|
|
VPN 技术部分问题解答
5 c g8 z0 |* Q; A& {1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?0 K, p' y% m7 @& q; f
CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。" q, q: |7 W* P( b* y' T
4 g3 W* }) h3 t! G; m( p, { 2.什么是第三层隧道?
0 o/ j+ X h. n 第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。
( i1 _0 b {: U) _
% t1 \: M& {' ~; M 3.GRE的主要作用是什么?) a" n+ y' `2 k9 ^3 {" \
GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。: r* R t; W- N0 |7 [/ z! Q! L$ o7 B
6 Q- o& X2 a0 T; D. O3 r4 }5 T 4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?
0 L# Z2 F, g o* T
3 v- _9 P: }% i 一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。
8 P+ L9 `( o& o 1 @2 B' g3 T" L% `0 m( y0 `
5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?; G! L) t) m# t- ^* u) W, ?5 c6 Z
' O/ k8 E/ ^6 e* x3 l5 p) n8 A
优势:* W* }7 _* U, g; k
*集成的解决方案,不需安装额外的设备。
% o8 u7 f) g+ {: t0 e } *降低了设备投资成本,减少了设备支持和维护工作。
! S2 o% \# A5 y8 Q9 I8 G3 A 不足:
$ h6 V8 v" ] I *防火墙可能不支持路由功能和其它一些特性,如QOS。
) ~- T N* T% G' l! @7 ^' g *在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。, g9 x6 r, w/ p
*在特定的VPN设备上同时支持的VPN隧道数量过于巨大。% U* Z- B8 r9 l7 z
" S( m8 m: ^9 @9 a' h3 c+ J0 n
6.IPSec是什么?它是否是一种新的加密形式?0 B/ V7 K+ F3 C1 T7 j D1 P
: w2 Y( c3 s' ]" j9 V IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。! u. D# C$ N: d) w5 U: E' N F
& ?& }7 D/ w* q6 t* W1 p9 {7 c
7.L2TP和IPSec在VPN的接入实施中起到什么作用?
P4 I0 N* Y! Q- p + s! l* `" @7 p% R8 M
L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。
1 ?* L# r8 o/ z' Y
# P G- X4 I5 S* ^6 n 8.IPSEC和CET的比较?
1 ^; q& q- k$ B 1 d8 z9 s( L+ l6 o( J
答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。; T7 M( c+ B ~: f4 r4 I
8 R7 d, a* I7 e 9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?
: `# f) R) u) Y/ C r
; u6 R4 A; D$ i1 m! Z% v( l" u( n 支持,该硬件VPN功能模块为:MOD1700-VPN。
- k3 x% _' `9 \6 n% J- T# R+ u
2 Z' t, g# @- r6 U! v 10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?
# O& T) \* \5 m' B: Y4 `% i
! F+ q1 O' v" @% x$ X- g 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。/ ]- Y6 o8 m$ s- }% d4 \
- e4 `2 \2 q! G2 A s+ g3 l) c
11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?# [: T; _$ @6 v, W3 e3 e
1 [* e: Z9 h! Z 尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。
! n9 ~* i9 f0 Y9 D
2 z- ^' H7 h8 Y6 G3 e4 m7 c 12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?5 z# I( M9 c* y$ d# J; G' U
3 A/ a$ O, k$ I% J/ L: q) v- Y Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。
; ~5 L) i/ `+ m9 F6 r# |# L' B/ H
9 R6 y) Y3 M5 D) Q/ R: I" ? 13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?
- r& g8 J4 P, e& ?+ L$ U2 n0 \
6 G4 i0 z+ U# ~* K! l9 Y 如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
2 Q F9 l' V) r H : a! j+ n, T! L; `* {0 ~
14.什么是CiscoVPNClient?+ J1 v* R& \0 p8 R
% Q- e" o- o: R
CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。
3 b' p1 z; Q5 d1 m# b5 O 4 h: u/ Y' D9 q% t' R' r! L
15.什么是CISCOvpn3002硬件客户端?9 \+ g8 J0 Z6 Y. R$ W
( }6 H# a6 `" w0 }6 d( f
CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。; `: L. O# a( D! X
|
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡