|
|
|
VPN 技术部分问题解答1 o6 f+ e- Q* ~& `1 W6 p3 U1 l- b: f
1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?4 I# x/ p6 e' E3 g) k3 H+ p, s2 }4 F
CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。
* c: u) l5 D' M$ L6 z ; z, {# _$ M" L: c+ G' Q, }
2.什么是第三层隧道?$ l' j" J# N# a0 \
第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。% }2 V! p0 C3 j) d* f
- y0 P6 H' \ J( x3 H
3.GRE的主要作用是什么?
! m& r2 U8 J0 X GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。; ]/ i7 W' S& L) I! K6 \& Q; N
+ {2 t: Z6 P+ p. a; t0 c 4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?+ O. a- b6 J3 Y8 w) n. w9 a
+ [; v8 f3 o# A# A+ w 一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。3 B H$ D' x9 O) |5 F, f
5 i- @4 x; ]7 d5 O/ y
5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?' Z" X, `+ B# m+ _- g7 t
9 I' m6 `7 a6 d0 A 优势:
- f) S/ R) ]/ G4 B! g *集成的解决方案,不需安装额外的设备。
$ p9 ?4 h& I, t *降低了设备投资成本,减少了设备支持和维护工作。: [" b( d' ?2 r! _/ b, t5 Y
不足:& m/ m# \, }6 P9 v9 M9 {, Y7 Q
*防火墙可能不支持路由功能和其它一些特性,如QOS。; u" X% n2 G( s0 v2 j
*在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。% s4 R6 H4 l! u: g( P. F7 g4 M
*在特定的VPN设备上同时支持的VPN隧道数量过于巨大。
1 N9 f7 m; @) |
' f" ~/ c7 N; ^% G( V( X( j! J6 Q8 @ 6.IPSec是什么?它是否是一种新的加密形式?: N1 F7 l6 ?+ _- F- d$ |; \
% g: q2 y) ^4 Q% n/ X
IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。; {4 V r- W$ V( b/ J6 v/ w k- W
' m9 Z( x/ K& S6 _
7.L2TP和IPSec在VPN的接入实施中起到什么作用?
2 f4 q" G1 W/ q9 o) ^ 4 B$ m/ v. _ Q$ Y/ ]% q
L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。: w- Q1 E' r$ K" Q; L
0 A# b7 y! N% [$ o1 ?& n1 {- } 8.IPSEC和CET的比较?
7 k, t/ r7 r7 z2 {( X
: M3 |: R$ C( ?: z* A( ]" w 答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。
4 b, r5 I8 V g0 o6 M$ |
0 F! n' |/ H! [7 P/ _6 b3 @ 9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?8 [, q4 J5 I- ]" A6 `' ?
3 ?; ~; L% |7 o* z6 M2 K# K
支持,该硬件VPN功能模块为:MOD1700-VPN。# l8 I( s! m( C/ ^9 S" y* l" @
0 C# }+ [# V( f" w1 |5 [* k- ?- l 10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?
: d; g. n. Q* K: n; F
" u+ J1 g% c' n6 \ }+ L 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。. I! W/ n) D. ], G; ?; y
; s2 k* G' e& D
11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?
+ X `# {1 U3 i4 Z $ X6 p r7 [9 ~0 J
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。2 v" N9 p0 \* o0 q& O
9 Q$ J: a, f; }$ F 12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?
; ?& H+ \7 g1 k: P5 y, L 3 b0 | `/ y% W6 O& ~ Q# h- L
Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。
7 J! u. {; ~7 g. N2 Z. r3 L
0 c/ a# ]) D/ |9 L2 N1 Y 13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?
2 [1 f7 I' Y. w0 Z: [7 @" i
, _) {7 K R8 i2 V- \( t' S 如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
; ?$ V5 |4 {2 F! S 1 O1 ^* n: _/ _
14.什么是CiscoVPNClient?
: K( N0 w. c7 [ 5 r: J) Y2 \; P+ H7 G& c" c
CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。 O c( d3 Q' X8 Z$ X. @) }
! X& A! V4 @9 R" b" |+ \% T
15.什么是CISCOvpn3002硬件客户端?
* W' p7 C* m+ V6 a) X5 l1 P9 k* ? $ r3 I0 a8 e2 N& P5 c
CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。; X* v! ?$ H# g! h, h9 y
|
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡