VPN技術(shù)部分問題解答

2019-11-02 16:51:32

字體：大中小

供稿：網(wǎng)友

1.為什么CISCO力推第二層隧道協(xié)議，而不是第三層隧道協(xié)議？

CISCO都提供這兩種方案。CISCO沒有著重強(qiáng)調(diào)那一個(gè)。第二層隧道協(xié)議主要用在訪問VPN方案，而第三層隧道協(xié)議則對(duì)Intranet和Extranet提供VPN方案支持。第三層隧道協(xié)議同樣也可用于一些訪問VPN的方案，例如，客戶端初始化的隧道模式和Internet大規(guī)模的訪問解決方案。

2.什么是第三層隧道？

第三層隧道不是一個(gè)新的技術(shù)。RFC1701中定義的GRE已經(jīng)存在很長(zhǎng)時(shí)間了。CISCO在自從ios版本9.21就支持該技術(shù)。Ipsec是新的為支持加密隧道而定義的IETF標(biāo)準(zhǔn)。CISCO自從ios版本11.3（3）T支持該項(xiàng)特性。CISCO在ios版本12.0（1）T支持移動(dòng)IP。

3.GRE的主要作用是什么？

GRE是一種基于IP的隧道技術(shù)，它可被用來在基于IP的骨干網(wǎng)上傳輸多種協(xié)議的數(shù)據(jù)流量，如IPX、AppleTalk等。同時(shí)，GRE還可被用來在Internet網(wǎng)絡(luò)上通過隧道傳輸廣播和組播信息，如路由更新信息等。需要注意的是，在使用GRE之前需要先在作為VPN終點(diǎn)設(shè)備的物理接口上進(jìn)行相關(guān)配置，隨后可以使用諸如IPSec等安全措施保護(hù)隧道。

4.語(yǔ)音和數(shù)據(jù)集成的數(shù)據(jù)流是否能夠通過VPN進(jìn)行很好的傳輸，Cisco的哪些設(shè)備支持該項(xiàng)功能？

一般來講，如果沒有硬件加速、壓縮以及優(yōu)秀的QOS機(jī)制，使用加密機(jī)制如IPSec傳輸語(yǔ)音幾乎是無法想象的。目前，我們已經(jīng)距離通過VPN傳輸加密的語(yǔ)音和數(shù)據(jù)的組合數(shù)據(jù)流的目標(biāo)越來越近，在7100系列路由器中使用硬件加密技術(shù)已經(jīng)成為現(xiàn)實(shí)，在不遠(yuǎn)的將來，這一功能將會(huì)在Cisco7200、3600、2600以及1700系列的路由器中實(shí)現(xiàn)。另外，通過使用對(duì)IPSec數(shù)據(jù)包的LZS壓縮技術(shù)和QOS機(jī)制如NBAR，都將加速語(yǔ)音的VPN傳輸。

5.使用基于VPN的防火墻解決方案與使用基于IPSec的路由器解決方案相比較，有哪些優(yōu)勢(shì)和不足？

優(yōu)勢(shì)：

*集成的解決方案，不需安裝額外的設(shè)備。

*降低了設(shè)備投資成本，減少了設(shè)備支持和維護(hù)工作。

不足：

*防火墻可能不支持路由功能和其它一些特性，如QOS。

*在同一臺(tái)設(shè)備上同時(shí)執(zhí)行防火墻和加密功能，將會(huì)影響設(shè)備的性能。

*在特定的VPN設(shè)備上同時(shí)支持的VPN隧道數(shù)量過于巨大。

6.IPSec是什么？它是否是一種新的加密形式？

IPSec是一套用來通過公共IP網(wǎng)絡(luò)進(jìn)行安全通訊的協(xié)議格式，它包括數(shù)據(jù)格式協(xié)議、密鑰交換和加密算法等。IPSec在遵從IPSec標(biāo)準(zhǔn)的設(shè)備之間提供安全的通訊，即使這些設(shè)備可能是由不同廠商所提供的。

7.L2TP和IPSec在VPN的接入實(shí)施中起到什么作用？

L2TP提供隧道建立或封裝，以及第二層驗(yàn)證。IPSec提供L2TP隧道的加密，從而可以提供對(duì)會(huì)話的安全保證。用戶可以在隧道模式中自己使用IPSec功能，但L2TP可以提供更好的用戶驗(yàn)證功能。

8．IPSEC和CET的比較？

答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的數(shù)據(jù)加密，你就可以用CET，他是更成熟，更高速的解決方案。如果你需要基于工業(yè)界標(biāo)準(zhǔn)，提供對(duì)多廠商和遠(yuǎn)端客戶訪問連接的支持，你就該用IPSEC。再者，如果你要在有或沒有加密的情況下對(duì)數(shù)據(jù)認(rèn)證的支持，IPSEC也是正確的選擇。如果你愿意，你可以在網(wǎng)絡(luò)中同時(shí)配置CET和IPSEC，甚至在同一個(gè)設(shè)備上。CISCO設(shè)備可以同時(shí)支持對(duì)多個(gè)終端的CET安全會(huì)話和IPSEC安全會(huì)話。

9.Cisco1700系列路由器上是否支持硬件VPN功能，該硬件產(chǎn)品號(hào)是什么？

支持，該硬件VPN功能模塊為：MOD1700-VPN。

10.帶VPN模塊的Cisco1700系列路由器與靠IPSec軟件實(shí)現(xiàn)VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特點(diǎn)？

帶IPSec軟件而不帶VPN模塊的Cisco1700系列路由器可以對(duì)具有256個(gè)字節(jié)數(shù)據(jù)包達(dá)到300kbps的3DES加密，具有VPN模塊的1700路由器對(duì)相同大小的數(shù)據(jù)包達(dá)到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密，不支持3DES。所能達(dá)到的速率適合進(jìn)行ISDN128K的連接。

上一篇：一般網(wǎng)站最容易發(fā)生的故障的解決方法

下一篇：用IIS建立高安全性Web服務(wù)器的方法