|
|
|
VPN 技术部分问题解答
, X( S) A: J* |2 v1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?
- H# F1 G5 u- @2 h CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。4 f* T% L2 J3 K6 ]
+ x, f0 \7 }! M, s# b8 k4 ^ k 2.什么是第三层隧道?
) Z/ {; X* K/ B" c- `7 b 第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。9 Y, o o8 w1 z4 w- ], B; X5 T
6 I, d9 P/ k( I% a# a 3.GRE的主要作用是什么?
5 p$ d. B. |, K) } GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。8 Y9 g; S- ?; [3 V# }+ l3 n+ |
|* f, X0 ^" W: R w, z3 P% w" j
4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?7 K/ p. E4 l* d7 r. F
6 [+ E7 W4 |4 m6 X# r9 w9 z 一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。; ]0 @5 z& G) A/ K
3 Q6 \) d7 c; W/ h 5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足? a% L$ n0 r& W8 X: x: L& F" T
) ^5 w! f: e8 S; R/ G) o2 t% C
优势:
4 O: Z% v4 c. n+ D0 P *集成的解决方案,不需安装额外的设备。: Z9 L2 y. o+ U* s C/ }
*降低了设备投资成本,减少了设备支持和维护工作。
4 a1 C8 n- y. P) M 不足:
2 e) e; F) I0 F% A) y, Q( a8 r$ n *防火墙可能不支持路由功能和其它一些特性,如QOS。4 A$ `: X8 E2 d9 H# y" F! e1 C
*在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。/ E, Z9 Y% f- k' B6 {1 O/ o
*在特定的VPN设备上同时支持的VPN隧道数量过于巨大。8 I6 ?0 p/ ?! a5 \) N9 e
0 ]% t: P/ r& L' Y4 Q; } v 6.IPSec是什么?它是否是一种新的加密形式?. }1 |( l7 j7 L1 f0 b0 J' z z) |1 b4 Y
7 q) I3 u: ]- D* L! @% s IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。5 t, y+ y/ }$ ~
) B; p* @, N! Q; p2 m 7.L2TP和IPSec在VPN的接入实施中起到什么作用?0 E: D- q8 E* C+ B7 `3 N+ F
) m9 t0 ~) R' D% E
L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。' r) ^: _5 F7 V3 Y7 r) ^0 A! T9 \0 H
7 c% v, k( z) \. [* r
8.IPSEC和CET的比较?
. |6 D* F% H! N/ R7 Q- h+ R + }; P& n! K! j3 |* Q
答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。
1 O& [, y0 g6 }# K+ S $ r# }0 r( }( T: f: r; s; E
9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?3 z/ m$ B2 R) p! O- n
* F- j# b2 _" D& O* @
支持,该硬件VPN功能模块为:MOD1700-VPN。$ G A: ?2 ?: u+ x$ c
3 c' L$ H+ L4 k, B& ]$ R5 W 10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?# T t1 `' }8 H4 `. B
6 N. s& Y& E: W! |) q 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。
9 W! p H6 q7 Z t
* ~% j0 q8 ?$ `' b0 @. ]8 Z2 u. D5 h* ` 11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?
4 y8 S0 d/ Z7 c2 j3 L 6 d, o( K' J1 N' Z; P* h
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。
: G- K u: F3 X2 c6 s1 d2 a$ t
2 a, Y6 H$ ?3 r. m% t1 d- _ 12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?
+ k" w: C; X: h7 [ * k1 K C2 o5 Z( R& B H$ d1 t0 U2 X6 L
Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。$ C& i4 `, b/ h- m
- y- k4 p0 T; S" C% u 13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?5 a. P& m* b8 l! J& x0 ^3 S( e$ n. X" ?
7 {% |$ h( g& T9 ?1 V& [6 ^! Q- K
如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
. {8 V$ t; p& F, `+ Y3 d r + z$ \7 w2 R" J k
14.什么是CiscoVPNClient?$ j; I. u' H# w0 z" w7 D8 F: W) [
/ M) k; C! M5 ^2 f CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。8 }; C8 {9 g9 ]! `' W
9 r. t, r9 u* i( V 15.什么是CISCOvpn3002硬件客户端?+ U, t' T% w( T w1 N4 S
$ G1 b0 Y, G4 ~6 g CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。+ ~, j5 Q; w: D
|
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡