|
|
|
VPN 技术部分问题解答. C @( t& @9 k( z$ P
1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?$ c1 B8 d3 b4 D ~- E$ X7 _) x
CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。
- ]0 H$ [) g8 K/ ~! L; r' _4 i
- ~. [9 D9 i7 R+ g, l0 H 2.什么是第三层隧道?
) T, P- E$ ?$ R ?) E7 r# H; t 第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。* W2 q* d7 S: I* d% }& F% \! _
+ h0 `$ }$ r' S 3.GRE的主要作用是什么?
( b8 R/ p2 `. c' Y8 T3 @$ _ GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。
P8 @! t* v+ t 5 Y O8 @( N7 O8 t* Y; |5 c ]
4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?7 B- I0 V J$ S2 w9 z
% B, n" `. k1 L7 {
一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。; E0 ^ L: ?( E5 s) T& I
+ t- R; b6 {9 k4 t0 I, L/ X* T9 v J 5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?/ Y( T8 H! a6 B% s9 V0 J. k2 s
8 i9 A2 E0 C; L# a& g, V; x( L3 { 优势:
# _# Q/ @# h- [6 \2 V; O *集成的解决方案,不需安装额外的设备。; `4 n8 W o5 @+ ]
*降低了设备投资成本,减少了设备支持和维护工作。
8 o6 _0 T" Y6 n1 t8 h- y 不足:
3 ^& s# K# x r$ Z *防火墙可能不支持路由功能和其它一些特性,如QOS。& D9 G o) ~; d& g+ X: D$ }3 G
*在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。2 l% B1 [' X/ y# M
*在特定的VPN设备上同时支持的VPN隧道数量过于巨大。
- W6 C# |- C1 {, \
1 w) {: P5 `, k, o. M& K1 R 6.IPSec是什么?它是否是一种新的加密形式?) P' y1 E; o2 F4 z ]9 Z6 b! S$ ~
; m( u2 C4 s2 Z. G$ c0 u- m. C IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。
f/ p5 C7 K1 ~5 ^ 9 }$ Y- C3 ~' t, `; w1 q2 f
7.L2TP和IPSec在VPN的接入实施中起到什么作用?7 b/ W, c0 }7 P; [) P- z, q: r
5 @$ ~( J8 t3 g/ l, X
L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。
4 g: m+ i& G$ [1 r
% J! Q0 Y, |8 W( E 8.IPSEC和CET的比较?
' a! f7 M" \/ X" A
0 l3 d* u5 ]: c( \ 答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。
1 z# I9 U1 s f 7 O# y# B7 U* U$ Z" B4 [, i1 a+ E
9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?# V" p( w+ q( g* |- t
2 I% L- ^2 q( _5 L. P5 u0 N% z* X
支持,该硬件VPN功能模块为:MOD1700-VPN。
2 `! J) m2 d- @3 K- Y8 W $ h* o. x/ O, ]# p
10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点?3 A3 E- D$ e& K) m! ~% D' H% q
. r1 `. E1 ?8 b# k6 h/ z 带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。
- O& L2 {' k& k, P
2 \5 u6 b+ O: J 11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?: N; ~" b- J# L; p
6 d$ M0 _9 X' h! R$ c- x
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。( L, t l) a, ~- `6 }; R* J
$ I- i# h% k. s+ e" p* Z
12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?* q, K9 z' p1 I: G. U
' a8 S+ B& S8 `$ U6 k( f
Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器。7 c% ~* n3 p8 c) m! V
8 [6 f8 N$ l: w/ V- p
13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?6 K9 A7 B( q/ B* }$ a/ G+ ]1 j9 l
# Y8 u( U( @9 K$ P, L
如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。* m5 a# D: t: d: |- a
% R+ h& l7 L% b% }) L
14.什么是CiscoVPNClient?$ v+ m# H- y. l# Y* D) X* J
9 S5 r* `9 Z" ~; F8 k
CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。
7 D) I. w3 `9 z$ Y5 E. y! B
2 h5 g" k5 S% p8 l# H% q/ v s. ^ 15.什么是CISCOvpn3002硬件客户端?- O% a' `4 G# y8 w# Q: H% c
% g: F! B8 a5 a1 O0 | d6 q6 n
CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。1 q" K; N* j! Z: v0 T6 y
|
|
狗仔卡
发表于 2008-12-6 21:31:30
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡