|
|
|
VPN 技术部分问题解答! \/ L; v8 d4 O0 b
1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?
) D7 J" s8 R/ K CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。+ B6 Z% o+ j; [5 ~, X0 l+ A
/ w+ J) R# B1 o3 G, } 2.什么是第三层隧道?* x& u" s! n6 |! ]
第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。) U8 v2 c6 v1 V ~. d, Y- V- z
7 V5 ?# _! d1 @
3.GRE的主要作用是什么?
' i# Q0 v( v, k9 s' D, T6 O7 C GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。
# s9 H# B, t0 a5 E 7 `! Y/ N- P- e6 {6 |
4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?
- c3 l" `/ V7 e% K( g z% s6 [2 e; c" G( D! V5 h
一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。) W% Y) k2 S' B1 C
" m6 s R5 H" E- |- h ^+ v. |8 |+ d 5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?! ?' h- Z! y) p Q: p3 D! U" b3 h
2 j9 V: r( B9 |* d; \% a9 R! W 优势:5 d, W7 g( Y& f
*集成的解决方案,不需安装额外的设备。
; Q# X% j3 @9 n# k0 @+ t3 G *降低了设备投资成本,减少了设备支持和维护工作。
0 A; ]5 Q+ Q% I1 V% A 不足:' w6 g! B9 F* [; M6 d) Q a
*防火墙可能不支持路由功能和其它一些特性,如QOS。' _% p$ r. d0 e0 b* a9 E
*在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。( _" {* N; F0 y, Y' l' B' j
*在特定的VPN设备上同时支持的VPN隧道数量过于巨大。4 O1 V7 H( K$ h: G1 Q
' u& V# t- K$ V2 x5 [6 U" i
6.IPSec是什么?它是否是一种新的加密形式?9 v- \& {; E! P9 _3 }
) M$ I3 Z( @ ~
IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。
, a1 i! X: H5 l5 O 2 ]$ f* \% j+ Z" @' @& D5 M/ _9 D
7.L2TP和IPSec在VPN的接入实施中起到什么作用?9 G' r0 H1 \& v0 M$ m
. Z3 d" k+ L9 v7 L9 l: C# q
L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。
. ?; Y7 O" U$ X4 z9 c1 R
0 t! F( ^& Q/ W/ U0 a7 _4 D 8.IPSEC和CET的比较?: ~$ _( u# Z9 Y- a+ t3 l$ M( N
0 [, F& A6 g# }) ^" Y, ? 答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。
% M/ d6 i% [) t7 c; t: }7 o* B # R) C3 G' v: x" ~. h+ ?: t# x: r: d! a
9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?
T7 |, g) _9 r& N6 Z3 S
- U& o X$ i1 i; V& B 支持,该硬件VPN功能模块为:MOD1700-VPN。
8 L2 `0 [( T* ^* [
0 R* ` Y( A5 E8 t/ ~+ o; } 10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?
, Y* A6 z; l$ o/ f
9 |) y4 @" d! M* D/ L) h. ~! { 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。
a% r$ h" H6 w# m 5 [) {" }6 ^+ n. G' R9 g# G$ a
11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?$ w% O% u0 `6 C) Y+ y7 q
6 p B. [% ?$ k" ^$ [' i- l
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。9 S+ ?9 D9 z$ u: t- O; F2 D' l
2 t. s) i6 @9 \6 Z- P7 H 12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?* E3 _( ]8 I" F( h3 x
+ v' C9 k1 C& @) T Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。* J+ M6 _; S I8 F- A0 Z6 ^2 g7 b% p
; i4 X3 L; I- x- s" s4 U( u
13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?9 A! p! X+ ]: Q W: U6 G- g
% I- H$ {. E! z& l5 I. c6 F
如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
8 G- y0 m; i' y5 s+ f# g . L6 d7 A9 [/ H/ P1 `( t# b
14.什么是CiscoVPNClient?
/ T9 p1 U$ ^7 x 1 q8 e& T1 Q0 C+ z
CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。
& S; u* V& Q, P) ? U; `6 B9 B . D/ D( `: ^7 G) p
15.什么是CISCOvpn3002硬件客户端?
, x8 d# w; M8 j7 @- l% v1 G + X% C, ~& r0 x. ]3 `& Y6 j5 R' C
CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。+ z7 l' B6 m6 C" ~# ~8 q2 ^2 }
|
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡