|
|
VPN 技术部分问题解答9 D8 z0 C1 P) W. d$ U$ a
1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?
' m9 `, O* s( \$ K+ N' x CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。
9 Z) f! b3 u6 C8 s" X1 }% t0 O
7 Z: S6 y z( N) {5 T' U8 l 2.什么是第三层隧道?
$ M# i8 Q8 a. q4 ]8 j' D Z 第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。9 q( |& r/ _+ z9 _3 G, P
1 K! q0 {% a9 Q g. }8 K% a 3.GRE的主要作用是什么?) z8 |* O# s4 H
GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。
* v7 m% v3 I6 n- \ ( ]) D; r7 `4 J9 z1 \
4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?
# e, m0 A" q j1 S" a9 S
& O& t6 E% x8 W7 \% ~$ ~ 一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。: t0 Z4 q, z( `4 r0 L- U+ u' t
: ^/ K: p$ b- Z0 ?) ]6 I
5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?
7 S/ t* z+ p! t! f5 S
! o; m* e; @# \5 p2 J% p 优势:- A; B& R" p; D
*集成的解决方案,不需安装额外的设备。- H6 K& s) S+ J5 h8 U
*降低了设备投资成本,减少了设备支持和维护工作。* R0 P2 H P7 ~2 U
不足:1 N. k" v: k% [& B5 b
*防火墙可能不支持路由功能和其它一些特性,如QOS。
# g+ g% H! W. N. U+ o9 j *在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。
* k: O- o9 R7 i/ g1 h& D% o7 J8 u *在特定的VPN设备上同时支持的VPN隧道数量过于巨大。
% ?+ g0 L, T. n9 n2 C+ ~- W' X h
! \% |2 Z% V1 n# j- X5 W 6.IPSec是什么?它是否是一种新的加密形式?
7 L$ R0 t( W( J: G5 q( L8 c
0 w8 N C+ `+ M IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。
1 M$ k; P3 r+ V+ S ' D# z0 S8 Y, l
7.L2TP和IPSec在VPN的接入实施中起到什么作用?
& [# m4 Q4 P0 y6 V4 c" N 0 A) a% \7 D' G
L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。
. j6 y+ { ]# n 5 O# M" d5 D2 U" E! _% v
8.IPSEC和CET的比较?6 b3 l$ V' Q+ R1 v
! E6 t6 v& w4 t5 w9 j; h# R 答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。
+ {, ?3 m5 }. t9 M4 V 0 L: G. n6 n3 K- k2 m
9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?
+ R$ l) P4 A$ C5 ~$ X: i
4 `0 \8 }' ^3 H 支持,该硬件VPN功能模块为:MOD1700-VPN。
9 e; _; W( g2 o; j) z
( Y( V8 J+ |7 U9 }8 i# ` 10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?. q! p' G D/ @- {* O+ M. R
6 V6 T: S+ V. K) \: V& o4 G 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。% a; j R( j9 g
0 K/ j S- r0 g7 u 11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?
$ {/ m& f; Z2 P, }0 F 1 @0 D' { s. a% |
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。1 z O( X/ K3 X- [/ ]
. @1 X8 y( c# U. P1 y5 R 12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?
5 X) D+ L: Y3 Q- ]8 \) D3 a
2 A( s9 m5 o8 O+ D0 | Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。5 L; ]3 e6 q f( H6 A/ u8 C" U) x
! l! X$ i/ V) @5 j) |9 C" l3 a 13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?- i# R1 ^; _# v5 n; j
: w% x7 m$ K- E- o* m8 G W
如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
* `( @+ {+ G$ `: P0 y$ U, m/ A- e& q
2 d! b/ B) t R0 N: T$ p0 E4 L 14.什么是CiscoVPNClient?
- |+ g; v. y! t* e0 ~1 @8 q 3 L0 w0 t, r9 h8 b7 R0 L6 d
CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。8 t: V1 e' L. r8 j3 s
2 I/ W6 k$ ]$ S" M
15.什么是CISCOvpn3002硬件客户端?0 M9 [; K( [) n* k
9 D' ^! {& C! a, I [' a: w
CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。! m9 Y. H) h9 n! c4 b" e/ p: l0 N
|
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡