|
|
|
VPN 技术部分问题解答
' Q `8 X" U! i3 g6 t0 x. h; n9 z1 N1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?/ }4 e( R" r! \ z0 m, u8 d
CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。
* w$ k! C3 q8 D3 f/ O; t 2 F% n4 N* }- M
2.什么是第三层隧道?
2 Y# g6 ?% t$ N, {8 T 第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。; t: t) c) w% I# k
7 D/ W3 L) j+ D: \8 q/ b5 Q! s
3.GRE的主要作用是什么?
/ t; ?0 X( n6 y5 _ U/ B- i GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。1 k% t0 _- l& h7 L5 O
, s" R0 r. P4 C4 m3 S, I 4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?% G- M2 P7 t+ y( \( J5 ~6 W. F1 r
Y8 P( n2 U( { U0 x- o 一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。) N. ?, b" Y3 [ f# v
) T2 a! `: f) j7 C 5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?
* g! F; ^9 V5 V7 c$ u- W" C + E+ p& |; y, @2 _) q3 Q& h0 |
优势:
. c) h; o2 y1 y8 e5 |$ ]* _* e *集成的解决方案,不需安装额外的设备。, ], i8 I! b: Y2 } _
*降低了设备投资成本,减少了设备支持和维护工作。% i# }5 K/ r" L: v: H
不足:
. q9 F h0 [- B. V *防火墙可能不支持路由功能和其它一些特性,如QOS。
$ c6 ?4 T/ h% c- ]- S, H *在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。& v y! Q1 l, o4 d% m h$ h
*在特定的VPN设备上同时支持的VPN隧道数量过于巨大。
: _" b3 ]) ?, c- V$ z4 {
+ s) W7 B; q5 |) N0 q% y 6.IPSec是什么?它是否是一种新的加密形式?% |4 v7 z% D) E" v6 i
& r! ?9 H+ F6 x" u IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。* w: H& ^2 ^: O y: e8 W
3 L9 T; ?; I5 o 7.L2TP和IPSec在VPN的接入实施中起到什么作用?0 F3 f, D& E# \' L5 i) [
% y$ @% K c$ i6 q: ^! u3 ]
L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。5 Q6 O9 w; |5 ]( y( Y
* h, y( B) I6 P% M" y
8.IPSEC和CET的比较?
/ Z" J7 [1 {9 Z7 {0 V . o& Y# P& y- Q+ n$ R9 m0 s6 N
答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。/ b4 T' r+ n6 D7 z
. Y& l( R6 ?5 u# N8 r- ~
9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?
7 W' G+ E& ^ o& R, E - k) t5 A# w+ g. s; D4 o; C, o
支持,该硬件VPN功能模块为:MOD1700-VPN。# s6 {* q i2 u
4 D# X1 s& j9 m! b9 [! R; N
10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?
5 p6 t! K0 m% K# ]
7 @: G5 e+ h( W1 l, c7 F 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。
/ L# Y7 a* W6 k4 Z/ W* Q ( ^- `7 U: Q% y! X" x& z( o/ l
11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?
) B$ y, `/ ^3 ~! N) q8 B 1 L. I7 t- A# ^6 D' o3 r4 R+ r
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。
: [# m0 e" ^$ ^ 7 W% {0 ?) ~7 D" v2 U- Z" O0 C6 M# a
12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?1 p8 @# g. g$ N1 |, Z, T
- x. G/ d z9 v2 ?$ u4 x Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。 d0 \0 k0 `2 B$ Z
9 ^% X7 g7 }3 ~5 ^: k e 13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?5 Z' F! ] N0 B' e4 Y7 r! J. J
# S+ |7 q2 J- B9 K/ i
如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。& m7 @/ Z: d6 Z6 t+ v, x$ p7 `# K
1 b1 N v0 E6 C2 R" D
14.什么是CiscoVPNClient?
/ z& e( d4 ^7 c, J0 I5 d, q
: h6 C) Z+ j2 V CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。
# P5 j! \! r5 Q5 M7 p 1 Q7 {5 W% E8 I7 p* R2 ?* e3 o
15.什么是CISCOvpn3002硬件客户端?+ H2 @6 @/ Z, I- k. p
7 o! Y6 d P _9 A CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。
% c: P E( A1 B" P( B |
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡