CISCO常見問題及解答——VPN相關

2019-11-04 23:41:28

字體：大中小

來源：轉載

供稿：網友

　　123 問題：在使用Cisco2621路由器實施VPN的方案中，如何提供用戶驗證功能？
　　
　　答案：需要IOS軟件版本支持Xauth-擴展IKE驗證功能，該功能在IKE的驗證功能基礎上增加了額外的用戶驗證功能。該特性在IOS12.1(1)T軟件版本中正式發布。
　　
　　124 問題：在VPN中實施QOS的意義是什么？
　　
　　答案：QOS可以使你治理由本地網到公網(如Internet)的反應時間。QOS可以確保重要的數據流量能夠優先得到保障，這樣可以確保從A點到B點的重要數據流量得到有效的傳輸。
　　
　　125 問題：ipSec是什么？它是否是一種新的加密形式？
　　
　　答案：IPSec是一套用來通過公共IP網絡進行安全通訊的協議格式，它包括數據格式協議、密鑰交換和加密算法等。IPSec在遵從IPSec標準的設備之間提供安全的通訊，即使這些設備可能是由不同廠商所提供的。
　　
　　126 問題：L2TP和IPSec在VPN的接入實施中起到什么作用？
　　
　　答案：L2TP提供隧道建立或封裝，以及第二層驗證。IPSec提供L2TP隧道的加密，從而可以提供對會話的安全保證。用戶可以在隧道模式中自己使用IPSec功能，但L2TP可以提供更好的用戶驗證功能。
　　
　　127 問題：GRE的主要作用是什么？
　　
　　答案：GRE是一種基于IP的隧道技術，它可被用來在基于IP的骨干網上傳輸多種協議的數據流量，如IPX、AppleTalk等。同時，GRE還可被用來在Internet網絡上通過隧道傳輸廣播和組播信息，如路由更新信息等。需要注重的是，在使用GRE之前需要先在作為VPN終點設備的物理接口上進行相關配置，隨后可以使用諸如IPSec等安全措施保護隧道。
　　
　　128 問題：Cisco1750/2600/3600系列路由器產品中，當需要支持VPN功能時，如何選擇IOS軟件？
　　
　　答案：當需要支持VPN功能時，路由器需要使用帶有IPSec特性集的IOS軟件包。
　　
　　129 問題：CiscoPIX防火墻產品是否需要使用額外的軟件才能支持VPN功能？
　　
　　答案：CiscoPIX防火墻產品可以支持IPSec所使用的IKE和PKI安全驗證協議，因此不需要使用其它軟件就可以支持VPN功能。
　　
　　130 問題：Cisco1700系列路由器上是否支持硬件VPN功能，該硬件產品號是什么？
　　
　　答案：支持，該硬件VPN功能模塊為：MOD1700-VPN。
　　
　　131 問題：IPSec是什么？
　　
　　答案：IPSec是一種工業上的標準，它的作用是保證通過廣域網進行傳輸的信息的私有性、完整性和真實性不被破壞。
　　
　　132 問題：與帶VPN模塊的Cisco1700系列路由器相比，帶VPN AIM模塊的Cisco2600系列路由器具有哪些特點？
　　
　　答案：?可以達到雙倍的加密性能 ?可同時支持120個IPSec隧道 ?將IP壓縮和IPSec加速功能相結合 ?未來支持 FIPS 140-1 Level 3安全標準注：Cisco2600系列路由器的VPN AIM模塊將在2000年夏季出版。
　　
　　133 問題：帶VPN模塊的Cisco1700系列路由器與靠IPSec軟件實現VPN功能的1700路由器以及Cisco800、1600系列VPN路由器相比各有什么特點？
　　
　　答案：帶IPSec軟件而不帶VPN模塊的Cisco1700系列路由器可以對具有256個字節數據包達到300kbps的3DES加密，具有VPN模塊的1700路由器對相同大小的數據包達到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密，不支持3DES。所能達到的速率適合進行ISDN128K的連接。
　　
　　134 問題：帶VPN模塊的Cisco1700系列路由器能否與其它廠商提供的VPN產品進行互操作？
　　
　　答案：盡管在許多不同的廠商之間已經就VPN形成了IPSec標準，如PKI和數字驗證等，但仍有許多廠商在設計和實施VPN的時候都或多或少地超出了這一標準。因此，在這之間進行互操作時有可能會碰到問題。
　　
　　135 問題：什么是IKE，它的作用是什么？
　　
　　答案：Internet Key Exchange，因特網密鑰交換。它的作用是協助進行安全治理。IK E在進行IPSec處理過程中對身份進行鑒別，同時進行安全策略的協商和處理會話密鑰的交換工作。
　　
　　136 問題：是否所有Cisco1700系列路由器全都支持VPN模塊？
　　
　　答案：是的，Cisco1720、1750、1750-2V和1750-4V都支持VPN模塊。
　　
　　137 問題：Cisco1700系列路由器的VPN模塊是否能在其它路由器平臺上，如Cisco2600/3600系列路由器上使用？
　　
　　答案：不能，Cisco1700系列路由器的VPN模塊是專門設計的，只能工作在Cisco1700路由器的平臺上，不適用于Cisco2600/3600系列的路由器平臺。同樣，Cisco2600/3600系列路由器使用的VPN AIM模塊也無法在1700系列上使用。
　　
　　138 問題：IPX的數據流量如何通過VPN隧道？
　　
　　答案：IPX數據流量首先需要使用IP進行包裝，這通?？梢栽诼酚善骱吐酚善髦g使用GRE來實現，或者在VPN客戶端軟件和路由器的連接之間使用PPTP來實現。
　　
　　139 問題：在VPN上是否能夠支持組播流量？
　　
　　答案：可以，通過在設備之間配置GRE通道并在所建立的隧道中對所有的流量進行加密可以確保廣播流和組播流在VPN上的傳輸。 QQread.com 推出Windows2003教程 win2003安裝介紹 win2003網絡優化 win2003使用技巧 win2003系統故障服務器配置專家答疑

更多的請看：http://www.qqread.com/windows/2003/index.Html

　　140 問題：語音和數據集成的數據流是否能夠通過VPN進行很好的傳輸，Cisco的哪些設備支持該項功能？
　　
　　答案：一般來講，假如沒有硬件加速、壓縮以及優秀的QOS機制，使用加密機制如IPSec傳輸語音幾乎是無法想象的。目前，我們已經距離通過VPN傳輸加密的語音和數據的組合數據流的目標越來越近，在7100系列路由器中使用硬件加密技術已經成為現實，在不遠的將來，這一功能將會在Cisco7200、3600、2600以及1700系列的路由器中實現。另外，通過使用對IPSec數據包的LZS壓縮技術和QOS機制如NBAR，都將加速語音的VPN傳輸。
　　
　　141 問題：我的ISP提供商沒有提供VPN服務，我是否可以使用VPN技術？
　　
　　答案：可以。用戶可以使用客戶端軟件由客戶端的PC機建立起VPN連接(通過L2TP、PPTP以及IPSec等)，在這里ISP所扮演的角色僅僅是在兩個VPN終點間路由IP數據流量的網關。
　　
　　142 問題：使用基于VPN的防火墻解決方案與使用基于IPSec的路由器解決方案相比較，有哪些優勢和不足？
　　
　　答案：優勢： ?集成的解決方案，不需安裝額外的設備。 ?降低了設備投資成本，減少了設備支持和維護工作。不足： ?防火墻可能不支持路由功能和其它一些特性，如QOS。 ?在同一臺設備上同時執行防火墻和加密功能，將會影響設備的性能。 ?在特定的VPN設備上同時支持的VPN隧道數量過于巨大。
　　
　　143 問題：Catalyst5500系列交換機的RSM模塊是否支持VPN功能？
　　
　　答案：目前還不能，但在最近的新版本軟件中，將會加入該項功能。
　　
　　144 問題：哪些版本軟件的PIX防火墻支持VPN功能？
　　
　　答案：在PIX5.0和5.1版本以后的PIX IOS IPSec軟件都支持VPN功能，PIX5.1同時也支持PPTP VPN隧道協議。
　　
　　145 問題：3DES加密是否比PIX防火墻和客戶端的DES加密具有更強的處理器功能？
　　
　　答案：是的。3DES一般要求具有2倍于DES的加密處理功能。
　　
　　146 問題：Cisco1750系列路由器能否支持3DES？
　　
　　答案：可以支持。
　　
　　147 問題：從哪些版本的IOS軟件開始支持VPN功能？
　　
　　答案：基于VPN的加密功能(Encrytion)是從Cisco IOS11.2CET開始的，在Cisco IOS 11.3.3T版本的軟件以后可以支持IPSec功能。
　　
　　148 問題：是否CiscoVPN客戶端的軟件可以與任何Cisco的產品配合使用，還是只能與Cisco7000系列路由器配合使用？
　　
　　答案：CiscoVPN客戶端軟件可以適用于任何運行有IPSecIOS軟件的VPN路由器，產品從Cisco800系列到7500系列運行IPSec軟件的路由器，其中一部分是靠軟件實現的，一部分是靠硬件實現的。
　　
　　149 問題：能否使用其它廠商的IPSec設備對CiscoVPN設備進行訪問？
　　
　　答案：只要兩種設備都支持RFC's2401-2412標準，那么成功的可能性將會很大。
　　
　　150 問題：Cisco1720路由器能夠支持多少個動態用戶的VPN接入？
　　
　　答案：大約是20-30個用戶之間。
　　
　　151 問題：Cisco的VPN軟件能否在同一個連接中支持多種協議(如IP、IPX等)？
　　
　　答案：假如VPN支持多協議隧道功能，如GRE、L2TP或PPTP(均在CiscoIOS軟件中被支持)，那么就可以支持多協議。
　　
　　152 問題：Cisco系列VPN路由器一般可以支持多少個遠端移動用戶？
　　
　　答案：Cisco1700系列VPN路由器可以支持20-30個用戶，假如采用硬件加速技術，則可以支持100個左右的用戶。Cisco2600/3600系列VPN路由器可以支持100-500個左右的用戶。對于超過500個以上的用戶數的VPN應用，建議采用Cisco7XXX系列的VPN路由器。
　　
　　256 問題：當用戶需要實現VPN時，路由軟件如何配置？對于移動撥號用戶來說如何配置軟件？
　　
　　答案：當用戶需要實現VPN功能時，路由器可以選用IPSEC的IOS軟件。對于移動撥號用戶來說，當需要和具有支持VPN功能的路由器建立安全隧道時，可以購買CISCO公司VPN客戶端軟件，該軟件可以在WIN95/98/NT平臺上運行，WIN2000本身自帶VPN客戶端軟件。

上一篇：CISCO常見問題及解答——防火墻相關

下一篇：Cisco Cables 實物圖