欢迎您进入中国Linux大学, 目前我们的总注册用户数 17216, 总点击数 27948853
Google定制搜索:  2008年12月3日 星期三 
 Linux大学 | 资源站点 | 开源书讯 | 幽默趣图 | 新闻 | 技术文章 | 开源软件 | 周报杂志 | 内核补丁 | 自由时空 | Linux词典
VPN技术部分问题解答
摘自: 未知  被阅读次数: 436


yangyi 于 2006-10-28 22:17:11 提供


1. Cisco1700 系列路由器上是否支持硬件 VPN 功能,该硬件产品号是什么 ?

解答:


支持,该硬件 VPN 功能模块为:MOD1700-VPN。

 

2. IPSec 是什么?

解答:


IPSec 是一种工业上的标准,它的作用是保证通过广域网进行传输的信息的私有性、完整性和真实性不被破坏。

 
3. 与带 VPN 模块的 Cisco1700 系列路由器相比,带 VPN AIM 模块的 Cisco2600 系列路由器具有哪些特点?


解答:
  • 可以达到双倍的加密性能
  • 可同时支持120个 IPSec 隧道
  • 将 IP 压缩和 IPSec 加速功能相结合
  • 未来支持 FIPS 140-1 Level 3安全标准

    • 注:Cisco2600 系列路由器的 VPN AIM 模块将在2000年夏季出版。

     
    4. 带 VPN 模块的 Cisco1700 系列路由器与靠 IPSec 软件实现 VPN 功能的 1700 路由器以及 Cisco800、1600 系列 VPN 路由器相比各有什么特点?

    解答:


    带 IPSec 软件而不带 VPN 模块的 Cisco1700 系列路由器可以对具有256个字节数据包达到 300kbps 的 3DES 加密,具有 VPN 模块的 1700 路由器对相同大小的数据包达到 3400kbps 的加密速率。Cisco800 和 1600 系列 VP N路由器只能支持56KDES 加密,不支持 3DES。所能达到的速率适合进行ISDN128K 的连接。

     
    5. 带 VPN 模块的 Cisco1700 系列路由器能否与其它厂商提供的 VPN 产品进行互操作?

    解答:


    尽管在许多不同的厂商之间已经就VPN形成了 IPSec 标准,如 PKI 和数字验证等,但仍有许多厂商在设计和实施 VPN 的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。

     
    6. 什么是 IKE,它的作用是什么?

    解答:


    Internet Key Exchange,因特网密钥交换。它的作用是协助进行安全管理。IK E在进行 IPSec 处理过程中对身份进行鉴别,同时进行安全策略的协商和处理会话密钥的交换工作。

     

    7. 是否所有 Cisco1700 系列路由器全都支持 VPN 模块?

    解答:


    是的,Cisco1720、1750、1750-2V 和 1750-4V 都支持 VPN 模块。

     
    8. Cisco1700 系列路由器的VPN模块是否能在其它路由器平台上,如 Cisco2600/3600 系列路由器上使用?

    解答:


    不能,Cisco1700 系列路由器的VPN模块是专门设计的,只能工作在 Cisco1700 路由器的平台上,不适用于 Cisco 2600/3600 系列的路由器平台。同样,Cisco 2600/3600 系列路由器使用的 VPN AIM 模块也无法在 1700 系列上使用。

     
    9. GRE 的主要作用是什么 ?

    解答:


    GRE 是一种基于 IP 的隧道技术,它可被用来在基于 IP 的骨干网上传输多种协议的数据流量,如 IPX、AppleTalk 等。同时,GRE 还可被用来在 Internet 网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用 GRE 之前需要先在作为 VPN 终点设备的物理接口上进行相关配置,随后可以使用诸如 IPSec 等安全措施保护隧道。

     
    10. 在使用 Cisco2621路由器实施 VPN 的方案中,如何提供用户验证功能?

    解答:


    需要 IOS 软件版本支持 Xauth-扩展 IKE 验证功能,该功能在 IKE 的验证功能基 础上增加了额外的用户验证功能。该特性在 IOS12.1(1)T 软件版本中正式发布。

     
    11. IPX 的数据流量如何通过 VPN 隧道?

    解答:


    IPX 数据流量首先需要使用 IP 进行包装,这通常可以在路由器和路由器之间使用 GRE 来实现,或者在 VPN 客户端软件和路由器的连接之间使用 PPTP 来实现。

     
    12. 在 VPN 上是否能够支持组播流量?

    解答:


    可以,通过在设备之间配置 GRE 通道并在所建立的隧道中对所有的流量进行加密可以确保广播流和组播流在 VPN 上的传输。

     
    13. 语音和数据集成的数据流是否能够通过 VPN 进行很好的传输,Cisco 的哪些设备支持该项功能?

    解答:


    一般来讲,如果没有硬件加速、压缩以及优秀的 QOS 机制,使用加密机制如 IPSec 传输语音几乎是无法想象的。目前,我们已经距离通过 VPN 传输加密的语音和数据的组合数据流的目标越来越近,在 7100 系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在 Cisco7200、3600、2600 以及 1700 系列的路由器中实现。另外,通过使用对 IPSec 数据包的 LZS 压缩技术和 QOS 机制如 NBAR,都将加速语音的 VPN 传输。

     
    14. 我的 ISP 提供商没有提供 VPN 服务,我是否可以使用 VPN 技术?

    解答:


    可以。用户可以使用客户端软件由客户端的 PC 机建立起 VPN 连接(通过 L2TP、PPTP 以及 IPSec 等),在这里 ISP 所扮演的角色仅仅是在两个 VPN 终点间路由 IP 数据流量的网关。

     
    15. 使用基于 VPN 的防火墙解决方案与使用基于 IPSec 的路由器解决方案相比较,有哪些优势和不足?


    解答:


    优势:
  • 集成的解决方案,不需安装额外的设备。
  • 降低了设备投资成本,减少了设备支持和维护工作。

    • 不足:
  • 防火墙可能不支持路由功能和其它一些特性,如QOS。
  • 在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。
  • 在特定的VPN设备上同时支持的VPN隧道数量过于巨大。

    •  
    16. Catalyst5500 系列交换机的 RSM 模块是否支持 VPN 功能?

    解答:


    目前还不能,但在最近的新版本软件中,将会加入该项功能。

     
    17. 哪些版本软件的 PIX 防火墙支持 VPN 功能?

    解答:


    在 PIX5.0 和 5.1 版本以后的 PIX IOS IPSec 软件都支持 VPN 功能,PIX5.1 同时也支持 PPTP VPN 隧道协议。

     
    18. 3DES 加密是否比 PIX 防火墙和客户端的 DES 加密具有更强的处理器功能?

    解答:


    是的。3DES 一般要求具有2倍于 DES 的加密处理功能。

     
    19. Cisco1750 系列路由器能否支持 3DES?

    解答:


    可以支持。

     
    20. 在 VPN 中实施 QOS 的意义是什么?

    解答:


    QOS 可以使你管理由本地网到公网(如 Internet)的反应时间。QOS 可以确保重要的数据流量能够优先得到保障,这样可以确保从 A 点到 B 点的重要数据流量得到有效的传输。

     
    21. 从哪些版本的 IOS 软件开始支持 VPN 功能?

    解答:


    基于 VPN 的加密功能 (Encrytion) 是从 Cisco IOS11.2CET 开始的,在 Cisco IOS 11.3.3T 版本的软件以后可以支持 IPSec 功能。

     
    22. 是否 CiscoVPN 客户端的软件可以与任何 Cisco 的产品配合使用,还是只能与 Cisco7000 系列路由器配合使用?

    解答:


    CiscoVPN 客户端软件可以适用于任何运行有 IPSecIOS 软件的 VPN 路由器,产品从 Cisco800 系列到 7500 系列运行 IPSec 软件的路由器,其中一部分是靠软件实现的,一部分是靠硬件实现的。

     
    23. 能否使用其它厂商的 IPSec 设备对 CiscoVPN 设备进行访问?

    解答:


    只要两种设备都支持 RFC's2401-2412 标准,那么成功的可能性将会很大。

     

    24. Cisco1720 路由器能够支持多少个动态用户的 VPN 接入?

    解答:


    大约是20-30个用户之间。

     
    25. Cisco 的 VPN 软件能否在同一个连接中支持多种协议(如IP、IPX 等)?

    解答:


    如果 VPN 支持多协议隧道功能,如 GRE、L2TP 或 PPTP (均在 CiscoIOS 软件中被支持),那么就可以支持多协议。

     
    26. Cisco 系列 VPN 路由器一般可以支持多少个远端移动用户?

    解答:


    Cisco1700 系列 VPN 路由器可以支持20-30个用户,如果采用硬件加速技术, 则可以支持100个左右的用户。Cisco2600/3600 系列 VPN 路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的 VPN 应用,建议采用 Cisco7XXX 系列的 VPN 路由器。

     
    27. Cisco1750/2600/3600 系列路由器产品中,当需要支持 VPN 功能时,如何选择 IOS 软件?

    解答:


    当需要支持 VPN 功能时,路由器需要使用带有 IPSec 特性集的 IOS 软件包。

     
    28. Cisco PIX 防火墙产品是否需要使用额外的软件才能支持 VPN 功能?

    解答:


    CiscoPIX 防火墙产品可以支持 IPSec 所使用的 IKE 和 PKI 安全验证协议,因此不需要使用其它软件就可以支持 VPN 功能。

     
    29. IPSec 是什么?它是否是一种新的加密形式?

    解答:


    IPSec 是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec 在遵从 IPSec 标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的。

     

    30. L2TP 和 IPSec 在 VPN 的接入实施中起到什么作用?

    解答:


    L2TP 提供隧道建立或封装,以及第二层验证。IPSec 提供L2TP 隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用 IPSec 功能,但 L2TP 可以提供更好的用户验证功能。

     
    关于我们 | 联系方式 | 投放广告 | 赞助我们 | 用户反馈 | 友情链接
    www.chineselinuxuniversity.net由一个Linux爱好者创办
    Copyright © 2006 Chinese Linux University, All Rights Reserved
    ICP备案编号:京ICP备07002196号