|
|
|
VPN 技术部分问题解答" |. X. v8 _0 c+ s3 N- J. ~. C
1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?
9 q& o, ]4 X+ ^ CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。
& O5 k; j* X* {3 [
+ ]3 F# m* F7 C- Y' _, s* H 2.什么是第三层隧道?6 Z6 v% E$ w& O3 J7 \8 a
第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。4 a, P- A- t; L. D" t3 K
# J ~ d2 B. @: S* L# q
3.GRE的主要作用是什么?! N. Q) x3 R; `+ s& {8 u
GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。
$ P% D0 G9 k% H6 L! Q0 ?2 g" f
$ n( b% s& A. a4 a# Y9 F: ~ 4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?
1 j) f7 p# V& L; m% R& ?3 W( P6 R
$ Z- [0 A4 K( g" H# t 一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。
" R5 r4 J( H0 e. A; W( C
# K' O6 `) N1 R; M9 d7 M 5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?
4 y6 i5 I& j6 @9 T) p |
$ R$ b- O1 U% ]; Z/ g 优势:
' a( C4 }+ k5 @ *集成的解决方案,不需安装额外的设备。
6 x. z5 P4 f3 j2 ] *降低了设备投资成本,减少了设备支持和维护工作。
0 A: a$ Q; k" Q# H+ z 不足:0 U# y- n( U' [) A, R
*防火墙可能不支持路由功能和其它一些特性,如QOS。+ h( i/ W' g5 r8 f- u6 @
*在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。
L$ A; a& t, j5 m5 @ *在特定的VPN设备上同时支持的VPN隧道数量过于巨大。7 A8 y) m4 r: h) C' C5 G
$ z8 h9 L8 x7 |( {! p$ T! K 6.IPSec是什么?它是否是一种新的加密形式?
- @ p) Z3 e6 E: g9 L % q9 D n1 r& }$ t
IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。2 Q9 t0 l% h. K
) Z s& ?( e. e, @6 X- r" Y3 x8 E 7.L2TP和IPSec在VPN的接入实施中起到什么作用?
`3 Z3 I, ^* i+ h, c8 I' a
( X7 ]6 v1 T* }) t, U% j( n8 P L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。6 Y# [. H# L" |* ^5 J0 ~
$ _ j' j( A) M+ w 8.IPSEC和CET的比较?
. g+ |& a. Y$ t 3 r( a8 n$ h4 V3 r
答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。
, }. B3 j' C) N* Z( b% I- } 8 v2 d" e2 {7 K7 h' u) a% p
9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?
, v) z4 F- X* b3 S: r5 n9 G 3 f2 |# \3 G! z3 A- Q. c) i/ G
支持,该硬件VPN功能模块为:MOD1700-VPN。
+ P R3 D9 o) U7 L, ?. b, o
) w/ {0 u" y6 [) `, U3 c 10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?/ B2 [4 {' M! y9 e
/ a1 c6 ~+ O. {# i0 i0 j n* n5 H' j 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。
0 d7 M. w# H( v# l+ g" t4 F8 j
3 _4 {4 u1 y* }0 x. P. u 11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?: |, ~6 p! B) X* N/ R" T
) T( T9 W- f3 p# Z9 h 尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。1 V+ v; C/ r$ B: c' Q
, s# m7 Y$ t {, d 12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?1 J M1 Z3 j$ c3 K2 f# w
5 B5 ^. N. r# z3 V Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。% s) o9 M& w! o; K0 v5 E" W
* Z, S6 ^9 ^ v& w2 g 13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?, d+ g: V' h& w. O$ Z' t) F* ~9 e4 T6 S* v
9 n x9 i- W, d3 d, ]) h1 z0 I4 ~/ a+ u
如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。$ Z. q/ f! G+ l j) n* W+ T& F
) }. C3 f2 @+ O7 L, ]2 V+ w
14.什么是CiscoVPNClient?/ @2 \8 f- c. C7 z8 `6 M2 c
) I" Z5 F& m. ?7 S
CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。* S) o$ p$ R/ z+ z+ X: m
3 G. Q& o( Z/ E6 m$ `
15.什么是CISCOvpn3002硬件客户端?; f8 {! _% N, Y0 h
; _* A9 h3 u7 X CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。' ]8 \4 d# j0 t0 S# R% l
|
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡