|
|
VPN 技术部分问题解答
6 _$ L% |3 Z) d1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?
5 C; A% A, w: C8 Y CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。
7 m/ E+ ^1 \2 k: t: z# Y5 [ ?3 \
7 d! w+ m# m5 y9 y5 V4 z8 E 2.什么是第三层隧道?
# j4 \+ m2 t v! | 第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。
, F2 }3 B% s( D . O; I2 F9 @$ f r8 s# y ?
3.GRE的主要作用是什么?& V' Z& |" Y# M5 W7 b
GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。# I- g9 Q7 y! e4 v/ P
' y+ N5 ^2 \/ U- g 4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?* w. h' A7 P# Z& y2 X* y9 G8 m2 Y
2 F5 |# R0 Y: z 一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。, I) H) h# W p% Y1 v7 | _
8 e0 Y- ~( l( J! b0 | |: z) ^, l 5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足? c! g4 t4 I; `/ _7 d" h' x! ~
% G: P$ }8 G4 l$ ]' E1 K0 E, y! v1 e; Y 优势:: a' ?# W* N, g0 T* I2 v4 \
*集成的解决方案,不需安装额外的设备。$ I0 L; s0 t8 i' m& L9 ]
*降低了设备投资成本,减少了设备支持和维护工作。
& G: Y; @+ c1 v, c* x 不足:* U' ~; W. d$ ^
*防火墙可能不支持路由功能和其它一些特性,如QOS。
) Q! k/ I( C% C9 x *在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。6 @( ~$ q9 N+ ?8 d( G" s) a
*在特定的VPN设备上同时支持的VPN隧道数量过于巨大。
) ~$ h! f( g$ V" b / }6 t. Z/ C' \4 ^) i# n2 y% n
6.IPSec是什么?它是否是一种新的加密形式?- t9 U( a# _5 F9 A& N1 U
6 R% F& z* J: L) M6 z% h+ }
IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。3 |/ C* |" u. L
1 s! k( D. R) b# ] 7.L2TP和IPSec在VPN的接入实施中起到什么作用?0 b' D" w# L- y6 U( F, u4 k0 v1 p
4 l9 I. V& t) c7 I+ B! W7 n L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。, z2 i! I j6 T# p$ r( ~: s
3 `7 Y$ _. b# }$ J% k/ i3 P- `8 M
8.IPSEC和CET的比较?0 Q/ | M2 t1 ?8 p& h; T
/ @1 l& }: h3 a" v; s5 @ 答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。4 \3 u K. s! d2 S7 r+ Z
% G4 F" f' h. ~* { E7 e) P
9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?
% i3 m2 |* O0 B# Q 7 d7 X( `$ |6 {4 u- N1 ~; c3 `
支持,该硬件VPN功能模块为:MOD1700-VPN。
9 ~" U& g, y8 i" G4 V . ]/ _7 Z+ E; e/ @7 _
10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?4 f! Q2 k4 U9 s2 K% g, T/ r7 u
9 @8 H2 f! z6 q N 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。
1 x0 `) } P# [; L! ~; ^ 6 H4 V, h: Q$ p1 F
11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?
9 D7 E2 t9 `) S, L. ?! V
& U" E! V' W) I 尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。- O3 e2 \6 O6 k- @; Z) J1 h
$ e6 y: s3 U& b- M* W
12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?( L8 Z" D' |9 Q) |9 ~
`) ` ]+ k* k3 ?# E Q
Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。
% n1 |) G `& a
% W a6 a! L: g 13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?
' G' [8 K) U4 u) \( W* i& M
2 r0 a" T- r0 r9 \) J9 y 如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。4 b0 s' [" b+ h# F G- q
, C8 S' S- m2 K 14.什么是CiscoVPNClient?
$ x# T& J. l5 ~! Q/ I$ i
( [+ u9 ^2 V8 ^" g5 S# O# a# V CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。5 L) U- ]- u% Q) y: G9 x
6 I# c3 l0 i+ G9 u4 n+ k 15.什么是CISCOvpn3002硬件客户端?
; C; b, i. Z- i8 e6 Y ; C. E) W0 H* f: J g0 v$ S* }0 N
CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。
) y6 L8 L0 \8 |6 o4 e7 U( z B |
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡