|
|
|
VPN 技术部分问题解答
( @' U0 o' s; a3 w1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?
- P: j5 e# a5 {$ ]4 f5 A CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。
; e; N5 d) ]: Y- J. I5 x 8 u4 T3 N: a' c5 B. m5 c* Z" g! f% G
2.什么是第三层隧道?6 Q: r) m, S6 s. @
第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。) J7 d* i8 `$ L4 p2 k9 {
0 M7 ?4 f' m/ N4 H 3.GRE的主要作用是什么?; J4 h- J; g- h k0 F
GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。+ Z- E5 S! @4 z& @
: [" c) a7 }4 J2 Q1 b" S 4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?8 f; x Z1 Z: _$ E7 ]
% N7 f( `8 j) Q- Y, k+ D, o5 g
一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。
7 Z, v) P& w1 }$ } 2 T. v- t3 ]+ g, k; e
5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?- z8 x5 w# X5 w# E8 x
4 e9 s8 u, E9 \, @; U7 d
优势:0 ?1 I3 {/ r* g2 A2 c
*集成的解决方案,不需安装额外的设备。
6 j: V+ Y/ b* h *降低了设备投资成本,减少了设备支持和维护工作。
. \6 Z0 h/ E6 r8 c' Z 不足:
, K, ^. N6 [* k( u *防火墙可能不支持路由功能和其它一些特性,如QOS。
8 U+ H0 s: h7 t6 L2 r, P *在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。
7 c! x0 a6 M7 m0 g2 [ *在特定的VPN设备上同时支持的VPN隧道数量过于巨大。
. n4 R9 s7 y% O% T% o7 |$ u
( r/ H1 M& x( }4 R% g 6.IPSec是什么?它是否是一种新的加密形式?" g# }! S2 ?7 E) s4 j3 Q
7 K) z' e- Y' C/ q5 p2 N( x7 ^ IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。
1 c0 D6 U! z: i* V8 P8 [$ U1 l$ p 4 Y3 r# \( J; N& u8 e
7.L2TP和IPSec在VPN的接入实施中起到什么作用?$ z7 ?2 @3 D' j# A
1 U( |, W0 {; i
L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。 Z8 {7 l9 i3 r
! e2 ^5 Y8 ]( H/ b. T. W, p- l: x 8.IPSEC和CET的比较?2 J: m4 u& D8 O( f
" @0 I8 R$ o( v/ B2 v7 w1 T 答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。
# G4 ^: U4 n5 ]0 p5 m
6 Q! R2 A3 C$ j6 v 9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?
3 U. L5 g; Q/ Q& } 3 N; j% X# e8 g! _6 L
支持,该硬件VPN功能模块为:MOD1700-VPN。
7 A$ {6 x( Q+ `* s! X/ \1 E* ~ . t) ^' u9 `+ o# W5 l! E/ j
10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?
4 z( l* _* y, T: P/ Y P # p- `- z& s: d; T: ` D5 I
带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。8 ]3 j) a( j$ F8 l! ]6 p: O7 G
& T! L5 b1 L- V* e 11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?, l$ x5 I' i. G' P
" [, p0 j! S: T. G5 V+ z: x
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。& T0 v! h" I; b1 a3 S
8 _, Q0 ?% Q8 W# y# {* c, K/ u o
12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?
% q: w: p3 l# l; b" V+ o $ u# U! P' y4 C! Y [( t
Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。
' N8 {+ O. Z6 d7 O4 f" j4 s8 [ ; O0 H, k+ U# e
13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?
8 ]& O# t! i: Q1 ^2 @
5 G- B# h' T* f( n4 B8 Q& w 如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
+ F1 `: t4 F* |% ^# f( I 8 D; X. ]4 K7 z8 p( O
14.什么是CiscoVPNClient?8 x( `$ F) E* M! V: a8 l
# l O# ~+ q8 L+ M" W" d0 |' X CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。
7 z& P: X3 ~5 g. d* W6 {& P+ D ; D0 @9 Z0 d3 w- j- Z0 F6 }$ ~
15.什么是CISCOvpn3002硬件客户端?
3 Q$ E, u% [9 b H9 {" w1 }/ K0 M+ s M; F9 _
CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。
5 {8 ^: f0 m. J1 Y/ K8 y |
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡