|
|
|
VPN 技术部分问题解答
6 y$ ?: r2 T9 t: N5 D5 b4 U1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?+ V/ o$ N$ N2 H+ f
CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。
* L* E" F. Z h. I
1 n& K3 ^# [9 H% D3 D* M e0 `: l 2.什么是第三层隧道?0 s2 i! y! Q$ a$ o% ?# G9 E" l
第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。, L+ q2 L4 Z6 X+ L# ?7 n0 D
$ y* K3 m4 q, B& m0 i1 q
3.GRE的主要作用是什么?
4 |% N" N6 ^7 Z; C0 _ e0 J GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。
, C S9 q# Q! D" r/ Y! Y
6 f& Y" V0 j/ v* U8 ?; A6 \! k 4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?
5 {5 x7 L% @& h; g0 r* l 2 L4 t" K: L* J, q/ _
一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。' K" k" L1 A9 s% [; W2 `
( l7 K: G5 i/ Y6 n& A1 J8 R 5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?. V3 j" }6 R4 b! z4 a5 G
) x% G4 W: w6 n" u 优势:
; l# g: n, f* w/ y R# O( h *集成的解决方案,不需安装额外的设备。
! p4 q# w1 a: n% f* X *降低了设备投资成本,减少了设备支持和维护工作。
( ^! C& H7 ^6 D7 J3 b 不足:
- C+ f) c& k# z1 F *防火墙可能不支持路由功能和其它一些特性,如QOS。
2 Q& g9 z N7 A7 Z *在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。" ?" m" B n! o2 l a/ a) z# z
*在特定的VPN设备上同时支持的VPN隧道数量过于巨大。% Q; Z. {* p) Z# I V* T0 @ m
6 c* [- ?" g# o1 k7 m
6.IPSec是什么?它是否是一种新的加密形式?# C7 _4 H7 A& l+ ~3 G
7 w4 L, p3 w1 `2 R7 b5 H IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。- f- r( F9 `6 Q, l
3 N0 O/ M# v, ^0 K2 Q
7.L2TP和IPSec在VPN的接入实施中起到什么作用?
( |1 i2 b$ J9 D7 Y
: i {6 L/ X% y# j4 K" u) D& u- I L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。
4 X9 U) M- w* m( x4 G , w, t" W @! U5 {0 N$ N
8.IPSEC和CET的比较?
: M2 I& P/ B% e* [; G: Z Y
L1 y7 B5 b E& S3 W3 r: R 答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。$ Z. Y7 V& [! L4 Z; }$ {
9 _2 v" w; u4 ]$ B3 H' D' u 9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?
9 z/ i) o* x1 \9 ?2 s1 l V* _1 t7 d) ^2 p
支持,该硬件VPN功能模块为:MOD1700-VPN。- q. m1 [1 S6 m; F& X& x# n
; t! x" D ?7 V3 U# q! D3 o n# s 10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?
7 ~- u* P' u! r% a) m4 o# }1 ~
1 |$ f$ a6 C" t 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。
2 Z& |+ z0 [4 \6 t0 O0 O2 i1 G
0 X3 X! `- R |$ e+ ] 11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?4 d" X/ \8 H) {, E& g; U1 u% e
& u3 ]! }/ c7 C" M( W
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。
, \5 ] Z1 m# m1 O
" P# D$ z7 u5 \2 G- j. Z" b 12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?' s5 G- ?. `! G! Q" b
2 G1 m0 G9 `# q$ ~" O. b6 i3 F
Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。/ B L1 B0 W- O- ^- n# ^+ g
* E) G8 T0 a1 S& Q2 d$ J5 F2 c 13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?
6 S+ t3 { J: p ^: {/ q; Z: Q
% O* `9 Z: J0 c8 O8 B; @7 \" [, j1 B 如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
( t4 ?1 u! [0 y0 j* ]1 t8 M' I ' K+ G) S8 H/ i2 n3 h- r% U$ _
14.什么是CiscoVPNClient?4 ~! @. H3 r/ P4 x9 o3 t0 f
4 W* \- _! g$ \: ^ CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。
7 n; D3 O1 @* O7 X5 y
& d. @9 s! Q% O' R! p 15.什么是CISCOvpn3002硬件客户端?
6 T6 B. P, \) X0 `3 d* a4 U& T
2 a1 o9 X/ I3 `$ \$ e CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。
) L: j! [# N, A3 b |
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡