|
|
VPN 技术部分问题解答
2 c* c7 _7 K: N9 y+ K& q1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?) B8 S& }7 \, D
CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。7 l8 y' {- y* A i# Q" ]- D6 M
* O, O* {4 e5 B7 |7 f% j" H 2.什么是第三层隧道?3 T- F- f: L- l; k
第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。. B% d, W! W! I# ]8 S+ w8 H m
5 u% X+ p5 h3 H& E, i/ i9 G, z3 a- p 3.GRE的主要作用是什么?/ j" Q* ^* o# p
GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。
8 k4 Z) u- ]) v3 `5 I : d) q, W1 M0 D/ M, d
4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?: w& Y1 L! G7 G0 }' J/ _
6 r" }8 W# o2 { 一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。
4 e b, q+ j- u* \' u8 s/ P ) p0 A/ a; N, q. Z6 s, O
5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?( f7 a6 X# n) [( k7 L
9 N3 `. D9 v8 A/ F6 L$ ` 优势: `$ \& z) V$ |2 m [
*集成的解决方案,不需安装额外的设备。5 s* w9 K! K) T) c8 M: m; H" `
*降低了设备投资成本,减少了设备支持和维护工作。
. g2 R- h# f. h 不足:# J/ G. L! J0 T/ V7 \
*防火墙可能不支持路由功能和其它一些特性,如QOS。0 N2 z- V- g( c
*在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。2 a0 h0 \5 e1 `4 ^) ^2 W
*在特定的VPN设备上同时支持的VPN隧道数量过于巨大。2 @& C8 z7 j1 ]' n2 n# E* e
" i5 e, d9 u7 ?' _9 B
6.IPSec是什么?它是否是一种新的加密形式?6 z6 n0 G* X! N1 r4 a8 `1 C$ N
3 u, c/ Y5 p/ ~: ?; ^: d4 \ IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。" d7 ^2 D+ g, @* f0 s5 A
6 k- ~/ L$ V- I0 P
7.L2TP和IPSec在VPN的接入实施中起到什么作用?& l x3 S5 x/ t. M- I/ F
+ ^1 V: a7 d/ H& e* b0 y4 T L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。
3 S8 t; N3 F" G; C ) K, x# u8 A/ b) z) W( _
8.IPSEC和CET的比较?
( U8 x5 V# _2 c, {% m+ o( @# u3 V5 P ! U( C: r/ ^/ ^2 U3 s
答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。
( Q- ?% v, J& l! {3 _ - [- M" t7 \% ?% z! b
9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?
6 A7 M" E0 i9 v$ _" t) O
' n8 `+ f& j2 F; G8 y7 F5 h! w. r 支持,该硬件VPN功能模块为:MOD1700-VPN。
2 P9 L$ q( d: s9 G6 e$ e4 O
0 k* K! \6 ]# O1 I 10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?- p! e8 q2 _( d' B/ M o w: g, X
- G& W# `/ m8 i: r* N
带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。
3 ?1 d1 M+ R+ j& t, ~6 b# h6 i2 U 9 ]+ ?, O' z/ ]" Z
11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?. R! Q9 v/ I* D0 Y
, j: A6 N B' t. ?' x7 v i) V
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。
# B3 F, d7 E$ i
5 x3 ?# ^/ K( i 12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?
" B' O7 o3 w6 a7 H: i/ G4 w. B
7 j3 |, F4 ~7 i/ q Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。
6 \8 d& ]/ A9 T# S( ?6 I9 d ) v/ X6 Z4 q/ n& T+ x
13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?% }) g5 M2 ~9 r6 V, ]7 N
7 R5 `; l) Z1 H4 X2 G4 k& k+ j 如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。1 T7 O4 k. g. c; i5 c4 C
" G7 D5 ^, _! Z5 M& O
14.什么是CiscoVPNClient?5 M' Y P3 F' E6 H5 i
3 `+ M6 p( m+ h' ?3 m
CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。' j6 H- |0 f W, J: ~8 K
- a' B y7 Q2 {3 m& U, z/ E
15.什么是CISCOvpn3002硬件客户端?
& ?; d, b& X3 ], h8 j5 U2 t, ? , {7 Z9 p/ ]) v$ J; z
CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。
4 b. @- [0 s. K3 W |
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡