|
|
VPN 技术部分问题解答
( k8 g; W* E$ m2 Z3 }+ W1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?
, j/ B q7 r. U4 `7 m* O CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。2 K+ }$ @* q% K T S. ^! z
' O G8 r! e$ C; `+ M 2.什么是第三层隧道?
: ~( O, s; z* G8 N7 B, \ 第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。
4 K3 a+ A3 C( Y* R8 L - Y' }0 Z( g7 V' H& b0 P- Y
3.GRE的主要作用是什么?
( t6 \! h- w' E+ b$ [+ m% Z GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。, T# ^" h. n3 f9 w% ]. E- m
0 k! m/ [* [3 l 4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?5 |8 w7 _4 j" ]) @6 D3 O
3 G6 C5 r* `: k/ _2 b, |+ L& N6 ^ 一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。
* {+ \' \5 M( ]7 V, b
& f2 P+ W H8 _1 z9 G h2 k 5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?
0 f9 l0 ~; a5 J+ j0 t ; {0 R% k. \+ Q6 U# k
优势:
0 n# s# i0 j, e+ O7 P *集成的解决方案,不需安装额外的设备。
E E0 R) j8 z: c2 Y3 ^- Q. ] *降低了设备投资成本,减少了设备支持和维护工作。
- R8 k9 V- `+ {& ~0 W4 V 不足:* a' v6 R* {; V
*防火墙可能不支持路由功能和其它一些特性,如QOS。5 G) @- s9 s) [# u6 M
*在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。% J3 U) B/ R, l: z! [0 H* Q
*在特定的VPN设备上同时支持的VPN隧道数量过于巨大。! N* D! P' z1 a( W* m
) K- H5 W: L0 I! _, P' b
6.IPSec是什么?它是否是一种新的加密形式?# v4 O. v$ }. _) F
7 t4 T: J. g6 |% g IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。
7 V5 Z, H% Y! t! P* A# k
W5 ~. q; L9 U3 G8 t! A 7.L2TP和IPSec在VPN的接入实施中起到什么作用?% X4 b" o3 Z+ ] ]# U7 G& m
, H6 v4 T0 m+ F4 L, g L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。
# n. z+ i. b" K+ G! [ " J9 f. u5 r7 s1 x7 V
8.IPSEC和CET的比较?) I9 Q+ o z6 z G5 f
0 l. F& j, y" N" \* ` Y% B/ s" M) D. ~5 W
答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。, g3 g- r8 X( ]- O h0 K; T
& w9 g& D1 `5 O+ k* J- L
9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?( O4 q6 d' O9 N9 e, W' [1 ?
' X5 u$ j8 k# l6 ]
支持,该硬件VPN功能模块为:MOD1700-VPN。
3 W* h. s8 M& o$ u" b/ F * f- [9 C% V1 g7 h6 D! {' X
10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?
1 v! |$ O& z" c/ n& `
" ^* v3 y8 V0 w( c0 \ 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。
; A- a& F7 D8 x
0 L+ _% z6 |( T# t 11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?
" M/ ~# S- J8 A ' `3 b( p2 H! h2 ]6 a* F& J1 k
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。* Y$ x: r% C" a$ {0 C
: e6 R& U9 I+ N7 I+ p 12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?
* s8 h9 G& ^$ ^4 l, n ; ?0 N# J. a; O! |
Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。7 e2 O5 K: G$ {, y7 {5 E3 E
% A8 D4 B6 Z6 p
13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?
, x! Q& v' l5 e* q" L. N I% J
- Z+ }; p, @" f! ?* |- j6 t& i 如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。$ s/ E$ |6 c- j1 c7 D- }7 a: G
* K( |$ r0 e# b+ j! W3 Z 14.什么是CiscoVPNClient?( g& Z, @. m, v- O- Z1 z, ^
& i# C" l5 J M/ L- c( f1 \
CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。
4 z1 f( G" e2 w+ h$ T0 J * X0 \+ o3 y5 w& i" d
15.什么是CISCOvpn3002硬件客户端?
) o7 T$ Y. `1 C, N) G( ^/ [) K5 A ; R( j3 n% c( c6 ?$ ~
CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。+ D9 f$ c: ^" M0 W) N5 w6 K& U
|
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡