VPN 技术部分问题解答

1.为什么CISCO力推第二层隧道协议，而不是第三层隧道协议？

CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案，而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案，例如，客户端初始化的隧道模式和Internet大规模的访问解决方案。

2.什么是第三层隧道

第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3（3）T支持该项特性。CISCO在ios版本12.0（1）T支持移动IP。

3.GRE的主要作用是什么？

GRE是一种基于IP的隧道技术，它可被用来在基于IP的骨干网上传输多种协议的数据流量，如IPX、AppleTalk等。同时，GRE还可被用来在Internet网络上通过隧道传输广播和组播信息，如路由更新信息等。需要注意的是，在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置，随后可以使用诸如IPSec等安全措施保护隧道。

4.语音和数据集成的数据流是否能够通过VPN进行很好的传输，Cisco的哪些设备支持该项功能？

一般来讲，如果没有硬件加速、压缩以及优秀的QOS机制，使用加密机制如IPSec传输语音几乎是无法想象的。目前，我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近，在7100系列路由器中使用硬件加密技术已经成为现实，在不远的将来，这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外，通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR，都将加速语音的VPN传输。

5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较，有哪些优势和不足？

优势：

　　*集成的解决方案，不需安装额外的设备。

　　*降低了设备投资成本，减少了设备支持和维护工作。

　　不足：

　　*防火墙可能不支持路由功能和其它一些特性，如QOS。

　　*在同一台设备上同时执行防火墙和加密功能，将会影响设备的性能。

　　*在特定的VPN设备上同时支持的VPN隧道数量过于巨大。

　　6.IPSec是什么？它是否是一种新的加密形式？

　　IPSec是一套用来通过公共IP网络进行安全通讯的协议格式，它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯，即使这些设备可能是由不同厂商所提供的。

　　7.L2TP和IPSec在VPN的接入实施中起到什么作用？

　　L2TP提供隧道建立或封装，以及第二层验证。IPSec提供L2TP隧道的加密，从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能，但L2TP可以提供更好的用户验证功能。

　　8．IPSEC和CET的比较？

　　答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密，你就可以用CET，他是更成熟，更高速的解决方案。如果你需要基于工业界标准，提供对多厂商和远端客户访问连接的支持，你就该用IPSEC。再者，如果你要在有或没有加密的情况下对数据认证的支持，IPSEC也是正确的选择。如果你愿意，你可以在网络中同时配置CET和IPSEC，甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。

　　9.Cisco1700系列路由器上是否支持硬件VPN功能，该硬件产品号是什么？

　　支持，该硬件VPN功能模块为：MOD1700-VPN。

　　10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点？

　　带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密，具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密，不支持3DES。所能达到的速率适合进行ISDN128K的连接。

　　11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作？

　　尽管在许多不同的厂商之间已经就VPN形成了IPSec标准，如PKI和数字验证等，但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此，在这之间进行互操作时有可能会遇到问题。

　　12.Cisco系列VPN路由器一般可以支持多少个远端移动用户？

　　Cisco1700系列VPN路由器可以支持20-30个用户，如果采用硬件加速技术，则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用，建议采用Cisco7XXX系列的VPN路由器。

　　13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)？

　　如果VPN支持多协议隧道功能，如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持)，那么就可以支持多协议。

　　14.什么是CiscoVPNClient?

　　CiscoVPNclient是一个软件，用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000，XP的支持。

　　15.什么是CISCOvpn3002硬件客户端？

　　CISCOvpn3002硬件客户端是一个小的硬件系统，作为一个VPN环境中的客户端。代替在基于MSDOS，WINDOWS和NT平台的软件客户端。

　　安全产品部分问题解答

　　1.ciscopix放火墙采用的是何种算法？数据是如何通过防火墙进行转发？

　　Ciscopix放火墙采用的是自适应安全算法，这是一种同设备连接状态密切相关的安全检测的方法。每一个进入放火墙的数据包都要通过自适应安全算法和内存中的连接状态信息的检查。通过这种面向连接的动态防火墙设备，能同时处理500000个并发的连接和高达1Gbps的吞吐量。可想而知这种同连接状态有关的方法比仅仅检查数据包（如访问列表）筛选的方法安全的多。当一个向外发送的包到达一个Pix放火墙较高级别接口时，不管前一个包是否来自哪个主机，Pix放火墙用自适应安全算法检察该包是否有效。如果不是，该包属于一个新的连接，Pix放火墙会为该连接在状态表中创建转换槽。Pix放火墙存储在转换槽中的信息包括内部的IP地址和全局唯一的IP地址，该地址由NAT,PAT,或身份分配。Pix放火墙接着改变包的源地址为全局唯一地址，按照要求修改校验和以及其他域的地址，并将包转发给较低的安全级别借口。

　　2．Ciscopixfailover的作用？

　　使用pix版本5.0,如果你有100Mbps的LAN接口，你可以选择与StatefulFailover选项。这样一使连接状态自动地在两个放火墙部件之间传递。在failover偶对中的两个部件通过failover线缆通信。failover线缆是修改过的RS-232串行线缆，它以9600的速率传输数据。数据提供主部件或从部件的标识号，另外一个部件电源状态，并作为两个部件不同的failover之间的通信链路。

　　3．AAA的作用？

　　访问控制是用来控制允许何种人访问服务器，以及一旦他们能够访问该服务器，以及一旦他们能够访问该服务器，允许他们使用何种服务的方法。AAA是使用相同方式配置三种独立的安全功能的一种结构。它提供了完成下列服务的模块化方法：认证—一种提供识别用户的方法，包括注册和口令对话框，询问和响应，消息支持以及根据所选择的安全协议进行加密。授权—一种提供远程访问控制的方法包括一次性授权或者单项服务服务授权，每个用户帐户列表和简介，用户包支持以及IP,IPX,ARP和Telnet支持。记帐—一种给安全服务器收集，发送信息提供服务的方法，这些信息用来开列帐单，审计和形成报表，如用户标识，开始时间和停止时间，执行的命令，包的数量以及字节数。

　　4．RADIUS?

　　RADIUS是分布式客户机/服务器系统，它保护网络不受未授权访问的干扰。在Cisco实现中，Radius客户机运行于路由器上，并向中央RADIUS服务器发出认证请求，这里的中央服务器包含了所有的用户认证和网络服务访问信息。Cisco利用其AAA安全模式支持RADIUS，RADIUS也可以用于其他AAA安全协议，比如，TACACS,KERBEROS或本地用户名查找，所有Cisco平台都支持RADIUS。

　　5．Cisco加密技术如何实现？

　　网络数据加密是在IP包一级提供的，只有IP包可以被加密。只有当包满足在路由器上配置加密时所建立的条件时，这个数据包才会被加密/解密。当加密以后，单个数据包在传输时可以被检测到，但IP包的内容不能被读取。IP头和上层协议头没有被加密，但TCP或UDP包内所有的净荷数据都被加密，因此，在传输过程中不能被读取。

　　6.IPSec如何工作？

　　IPSec为两个同位体（路由器），提供安全隧道。由用户来定义哪些包将被认为是敏感信息，并将由这些安全隧道传送。并且通过指定这些隧道的参数来定义用于保护这些敏感的参数。然后，当IPSec看到这样的一个敏感包时，它将建立起相应的安全隧道，通过这隧道将这份数据包传送给远端同位体。

　　7．TACACS+的作用？

　　TACACS+是一种安全应用程序，它为用户获得对路由器或网络访问服务器的访问提供集中化的验证。TACACS+服务在TACACS+后台程序的数据库中进行维护，这种后台程序典型地运行在UNIX或WindowsNT工作站上。在为网络访问服务器配置的TACACS+特性可用之前，必须能够访问并配置TACACS+服务器。

　　8．CiscoIOS软件支持哪几种授权类型？

　　1）EXEC授权—适用于与用户EXEC终端对话相关的属性。

　　2）命令授权