思科產品常見問題一百問
思科產品常見問題一百問
Catalyst6000系列交換機問題解答
1.Catalyst6000系列的背板帶寬和包轉發速率各為多少?
解答:Catalyst6500系列的背板帶寬可擴展到256Gbps,包轉發速率可擴展到150Mpps;Catalyst6000系列作為一個經濟有效的解決方案可提供到32Gbps的背板帶寬和15Mpps的包轉發速率。
2.Catalyst6000系列的MSFC要求多少MDRAM?
解答:Catalyst6000系列IOS軟件存放在MSFC里,MSFC要求有128MDRAM。缺省配置已含128MDRAM。
3.Catalyst6000系列上的插槽是否有限制?
解答:除第一個插槽專用于引擎,第二個插槽可用于備份引擎或線卡,其它插槽都用于線卡。
4.Catalyst6000系列有幾種引擎?
解答:Catalyst6000系列的引擎分為SupervisorEngine1和SupervisorEngine
1A兩種,其中SupervisorEngine1A有兩個特定的備份引擎。其型號分別如下:
型號描述
WS-X6K-SUP1-2GECatalyst6000SupervisorEngine1引擎,含兩個千兆端口(需購GBIC)
WS-X6K-SUP1A-2GECatalyst6000SupervisorEngine1A引擎,加強的QOS特性,含兩個千兆端口(需購GBIC)
WS-X6K-SUP1A-PFCCatalyst6000SupervisorEngine1A引擎,含兩個千兆端口(需購GBIC)和PFC卡
WS-X6K-S1A-PFC/2Catalyst6000SupervisorEngine1A冗余引擎,含兩個千兆端口(
需購GBIC)和PFC卡
WS-X6K-SUP1A-MSFCCatalyst6000SupervisorEngine1A引擎,含兩個千兆端口(需購GBIC)和MSFC、PFC卡
WS-X6K-S1A-MSFC/2Catalyst6000SupervisorEngine1A冗余引擎,含兩個千兆端口(需購GBIC)和MSFC、PFC卡
5.Catalyst6000系列上備份引擎與主引擎必須是一致的嗎?
解答:是的。Catalyst6000系列的備份引擎與主引擎必須是一致的,例如,不能將不帶MSFC&PFC的引擎給帶MSFC&PFC的引擎作備份。另外,WS-X6K-SUP1A-PFC和WS-X6K-SUP1A-MSFC有專門的備份引擎。主、備引擎的對應關系如下:主引擎備份引擎
WS-X6K-SUP1-2GEWS-X6K-SUP1-2GE
WS-X6K-SUP1A-2GEWS-X6K-SUP1A-2GE
WS-X6K-SUP1A-PFCWS-X6K-S1A-PFC/2
WS-X6K-SUP1A-MSFCWS-X6K-S1A-MSFC/2
6.Catalyst6000系列支持的路由協議有哪些?
解答:Catalyst6000系列支持的路由協議有:OSPF,IGRP,EIGRP,BGP4,IS-IS,RIP和RIPII;對于組播PIM支持sparse和dense兩種模式;支持的非IP路由協議有:NLSP,IPXRIP/SAP,IPXEIGRP,RTMP,AppleTalkEIGRP和DECnetPhaseIV和V。
7.Catalyst6000系列支持的網絡協議有哪些?
解答:MSM上支持6Mpps的IP、IP組播和IPX。引擎上的MSFC支持15Mpps的IP、IP組播、IPX以及AppleTalk、VINEs、DECnet.
8.Catalyst6000上若引擎為SUP-1A-2GE,怎么實現三層交換的功能?
解答:用MSM實現。6000上只有含有MSFC的引擎才能通過MSFC實現三層交換功能,在6000上,MSFC是不能單獨訂購的。
9.Catalyst6000交換機和Catalyst6500交換機有何區別?6000交換機是否可以升級到6500交換機?
解答:Catalyst6000系列交換機的背板帶寬為32G,而6500系列交換機的背板帶寬最大可以擴展到256G。由于這兩個系列的交換機使用的背板總線結構不同,所以6000交換機不能升級到6500系列交換機。但這兩個系列交換機使用相同的交換模塊。
10.在Catalyst6000系列產品中PFC和MSFC有什么區別?是否兩者都需要?
解答:PFC子卡不需三層路由引擎就可支持智能L3/4交換服務(deliversintelligentLayer3/4switchingservices),例如QoS和安全性。PFC通過專有的基于ASIC的包檢測機制提供流量的訪問控制、分類、劃分優先級。另外,PFC可與高級的包排序、沖突避免技術結合,使流量得到預定的速率,從而明顯地提高性能及獲得網絡操作的可預測性。超出規定的流量按用戶設定的要求可能被丟掉或以較低的速率轉發。MSFC需要與PFC一起使用,以提供除了PFC提供的QoS和安全性以外的完全多協議路由支持。
11.Catalyst6000上1300W電源及1000W電源有什么區別?
解答:在Catalyst6009/6509上必須用1300W電源,在Catalyst6006/6506上可以用1000W或1300W電源。
關于EthernetChannelTechnology的問題解答
1.EthernetChannelTech.可以應用在什么網絡設備之間?如何使用?
解答:
?可以應用在交換機之間,交換機和路由器之間,交換機和服務器之間?可以將2個或4個10/100Mbps或1000Mbps端口使用EthernetChannelTech.,達到最多400M(10/100Mbps端口)、4G(1000Mbps端口)或800M(10/100Mbps端口)、8G(1000Mbps端口)的帶寬。
2.EthernetChannelTechnology有什么作用?
解答:增加帶寬,負載均衡,線路備份
3.當端口設置成EthernetChannel時,如何選擇線路?
解答:根據數據幀的以太網源地址和目的地址最后1位或2位做或運算,決定從哪條鏈路輸出。對于路由器來說是根據網絡地址做或運算,以決定鏈路的輸出。
4.EthernetChannelTechnology與PAgP(PortAggregationProtocol)的區別?
解答:PAgP是EthernetChannel的增強版,它支持在EthernetChannel上的SpanningTreeProtocol和UplinkFast,并支持自動配置EthernetChannel的捆綁。
交換機產品的其他問題解答
1.CiscoCatalyst系列千兆交換機上的SX、LX和CX的信號在多模和單模光纖上的
傳輸距離各是多遠?
解答:
信號傳輸方式介質類型光纖直徑/導線阻抗傳輸距離
SXMMF62.5um275米
50um550米
LX/LHMMF62.5um550米
50um550米
SMF9um5-7公里
ZXSXF9um70-100公里
CXBALANCED150-ohm25米
2.百兆光纖模塊在多模和單模光纖上的傳輸距離是多少?
解答:百兆在多模光纖上的最大傳輸距離是400米(DTE-DTE),和300米(中間有1個中繼器)。在單模光纖上的傳輸距離沒有被具體定義。但在實際使用當中,百兆模塊經常用來傳輸距離在1-2公里左右的多模光纖或距離在30-40公里左右的單模光纖上的數據流量,在這種情況下,其傳輸速率已經達不到百兆。(見下表)
信號傳輸速率介質類型光纖直徑傳輸距離(DTE-DTE)傳輸距離(中間有1個中繼器)
100兆MMF62.5um400米300米
100兆SMF9um未定義未定義
3.在交換機之間配置Uplink-Fast時,是否需要關閉原有Spanning-Tree選項?
解答:需要,由于Uplink-Fast實際上使用的是一種簡化的Spanning-Tree算法,所以,在使用Uplink-fast時需將設備所支持的標準的Spanning-tree關閉,否則容易發生沖突。
4.目前Cisco有哪些交換機可支持三層交換功能?
解答:Catalyst2948G-L3、Catalyst4908G-L3、Catalyst4003、Catalyst4006、Catalyst5000系列、Catalyst6000系列、Catalyst8500系列。
5.Cisco產品中,當使用千兆的接口時,是否需要配置GBIC接口卡?Catalyst交換機的1000Base-LX/LHGBIC支持單模/多模光纖,是否是自適應的?
解答:為了增加系統的靈活性,保護用戶的投資,Cisco的千兆接口都支持GBIC接口卡。GBIC接口卡需要單獨訂購。用戶可以根據自己的實際情況,選擇符合自己需要的GBIC接口卡。目前Cisco的網絡產品支持3種類型的GBIC接口卡:1000BaseSX,1000BaseLX/LH,1000BaseZX.。目前Cisco交換機產品中,4000系列(包括4000)以上全部支持以上這3種型號的GBIC接口卡,4000系列以下僅僅支持1000BaseSX,1000BaseLX/LH兩種。Catalyst交換機的1000Base-LX/LHGBIC支持單模/多模光纖,當支持多模光纖時,需購買CAB-GELX-625連接GBIC和多模光纖。
6.uplinkFast、PortFast、BackboneFast能否在不同的物理介質上是實現(如光纖雙絞線之間互為備份)?解答:可以,該功能是通過軟件實現的,與物理介質無關。
7.Cisco產品的光纖模塊中MT接口是何標準?
解答:這是一種新制定的EIA/TIA光纖跳線接口標準,其外形類似傳統的RJ接口,因而縮小了傳統光纖接口在設備面板上占用的面積,故又稱MT-RJ接口。目前大部分生產光纖設備的廠商都已參照該標準推出了相應的產品。多媒體技術部分問題解答
1、問題
對于CISCO路由器來說,當配置模擬語音接口(VIC)時,有三種選擇,FXS、FXO、E&M,分別代表什么含義?如何使用?
解答:
FXS:Foreignexchngeoffice直接與普通模擬電話機、傳真機相連
FXO:Foreignexchngesttion直接以模擬方式與電話局的程控交換機相連的接口
E&M:Er&Mouth用來與PBX中繼線相連,它是一個2線或4線電話和中繼線接口的信令技術
2、問題
如果需要CISCO路由器支持語音功能,需要什么樣的IOS軟件版本?解答:
需要IPPLUS以上的IOS軟件版本。
3、問題
目前支持VoIP的Cisco設備主要有哪些?
解答:
Cisco1750-2V:10/100Bse-T模塊化路由器帶2個語音通道。
Cisco1750-4V:10/100Bse-T模塊化路由器帶4個語音通道。
Cisco2600系列,Cisco3600系列:模塊化路由器,需配合NM-1VorNM-2V以及相應的語音模塊來實現VoIP。
CiscoMC3800:多業務集中器,配合語音模塊實現VoIP。
S5300:CiscoS5300語音網關
Cisco7200/7500:配合P-VXB-2TE1+或P-VXC-2TE1+模塊實現VoIP。
4、問題
64KDDN專線最多可同時傳輸多少路語音?
解答:
在傳統的語音應用中,常見的壓縮方式有4種:
ITU標準數據率延遲
G.71164kbps0.75毫秒
G.72632kbps1毫秒
G.72816kbps3-5毫秒
G.7298kbps10毫秒
不同的壓縮標準,產生的語音效果不同。CiscoVoIP技術采用的是G.729標準進行語音壓縮,由于IP數據包包頭會消耗部分帶寬,一路語音總共會消耗12.8K的帶寬,則64K/12.8K=5路語音。
5、問題
Cisco2600/3600上的VIC-2E&M支持哪幾類標準?
解答:
目前支持TypeI,II,III,和V
6、問題
VWIC卡是否可以插在WIC槽中?2600上是否支持VWIC卡?
解答:
VWIC卡既可以插在WIC槽中,用于數據傳送;也可以插在NM-HDV中,用于語音通信。現在,2600和3600上,都支持VWIC。在2600上,可以將VWIC直接插入WIC槽中,在3600上,需購買混合卡做母卡,然后將VWIC插入混合卡中的WIC槽中。
7、問題
VWIC-1MFT-E1接口卡插在Cisco2600路由器上的WIC插槽中,能否劃分出通道?
解答:
不能,該卡只有與NM-HDV模塊一同使用時才能劃分出30個語音通道。當單獨使用時,只能支持非通道化的2ME1線路,同WIC-1T功能相似。
8、問題
是否可以同IPPhone直接接到交換機上實現VOIP?
解答:
可以,需要Cllnger軟件支持。配合具備In-linePower的語音模塊,同時支持語音和數據的VVID解決方案。
Catlyst6500系列:使用WS-X6348-RJ45V模塊。
Catlyst4000系列:使用WS-X4148-RJ45V模塊。
Catlyst3524XL-PWR-EN交換機。
9、問題
支持InlinePower的CISCO交換機有哪些?
解答:
Catlyst3524XL-PWR-EN;
Catlyst4000+WS-X4148-RJ45V;
Catlyst6500+WS-X6348-RJ45V;
10、問題
CISCO1750上要支持語音需要購買什么產品?
解答:
購買UPG1750-2V或UPG1750-4V升級包。該升級工具含IP/VOICESW、DSP、Flsh、DRM,使1750具有支持2路或4路語音的功能。
配置比較:
名稱FL解答SH(M)DR解答M(M)IOS軟件DSP(塊)語音(路)
1750416IP00
1750-2V824IPPLUS12
1750-4V824IPPLUS24
11、問題
VOIP能夠運行在哪些專線上面?
解答:
VOIP技術是通過高質量的語音編碼器對語音信號進行數字化、壓縮、封裝成數據包的處理,從而形成較小的IP數據包。當語音以數據包的形式存在時,它能夠穿過任意類型的IP網絡(包括DDN、ATM、FrameRelay、以太網等)。構成VoIPoverFrameRelayorVoIPoverATM。
12、問題
CISCO公司是通過哪些技術來保證VOIP的語音質量?
解答:
Cisco公司的VoIP技術要求端到端網絡延遲最大不能超過200毫秒。延遲時間主要由下面因素組成:編碼/解碼,數據包封裝,端口輸出排對,鏈路傳輸時間,端口輸入排對延遲,防抖緩沖延遲等。當網絡能夠滿足語音傳輸所占用的帶寬,通過對網絡進行有效的擁塞控制,并使用高質量的編碼解碼器,使用VoiceoverIP技術的通話質量會達到與標準公用電話一樣的質量效果。
Cisco公司在IP網絡的QoS技術方面在業界具有領先的地位,通過在IOS軟件使用資源保留協議(RSVP),IP位的優先級別技術,多種隊列技術和高質量模數轉換和壓縮等技術,可以有效的控制網絡阻塞,從而能夠保證語音在IP網絡上的有效傳輸。
13、問題
CISCO公司是否有同G.703標準直接相連的接口卡?
解答:
有,通過VWIC-1MFT-G703或VWIC-2MFT-G703可以直接連接G.703。當VWIC-1MFT-G703或VWIC-2MFT-G703直接插到WIC插槽中時,它不能提供劃分通道的功能,但可以起到與WIC-1T模塊相同的功能,同時提供G.703標準接口。而在以前的應用中,需要特定的協議轉換器將G.703的接口標準轉化成V.35標準。
14、問題
除了VOIP方式以外,還有哪些技術可以支持語音應用?
解答:
VoFRVoiceoverFrameRelay
VoATMVoiceoverATM
15、問題
在CISCO解答VVID解決方案中,數據和語音是否需要各自獨立的布線?
解答:
不需要。在解答VVID解決方案中,數據和語音完全共存在一套布線體系中,兩者可以共存,并不相互影響。
CiscoWorks部分問題解答
1.CiscoWorks是否能夠管理到其它廠家的網絡產品?
解答:只要第3方廠家的網絡產品支持標準的SNMP的協議,那么CiscoWorks能夠對其提供監視的功能。但是CiscoWorks應用程序中的其它元件象CiscoView等只是針對Cisco的網絡設備,不能對第3方的網絡產品提供支持。
2.CiscoWorksforWindows這個網絡管理程序適合工作的范圍?
解答:其適合工作的范圍為:
中、小型企業
大型企業的部門網絡系統
大型企業的分支辦公室
財政比較緊張的企、事業單位
3.CiscoWorksforWindows網管軟件何時使用?最多可以管理多少節點?
解答:CiscoWorksforWindows網絡管理軟件主要應用在中小型企業的網絡環境。它是一個綜合的,經濟有效的,功能強大的網絡管理工具,能夠對交換機路由器,訪問服務器,集線器等網絡設備進行有效的管理。CiscoWorksforWindows網絡管理軟件可以安裝在Windows95/98/NT等操作系統上。這個網絡管理軟件最多可以管理數百個節點。
4.CiscoWorks2000網管軟件由幾個部分組成?
解答:CiscoWorks2000目前由3個部分組成:
RoutedWANManagementSolution用來管理廣域網絡的企業級網絡管理解決方案
ServiceManagementSolution用來監視網絡系統服務級別的企業級網絡管理解決方案
LANManagementSolution用來管理包含路由器和交換機的局域網絡,是企業級的解決方案
5.CampusBundleforHP-UX/AIX和LANManagementSolution(LMS)forNTand
Solaris有何區別?
解答:CampusBundleforHP-UX/AIX運行在HP-UX或者IBMAIX的UNIX操作系統上,支持LANManagementManagementSolution的部分功能,
包括CampusManager,RME,TrafficDirectorandCiscoView。
而LANManagementSolution(NT/Solaris),則運行在WindowsNT和SUNSolaris操作系統上,除了以上功能外,還包括ContentFlowMonitor等。
6.LANManagementSolution和CampusBundle是否都是基于Web界面?
解答:LANManagementSolution和CampusBundle中的CampusManager,
CiscoView,和RME是基于Web界面的。但是TrafficDirector5.8還不是基于Web界面的。LMS所獨有的ContentFlowMonitor也是基于Web界面的。
8.CiscoView5.1是否可以單獨定購?
解答:CiscoView5.1不可以單獨定購,它集成于CiscoWorks2000或者CiscoWorksforWindows中。
9.CiscoView5.1是否支持遠程訪問?
解答:支持。你可以通過瀏覽器在網絡中任意一點對CiscoView進行訪問。
10.CiscoView5.1最多同時支持多少用戶的訪問?
解答:大約10個。
11.CiscoWorks2000RoutedWANManagement(RWAN)解決方案的特性?
解答:RWAN提供強大的管理功能,用來管理基于路由的廣域網絡系統。它對復雜的網絡系統具有配置、監視、排錯等功能其包含的應用程序為:
AccessControlList(ACL)Manager當對路由器和PIX防火墻設定訪問控制列表時,使用這個應用程序可以簡化訪問控制列表的設置、管理、優化等工作。
InternetworkPerformanceMonitor(IPM)廣域網絡中,對網絡響應時間和網絡的可用性進行故障排除的應用程序。
TrafficDirector完整的網絡流量監視和故障排除應用程序,對于廣域網絡的各種問題提供早期檢測。
ResourceManagerEssentials(RME)功能強大的基于WEB的網絡管理應用程序,能夠訪問到重要的網絡信息,可以管理網絡的配置和軟件改變的信息。
CiscoView圖形化設備管理應用程序,實時的設備狀態監控,配置管理等。
12.CiscoWorks2000中的組件RWAN(RoutedWAN)網絡管理軟件能夠安裝在何種操作平臺上?
解答:RWAN只可以安裝在MicrosoftWindowsNT和SunSolaris操作系統上。
13.CiscoVoiceManager支持何種路由器?
解答:CiscoVoiceManager支持的具有語音功能的路由器種類為:Cisco2600,3600,5300,7200,和1750。
14.CiscoWorks2000VoiceManager2.0是否能夠運行在SUNSolaris系統上?
解答:可以運行在WindowsNT和SUNSolaris系統上。
15.CiscoVoiceManager能夠對VoIP網絡提供何種管理功能?
解答:其管理功能為:對語音接口的配置功能,撥號計劃,呼叫的記錄,語音的質量統計等。
15.CiscoWorks2000LMSforNTServer的建議系統需求?
解答:建議系統需求為:
550MHzmultiprocessorPentiumIII
512MBRAM
7GB硬盤空余空間
CD-ROMdriveand17-inchcolormonitor
WindowsNT4.0WorkstationorServerandServicePack5
Netscape4.61或者InternetExplorer5.0
16.CiscoWorks2000基本安裝步驟
解答:
1.InstallMicrosoftWindowsNTServer4.0orMicrosoftWindowsNT
Workstation4.0(USEnglish)
2.InstallServicePack6a
3.InstallIIS4.0
4.InstallCiscoWorks2000CDOne
5.InstallResourceManagerEssentials
6.InstallCampusManager3.0
7.InstallTrafficDirector5.8
8.ContentFlowMonitor1.0
17.有時我試圖用ciscoview監測一個設備,但是我得到一個出錯信息“unmanageable”,為什么會這樣?
解答:有一下幾種原因可能導致這種情況
1.被監測設備在9秒內對CiscoViewSNMPrequests無響應。被監測設備必須能從網管工作站ping通。
2.CiscoView與被監測設備的SNMP設置不匹配。用showsnmp查看被監測設備的snmp設置用snmp-servercommunityxxxxRO及snmp-servercommunityxxxxRW命令設置或修改。
在CiscoView中選擇File>Opendevices
然后enterthenameofthedeviceorIPaddressthatfailed.設置正確的read和read-writecommunitystring.
18.我試圖用ciscoview監測一個設備,但是我得到“unsuporteddevice”錯誤信息,我如何解決?
解答:這可能是由于您的設備比較新,而CiscoView內沒有安裝包含該設備信息的Package。
你可以從cisco合作伙伴得到該設備的Package并安裝該Package。
19.Question5-WhatadditionalinformationshouldIknowonCampus
Manager3.0networktopologymapdiscovery?在我用CWSI發現網絡拓撲結構的時候有什么技巧?
解答:
1.有關拓撲發現的設置在CiscoWorks2000Server->SetUp->AniServerAdmin
->DiscoverySettings
2.關于Seeddevices:我們建議把Catalyst交換機設為seeddevice。為了正確的發現VLAN建議在VTPdomain中至少有一個seeddevice設在VTPserver上。
3.關于jumprouterboundaries選項:為了發現整個網絡拓撲,建議選中該選項。
4.關于reverseDNSlookup:很少使用,建議關閉該選項
5.關于filtering:可根據IP地址或VTPdomains限制拓撲發現的范圍。
20.為什么我的拓撲圖上某些圖標上有一個“RED-X”?
解答:這說明應用程序與這些設備之間的SNMP通訊出了問題。
原因可能是:
1.SNMPcommunityString不匹配或不正確
通過Edit-->SNMPCommunities修改。
3.SNMPTimeouts值設的太小
網絡上的某些設備對SNMP請求的響應比較慢,為了解決這個問題可以簡單的增加SNMPTimeout的值。建議范圍為30-60秒。
VPN技術部分問題解答
1.為什么CISCO力推第二層隧道協議,而不是第三層隧道協議?
CISCO都提供這兩種方案。CISCO沒有著重強調那一個。第二層隧道協議主要用在訪問VPN方案,而第三層隧道協議則對Intranet和Extranet提供VPN方案支持。第三層隧道協議同樣也可用于一些訪問VPN的方案,例如,客戶端初始化的隧道模式和Internet大規模的訪問解決方案。
2.什么是第三層隧道?
第三層隧道不是一個新的技術。RFC1701中定義的GRE已經存在很長時間了。CISCO在自從ios版本9.21就支持該技術。Ipsec是新的為支持加密隧道而定義的IETF標準。CISCO自從ios版本11.3(3)T支持該項特性。CISCO在ios版本12.0(1)T支持移動IP。
3.GRE的主要作用是什么?
GRE是一種基于IP的隧道技術,它可被用來在基于IP的骨干網上傳輸多種協議的數據流量,如IPX、AppleTalk等。同時,GRE還可被用來在Internet網絡上通過隧道傳輸廣播和組播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作為VPN終點設備的物理接口上進行相關配置,隨后可以使用諸如IPSec等安全措施保護隧道。
4.語音和數據集成的數據流是否能夠通過VPN進行很好的傳輸,Cisco的哪些設備支持該項功能?
一般來講,如果沒有硬件加速、壓縮以及優秀的QOS機制,使用加密機制如IPSec傳輸語音幾乎是無法想象的。目前,我們已經距離通過VPN傳輸加密的語音和數據的組合數據流的目標越來越近,在7100系列路由器中使用硬件加密技術已經成為現實,在不遠的將來,這一功能將會在Cisco7200、3600、2600以及1700系列的路由器中實現。另外,通過使用對IPSec數據包的LZS壓縮技術和QOS機制如NBAR,都將加速語音的VPN傳輸。
5.使用基于VPN的防火墻解決方案與使用基于IPSec的路由器解決方案相比較,有哪些優勢和不足?
優勢:
?集成的解決方案,不需安裝額外的設備。
?降低了設備投資成本,減少了設備支持和維護工作。
不足:
?防火墻可能不支持路由功能和其它一些特性,如QOS。
?在同一臺設備上同時執行防火墻和加密功能,將會影響設備的性能。
?在特定的VPN設備上同時支持的VPN隧道數量過于巨大。
6.IPSec是什么?它是否是一種新的加密形式?
IPSec是一套用來通過公共IP網絡進行安全通訊的協議格式,它包括數據格式協議、密鑰交換和加密算法等。IPSec在遵從IPSec標準的設備之間提供安全的通訊,即使這些設備可能是由不同廠商所提供的
7.L2TP和IPSec在VPN的接入實施中起到什么作用?L2TP提供隧道建立或封裝,以及第二層驗證。IPSec提供L2TP隧道的加密,從而可以
提供對會話的安全保證。用戶可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用戶驗證功能。
8.IPSEC和CET的比較?
答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的數據加密,你就可以用CET,他是更成熟,更高速的解決方案。如果你需要基于工業界標準,提供對多廠商和遠端客戶訪問連接的支持,你就該用IPSEC。
再者,如果你要在有或沒有加密的情況下對數據認證的支持,IPSEC也是正確的選擇。
如果你愿意,你可以在網絡中同時配置CET和IPSEC,甚至在同一個設備上。CISCO設備可以同時支持對多個終端的CET安全會話和IPSEC安全會話.
9.Cisco1700系列路由器上是否支持硬件VPN功能,該硬件產品號是什么?
支持,該硬件VPN功能模塊為:MOD1700-VPN。
10.帶VPN模塊的Cisco1700系列路由器與靠IPSec軟件實現VPN功能的1700路由器以及Cisco800、1600系列VPN路由器相比各有什么特點?帶IPSec軟件而不帶VPN模塊的Cisco1700系列路由器可以對具有256個字節數據包達到300kbps的3DES加密,具有VPN模塊的1700路由器對相同大小的數據包達到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能達到的速率適合進行ISDN128K的連接。
11.帶VPN模塊的Cisco1700系列路由器能否與其它廠商提供的VPN產品進行互操作
?
盡管在許多不同的廠商之間已經就VPN形成了IPSec標準,如PKI和數字驗證等,但仍有許多廠商在設計和實施VPN的時候都或多或少地超出了這一標準。因此,在這之間進行互操作時有可能會遇到問題。
12.Cisco系列VPN路由器一般可以支持多少個遠端移動用戶?
Cisco1700系列VPN路由器可以支持20-30個用戶,如果采用硬件加速技術,則可以支持100個左右的用戶。Cisco2600/3600系列VPN路由器可以支持100-500個左右的用戶。對于超過500個以上的用戶數的VPN應用,建議采用Cisco7XXX系列的VPN路由器
13.Cisco的VPN軟件能否在同一個連接中支持多種協議(如IP、IPX等)?
如果VPN支持多協議隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS軟件中被支持),那么就可以支持多協議。
14.什么是CiscoVPNClient?
CiscoVPNclient是一個軟件,用于訪問使能VPN產品的服務器端。他提供對Windows95,98,NT4.0,和2000,XP的支持。
15.什么是CISCOvpn3002硬件客戶端?
CISCOvpn3002硬件客戶端是一個小的硬件系統,作為一個VPN環境中的客戶端。代替在基于MSDOS,WINDOWS和NT平臺的軟件客戶端。
安全產品部分問題解答
1.ciscopix放火墻采用的是何種算法?數據是如何通過防火墻進行轉發?
Ciscopix放火墻采用的是自適應安全算法,這是一種同設備連接狀態密切相關的安全
檢測的方法。每一個進入放火墻的數據包都要通過自適應安全算法和內存中的連接狀態信息的檢查。通過這種面向連接的動態防火墻設備,能同時處理500000個并發的連接和高達1Gbps的吞吐量。可想而知這種同連接狀態有關的方法比僅僅檢查數據包(如訪問列表)篩選的方法安全的多。
當一個向外發送的包到達一個Pix放火墻較高級別接口時,不管前一個包是否來自哪個主機,Pix放火墻用自適應安全算法檢察該包是否有效。如果不是,該包屬于一個新的連接,Pix放火墻會為該連接在狀態表中創建轉換槽。Pix放火墻存儲在轉換槽中的信息包括內部的IP地址和全局唯一的IP地址,該地址由NAT,PAT,或身份分配。Pix放火墻接著改變包的源地址為全局唯一地址,按照要求修改校驗和以及其他域的地址,并將包轉發給較低的安全級別借口。
2.Ciscopixfailover的作用:?
使用pix版本5.0,如果你有100Mbps的LAN接口,你可以選擇與StatefulFailover選項。這樣一使連接狀態自動地在兩個放火墻部件之間傳遞。在failover偶對中的兩個部件通過failover線纜通信。failover線纜是修改過的RS-232串行線纜,它以9600的速率傳輸數據。數據提供主部件或從部件的標識號,另外一個部件電源狀態,并作為兩個部件不同的failover之間的通信鏈路。
3.AAA的作用?
訪問控制是用來控制允許何種人訪問服務器,以及一旦他們能夠訪問該服務器,以及一旦他們能夠訪問該服務器,允許他們使用何種服務的方法。AAA是使用相同方式配置三種獨立的安全功能的一種結構。它提供了完成下列服務的模塊化方法:
認證—一種提供識別用戶的方法,包括注冊和口令對話框,詢問和響應,消息支持以及根據所選擇的安全協議進行加密。
授權—一種提供遠程訪問控制的方法包括一次性授權或者單項服務服務授權,每個用戶帳戶列表和簡介,用戶包支持以及IP,IPX,ARP和Telnet支持。
記帳—一種給安全服務器收集,發送信息提供服務的方法,這些信息用來開列帳單,審計和形成報表,如用戶標識,開始時間和停止時間,執行的命令,包的數量以及字節數。
4.RADIUS?
RADIUS是分布式客戶機/服務器系統,它保護網絡不受未授權訪問的干擾。在Cisco實現中,Radius客戶機運行于路由器上,并向中央RADIUS服務器發出認證請求,這里的中央服務器包含了所有的用戶認證和網絡服務訪問信息。Cisco利用其AAA安全模式支持RADIUS,RADIUS也可以用于其他AAA安全協議,比如,TACACS,KERBEROS或本地用戶名查找,所有Cisco平臺都支持RADIUS。
5.Cisco加密技術如何實現?
網絡數據加密是在IP包一級提供的,只有IP包可以被加密。只有當包滿足在路由器上配置加密時所建立的條件時,這個數據包才會被加密/解密。當加密以后,單個數據包在傳輸時可以被檢測到,但IP包的內容不能被讀取。IP頭和上層協議頭沒有被加密,但TCP或UDP包內所有的凈荷數據都被加密,因此,在傳輸過程中不能被讀取。
6.IPSec如何工作?
IPSec為兩個同位體(路由器),提供安全隧道。由用戶來定義哪些包將被認為是敏感信息,并將由這些安全隧道傳送。并且通過指定這些隧道的參數來定義用于保護這些敏感的參數。然后,當IPSec看到這樣的一個敏感包時,它將建立起相應的安全隧道,通過這隧道將這份數據包傳送給遠端同位體。
6.TACACS+的作用?
TACACS+是一種安全應用程序,它為用戶獲得對路由器或網絡訪問服務器的訪問提供集中化的驗證。TACACS+服務在TACACS+后臺程序的數據庫中進行維護,這種后臺程序典型地運行在UNIX或WindowsNT工作站上。在為網絡訪問服務器配置的TACACS+特性可用之前,必須能夠訪問并配置TACACS+服務器。
7.CiscoIOS軟件支持哪幾種授權類型?
1)EXEC授權—適用于與用戶EXEC終端對話相關的屬性。2)命令授權—適用于用戶發出的EXEC模式命令。命令授權試圖給所有的EXEC模式命令使用指定的特權級別授權.3)網絡授權—適用于網絡連接,包括PPP,SLIP或ARAP連接。
(61-100)
8.CiscoIOS在網絡上管理記帳?
在網絡上管理記帳的命令。使用記帳管理可以跟蹤單個用戶使用的網絡資源和群組用戶的網絡資源。使用AAA記賬功能,不僅可以跟蹤用戶所訪問的服務,還可以跟蹤他們所消耗的網絡資源的數量。
9.Kerberos的作用?
Kerberos是秘密密鑰網絡認證協議,使用數據加密標準加密算法進行加密和認證。Kerberos是為對網絡資源的請求進行認證而設計的。與其他秘密密鑰系統一樣,Kerberos基于可信任的第三方概念,這個第三方對用戶和服務執行安全認證。
10.鎖定和密鑰的作用?
鎖定和密鑰是一種流量過濾安全特性,它動態過濾IP協議流量。鎖定和密鑰是使用IP動態擴展訪問列表進行配置的,它可以與其他標準訪列表或靜態訪問列表結合起來一起使用。
11.CiscoSecureScanner的作用?
CiscoSecureScanner是一種企業級的軟件工具,提供卓越的網絡系統識別,革新性數據管理,靈活的用戶定義脆弱性規則,全面的安全報告功能以及Cisco24*7的全球支持。
12.CiscoSecurePolicyManager的作用?
CiscoSecurePolicyManager是一個用于Cisco放火墻,IPSec虛擬網關路由器和入侵檢測系統Sensor的強大,可伸縮的安全政策管理系統。
13.Cisco安全入侵檢測系統的作用?
Cisco安全入侵檢測系統可以為企業和服務提供商網絡提供一系列高性能的安全監視監控方案。
14.CiscoSecure訪問控制服務器的作用?
CiscoSecure訪問控制服務器是為了解決Internet和所有共用的,專用的網絡或外部企業網等網絡的快速發展為用戶如何對網絡訪問進行控制,授權和記費提出的安全方面的具體解決工具。
15.CiscoIos防火墻的作用?
CiscoIos防火墻為每一個網絡周邊集成了穩健的放火墻功能性和入侵檢測,豐富了Cisco軟件的安全功能。
16.PIX防火墻的關于license信息。
PIX防火墻的license有Unrestricted,Restricted,andFail-Over三種配置。這些基本的配置都可以用VPNDES和3DES來加強安全性。
Unrestricted—操作在UR模式下的PIX防火墻允許支持最大數目的接口和最大可支持的內存。UR的License支持熱備份冗余,最小化down網絡的時間。
Restricted—操作在R模式下的PIX防火墻限制支持的接口數和支持的內存大小。限制的許可特性提供對那些小網絡的應用價格優化的防火墻方案。限制的許可特性不支持冗余的FO特性。
Fail-Over—操作在FO模式下的PIX防火墻跟另一臺帶UR許可證的防火墻協同工作,提供一個熱冗余備份的結構。FO許可證提供基于狀態的容錯特性,從而使能高可用性的網絡結構。在FO模式下的PIX防火墻維護跟主放火強完全一樣的連接實時狀態,從而最小化因為設備或網絡失敗而引起的連接失敗。
UR和FO的許可證有完全一樣的特征和性能指數。UR和FO的防火墻中間需要Fail-over的電纜線。
當前的PIX防火墻是基于特性集的許可證,這類許可秘匙限定哪些特性可用,哪些特性不可用。以前的PIX放火墻支持基于連接數的秘匙系統,它是限定PIX放火墻支持的最大連接數。為了統一和易于管理的目的,當前的PIX防火墻都支持基于特性集的許可證。
非常好我支持^.^
(0) 0%
不好我反對
(0) 0%
相關閱讀:
( 發表人:admin )