找回密码
 加入华同
搜索
黄金广告位联系EMAIL:[email protected] 黄金广告[email protected]
查看: 846|回复: 1

VPN 技术部分问题解答

[复制链接]
发表于 2008-12-6 21:31:30 | 显示全部楼层 |阅读模式
VPN 技术部分问题解答- j8 _) g% c# S0 B# O3 T
1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?
0 `7 c3 T8 J% a, O! h  CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。: O% C8 v$ W/ c, m6 d# R
  
1 C; L1 T$ s% \  \& c+ n% \  T% }  2.什么是第三层隧道?
+ c- g- E6 w1 a' [+ F+ v4 O  第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。
: r1 D0 U# K: Q9 d0 x5 k! ~; q$ q  
8 ^1 B. s6 M' F+ ]7 _3 }3 @  3.GRE的主要作用是什么?  b7 v& G3 H% N( J; C$ d
  GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。2 V5 Y/ g# b/ p+ Z: b; O  B
  & x+ \* l+ o% a. U
  4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?. x2 N5 t, o/ C4 h- K4 s/ j
  8 l! D% H3 Y, u9 J2 W$ a: m
  一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。
& z/ }  W( v3 P$ H  
& R, o# Z8 g) Y9 {/ Z4 {. C  5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?+ z' L4 ^- `8 O3 W
  
. S& r7 u& o  Y( m  优势:
2 ^% U1 y: R* i9 L+ n6 }, u. Q5 E  *集成的解决方案,不需安装额外的设备。3 q/ U- j, m' D! S' {
  *降低了设备投资成本,减少了设备支持和维护工作。
1 o6 m; e. q9 U& c  不足:& I5 Q/ |1 z: {, m( \6 H
  *防火墙可能不支持路由功能和其它一些特性,如QOS。
) U! x. N6 r* l( ~  *在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。
+ |! z  q% c7 B, Y  *在特定的VPN设备上同时支持的VPN隧道数量过于巨大。) S! @% A# @% I) \% v1 e/ y
  ' O8 l( y" c7 A0 |: L' n$ g
  6.IPSec是什么?它是否是一种新的加密形式?. M  i7 o' q+ [# ^3 j1 d6 a
  
/ b8 j1 ?. L% O, S% C8 s' T, b& e  IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。
! W- {- p' H$ D. k/ ^  
$ h; \  z+ u. p4 h! x  7.L2TP和IPSec在VPN的接入实施中起到什么作用?/ k" S3 X) p- ?. `& Y3 v
  
* b; y' p- O% Z7 Q; \" \  L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。
8 m/ n0 I  `  p; D: d8 r" J  * V) d' O6 m2 n' A5 }) i
  8.IPSEC和CET的比较?3 \' T7 ?9 u, n( [
  8 U$ m! H. B0 F
  答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。9 G- A- ?& o1 }
  
9 k( c( `: I. Z  9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?! ?& D; ]7 b/ O7 w$ A: ]0 {( b, P3 i
  $ ?/ q  D  m; P8 z' O8 F. L/ l  A
  支持,该硬件VPN功能模块为:MOD1700-VPN。
3 p7 u$ @3 O! G1 z1 X  
8 Q" f! J7 M& |. W/ i& R  10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?
" A# ?3 l9 x8 ^* s4 \" h) k3 K  
9 S9 x2 `6 m8 ^& G; q4 I+ A' \  带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。( \( Z3 I" G4 e7 E
  
" f0 v% ~9 H8 {" A  11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?. n2 {3 P" Y. C( v+ l0 S
  / @& _5 A) E. w
  尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。; e2 {" J$ x7 d. c. P
  ; w: x* g" c+ b1 B, N6 r
  12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?( f2 |4 U# K0 J
  - A& Z0 t- h" l& N# c2 d7 O, \
  Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。3 b$ Z% l) f# {, s9 L
  % K6 C2 }+ V, P  x, N5 @8 s
  13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?) l4 j8 b# F3 y( s3 L
  
+ N3 o  D6 x9 _% K) A7 ~2 p$ V6 l  如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
+ W5 K9 d2 I! I" X5 u  
7 k# [4 R3 E* Z3 v  R# G  14.什么是CiscoVPNClient?
( L! a0 t: ~3 |* {1 I  ) w) j: f* ^: Q; I& g; [1 O
  CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。
. e  r' h8 r% R9 P  4 I. g/ d1 m& H- ]3 s1 R2 [
  15.什么是CISCOvpn3002硬件客户端?- e# i( }4 a$ @2 v% K4 X1 @  s4 W% L
  ! |/ ^4 Y9 _7 K7 H/ Q0 o
  CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。/ g1 F6 z! p3 f% n0 f$ a' m
  
发表于 2008-12-8 09:58:56 | 显示全部楼层
我用过VPN,不舒服
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 加入华同

本版积分规则

Archiver|手机版|小黑屋|华人同志

GMT+8, 2025-8-25 19:41 , Processed in 0.062520 second(s), 5 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表