|
|
VPN 技术部分问题解答% x3 q6 o1 U& {( Z. B% }
1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?: q* m9 o; V& a4 l$ P
CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。# B# j) a& _4 w4 Z0 N% y5 ~
5 s! s+ a e+ o+ ]. r1 | 2.什么是第三层隧道?
3 U6 Q( o; c0 T t# {8 S4 D 第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。/ |8 t- L5 x0 m6 B! m
0 n, ^ T' Y7 Y% ~# \. L- u k' n 3.GRE的主要作用是什么?
! r8 b/ u9 Q; G; s GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。
/ I& n% ^3 c1 p % K5 L: C) B: E3 |8 Q* H
4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?
5 @# t u' X# R % P5 A% P V+ N/ R# ?* Y7 E, t
一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。. n' T/ _8 a5 }; F5 X& O! K
+ q9 x( ?* M, x& H
5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?
7 T- [3 Q8 m; q
5 D' Y' V' R& r6 K. Q1 P6 V* R 优势:: ?6 @7 n; S3 W
*集成的解决方案,不需安装额外的设备。
7 P1 o' j* s n *降低了设备投资成本,减少了设备支持和维护工作。
' \8 S* ~: C) A, K& _' G 不足:
/ }4 O, E: V1 T/ }6 N# v% S) k *防火墙可能不支持路由功能和其它一些特性,如QOS。7 D1 d! a4 y& j7 v1 y/ {4 G2 L
*在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。& o+ U9 x$ I, E- |5 l
*在特定的VPN设备上同时支持的VPN隧道数量过于巨大。1 {, N- }' H8 t% q2 D/ y( A) u
0 @1 P7 q( J1 E
6.IPSec是什么?它是否是一种新的加密形式? {. L, Y, z2 N/ A. u5 u
4 D5 p) `; b: U! L) A: D a
IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。: Z- w \/ `/ b$ |1 U9 q
' r. Q5 J) M: K: S) V
7.L2TP和IPSec在VPN的接入实施中起到什么作用?
7 @7 Z7 l1 J3 N* u ) }- i/ D$ _0 F& f8 F6 P
L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。
3 s- [! } ]# _* E $ [2 l0 g2 T4 s! z) f/ J
8.IPSEC和CET的比较?
u+ O; _, D( H( u4 G2 r* N 1 q) T. j" M B+ c, ?) H: P
答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。
- D$ U0 ~" e' E6 u {- L * H9 I$ I* ^0 s7 S
9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?4 X1 n6 S% L# \; D4 V$ v
0 ` ]1 W( @# M9 m" V, O2 O8 z# q
支持,该硬件VPN功能模块为:MOD1700-VPN。
4 `. n1 w7 w4 {# F1 M
) B+ D9 { m/ }& x) V/ S& t! ] 10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?; A5 f$ U/ o; I6 A- J% ~* E: L6 k- f
* h9 ?- j. a) Y7 ^% Q- i 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。6 o6 {0 y2 f$ o& b
8 ~# V$ D1 ]" n- c& v. l
11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?
/ x6 d+ D( |2 Y ~ 9 q8 p3 Z- M% a
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。" a" q8 B( r& B- y
c8 P( C" L2 n T* G" x3 `, H 12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?
6 C P! C/ V, U5 X$ u
6 e3 m% b! m. ] c2 ]9 } Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。* t9 k+ g8 V/ J2 x* i5 a/ K
' t, I( a: {. ]8 h6 W: K7 S 13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?7 _" e( P9 x% n" ~
# c% E6 F2 |- H; U- i' \# A$ `
如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
; }. O6 J. [7 G t/ d$ k * F, m8 f( O) [% h$ \6 @/ ~1 n1 G
14.什么是CiscoVPNClient?
. ]0 f) W5 p7 ~$ E$ ~; a
* m7 t% U0 J: [/ P) {0 h CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。
; b0 w' H4 [; z& g- H5 f2 f& ], t! V ) v1 H" X9 B% h5 Y
15.什么是CISCOvpn3002硬件客户端?
/ p5 n c5 u9 U+ h7 Y }; X 0 H3 ]. O% |9 p# G4 h2 I
CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。
7 Q) ^: o& ~& ]% ?* K# T8 l |
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡