|
|
|
VPN 技术部分问题解答
- G+ g5 a( S+ @: b! Q1 h: a1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议? P p# B! f8 _& h5 \
CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。! N. c5 p. P1 q; ]1 F; A
0 g0 q9 o" C9 p5 H3 S9 q! R 2.什么是第三层隧道?
* [7 f! f2 K5 C( s 第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。, t: E6 B8 }8 t+ w' u: [
* R4 }- a; \& A# D6 Y, y5 A, j
3.GRE的主要作用是什么?4 ]/ Y2 X: w. k( s) h
GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。
, N' T. q5 ~/ r# A9 I; o
! T9 b+ G4 |+ v4 G* Q. L 4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?
g: h* h+ w' m( B2 B$ j : a9 r5 }) O$ P. U# {
一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。$ }% b2 m( m0 l' O5 r# q( b L8 v
/ P7 w6 b( s! _' C4 a9 c H. ^ 5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?3 x N9 ~& I+ g" m! s: R9 R; T
+ D8 y% i) O4 E ]9 y( i8 J6 O5 C3 U 优势:
! D+ T% \4 Y* `) z* Z *集成的解决方案,不需安装额外的设备。
% h; o4 b( P& n" T *降低了设备投资成本,减少了设备支持和维护工作。7 m; t' I4 D p/ l; |
不足:( O+ `: s% j9 a4 z5 e: `
*防火墙可能不支持路由功能和其它一些特性,如QOS。+ ?# `) E' S4 ?; e- g& x
*在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。
, y; A3 y! ?2 V9 f7 h! Z *在特定的VPN设备上同时支持的VPN隧道数量过于巨大。3 h0 G2 { z/ ]+ q, V) _3 \2 g
2 h! b x$ L* G0 p) s5 B2 k7 S3 n
6.IPSec是什么?它是否是一种新的加密形式?$ P* A# J* L! ^ S) B# c
. r5 n& R) N m# k1 j
IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。
0 ?$ G# p, J( F5 \5 c 4 E( H7 p) M- B: r8 r& R1 p
7.L2TP和IPSec在VPN的接入实施中起到什么作用?- [5 W, b# M, X0 A8 L
, {5 W3 A% r: c2 r) y L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。
" Z% J! e. c" c$ \: s) Y# C 5 T: V- p; c. Y: f! `; b. t
8.IPSEC和CET的比较?
5 w/ |* Z' q/ P6 M5 R/ {1 z
" z. [5 J/ K% J 答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。
& H! Y8 t. Q& y ! s2 s" [" R2 s- `" V' |/ B2 L O
9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?7 Z! k- O, a& ^4 a/ Y
3 o0 A9 |, ^% G9 l2 y 支持,该硬件VPN功能模块为:MOD1700-VPN。
5 G1 N( Y& O$ m: `4 _9 q2 o. G & b& ^3 V. d8 X o6 E7 y
10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点? F9 h u* n, r, E1 o @9 Q
* J0 k( R6 g. V' y, d# Y1 @7 O1 S/ p @5 \ 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。
, N! C4 _4 O% j6 U3 g. I% K - j( k+ R+ G$ K5 g
11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?' I( T8 P0 Z7 K5 {5 V0 K5 Q
' J! L4 e2 U& ^, x2 S7 p8 d
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。
" ~1 x) {( V# M+ C. X# u % u* K7 \8 |8 F$ K% _
12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?
% ]( x" h% U; q, s& \
4 Y: ?: D. s* h+ Y2 Z S Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。
/ U: f! `" Z! M- B" g' k
# [& P \) J3 f$ r ~ 13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?
' d, ?2 }$ ]; n3 |
) c4 V. C P7 r [ E5 A 如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
4 m; @- g: A& L" S 1 b2 ?& k2 b: q; p; ^
14.什么是CiscoVPNClient?
; m' r8 W. _. I" u# b9 r2 y- o
2 R1 j: k( r' Y. ]5 e CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。* x. B5 }) z( V1 q [/ h4 y, |
- R4 ]# b: I) z0 v; m! V& F 15.什么是CISCOvpn3002硬件客户端?
# S3 B( ?& c) Z* U6 C [( z
2 H0 |' p! s/ ?% O" d CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。
* m. j# N9 w( v9 ~5 D* D5 x: _ ^ |
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡