|
|
VPN 技术部分问题解答
8 m# s3 H' R# @$ {' ^, H, k9 @: |1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?2 w' I, i( E( _
CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。
2 r7 _6 D* G% _! z' v3 X
" F, _, X5 z* P K8 G! S% e8 s 2.什么是第三层隧道?
5 ?4 e C" y0 h0 v( j4 E1 A* r 第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。
+ P. X" J% g$ `$ }& R! Y 6 a1 Z& u2 d1 e$ I: {
3.GRE的主要作用是什么?1 K% w# Z; N+ f1 B8 y
GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。
* b6 M, ~1 D }! m; a1 M$ z2 H
! J E4 p# B# k: r1 R, G4 H. [ 4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?3 p3 N9 |; j' q1 l
' T! |) Q1 b; ~2 |6 N 一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。
; @3 _2 g% p" D5 P ( [. D _8 d7 g7 Y/ }2 h& E
5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?
. k# B9 w( Q; y8 y4 ^' T& n
/ A; e, {( E( h1 Z9 s* A1 s 优势:
- V, N# b* K) h/ H *集成的解决方案,不需安装额外的设备。
5 H# o! G( j% T' F *降低了设备投资成本,减少了设备支持和维护工作。( X: Y( g& [2 h& u. r
不足:
( h# P& |( E% F/ Z. @- X( D/ Q *防火墙可能不支持路由功能和其它一些特性,如QOS。+ o& l. k* [1 N5 R$ b; i
*在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。
& ] c& X3 D$ E3 \- }1 C *在特定的VPN设备上同时支持的VPN隧道数量过于巨大。
$ k/ T. T7 ~! ]) q' N5 f( L$ w, @- G
% q; }; c$ E/ X ?$ P 6.IPSec是什么?它是否是一种新的加密形式?- c; S' p ^# _6 R; a/ ] N7 D; E
8 O$ }! m. _5 F: P$ G7 f
IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。
9 H9 A1 T/ H( ^/ q. l6 u2 R
4 i ?5 t5 u; Y) V3 v7 C 7.L2TP和IPSec在VPN的接入实施中起到什么作用? d$ ]3 k; V; f, y$ I7 ~# ~
6 g3 l" c/ x, r5 Z7 z& Y
L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。
, V; J& b1 v, }: e* m! ?
5 ]& v. L) s* A* L* L$ p6 x G1 D 8.IPSEC和CET的比较?
" }0 o7 S+ `) y. C9 p% A# r1 e
6 v: H* s- J( [0 T 答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。/ v% K6 Q" V {& ~
' A* V' `8 M" {* T( R- V5 L 9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?0 h$ O0 f: T' G/ A8 v% w
- H. @6 y$ ], b& E 支持,该硬件VPN功能模块为:MOD1700-VPN。
! o' j: q) d1 N
t& c- @1 H. [* E5 P 10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?) m' H; V1 L$ C7 u e
6 R( o8 N" N2 x3 G( m6 q 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。5 M d( v) j% c
6 H: P' i W( ^8 _3 k# _% R 11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?
4 }: [ }) p' S% Y) o
( b7 s$ y- J: `, x7 ~ 尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。
6 x: l/ ^) D: X( Q2 x6 Q
: v7 D; K* U* A1 \ 12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?# }8 a! @9 m4 |* ]' q4 v! q
, C; j: _& I2 U# N I/ h* n
Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。( B5 c6 W: O2 N/ W" }6 e/ L
. b6 b( J" E4 q: r6 l& | 13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?5 K+ V2 F* D8 |( v5 R* `* h4 u9 E
) K2 P" A9 E' R! ]: s 如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
$ B3 {6 ^ M' R $ ~/ E3 `8 y' D
14.什么是CiscoVPNClient?
K0 F) K: Q; U, v) a ; W" e+ z% C d/ ^% L. y
CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。& c0 t+ b6 }4 `7 R6 C0 c$ ?
$ g; H1 N8 h% {9 u9 c: \1 G% p! o 15.什么是CISCOvpn3002硬件客户端?
" t" h5 G% b- }8 Q/ H& O: ]
# [- P2 E' Z; L" ]! {& \5 P CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。
9 W; @, K/ N4 g, ` |
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡