阅读以下说明，回答【问题1】和【问题2】。 【说明】是通过公用网络Internet将分布在不同地点的终端连接在一起的专用网络。目前大多采用IPSec来实现IP网络上端点间的认证和加密服务(见图3)。
的基本配置如下： .公司总部网络子网为192.168.1.0/24。 .路由器为100.10.15.1。 .公司分部服务器为192.168.10.0/24。 .路由器为200.20.25.1。 执行下列步骤： (1)确定一个预先共享的密钥(保密密码)(保密密码假设为csai)； (2)为SA协商过程配置IKE； (3)配置IPSec: Router(config)# crypto isakmp policy1 //policy1表示策略1，假如想多配几个，可以写成policy2、policy3 Router(config-isakmp)# group1 //使用group1长度的密钥，group命令有两个参数值：1和2 //参数1表示密钥使用768位密钥，参数值2表示密钥使用1024位密钥 Router(config-isakm)#authentication pre-share(1) Router(config-isakm)# ifetime 3600 //对生成新SA的周期进行调整。这个值以秒为单位，默认值为800，也就是一天。值得注意的是，两端的路由器都要设置相同的SA周期，否则在正常初始化之后，将会在较短的一个SA周期内到达中断 Router(config)# crypto isakmp key csai address 200.20.25.1 //返回到全局设置模式，确定要使用的预先共享密钥，指定另一端路由器IP地址，即目的路由器IP地址。相应地，另一端路由器的配置也和以上命令类似，只不过把IP地址改成100.10.15.1 Router(config)# access-list 130 permit ip 192.168.1.00.0.0.255172.16.10.00.0.0.255(2) Router(config)# crypto ipsec transform-set 1 ah-md5-hmac esp-des esp-md5-hmac(3) Router(config)# crypto map shortsec 60 ipsec-isakmp //为定义生成新保密密钥的周期，如果攻击者破解了保密密钥，则他能够使用同一个密钥的所有通信。基于这个原因，我们要设置一个较短的密钥更新周期，比如，每分钟生成一个新密钥，这个命令在两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称，稍后可以将它与路由器的外部接口建立关联 Router(config-crypto-map)#setpeer200.20.25.(4) Router(config-crypto-map)#set transform-set 1(5) Router(config-crypto-map)#match address 130 Router(config)#intece s0 Router(config-if)# crypto map shortsec //将刚才定义的密码图应用到路由器的 //外部接口 请简述IPSec协议。