收藏
CISCO 2821-V/K9维修信息
常见问题解答- 1.Cisco[de]VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?
-
答案:- 如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
-
- 2.Cisco1720路由器能够支持多少个动态用户[de]VPN接入?
-
- 答案:
- 大约是20-30个用户之间。
-
- 3.能否使用其它厂商[de]IPSec设备对CiscoVPN设备进行访问?
-
- 答案:
- 只要两种设备都支持RFC's2401-2412标准,那么成功[de]可能性将会很大。
-
- 4.是否CiscoVPN客户端[de]软件可以与任何Cisco[de]产品配合使用,还是只能与Cisco7000系列路由器配合使用?
-
- 答案:
- CiscoVPN客户端软件可以适用于任何运行有IPSecIOS软件[de]VPN路由器,产品从Cisco800系列到7500系列运行IPSec软件[de]路由器,其中一部分是靠软件实现[de],一部分是靠硬件实现[de]。
-
- 5.从哪些版本[de]IOS软件开始支持VPN功能?
-
- 答案:
- 基于VPN[de]加密功能(Encrytion)是从Cisco IOS11.2CET开始[de],在Cisco IOS 11.3.3T版本[de]软件以后可以支持IPSec功能。
-
- 6.3DES加密是否比PIX防火墙和客户端[de]DES加密具有更强[de]处理器功能?
-
- 答案:
- 是[de]。3DES一般要求具有2倍于DES[de]加密处理功能。
-
- 7.哪些版本软件[de]PIX防火墙支持VPN功能?
-
- 答案:
- 在PIX5.0和5.1版本以后[de]PIX IOS IPSec软件都支持VPN功能,PIX5.1同时也支 持PPTP VPN隧道协议。
-
- 8.Catalyst5500系列交换机[de]RSM模块是否支持VPN功能?
-
- 答案:
- 目前还不能,但在最近[de]新版本软件中,将会加入该项功能。
-
- 9.使用基于VPN[de]防火墙解决方案与使用基于IPSec[de]路由器解决方案相比较,有哪些优势和不足?
-
-
- 10.我[de]ISP提供商没有提供VPN服务,我是否可以使用VPN技术?
-
- 答案:
- 可以。用户可以使用客户端软件由客户端[de]PC机建立起VPN连接(通过L2TP、PPTP以及IPSec等),在这里ISP所扮演[de]角色仅仅是在两个VPN终点间路由IP数据流量[de]网关。
-
- 11.语音和数据集成[de]数据流是否能够通过VPN进行很好[de]传输,Cisco[de]哪些设备支持该项功能?
-
-
- 12.IPX[de]数据流量如何通过VPN隧道?
-
- 答案:
- IPX数据流量首先需要使用IP进行包装,这通常可以在路由器和路由器之间使用GRE来实现,或者在VPN客户端软件和路由器[de]连接之间使用PPTP来实现。
-
- 13.Cisco1700系列路由器[de]VPN模块是否能在其它路由器平台上,如Cisco2600/3600系列路由器上使用?
-
-
- 14.什么是IKE,它[de]作用是什么?
-
- 答案:
- Internet Key Exchange,因特网密钥交换。它[de]作用是协助进行安全管理。IK E在进行IPSec处理过程中对身份进行鉴别,同时进行安全策略[de]协商和处理会话密钥[de]交换工作。
-
- 15.带VPN模块[de]Cisco1700系列路由器能否与其它厂商提供[de]VPN产品进行互操作?
-
- 答案:
- 尽管在许多不同[de]厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN[de]时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。
-
- 16.带VPN模块[de]Cisco1700系列路由器与靠IPSec软件实现VPN功能[de]1700路由器以及Cisco800、1600系列VPN路由器相比各有什么特点?
-
-
- 17.带VPN模块[de]Cisco1700系列路由器相比,带VPN AIM模块[de]Cisco2600系 列路由器具有哪些特点?
-
- 答案:
- 可以达到双倍[de]加密性能 ?可同时支持120个IPSec隧道 ?将IP压缩和IPSec加速功能相结合 ?未来支持 FIPS 140-1 Level 3安全标准注:Cisco2600系列路由器[de]VPN AIM模块将在2000年夏季出版。
-
- 18.CiscoPIX防火墙产品是否需要使用额外[de]软件才能支持VPN功能?
-
- 答案:
- CiscoPIX防火墙产品可以支持IPSec所使用[de]IKE和PKI安全验证协议,因此不需要使用其它软件就可以支持VPN功能。
-
- 19.GRE[de]主要作用是什么?
-
-
- 20.L2TP和IPSec在VPN[de]接入实施中起到什么作用?
-
- 答案:
- L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道[de]加密,从而可以提供对会话[de]安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好[de]用户验证功能。
-
- 21.IPSec是什么?它是否是一种新[de]加密形式?
-
-
- 22.在VPN中实施QOS[de]意义是什么?
-
- 答案:
- QOS可以使你管理由本地网到公网(如Internet)[de]反应时间。QOS可以确保重要[de]数据流量能够优先得到保障,这样可以确保从A点到B点[de]重要数据流量得到有效[de]传输。
-
- 23.在使用Cisco2621路由器实施VPN[de]方案中,如何提供用户验证功能?
-
- 答案:
- 需要IOS软件版本支持Xauth-扩展IKE验证功能,该功能在IKE[de]验证功能基础上增加了额外[de]用户验证功能。该特性在IOS12.1(1)T软件版本中正式发布。
-
- 24.对于使用VPN不能访问外网的解决方案
-
-
- 答案:
- 上面的三段我只想说明一点:使用VPN连接,必须让通过VPN连接传输的数据包先到达VPN虚拟接口进行处理,如果绕过了VPN虚拟接口不处理的话,由于这个VPN连接的数据包没有经过加密措施就直接发送到了Internet上,那么你的VPN安全就根本没有保证。
现在我们来看一下,在VPN连接后此时VPN客户端的路由表。默认路由没有变,添加了一条VPN端口IP对应的分类网络路由条目:150.0.0.0?????255.255.0.0????150.0.1.226????150.0.1.226????1。假设现在通过VPN连接访问远程公司内网的192.168.0.0/24子网,根据上面的路由表,匹配的路由只有第一条默认路由。默认VPN路由设置是通过本地网卡到达网关后直接发送到192.168.0.0/24去的,因为Internet上的路由器不会转发到达私有网络的数据包,这样就可以达到外界不能访问公司内网、保证内网安全的目的。因此选中了“在远程网络上使用默认网关”选项,采用了默认路由,就不会出现前面所说的路由问题和安全问题。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 25.如何实现对VPN数据包的封装加密并安全传输的过程
-
-
- 答案:
- 现在我们来看一下VPN客户端的路由决策及数据包封装的过程。众所周知,VPN虚拟接口就是一个虚拟的点对点链路接口,当VPN虚拟接口收到数据包时,它把从网络层得到的数据包封装成PPP点对点数据帧并进行加密等操作,然后把它送到网关,这里的网关正是VPN客户端自己,所以这个被封装的PPP点对点数据帧又被返回给本机再次处理,这次处理其实就是再次封装的过程。
那为什么要再次封装?由于第一次封装的帧只能通过虚拟的VPN接口,如果要把数据通过实际的接口进行传输,还必须在实际的链路层上进行再次封装才行。而在最终封装成链路层数据帧之前,需要对第一次封装成的PPP数据帧进行其他的多级封装。因为规范中是不能直接把PPP帧封装在另一个链路层帧中的,需要在它们之间添加一些报头,最简单的PPTP封装就是在PPP 帧前添加了一个GRE头和IP头。
在封装到网络层比如IP报头的时候,这里需要进行一次路由决策,这是由于数据包要明确地发送到远方的VPN服务器,它将寻找一条到达远方VPN服务器的路由。在VPN连接建立时就同时创建一条到达VPN服务器的路由(route2),再次封装成PPTP格式或L2TP格式的IP数据包交给这条路由指定的接口进行处理。如果是以太网接口,这个数据包就加上以太网报头;如果是点对点,就加上点对点链路报头,发送到物理网络上。在此处,route2 指定的接口是150.0.1.41,即是网卡接口,所以它将加上以太网帧头,然后发送到物理网络上去。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 26.VPN客户机不能访问外网的原因初探
-
-
- 答案:
- 我们知道,VPN客户机是通过Internet连接到VPN服务器的,就是说通过VPN对Internet的访问物理意义上说是可以实现的。那么为什么会出现VPN连接建立后就不能访问外网的现象呢?出现了这种问题,很多用户都知道是路由表发生了变化,因此大家都通过在VPN连接的“高级TCP/IP设置”中取消“在远程网络上使用默认网关”选项来达到访问外网的目的。这种方法虽然表面上看来可行,觉得解决了一个VPN路由设置问题,但有所不知可能会带来新的路由问题,甚至给公司内网带来严重的安全隐患。大家想一下,我们采用VPN的最初目标是为了保证安全,结果却可能因为使用VPN而让整个公司网络面临外界攻击的境地,那么这样就背离了我们的初衷。
那么怎样才能更好并且安全的解决这个问题?以下我就先对VPN客户端的路由做一个初探,使大家对这一个知识点有一个较为全面地了解。我们已经通过分析认为是VPN路由设置问题,现在我们从VPN连接前后的路由表变化情况来找出问题的症结所在。大家可以边根据我的说明边进行实际操作,这样在需要使用VPN远程访问的时候会留下更深刻的印象。在VPN没有连接之前,输入route?print命令,出现当前的路由表项,然后连接上VPN,再次运行route?print命令,比较前后两次命令的区别。可以看到,在命令行窗口中连接后多出了几条路由,比较重要的有两条路由——在出现的结果Active Routes下的第三行和第十行分别有一条(我称为route1)0.0.0.0???0.0.0.0???150.0.1.226??150.0.1.226????1;另一条(我称为route2)218.70.201.62?? 255.255.255.255?? 150.0.1.43?? 150.0.1.41?? 20,注意,各位网友的路由中部分IP也可能会略有不同。
这里route1的150.0.1.226是VPN客户端从VPN服务器上获得的IP地址,而route2的150.0.1.41是客户机网卡的IP,218.70.201.62是 VPN服务器的公网IP。你们还可以看出,最右侧一列原来的路由metric值已经增加了,而且高于新的路由route1的metric值,这样原来的路由就失效了,现在起作用的是route1,它的metric值更低。那么到目前为止到Internet的访问就已经使用了新的路由route1,这条路由把数据包交给VPN的计划程序端口,然后VPN端口的数据再发送到远方的VPN服务器(route2),这个过程后会引起不能访问Internet上的站点,这就是前面所说的VPN连接后不能访问外网的原因。 - 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 27.在连接上一定需要"路由器"吗?
-
-
- 28.用户增加路由器后如何设置?
-
-
- 答案:
-
1 首先将Cable Modem的5类线(网线)接入宽带路由器的WAN口,用户的电脑连接上LAN口
2 打开连接上的电脑,IE浏览器中输入"192.168.1.1"<对不同品牌路由器该页面IP会有所不同192.168.16.1 等>,会弹出路由器的设置页面
3 输入用户名"admin",密码"admin"<对不同品牌路由器该用户名、密码会不同,[route,route],[huawei,huawei]等>进入设置
4 在设置页面中,连接方式选择"动态分配IP地址"后,保存设置,重器路由器后即可上网
注意:以前用的路由最好把设置回复到出厂设置
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 29.应该有多少内存在接受完全BGP 路由表 的路由器从ISP?
-
-
- 30.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?
-
- 答案:
- 如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
-
- 31.当用户需要实现VPN时,路由软件如何配置?对于移动拨号用户来说如何配置软件?
-
-
- 32.Cisco系列VPN路由器一般可以支持多少个远端移动用户?
-
-
- 33.Cisco1720路由器能够支持多少个动态用户的VPN接入?
-
- 答案:
- 大约是20-30个用户之间。
-
- 34.能否使用其它厂商的IPSec设备对CiscoVPN设备进行访问?
-
- 答案:
- 只要两种设备都支持RFC's2401-2412标准,那么成功的可能性将会很大。
-
- 35.是否CiscoVPN客户端的软件可以与任何Cisco的产品配合使用,还是只能与Cisco7000系列路由器配合使用?
-
- 答案:
- CiscoVPN客户端软件可以适用于任何运行有IPSecIOS软件的VPN路由器,产品从Cisco800系列到7500系列运行IPSec软件的路由器,其中一部分是靠软件实现的,一部分是靠硬件实现的。
-
- 36.从哪些版本的IOS软件开始支持VPN功能?
-
- 答案:
- 基于VPN的加密功能(Encrytion)是从Cisco IOS11.2CET开始的,在Cisco IOS 11.3.3T版本的软件以后可以支持IPSec功能。
-
- 37.Cisco1750系列路由器能否支持3DES?
-
- 答案:
- 可以支持。
-
- 38.3DES加密是否比PIX防火墙和客户端的DES加密具有更强的处理器功能?
-
- 答案:
- 是的。3DES一般要求具有2倍于DES的加密处理功能。
-
- 39.哪些版本软件的PIX防火墙支持VPN功能?
-
- 答案:
- 在PIX5.0和5.1版本以后的PIX IOS IPSec软件都支持VPN功能,PIX5.1同时也支 持PPTP VPN隧道协议。
-
- 40.Catalyst5500系列交换机的RSM模块是否支持VPN功能?
-
- 答案:
- 目前还不能,但在最近的新版本软件中,将会加入该项功能。
-
- 41.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?
-
-
- 42.我的ISP提供商没有提供VPN服务,我是否可以使用VPN技术?
-
- 答案:
- 可以。用户可以使用客户端软件由客户端的PC机建立起VPN连接(通过L2TP、PPTP以及IPSec等),在这里ISP所扮演的角色仅仅是在两个VPN终点间路由IP数据流量的网关。
-
- 43.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?
-
-
- 44.在VPN上是否能够支持组播流量?
-
- 答案:
- 可以,通过在设备之间配置GRE通道并在所建立的隧道中对所有的流量进行加密可以确保广播流和组播流在VPN上的传输。
-
- 45.IPX的数据流量如何通过VPN隧道?
-
- 答案:
- IPX数据流量首先需要使用IP进行包装,这通常可以在路由器和路由器之间使用GRE来实现,或者在VPN客户端软件和路由器的连接之间使用PPTP来实现。
-
- 46.Cisco1700系列路由器的VPN模块是否能在其它路由器平台上,如Cisco2600/3600系列路由器上使用?
-
-
- 47.是否所有Cisco1700系列路由器全都支持VPN模块?
-
- 答案:
- 是的,Cisco1720、1750、1750-2V和1750-4V都支持VPN模块。
-
- 48.什么是IKE,它的作用是什么?
-
- 答案:
- Internet Key Exchange,因特网密钥交换。它的作用是协助进行安全管理。IK E在进行IPSec处理过程中对身份进行鉴别,同时进行安全策略的协商和处理会话密钥的交换工作。
-
- 49.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?
-
- 答案:
- 尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题
-
- 50.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及Cisco800、1600系列VPN路由器相比各有什么特点?
-
-
