|
|
VPN 技术部分问题解答
$ Q0 E, P6 I6 f. C& t# M1 l1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?8 ^) B5 U8 D4 {1 O+ [
CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。
5 s6 Q8 z" p- M+ S3 H4 {6 [
+ M3 p0 B/ T4 H0 Y3 }9 v 2.什么是第三层隧道?7 T; h/ K9 ^$ z1 C8 {' ^
第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。0 F' K6 S8 e, A5 J9 T+ `4 d; i
0 G8 H* n' H8 Y$ { 3.GRE的主要作用是什么?
0 ~2 H7 P) U1 ^: B8 H3 q GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。
: z9 t! ^5 ]+ j
8 G% M# ^5 H- H1 H2 N 4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?
# V* v2 X4 C+ j" @2 \3 X+ n
; Q2 h6 X; k5 K5 N 一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。+ b' Q% i3 L0 ^) @6 b, b
( t+ d+ I% ?$ F9 l' E- A9 a
5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?% F0 m v7 f& F' d4 G8 `1 P
4 C! _5 I4 E$ @$ [. L% y$ n' x5 ~3 C7 M
优势:) ?$ t: p ]+ n, R/ |4 N: C7 Z
*集成的解决方案,不需安装额外的设备。! p; z; r" v L& Y: H
*降低了设备投资成本,减少了设备支持和维护工作。
$ g& m5 q: Y \6 w3 \3 J 不足:) V( H! Y' `2 |
*防火墙可能不支持路由功能和其它一些特性,如QOS。
# \& j, }% y' h *在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。
# U+ z4 q9 @8 R2 x' i# I5 c# H( c. F8 Z *在特定的VPN设备上同时支持的VPN隧道数量过于巨大。/ H: O+ c0 v p) w7 J8 D
3 Y, B) b" j- w% S
6.IPSec是什么?它是否是一种新的加密形式?1 w) [5 N: M5 |1 p- z5 g
; w+ J! n" I+ \. [3 P IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。
0 l( i8 p( o6 _7 a$ }2 @+ N % h2 V2 i! P) W6 G9 S. r
7.L2TP和IPSec在VPN的接入实施中起到什么作用?& @) n5 Z& `$ L* a/ r
1 Q6 D$ d9 G4 g+ |$ _0 Y; Y L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。
% v5 _9 Y1 h) W" F. b3 l4 @
5 ^% W- T( d/ V0 r% L: J( O& t 8.IPSEC和CET的比较?; k# J5 \/ |* Q. h
2 b; h2 u( m- F) h3 B5 N% B+ Y 答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。
4 w: ^- [! R. C0 V5 H$ Q $ K3 ?. r) [) X7 I# `; [# L p5 N
9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?) Y/ a8 F) S8 n0 ~$ e9 i0 ?
$ f3 B. B ^$ `$ W$ c8 p
支持,该硬件VPN功能模块为:MOD1700-VPN。
8 o7 ?- ]) U* s: P1 g $ ^6 Z: |+ O7 o( J% v; Q
10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?$ Z' O" Z; q5 A n6 C2 Q% ~
4 F5 Y" c& n1 {; o; i' ~
带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。3 S7 M1 [* a; f1 i/ G% P& o
+ l8 f$ O% w% B% h
11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?0 b+ t3 T$ z) F; M" A" ~
' L. C, B4 K% d8 ]: v
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。$ f+ L* H( X! ^1 M6 l
# ?6 e4 V( ^- n1 `. B! C 12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?
$ h) x5 F2 s/ |. I# J ; Z0 O' S" l& C
Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。; d' c0 d& C4 L) a5 O1 m y e
4 R! Q' i: I% @1 Y
13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?
# f* Z. O7 E6 L) G6 ]- a 9 r, [0 y9 P, N$ \- Q
如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
% L) h, Q+ F3 b# l! s' J
. x2 M2 x/ n. h& R9 k O- R: d 14.什么是CiscoVPNClient?
l( l+ K% e4 C3 f5 w$ T6 c& D$ d 1 D2 e' Z% S" o
CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。
' c$ R$ H/ h. p$ v* B$ ]; j
2 u3 k6 w: e! y8 E2 a! d 15.什么是CISCOvpn3002硬件客户端?8 T9 T# W, K E6 S- M2 |! l
: j! p# k1 |1 t" T; z
CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。
' d, s4 w: \+ ]( U4 G5 `; _ |
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡