IT外包桌面解決方案--VPN技術部分問題解答

2020-03-28 06:49 作者：艾銻無限 瀏覽量：

   
在一封題為“我們可以從新冠病毒疫情中學會什么”的公開信中，他寫道：
“冥冥中自有深意”
“我堅信，無論是好是壞，眼下所發生的一切事情背后自有深意。”不管是好事還是壞事。它提醒我們：
1)無論我們在文化、宗教、職業、經濟狀況或聲望方面存在多大差異，我們在疫情爆發時都是平等的。

2）我們都是相互聯系的，影響一個人的事情也會影響其他人。

3）我們設置的虛假邊界沒有什么價值，因為這種病毒不需要護照就會傳播。它通過短暫的壓迫提醒我們，這個世界上許多人終生都在壓迫中度過。

4）我們的健康是多么珍貴，我們是如何通過食用營養不良的加工食品和飲用被化學物質污染的水而忽視它的。如果我們不注意我們的健康，我們當然會生病。

5）生命的短暫，提醒我們最重要的是要互相幫助，尤其是幫助那些老人或病人。

6）我們的社會已經變得多么崇尚物質。在困難時期，我們應該記住，我們需要的是必需品(食物、水、藥品)，而不是我們有時不必要地賦予高昂價值的奢侈品。

7）我們的家庭和家庭生活是多么重要，我們是多么忽視了這一點。它正迫使我們重返家園，這樣我們才能重建家園，鞏固我們的家庭。

8）我們真正的工作不是現在的工作，那是我們所做的，而不是我們生來要做的。我們真正的工作是互相照顧，互相保護，互相得益。

9）我們要克制自我，無論我們認為自己有多偉大，或別人認為我們有多有名，病毒都能讓我們的世界陷入停滯。

10）自由意志的力量就在我們手中。我們可以選擇合作和互相幫助，可以選擇分享、給予、幫助和支持，也可以選擇自私自利、囤積、只顧自己。的確，正是困難使我們暴露了本性。

11）我們可以保持耐心，也可以陷入驚慌失措中。我們可以理解這種情況在歷史上已經發生過很多次了，而且終會過去。或者我們可以陷入恐慌，認為這是世界末日，由此對我們造成的傷害大于好處。

12）這可能是一個結束，也可能代表著新的開始。這段時間可以是反思和理解的時間，可以是我們從錯誤中吸取教訓的時間，也可以是個循環的開始，這個循環會一直持續下去，直到我們最終得到我們想要的教訓。

13）地球已經陷入病態之中。它提醒我們，我們需要關注森林砍伐的速度，就像我們關注衛生紙從貨架上消失的速度一樣迫切。我們生病是因為我們的家園生病了。

14）在每一個困難之后，總會有輕松的時候。生命是循環的，而這只是這個偉大循環中的一個階段。我們不需要恐慌，這一切都會過去。
盡管許多人認為新型冠狀病毒是一個巨大的災難，但我更傾向于認為它是一個“偉大的糾正者”。它提醒我們關注那些我們似乎已經遺忘的重要教訓，而是否吸取這些教訓則取決于我們自己。
 
 
 

VPN技術部分問題解答

1.為什么CISCO力推第二層隧道協議，而不是第三層隧道協議？
CISCO都提供這兩種方案。CISCO沒有著重強調那一個。第二層隧道協議主要用在訪問VPN方案，而第三層隧道協議則對Intranet和Extranet提供VPN方案支持。第三層隧道協議同樣也可用于一些訪問VPN的方案，例如，客戶端初始化的隧道模式和Internet大規模的訪問解決方案。

2.什么是第三層隧道？
第三層隧道不是一個新的技術。RFC1701中定義的GRE已經存在很長時間了。CISCO在自從ios版本9.21就支持該技術。Ipsec是新的為支持加密隧道而定義的IETF標準。CISCO自從ios版本11.3（3）T支持該項特性。CISCO在ios版本12.0（1）T支持移動IP。

3.GRE的主要作用是什么？
GRE是一種基于IP的隧道技術，它可被用來在基于IP的骨干網上傳輸多種協議的數據流量，如IPX、AppleTalk等。同時，GRE還可被用來在Internet網絡上通過隧道傳輸廣播和組播信息，如路由更新信息等。需要注意的是，在使用GRE之前需要先在作為VPN終點設備的物理接口上進行相關配置，隨后可以使用諸如IPSec等安全措施保護隧道。

4.語音和數據集成的數據流是否能夠通過VPN進行很好的傳輸，Cisco的哪些設備支持該項功能？
一般來講，如果沒有硬件加速、壓縮以及優秀的QOS機制，使用加密機制如IPSec傳輸語音幾乎是無法想象的。目前，我們已經距離通過VPN傳輸加密的語音和數據的組合數據流的目標越來越近，在7100系列路由器中使用硬件加密技術已經成為現實，在不遠的將來，這一功能將會在Cisco7200、3600、2600以及1700系列的路由器中實現。另外，通過使用對IPSec數據包的LZS壓縮技術和QOS機制如NBAR，都將加速語音的VPN傳輸。

5.使用基于VPN的防火墻解決方案與使用基于IPSec的路由器解決方案相比較，有哪些優勢和不足？
優勢：
*集成的解決方案，不需安裝額外的設備。
*降低了設備投資成本，減少了設備支持和維護工作。
不足：
*防火墻可能不支持路由功能和其它一些特性，如QOS。
*在同一臺設備上同時執行防火墻和加密功能，將會影響設備的性能。
*在特定的VPN設備上同時支持的VPN隧道數量過于巨大。

6.IPSec是什么？它是否是一種新的加密形式？
IPSec是一套用來通過公共IP網絡進行安全通訊的協議格式，它包括數據格式協議、密鑰交換和加密算法等。IPSec在遵從IPSec標準的設備之間提供安全的通訊，即使這些設備可能是由不同廠商所提供的。

7.L2TP和IPSec在VPN的接入實施中起到什么作用？
L2TP提供隧道建立或封裝，以及第二層驗證。IPSec提供L2TP隧道的加密，從而可以提供對會話的安全保證。用戶可以在隧道模式中自己使用IPSec功能，但L2TP可以提供更好的用戶驗證功能。

8．IPSEC和CET的比較？
答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的數據加密，你就可以用CET，他是更成熟，更高速的解決方案。如果你需要基于工業界標準，提供對多廠商和遠端客戶訪問連接的支持，你就該用IPSEC。再者，如果你要在有或沒有加密的情況下對數據認證的支持，IPSEC也是正確的選擇。如果你愿意，你可以在網絡中同時配置CET和IPSEC，甚至在同一個設備上。CISCO設備可以同時支持對多個終端的CET安全會話和IPSEC安全會話。

9.Cisco1700系列路由器上是否支持硬件VPN功能，該硬件產品號是什么？
支持，該硬件VPN功能模塊為：MOD1700-VPN。

10.帶VPN模塊的Cisco1700系列路由器與靠IPSec軟件實現VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特點？
帶IPSec軟件而不帶VPN模塊的Cisco1700系列路由器可以對具有256個字節數據包達到300kbps的3DES加密，具有VPN模塊的1700路由器對相同大小的數據包達到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密，不支持3DES。所能達到的速率適合進行ISDN128K的連接。

11.帶VPN模塊的Cisco1700系列路由器能否與其它廠商提供的VPN產品進行互操作？
盡管在許多不同的廠商之間已經就VPN形成了IPSec標準，如PKI和數字驗證等，但仍有許多廠商在設計和實施VPN的時候都或多或少地超出了這一標準。因此，在這之間進行互操作時有可能會遇到問題。

12.Cisco系列VPN路由器一般可以支持多少個遠端移動用戶？
Cisco1700系列VPN路由器可以支持20-30個用戶，如果采用硬件加速技術，則可以支持100個左右的用戶。Cisco2600/3600系列VPN路由器可以支持100-500個左右的用戶。對于超過500個以上的用戶數的VPN應用，建議采用Cisco7XXX系列的VPN路由器。

13.Cisco的VPN軟件能否在同一個連接中支持多種協議(如IP、IPX等)？
如果VPN支持多協議隧道功能，如GRE、L2TP或PPTP(均在CiscoIOS軟件中被支持)，那么就可以支持多協議。

14.什么是CiscoVPNClient?
CiscoVPNclient是一個軟件，用于訪問使能VPN產品的服務器端。他提供對Windows95,98,NT4.0,和2000，XP的支持。

15.什么是CISCOvpn3002硬件客戶端？
CISCOvpn3002硬件客戶端是一個小的硬件系統，作為一個VPN環境中的客戶端。代替在基于MSDOS，WINDOWS和NT平臺的軟件客戶端。
安全產品部分問題解答

1.ciscopix放火墻采用的是何種算法？數據是如何通過防火墻進行轉發？
Ciscopix放火墻采用的是自適應安全算法，這是一種同設備連接狀態密切相關的安全檢測的方法。每一個進入放火墻的數據包都要通過自適應安全算法和內存中的連接狀態信息的檢查。通過這種面向連接的動態防火墻設備，能同時處理500000個并發的連接和高達1Gbps的吞吐量。可想而知這種同連接狀態有關的方法比僅僅檢查數據包（如訪問列表）篩選的方法安全的多。當一個向外發送的包到達一個Pix放火墻較高級別接口時，不管前一個包是否來自哪個主機，Pix放火墻用自適應安全算法檢察該包是否有效。如果不是，該包屬于一個新的連接，Pix放火墻會為該連接在狀態表中創建轉換槽。Pix放火墻存儲在轉換槽中的信息包括內部的IP地址和全局唯一的IP地址，該地址由NAT,PAT,或身份分配。Pix放火墻接著改變包的源地址為全局唯一地址，按照要求修改校驗和以及其他域的地址，并將包轉發給較低的安全級別借口。

2．Ciscopixfailover的作用？
使用pix版本5.0,如果你有100Mbps的LAN接口，你可以選擇與StatefulFailover選項。這樣一使連接狀態自動地在兩個放火墻部件之間傳遞。在failover偶對中的兩個部件通過failover線纜通信。failover線纜是修改過的RS-232串行線纜，它以9600的速率傳輸數據。數據提供主部件或從部件的標識號，另外一個部件電源狀態，并作為兩個部件不同的failover之間的通信鏈路。

3．AAA的作用？
訪問控制是用來控制允許何種人訪問服務器，以及一旦他們能夠訪問該服務器，以及一旦他們能夠訪問該服務器，允許他們使用何種服務的方法。AAA是使用相同方式配置三種獨立的安全功能的一種結構。它提供了完成下列服務的模塊化方法：認證—一種提供識別用戶的方法，包括注冊和口令對話框，詢問和響應，消息支持以及根據所選擇的安全協議進行加密。授權—一種提供遠程訪問控制的方法包括一次性授權或者單項服務服務授權，每個用戶帳戶列表和簡介，用戶包支持以及IP,IPX,ARP和Telnet支持。記帳—一種給安全服務器收集，發送信息提供服務的方法，這些信息用來開列帳單，審計和形成報表，如用戶標識，開始時間和停止時間，執行的命令，包的數量以及字節數。

4．RADIUS?
RADIUS是分布式客戶機/服務器系統，它保護網絡不受未授權訪問的干擾。在Cisco實現中，Radius客戶機運行于路由器上，并向中央RADIUS服務器發出認證請求，這里的中央服務器包含了所有的用戶認證和網絡服務訪問信息。Cisco利用其AAA安全模式支持RADIUS，RADIUS也可以用于其他AAA安全協議，比如，TACACS,KERBEROS或本地用戶名查找，所有Cisco平臺都支持RADIUS。

5．Cisco加密技術如何實現？
網絡數據加密是在IP包一級提供的，只有IP包可以被加密。只有當包滿足在路由器上配置加密時所建立的條件時，這個數據包才會被加密/解密。當加密以后，單個數據包在傳輸時可以被檢測到，但IP包的內容不能被讀取。IP頭和上層協議頭沒有被加密，但TCP或UDP包內所有的凈荷數據都被加密，因此，在傳輸過程中不能被讀取。

6.IPSec如何工作？
IPSec為兩個同位體（路由器），提供安全隧道。由用戶來定義哪些包將被認為是敏感信息，并將由這些安全隧道傳送。并且通過指定這些隧道的參數來定義用于保護這些敏感的參數。然后，當IPSec看到這樣的一個敏感包時，它將建立起相應的安全隧道，通過這隧道將這份數據包傳送給遠端同位體。

7．TACACS+的作用？
TACACS+是一種安全應用程序，它為用戶獲得對路由器或網絡訪問服務器的訪問提供集中化的驗證。TACACS+服務在TACACS+后臺程序的數據庫中進行維護，這種后臺程序典型地運行在UNIX或WindowsNT工作站上。在為網絡訪問服務器配置的TACACS+特性可用之前，必須能夠訪問并配置TACACS+服務器。

8．CiscoIOS軟件支持哪幾種授權類型？
1）EXEC授權—適用于與用戶EXEC終端對話相關的屬性。
2）命令授權—適用于用戶發出的EXEC模式命令。命令授權試圖給所有的EXEC模式命令使用指定的特權級別授權。
3）網絡授權—適用于網絡連接，包括PPP,SLIP或ARAP連接。

9．CiscoIOS在網絡上管理記帳？
在網絡上管理記帳的命令。使用記帳管理可以跟蹤單個用戶使用的網絡資源和群組用戶的網絡資源。使用AAA記賬功能，不僅可以跟蹤用戶所訪問的服務，還可以跟蹤他們所消耗的網絡資源的數量。

10．Kerberos的作用？
Kerberos是秘密密鑰網絡認證協議，使用數據加密標準加密算法進行加密和認證。Kerberos是為對網絡資源的請求進行認證而設計的。與其他秘密密鑰系統一樣，Kerberos基于可信任的第三方概念，這個第三方對用戶和服務執行安全認證。

11．鎖定和密鑰的作用？
鎖定和密鑰是一種流量過濾安全特性，它動態過濾IP協議流量。鎖定和密鑰是使用IP動態擴展訪問列表進行配置的，它可以與其他標準訪列表或靜態訪問列表結合起來一起使用。

12．CiscoSecureScanner的作用？
CiscoSecureScanner是一種企業級的軟件工具，提供卓越的網絡系統識別，革新性數據管理，靈活的用戶定義脆弱性規則，全面的安全報告功能以及Cisco24*7的全球支持。

13．CiscoSecurePolicyManager的作用？
CiscoSecurePolicyManager是一個用于Cisco放火墻，IPSec虛擬網關路由器和入侵檢測系統Sensor的強大，可伸縮的安全政策管理系統。

14．Cisco安全入侵檢測系統的作用？
Cisco安全入侵檢測系統可以為企業和服務提供商網絡提供一系列高性能的安全監視監控方案。

15．CiscoSecure訪問控制服務器的作用？
CiscoSecure訪問控制服務器是為了解決Internet和所有共用的，專用的網絡或外部企業網等網絡的快速發展為用戶如何對網絡訪問進行控制，授權和記費提出的安全方面的具體解決工具。

16．CiscoIos防火墻的作用？
CiscoIos防火墻為每一個網絡周邊集成了穩健的放火墻功能性和入侵檢測，豐富了Cisco軟件的安全功能。

17.PIX防火墻的關于license信息。
PIX防火墻的license有Unrestricted,Restricted,andFail-Over三種配置。這些基本的配置都可以用VPNDES和3DES來加強安全性。Unrestricted—操作在UR模式下的PIX防火墻允許支持最大數目的接口和最大可支持的內存。UR的License支持熱備份冗余，最小化down網絡的時間。Restricted—操作在R模式下的PIX防火墻限制支持的接口數和支持的內存大小。限制的許可特性提供對那些小網絡的應用價格優化的防火墻方案。限制的許可特性不支持冗余的FO特性。Fail-Over—操作在FO模式下的PIX防火墻跟另一臺帶UR許可證的防火墻協同工作，提供一個熱冗余備份的結構。FO許可證提供基于狀態的容錯特性，從而使能高可用性的網絡結構。在FO模式下的PIX防火墻維護跟主放火強完全一樣的連接實時狀態，從而最小化因為設備或網絡失敗而引起的連接失敗。UR和FO的許可證有完全一樣的特征和性能指數。UR和FO的防火墻中間需要Fail-over的電纜線。當前的PIX防火墻是基于特性集的許可證，這類許可秘匙限定哪些特性可用，哪些特性不可用。以前的PIX放火墻支持基于連接數的秘匙系統，它是限定PIX放火墻支持的最大連接數。為了統一和易于管理的目的，當前的PIX防火墻都支持基于特性集的許可證。