置IPSec安全策略,对192.168.8.0/24网段和 192.168.9.0/24网段之间的数据进行加密处理。

【问题1】(3分)

为建立两分支机构之间的通信,请完成下面的路由配置命令。

router-a (config) iproute 0.0.0.0 0.0.0.0 (1)

router-b(config)iproute 0.0.0.0 0.0.0.0 (2)

【问题2】(3分)

下面的命令是在路由器router-a中配置IPSec隧道。请完成下面的隧道配置命令。

router-a(config) crypto tunnel tun1 (设置IPSec隧道名称为tunl)

router-a(config-tunnel) peer address (3) (设置隧道对端IP地址,

router-a(config-tunnel)local address (4) 设置隧道本端IP地址)

router-a(config-tunnel) set auto-up (设置为自动协商)

router-a(config-tunnel) exit (退出隧道设置)

【问题3】(3分)

router-a 与 router-b之间采用预共享密钥“12345678”建立IPSec关联,请完成下面

配置router-a(config) cryptike key 12345678 address

router_a(config)cryt ike key 12345678 addresS (5)

router-b(config) crypt ike key 12345678 address (6)

【问题4】(3分)

下面的命令在路由器router-a中配置了相应的IPSec策略,请说明该策略的含义。

router-a(config) crypto policypl

router-a(config-policy) flow

192.168.8.0255.255.255.0192.168.9.0.255.255.255.255.0

ip tunnel tunl

router-a(config-policy)exit

【问题5】(3分)

下面的命令在路由器router-a中配置了相应的IPSec提议。

router-a(config) crypto ipsec proposal secpl

router-a(config-ipsec-prop) esp 3des shal

router-a(config-ipsecprop)exit

该提议表明:IPSec采用ESP报文,加密算法 (7) ,认证算法采用 (8) 。


正确答案:
试题四分析
本题考查考生在路由器上配置IPSec安全策略的实际操作能力。
【问题1】
本问题考查如何在两个路由器上配置默认路由,从图4-1中可以得到router-a的默认路由是203.25.25.254,router-b的默认路由是201.18.8.254。
【问题2】
本问题考查如何在router-a上配置IPSec隧道,对端IP地址应该是router-b的f1口地址201.18.8.1,本地地址是router-b的fl口地址203.25.25.1。
【问题3】
本问题考查如何在router-a与router-b之间预设共享密钥,address后面是对端的id,默认是对端的IP地址。
【问题4】
本问题考查如何配置相应的IPSec策略,该策略说明从192.168.8.0/24子网到
1 92.168.9.0/24子网的所有IP报文经由IPSec隧道到达。
【问题5】
本问题考查如何配置IPSec提议,提议表明IPSec采用ESP报文,加密算法采用
3DES,认证算法采用SHA-1。
参考答案
【问题1】
(1) 203.25.25.254(2) 201.18.8.254
【问题2】
(3) 201.18.8.1(4) 203.25.25.1
【问题3]
(5) 201.18.8.1(6) 203.25.25.1
【问题4]
从192.168.8.0/24子网到192.168.9.0/24子网的所有IP报文经由IPSec隧道到达。
【问题5】
(7) 3DES(8) SHA-1

第8题:

阅读以下说明,回答【问题1】和【问题2】。

【说明】VPN是通过公用网络Internet将分布在不同地点的终端连接在一起的专用网络。目前大多采用IPSec来实现IP网络上端点间的认证和加密服务(见图3)。

VPN的基本配置如下:

.公司总部网络子网为192.168.1.0/24。

.路由器为100.10.15.1。

.公司分部服务器为192.168.10.0/24。

.路由器为200.20.25.1。

执行下列步骤:

(1)确定一个预先共享的密钥(保密密码)(保密密码假设为csai);

(2)为SA协商过程配置IKE;

(3)配置IPSec:

Router(config) crypto isakmp policy1

//policy1表示策略1,假如想多配几个VPN,可以写成policy2、policy3

Router(config-isakmp) group1

//使用group1长度的密钥,group命令有两个参数值:1和2

//参数1表示密钥使用768位密钥,参数值2表示密钥使用1024位密钥

Router(config-isakm)authentication pre-share(1)

Router(config-isakm) ifetime 3600

//对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是,两端的路由器都要设置相同的SA周期,否则VPN在正常初始化之后,将会在较短的一个SA周期内到达中断

Router(config) crypto isakmp key csai address 200.20.25.1

//返回到全局设置模式,确定要使用的预先共享密钥,指定VPN另一端路由器IP地址,即目的路由器IP地址。相应地,另一端路由器的配置也和以上命令类似,只不过把IP地址改成100.10.15.1

Router(config) access-list 130 permit ip 192.168.1.00.0.0.255172.16.10.00.0.0.255(2)

Router(config) crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac(3)

Router(config) crypto map shortsec 60 ipsec-isakmp

//为定义生成新保密密钥的周期,如果攻击者破解了保密密钥,则他能够使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期,比如,每分钟生成一个新密钥,这个命令在VPN两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联

Router(config-crypto-map)setpeer200.20.25.(4)

Router(config-crypto-map)set transform-set vpn1(5)

Router(config-crypto-map)match address 130

Router(config)interface s0

Router(config-if) crypto map shortsec //将刚才定义的密码图应用到路由器的

//外部接口

请简述IPSec协议。


正确答案:IPSec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性以防数据在传输过程中被窃听。IPSec协议组包含Authentication Header(AH)协议、Encapsulating Security Payload(ESP)协议和Internet Key Exchange(IKE)协议。其中AH协议定义了认证的应用方法提供数据源认证和完整性保证;ESP协议定义了加密和可选认证
IPSec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。IPSec协议组包含Authentication Header(AH)协议、Encapsulating Security Payload(ESP)协议和Internet Key Exchange(IKE)协议。其中,AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证

第9题:

代理服务器的配置包括服务器配置和()配置。

  • A、网关
  • B、客户端
  • C、路由器
  • D、网卡

正确答案:B

第10题:

You are a network technician at Certpaper.com. Which description is correct when you have generated RSA keys on your Cisco router to prepare for secure device management?()

  • A、You must then specify the general-purpose key size used for authentication with the crypto key generaters a general-keys modulus command.
  • B、You must then zeroize the keys to reset secure shell before configuring other parameters.
  • C、All vty ports are automatically enabled for SSH to provide secure management.
  • D、The SSH protocol is automatically enabled.

正确答案:D

更多相关问题
相关内容