|
|
VPN 技术部分问题解答
- p8 S% p; i! p) c( X( X1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?
" [7 Q. a+ P8 T a# x$ V5 b/ s CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。$ u/ D) G, p; h/ G2 | I
( u' K: v6 S! I* f$ d 2.什么是第三层隧道?' l" _3 |4 A8 B7 z/ L7 v8 K2 t
第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。
$ }* u# K1 n0 d. A" }; J - {+ E9 [ r8 S/ @% ~
3.GRE的主要作用是什么?' c* Y1 n! V) T0 w- }
GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。
/ d4 \0 x- N' }8 ~! k* z/ j3 {# q
1 f" _$ X& K/ B+ b. |! S 4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?
# `' E( H e' |3 L; G, ~9 a , ]' N3 d% N7 H$ R/ V# ^& V( O4 J8 n9 Q8 ^
一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。4 G, x5 o% R. L3 m- p9 R: `
% Q, ^- y8 r% E, _ 5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?! f( G& j, E' B$ Y6 f
# x* h. N p8 L5 Y 优势:
- q% Z r8 b8 o! o) e- a1 S2 | *集成的解决方案,不需安装额外的设备。8 v& M# ~0 Y. h( z# t; S: m; _
*降低了设备投资成本,减少了设备支持和维护工作。 ~; ^9 T" U( ]' o# a; Y
不足:% ?; G4 X- E- a- K0 P2 K
*防火墙可能不支持路由功能和其它一些特性,如QOS。8 W! V0 j3 H! m. n+ k
*在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。7 _( H! z; I2 V2 i7 o, G( U6 `8 k
*在特定的VPN设备上同时支持的VPN隧道数量过于巨大。
( {7 m: u/ X% d
% U: z( H% g1 l) d8 T0 y7 ` 6.IPSec是什么?它是否是一种新的加密形式?% v( ^% `3 I" ?
9 w6 o6 n1 f6 B4 f% s' ] IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。- [% X+ n: {; J# D2 F
: M6 X1 u. i. h6 ~7 J3 i 7.L2TP和IPSec在VPN的接入实施中起到什么作用?) l% I l9 N% I! @
" m/ E J \9 |8 T: n2 E! c7 K L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。1 h5 s' {" K% |4 J/ P s2 I
0 ?. N; D/ Z) B P- a& M- F' M+ G 8.IPSEC和CET的比较?
2 ]6 s) W( F; _" I+ x- T8 Q6 z
0 o- J2 m8 o9 |* M. N/ H1 E) e 答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。$ W3 x' o1 x' a6 ?
\4 e8 x# Q# ?1 A4 P/ K 9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?. b; F5 |$ r; U6 H) I7 w3 ?
' D# H9 e/ e3 O0 m
支持,该硬件VPN功能模块为:MOD1700-VPN。$ H( |1 v1 |; Y$ v! y
/ _, I y6 S1 v0 j! g8 } 10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?2 a, J0 N( e2 e+ M8 W8 S+ [8 k
7 S3 A; f: X% C9 F- h% ` 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。
4 w1 q5 |! j1 s- r( [
( v6 h+ |# Y& } 11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?
8 }8 l4 y0 J8 F3 }& \# u w8 F) d+ g% }
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。
& d" a, u, n8 { U) X& g / |1 P! r- }4 ~5 ]5 ^! d$ I
12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?. t" c5 m. ^% Q$ l
0 @ W8 u3 x5 \# ]/ O- y Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。
6 H, ^* _- I& t5 I& o6 X3 s
' A& |2 U% l1 F) |5 o6 { 13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?
9 b- @( p+ t( B$ M + g- J* U) e! H) u0 `; x
如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。3 D% y1 C$ W& L) _$ M- I
( t g6 V# \5 c9 b3 x x9 ~
14.什么是CiscoVPNClient?7 J0 Q! w9 h& ?
& R- I# y2 ^8 x2 x' I& m4 T0 E CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。
7 [/ o( d+ Z# h: A( K! H
+ b* C# B0 D- l: P) e D7 h9 I 15.什么是CISCOvpn3002硬件客户端?5 O3 D+ i9 s4 W- Y& x
) M- e1 |+ \, U8 ?' r; A6 v CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。! H" [0 |& t% M' b3 Y4 K `. b+ H
|
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡