|
|
VPN 技术部分问题解答
w1 x1 t. z) J1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?
* v' N2 `- d6 Z" l$ j I# H/ H CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。6 J0 b( r0 h' G
/ H* s5 R, O# \1 G
2.什么是第三层隧道?% n* f9 P( Y8 s0 b# d/ d
第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。: \2 T$ U4 [" |! g5 m& x
) h' S- ~: e0 r, ~, t) k 3.GRE的主要作用是什么?
4 a; j0 ]$ H% ]$ z& P GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。
+ I/ C" c* |' V8 C' v) e , {' v8 F1 i6 j9 h2 h# t
4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?. r3 ^5 u0 c, R9 B5 ?0 o. s# E4 Q
# o: J( G9 b$ u* L
一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。
/ a2 R3 ~3 u& y 9 ^; E, W' M! ^) t' g
5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?! ^2 r) d8 z; n; }* j
! v9 _# W! g8 F8 C2 c; N* Y 优势:
$ S4 N: ?% c! A0 X. T; i4 S4 M *集成的解决方案,不需安装额外的设备。/ \/ f% R9 I% S- I! m
*降低了设备投资成本,减少了设备支持和维护工作。
! g' q" R( p/ X0 r& {- k; T 不足:
2 o% @- P4 Z0 m' @% t; G7 I/ j *防火墙可能不支持路由功能和其它一些特性,如QOS。
6 I% i- N- X& g0 I9 F6 j! N! M! L *在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。
" Q5 O6 ?$ r: W" Q: ~& m *在特定的VPN设备上同时支持的VPN隧道数量过于巨大。
$ V+ ^$ ] n: L9 H6 Q: K+ t
" G/ W% ?1 }! P, o; S8 c 6.IPSec是什么?它是否是一种新的加密形式?- g+ G1 ~1 a, Q7 ]4 B" p
& l* x; w9 n0 i" i8 T$ ?* l; ]9 ` IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。
5 [, {, z( C8 p6 l' y
2 x& ]$ E3 |! ?, `* i9 m- [ 7.L2TP和IPSec在VPN的接入实施中起到什么作用?3 W' u; {& G0 x5 b* o, b$ {6 f
3 p( Y) k- ?2 F5 k- Y2 R' j4 S, i L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。
8 H6 S7 O1 Z4 N7 d4 X+ [9 G
; f6 U$ r+ A& A 8.IPSEC和CET的比较?4 m! g* p- W7 ^- }0 L
. u9 Q9 l1 a8 ?3 q 答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。* V5 k; A/ q% ]5 t/ @
9 c2 T) y- B; ^1 W% U% b 9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?
% \ R. I/ v. |' b$ W! U2 z) t
/ y2 b8 `. T y# }# `8 ]* R 支持,该硬件VPN功能模块为:MOD1700-VPN。4 E0 K, K$ x& \+ Y% \* b
. ?8 J; S0 a: ]# t
10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?( I0 |4 m0 B2 j9 I! J0 \
" f& v( ^) p4 W3 |
带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。5 r& u) o' r' B' ?/ B( z2 ]) W; X
+ F, ?8 L' _- h5 X3 y5 @
11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?
" }! p2 O; [# R% K : f" M4 A$ w7 m" \ W7 D$ a/ V" E
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。* S) u, {9 u1 k% g1 E6 x5 ~
8 E6 T" Y# p7 s 12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?3 G$ q6 i$ Z3 J# ^3 X
$ M' ]$ H" n; b" ?% b Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。' q1 `5 m9 S# c* C; |. B! M
+ S. A8 l) r: {, I, L
13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?/ a: p% Z2 G$ X2 [6 \
5 M; x/ j$ |4 u/ K 如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。5 S( A" G; ~/ I/ c7 ^& c; u+ K
5 C+ p7 a5 c! |( n. s
14.什么是CiscoVPNClient?( h5 }! N! k5 P% n9 Y6 d
7 o$ F7 E6 @; T: z2 b! e1 C% i$ n CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。
4 S- E: h8 y+ ~# C
7 Q* p6 Y4 F3 ^ 15.什么是CISCOvpn3002硬件客户端?
7 A5 {7 g; M# A5 N4 U4 E% S ' A* Q, U, ]& L+ D6 V7 z0 y
CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。
+ T' x x; ?8 F1 F' ?6 q- x6 N |
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡