思科产品常见问题一百问
思科产品常见问题一百问
Catalyst6000系列交换机问题解答 1.Catalyst6000系列的背板带宽和包转发速率各为多少?
解答:Catalyst6500系列的背板带宽可扩展到256Gbps,包转发速率可扩展到150Mpps;Catalyst6000系列作为一个经济有效的解决方案可提供到32Gbps的背板带宽和15Mpps的包转发速率。
2.Catalyst6000系列的MSFC要求多少MDRAM?
解答:Catalyst6000系列IOS软件存放在MSFC里,MSFC要求有128MDRAM。缺省配置已含128MDRAM。
3.Catalyst6000系列上的插槽是否有限制?
解答:除第一个插槽专用于引擎,第二个插槽可用于备份引擎或线卡,其它插槽都用于线卡。
4.Catalyst6000系列有几种引擎?
解答:Catalyst6000系列的引擎分为SupervisorEngine1和SupervisorEngine
1A两种,其中SupervisorEngine1A有两个特定的备份引擎。其型号分别如下:
型号描述
WS-X6K-SUP1-2GECatalyst6000SupervisorEngine1引擎,含两个千兆端口(需购GBIC)WS-X6K-SUP1A-2GECatalyst6000SupervisorEngine1A引擎,加强的QOS特性,含两个千兆端口(需购GBIC)WS-X6K-SUP1A-PFCCatalyst6000SupervisorEngine1A引擎,含两个千兆端口(需购GBIC)和PFC卡WS-X6K-S1A-PFC/2Catalyst6000SupervisorEngine1A冗余引擎,含两个千兆端口(需购GBIC)和PFC卡WS-X6K-SUP1A-MSFCCatalyst6000SupervisorEngine1A引擎,含两个千兆端口(需购GBIC)和MSFC、PFC卡WS-X6K-S1A-MSFC/2Catalyst6000SupervisorEngine1A冗余引擎,含两个千兆端口(需购GBIC)和MSFC、PFC卡
5.Catalyst6000系列上备份引擎与主引擎必须是一致的吗?
解答:是的。Catalyst6000系列的备份引擎与主引擎必须是一致的,例如,不能将不带MSFC&PFC的引擎给带MSFC&PFC的引擎作备份。另外,WS-X6K-SUP1A-PFC和WS-X6K-SUP1A-MSFC有专门的备份引擎。主、备引擎的对应关系如下:主引擎备份引擎
WS-X6K-SUP1-2GEWS-X6K-SUP1-2GEWS-X6K-SUP1A-2GEWS-X6K-SUP1A-2GEWS-X6K-SUP1A-PFCWS-X6K-S1A-PFC/2WS-X6K-SUP1A-MSFCWS-X6K-S1A-MSFC/26.Catalyst6000系列支持的路由协议有哪些?
解答:Catalyst6000系列支持的路由协议有:OSPF,IGRP,EIGRP,BGP4,IS-IS,RIP和RIPII;对于组播PIM支持sparse和dense两种模式;支持的非IP路由协议有:NLSP,IPXRIP/SAP,IPXEIGRP,RTMP,AppleTalkEIGRP和DECnetPhaseIV和V。7.Catalyst6000系列支持的网络协议有哪些?
解答:MSM上支持6Mpps的IP、IP组播和IPX。引擎上的MSFC支持15Mpps的IP、IP组播、IPX以及AppleTalk、VINEs、DECnet.
8.Catalyst6000上若引擎为SUP-1A-2GE,怎么实现三层交换的功能?
解答:用MSM实现。6000上只有含有MSFC的引擎才能通过MSFC实现三层交换功能,在6000上,MSFC是不能单独订购的。
9.Catalyst6000交换机和Catalyst6500交换机有何区别?6000交换机是否可以升级到6500交换机?
解答:Catalyst6000系列交换机的背板带宽为32G,而6500系列交换机的背板带宽最大可以扩展到256G。由于这两个系列的交换机使用的背板总线结构不同,所以6000交换机不能升级到6500系列交换机。但这两个系列交换机使用相同的交换模块。
10.在Catalyst6000系列产品中PFC和MSFC有什么区别?是否两者都需要?
解答:PFC子卡不需三层路由引擎就可支持智能L3/4交换服务(deliversintelligentLayer3/4switchingservices),例如QoS和安全性。PFC通过专有的基于ASIC的包检测机制提供流量的访问控制、分类、划分优先级。另外,PFC可与高级的包排序、冲突避免技术结合,使流量得到预定的速率,从而明显地提高性能及获得网络操作的可预测性。超出规定的流量按用户设定的要求可能被丢掉或以较低的速率转发。MSFC需要与PFC一起使用,以提供除了PFC提供的QoS和安全性以外的完全多协议路由支持。
11.Catalyst6000上1300W电源及1000W电源有什么区别?
解答:在Catalyst6009/6509上必须用1300W电源,在Catalyst6006/6506上可以用1000W或1300W电源。
关于EthernetChannelTechnology的问题解答
1.EthernetChannelTech.可以应用在什么网络设备之间?如何使用?
解答:
?可以应用在交换机之间,交换机和路由器之间,交换机和服务器之间?可以将2个或4个10/100Mbps或1000Mbps端口使用EthernetChannelTech.,达到最多400M(10/100Mbps端口)、4G(1000Mbps端口)或800M(10/100Mbps端口)、8G(1000Mbps端口)的带宽。
2.EthernetChannelTechnology有什么作用?
解答:增加带宽,负载均衡,线路备份
3.当端口设置成EthernetChannel时,如何选择线路?
解答:根据数据帧的以太网源地址和目的地址最后1位或2位做或运算,决定从哪条链路输出。对于路由器来说是根据网络地址做或运算,以决定链路的输出。
4.EthernetChannelTechnology与PAgP(PortAggregationProtocol)的区别?
解答:PAgP是EthernetChannel的增强版,它支持在EthernetChannel上的SpanningTreeProtocol和UplinkFast,并支持自动配置EthernetChannel的捆绑。
交换机产品的其他问题解答
1.CiscoCatalyst系列千兆交換机上的SX、LX和CX的信号在多模和单模光纤上的
传输距离各是多远?
解答:
信号传输方式介质类型光纤直径/导线阻抗传输距离
SXMMF62.5um275米
50um550米
LX/LHMMF62.5um550米
50um550米
SMF9um5-7公里
ZXSXF9um70-100公里
CXBALANCED150-ohm25米
2.百兆光纖模塊在多模和單模光纖上的傳輸距离是多少?
解答:百兆在多模光纖上的最大傳輸距离是400米(DTE-DTE),和300米(中間有1个中繼器)。在單模光纖上的傳輸距离沒有被具体定義。但在實際使用當中,百兆模塊經常用來傳輸距离在1-2公里左右的多模光纖或距离在30-40公里左右的单模光纤上的數据流量,在這种情況下,其传输速率已經達不到百兆。(见下表)
信号传输速率介质类型光纤直径传输距离(DTE-DTE)传输距离(中间有1个中继器)
100兆MMF62.5um400米300米
100兆SMF9um未定义未定义
3.在交换机之间配置Uplink-Fast时,是否需要关闭原有Spanning-Tree选项?
解答:需要,由于Uplink-Fast实际上使用的是一种简化的Spanning-Tree算法,所以,在使用Uplink-fast时需将设备所支持的标准的Spanning-tree关闭,否则容易发生冲突。
4.目前Cisco有哪些交换机可支持三层交换功能?
解答:Catalyst2948G-L3、Catalyst4908G-L3、Catalyst4003、Catalyst4006、Catalyst5000系列、Catalyst6000系列、Catalyst8500系列。
5.Cisco产品中,当使用千兆的接口时,是否需要配置GBIC接口卡?Catalyst交换机的1000Base-LX/LHGBIC支持单模/多模光纤,是否是自适应的?
解答:为了增加系统的灵活性,保护用户的投资,Cisco的千兆接口都支持GBIC接口卡。GBIC接口卡需要单独订购。用户可以根据自己的实际情况,选择符合自己需要的GBIC接口卡。目前Cisco的网络产品支持3种类型的GBIC接口卡:1000BaseSX,1000BaseLX/LH,1000BaseZX.。目前Cisco交换机产品中,4000系列(包括4000)以上全部支持以上这3种型号的GBIC接口卡,4000系列以下仅仅支持1000BaseSX,1000BaseLX/LH两种。Catalyst交换机的1000Base-LX/LHGBIC支持单模/多模光纤,当支持多模光纤时,需购买CAB-GELX-625连接GBIC和多模光纤。
6.uplinkFast、PortFast、BackboneFast能否在不同的物理介质上是实现(如光纤双绞线之间互为备份)?解答:可以,该功能是通过软件实现的,与物理介质无关。
7.Cisco产品的光纤模块中MT接口是何标准?
解答:这是一种新制定的EIA/TIA光纤跳线接口标准,其外形类似传统的RJ接口,因而缩小了传统光纤接口在设备面板上占用的面积,故又称MT-RJ接口。目前大部分生产光纤设备的厂商都已参照该标准推出了相应的产品。多媒体技术部分问题解答
1、问题
对于CISCO路由器来说,当配置模拟语音接口(VIC)时,有三种选择,FXS、FXO、E&M,分别代表什么含义?如何使用?
解答:
FXS:Foreignexchngeoffice直接与普通模拟电话机、传真机相连FXO:Foreignexchngesttion直接以模拟方式与电话局的程控交换机相连的接口E&M:Er&Mouth用来与PBX中继线相连,它是一个2线或4线电话和中继线接口的信令技术
2、问题
如果需要CISCO路由器支持语音功能,需要什么样的IOS软件版本?解答:
需要IPPLUS以上的IOS软件版本。
3、问题
目前支持VoIP的Cisco设备主要有哪些?
解答:Cisco1750-2V:10/100Bse-T模块化路由器带2个语音通道。Cisco1750-4V:10/100Bse-T模块化路由器带4个语音通道。Cisco2600系列,Cisco3600系列:模块化路由器,需配合NM-1VorNM-2V以及相应的语音模块来实现VoIP。
CiscoMC3800:多业务集中器,配合语音模块实现VoIP。
S5300:CiscoS5300语音网关
Cisco7200/7500:配合P-VXB-2TE1+或P-VXC-2TE1+模块实现VoIP。
4、问题
64KDDN专线最多可同时传输多少路语音?
解答:
在传统的语音应用中,常见的压缩方式有4种:ITU标准数据率延迟G.71164kbps0.75毫秒G.72632kbps1毫秒G.72816kbps3-5毫秒G.7298kbps10毫秒不同的压缩标准,产生的语音效果不同。CiscoVoIP技术采用的是G.729标准进行语音压缩,由于IP数据包包头会消耗部分带宽,一路语音总共会消耗12.8K的带宽,则64K/12.8K=5路语音。
5、问题
Cisco2600/3600上的VIC-2E&M支持哪几类标准?
解答:
目前支持TypeI,II,III,和V
6、问题
VWIC卡是否可以插在WIC槽中?2600上是否支持VWIC卡?
解答:
VWIC卡既可以插在WIC槽中,用于数据传送;也可以插在NM-HDV中,用于语音通信。现在,2600和3600上,都支持VWIC。在2600上,可以将VWIC直接插入WIC槽中,在3600上,需购买混合卡做母卡,然后将VWIC插入混合卡中的WIC槽中。
7、问题
VWIC-1MFT-E1接口卡插在Cisco2600路由器上的WIC插槽中,能否划分出通道?解答:
不能,该卡只有与NM-HDV模块一同使用时才能划分出30个语音通道。当单独使用时,只能支持非通道化的2ME1线路,同WIC-1T功能相似。
8、问题
是否可以同IPPhone直接接到交换机上实现VOIP?
解答:
可以,需要Cllnger软件支持。配合具备In-linePower的语音模块,同时支持语音和数据的VVID解决方案。Catlyst6500系列:使用WS-X6348-RJ45V模块。Catlyst4000系列:使用WS-X4148-RJ45V模块。Catlyst3524XL-PWR-EN交换机。
9、问题
支持InlinePower的CISCO交换机有哪些?
解答:
Catlyst3524XL-PWR-EN;
Catlyst4000+WS-X4148-RJ45V;
Catlyst6500+WS-X6348-RJ45V;
10、问题
CISCO1750上要支持语音需要购买什么产品?
解答:
购买UPG1750-2V或UPG1750-4V升级包。该升级工具含IP/VOICESW、DSP、Flsh、DRM,使1750具有支持2路或4路语音的功能。
配置比较:
名称FL解答SH(M)DR解答M(M)IOS软件DSP(块)语音(路)1750416IP001750-2V824IPPLUS121750-4V824IPPLUS24
11、问题
VOIP能够运行在哪些专线上面?
解答:
VOIP技术是通过高质量的语音编码器对语音信号进行数字化、压缩、封装成数据包的处理,从而形成较小的IP数据包。当语音以数据包的形式存在时,它能够穿过任意类型的IP网络(包括DDN、ATM、FrameRelay、以太网等)。构成VoIPoverFrameRelayorVoIPoverATM。
12、问题
CISCO公司是通过哪些技术来保证VOIP的语音质量?
解答:
Cisco公司的VoIP技术要求端到端网络延迟最大不能超过200毫秒。延迟时间主要由下面因素组成:编码/解码,数据包封装,端口输出排对,链路传输时间,端口输入排对延迟,防抖缓冲延迟等。当网络能够满足语音传输所占用的带宽,通过对网络进行有效的拥塞控制,并使用高质量的编码解码器,使用VoiceoverIP技术的通话质量会达到与标准公用电话一样的质量效果。
Cisco公司在IP网络的QoS技术方面在业界具有领先的地位,通过在IOS软件使用资源保留协议(RSVP),IP位的优先级别技术,多种队列技术和高质量模数转换和压缩等技术,可以有效的控制网络阻塞,从而能够保证语音在IP网络上的有效传输。
13、问题
CISCO公司是否有同G.703标准直接相连的接口卡?
解答:
有,通过VWIC-1MFT-G703或VWIC-2MFT-G703可以直接连接G.703。当VWIC-1MFT-G703或VWIC-2MFT-G703直接插到WIC插槽中时,它不能提供划分通道的功能,但可以起到与WIC-1T模块相同的功能,同时提供G.703标准接口。而在以前的应用中,需要特定的协议转换器将G.703的接口标准转化成V.35标准。
14、问题
除了VOIP方式以外,还有哪些技术可以支持语音应用?
解答:
VoFRVoiceoverFrameRelay
VoATMVoiceoverATM
15、问题
在CISCO解答VVID解决方案中,数据和语音是否需要各自独立的布线?
解答:
不需要。在解答VVID解决方案中,数据和语音完全共存在一套布线体系中,两者可以共存,并不相互影响。
CiscoWorks部分问题解答
1.CiscoWorks是否能够管理到其它厂家的网络产品?
解答:只要第3方厂家的网络产品支持标准的SNMP的协议,那么CiscoWorks能够对其提供监视的功能。但是CiscoWorks应用程序中的其它元件象CiscoView等只是针对Cisco的网络设备,不能对第3方的网络产品提供支持。
2.CiscoWorksforWindows这个网络管理程序适合工作的范围?
解答:其适合工作的范围为:
中、小型企业大型企业的部门网络系统大型企业的分支办公室财政比较紧张的企、事业单位3.CiscoWorksforWindows网管软件何时使用?最多可以管理多少节点?
解答:CiscoWorksforWindows网络管理软件主要应用在中小型企业的网络环境。它是一个综合的,经济有效的,功能强大的网络管理工具,能够对交换机路由器,访问服务器,集线器等网络设备进行有效的管理。CiscoWorksforWindows网络管理软件可以安装在Windows95/98/NT等操作系统上。这个网络管理软件最多可以管理数百个节点。
4.CiscoWorks2000网管软件由几个部分组成?
解答:CiscoWorks2000目前由3个部分组成:
RoutedWANManagementSolution用来管理广域网络的企业级网络管理解决方案ServiceManagementSolution用来监视网络系统服务级别的企业级网络管理解决方案LANManagementSolution用来管理包含路由器和交换机的局域网络,是企业级的解决方案
5.CampusBundleforHP-UX/AIX和LANManagementSolution(LMS)forNTand
Solaris有何区别?
解答:CampusBundleforHP-UX/AIX运行在HP-UX或者IBMAIX的UNIX操作系统上,支持LANManagementManagementSolution的部分功能,包括CampusManager,RME,TrafficDirectorandCiscoView。而LANManagementSolution(NT/Solaris),则运行在WindowsNT和SUNSolaris操作系统上,除了以上功能外,还包括ContentFlowMonitor等。
6.LANManagementSolution和CampusBundle是否都是基于Web界面?
解答:LANManagementSolution和CampusBundle中的CampusManager,
CiscoView,和RME是基于Web界面的。但是TrafficDirector5.8还不是基于Web界面的。LMS所独有的ContentFlowMonitor也是基于Web界面的。
8.CiscoView5.1是否可以单独定购?
解答:CiscoView5.1不可以单独定购,它集成于CiscoWorks2000或者CiscoWorksforWindows中。
9.CiscoView5.1是否支持远程访问?
解答:支持。你可以通过浏览器在网络中任意一点对CiscoView进行访问。
10.CiscoView5.1最多同时支持多少用户的访问?
解答:大约10个。
11.CiscoWorks2000RoutedWANManagement(RWAN)解决方案的特性?
解答:RWAN提供强大的管理功能,用来管理基于路由的广域网络系统。它对复杂的网络系统具有配置、监视、排错等功能其包含的应用程序为:AccessControlList(ACL)Manager当对路由器和PIX防火墙设定访问控制列表时,使用这个应用程序可以简化访问控制列表的设置、管理、优化等工作。InternetworkPerformanceMonitor(IPM)广域网络中,对网络响应时间和网络的可用性进行故障排除的应用程序。TrafficDirector完整的网络流量监视和故障排除应用程序,对于广域网络的各种问题提供早期检测。ResourceManagerEssentials(RME)功能强大的基于WEB的网络管理应用程序,能够访问到重要的网络信息,可以管理网络的配置和软件改变的信息。CiscoView图形化设备管理应用程序,实时的设备状态监控,配置管理等。
12.CiscoWorks2000中的组件RWAN(RoutedWAN)网络管理软件能够安装在何种操作平台上?
解答:RWAN只可以安装在MicrosoftWindowsNT和SunSolaris操作系统上。
13.CiscoVoiceManager支持何种路由器?
解答:CiscoVoiceManager支持的具有语音功能的路由器种类为:Cisco2600,3600,5300,7200,和1750。14.CiscoWorks2000VoiceManager2.0是否能够运行在SUNSolaris系统上?
解答:可以运行在WindowsNT和SUNSolaris系统上。
15.CiscoVoiceManager能够对VoIP网络提供何种管理功能?
解答:其管理功能为:对语音接口的配置功能,拨号计划,呼叫的记录,语音的质量统计等。
15.CiscoWorks2000LMSforNTServer的建议系统需求?
解答:建议系统需求为:
550MHzmultiprocessorPentiumIII
512MBRAM
7GB硬盘空余空间CD-ROMdriveand17-inchcolormonitorWindowsNT4.0WorkstationorServerandServicePack5Netscape4.61或者InternetExplorer5.016.CiscoWorks2000基本安装步骤
解答:
1.InstallMicrosoftWindowsNTServer4.0orMicrosoftWindowsNTWorkstation4.0(USEnglish)2.InstallServicePack6a3.InstallIIS4.04.InstallCiscoWorks2000CDOne5.InstallResourceManagerEssentials6.InstallCampusManager3.07.InstallTrafficDirector5.88.ContentFlowMonitor1.0
17.有时我试图用ciscoview监测一个设备,但是我得到一个出错信息“unmanageable”,为什么会这样?
解答:有一下几种原因可能导致这种情况
1.被监测设备在9秒内对CiscoViewSNMPrequests无响应。被监测设备必须能从网管工作站ping通。
2.CiscoView与被监测设备的SNMP设置不匹配。用showsnmp查看被监测设备的snmp设置用snmp-servercommunityxxxxRO及snmp-servercommunityxxxxRW命令设置或修改。在CiscoView中选择File>Opendevices然后enterthenameofthedeviceorIPaddressthatfailed.设置正确的read和read-writecommunitystring.18.我试图用ciscoview监测一个设备,但是我得到“unsuporteddevice”错误信息,我如何解决?
解答:这可能是由于您的设备比较新,而CiscoView内没有安装包含该设备信息的Package。你可以从cisco合作伙伴得到该设备的Package并安装该Package。
19.Question5-WhatadditionalinformationshouldIknowonCampusManager3.0networktopologymapdiscovery?在我用CWSI发现网络拓扑结构的时候有什么技巧?
解答:
1.有关拓扑发现的设置在CiscoWorks2000Server->SetUp->AniServerAdmin
->DiscoverySettings
2.关于Seeddevices:我们建议把Catalyst交换机设为seeddevice。为了正确的发现VLAN建议在VTPdomain中至少有一个seeddevice设在VTPserver上。
3.关于jumprouterboundaries选项:为了发现整个网络拓扑,建议选中该选项。
4.关于reverseDNSlookup:很少使用,建议关闭该选项
5.关于filtering:可根据IP地址或VTPdomains限制拓扑发现的范围。
20.为什么我的拓扑图上某些图标上有一个“RED-X”?
解答:这说明应用程序与这些设备之间的SNMP通讯出了问题。
原因可能是:
1.SNMPcommunityString不匹配或不正确
通过Edit-->SNMPCommunities修改。
3.SNMPTimeouts值设的太小
网络上的某些设备对SNMP请求的响应比较慢,为了解决这个问题可以简单的增加SNMPTimeout的值。建议范围为30-60秒。
VPN技术部分问题解答
1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议?
CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案。
2.什么是第三层隧道?
第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3(3)T支持该项特性。CISCO在ios版本12.0(1)T支持移动IP。
3.GRE的主要作用是什么?
GRE是一种基于IP的隧道技术,它可被用来在基于IP的骨干网上传输多种协议的数据流量,如IPX、AppleTalk等。同时,GRE还可被用来在Internet网络上通过隧道传输广播和组播信息,如路由更新信息等。需要注意的是,在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置,随后可以使用诸如IPSec等安全措施保护隧道。
4.语音和数据集成的数据流是否能够通过VPN进行很好的传输,Cisco的哪些设备支持该项功能?
一般来讲,如果没有硬件加速、压缩以及优秀的QOS机制,使用加密机制如IPSec传输语音几乎是无法想象的。目前,我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近,在7100系列路由器中使用硬件加密技术已经成为现实,在不远的将来,这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外,通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR,都将加速语音的VPN传输。
5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较,有哪些优势和不足?
优势:?集成的解决方案,不需安装额外的设备。?降低了设备投资成本,减少了设备支持和维护工作。不足:?防火墙可能不支持路由功能和其它一些特性,如QOS。?在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。?在特定的VPN设备上同时支持的VPN隧道数量过于巨大。
6.IPSec是什么?它是否是一种新的加密形式?
IPSec是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯,即使这些设备可能是由不同厂商所提供的
7.L2TP和IPSec在VPN的接入实施中起到什么作用?L2TP提供隧道建立或封装,以及第二层验证。IPSec提供L2TP隧道的加密,从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能,但L2TP可以提供更好的用户验证功能。
8.IPSEC和CET的比较?
答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可以用CET,他是更成熟,更高速的解决方案。如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC。再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话.
9.Cisco1700系列路由器上是否支持硬件VPN功能,该硬件产品号是什么?
支持,该硬件VPN功能模块为:MOD1700-VPN。
10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及Cisco800、1600系列VPN路由器相比各有什么特点?带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密,具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密,不支持3DES。所能达到的速率适合进行ISDN128K的连接。
11.带VPN模块的Cisco1700系列路由器能否与其它厂商提供的VPN产品进行互操作?
尽管在许多不同的厂商之间已经就VPN形成了IPSec标准,如PKI和数字验证等,但仍有许多厂商在设计和实施VPN的时候都或多或少地超出了这一标准。因此,在这之间进行互操作时有可能会遇到问题。
12.Cisco系列VPN路由器一般可以支持多少个远端移动用户?
Cisco1700系列VPN路由器可以支持20-30个用户,如果采用硬件加速技术,则可以支持100个左右的用户。Cisco2600/3600系列VPN路由器可以支持100-500个左右的用户。对于超过500个以上的用户数的VPN应用,建议采用Cisco7XXX系列的VPN路由器13.Cisco的VPN软件能否在同一个连接中支持多种协议(如IP、IPX等)?
如果VPN支持多协议隧道功能,如GRE、L2TP或PPTP(均在CiscoIOS软件中被支持),那么就可以支持多协议。
14.什么是CiscoVPNClient?CiscoVPNclient是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95,98,NT4.0,和2000,XP的支持。
15.什么是CISCOvpn3002硬件客户端?
CISCOvpn3002硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替在基于MSDOS,WINDOWS和NT平台的软件客户端。安全产品部分问题解答
1.ciscopix放火墙采用的是何种算法?数据是如何通过防火墙进行转发?Ciscopix放火墙采用的是自适应安全算法,这是一种同设备连接状态密切相关的安全检测的方法。每一个进入放火墙的数据包都要通过自适应安全算法和内存中的连接状态信息的检查。通过这种面向连接的动态防火墙设备,能同时处理500000个并发的连接和高达1Gbps的吞吐量。可想而知这种同连接状态有关的方法比仅仅检查数据包(如访问列表)筛选的方法安全的多。
当一个向外发送的包到达一个Pix放火墙较高级别接口时,不管前一个包是否来自哪个主机,Pix放火墙用自适应安全算法检察该包是否有效。如果不是,该包属于一个新的连接,Pix放火墙会为该连接在状态表中创建转换槽。Pix放火墙存储在转换槽中的信息包括内部的IP地址和全局唯一的IP地址,该地址由NAT,PAT,或身份分配。Pix放火墙接着改变包的源地址为全局唯一地址,按照要求修改校验和以及其他域的地址,并将包转发给较低的安全级别借口。
2.Ciscopixfailover的作用:?
使用pix版本5.0,如果你有100Mbps的LAN接口,你可以选择与StatefulFailover选项。这样一使连接状态自动地在两个放火墙部件之间传递。在failover偶对中的两个部件通过failover线缆通信。failover线缆是修改过的RS-232串行线缆,它以9600的速率传输数据。数据提供主部件或从部件的标识号,另外一个部件电源状态,并作为两个部件不同的failover之间的通信链路。
3.AAA的作用?
访问控制是用来控制允许何种人访问服务器,以及一旦他们能够访问该服务器,以及一旦他们能够访问该服务器,允许他们使用何种服务的方法。AAA是使用相同方式配置三种独立的安全功能的一种结构。它提供了完成下列服务的模块化方法:
认证—一种提供识别用户的方法,包括注册和口令对话框,询问和响应,消息支持以及根据所选择的安全协议进行加密。
授权—一种提供远程访问控制的方法包括一次性授权或者单项服务服务授权,每个用户帐户列表和简介,用户包支持以及IP,IPX,ARP和Telnet支持。
记帐—一种给安全服务器收集,发送信息提供服务的方法,这些信息用来开列帐单,审计和形成报表,如用户标识,开始时间和停止时间,执行的命令,包的数量以及字节数。
4.RADIUS?
RADIUS是分布式客户机/服务器系统,它保护网络不受未授权访问的干扰。在Cisco实现中,Radius客户机运行于路由器上,并向*RADIUS服务器发出认证请求,这里的*服务器包含了所有的用户认证和网络服务访问信息。Cisco利用其AAA安全模式支持RADIUS,RADIUS也可以用于其他AAA安全协议,比如,TACACS,KERBEROS或本地用户名查找,所有Cisco平台都支持RADIUS。
5.Cisco加密技术如何实现?
网络数据加密是在IP包一级提供的,只有IP包可以被加密。只有当包满足在路由器上配置加密时所建立的条件时,这个数据包才会被加密/解密。当加密以后,单个数据包在传输时可以被检测到,但IP包的内容不能被读取。IP头和上层协议头没有被加密,但TCP或UDP包内所有的净荷数据都被加密,因此,在传输过程中不能被读取。
6.IPSec如何工作?
IPSec为两个同位体(路由器),提供安全隧道。由用户来定义哪些包将被认为是敏感信息,并将由这些安全隧道传送。并且通过指定这些隧道的参数来定义用于保护这些敏感的参数。然后,当IPSec看到这样的一个敏感包时,它将建立起相应的安全隧道,通过这隧道将这份数据包传送给远端同位体。
6.TACACS+的作用?
TACACS+是一种安全应用程序,它为用户获得对路由器或网络访问服务器的访问提供集中化的验证。TACACS+服务在TACACS+后台程序的数据库中进行维护,这种后台程序典型地运行在UNIX或WindowsNT工作站上。在为网络访问服务器配置的TACACS+特性可用之前,必须能够访问并配置TACACS+服务器。
7.CiscoIOS软件支持哪几种授权类型?
1)EXEC授权—适用于与用户EXEC终端对话相关的属性。2)命令授权—适用于用户发出的EXEC模式命令。命令授权试图给所有的EXEC模式命令使用指定的特权级别授权.3)网络授权—适用于网络连接,包括PPP,SLIP或ARAP连接。 (61-100)
8.CiscoIOS在网络上管理记帐?
在网络上管理记帐的命令。使用记帐管理可以跟踪单个用户使用的网络资源和群组用户的网络资源。使用AAA记账功能,不仅可以跟踪用户所访问的服务,还可以跟踪他们所消耗的网络资源的数量。
9.Kerberos的作用?
Kerberos是秘密密钥网络认证协议,使用数据加密标准加密算法进行加密和认证。Kerberos是为对网络资源的请求进行认证而设计的。与其他秘密密钥系统一样,Kerberos基于可信任的第三方概念,这个第三方对用户和服务执行安全认证。
10.锁定和密钥的作用?
锁定和密钥是一种流量过滤安全特性,它动态过滤IP协议流量。锁定和密钥是使用IP动态扩展访问列表进行配置的,它可以与其他标准访列表或静态访问列表结合起来一起使用。
11.CiscoSecureScanner的作用?
CiscoSecureScanner是一种企业级的软件工具,提供卓越的网络系统识别,革新性数据管理,灵活的用户定义脆弱性规则,全面的安全报告功能以及Cisco24*7的全球支持。12.CiscoSecurePolicyManager的作用?
CiscoSecurePolicyManager是一个用于Cisco放火墙,IPSec虚拟网关路由器和入侵检测系统Sensor的强大,可伸缩的安全政策管理系统。
13.Cisco安全入侵检测系统的作用?Cisco安全入侵检测系统可以为企业和服务提供商网络提供一系列高性能的安全监视监控方案。
14.CiscoSecure访问控制服务器的作用?
CiscoSecure访问控制服务器是为了解决Internet和所有共用的,专用的网络或外部企业网等网络的快速发展为用户如何对网络访问进行控制,授权和记费提出的安全方面的具体解决工具。
15.CiscoIos防火墙的作用?
CiscoIos防火墙为每一个网络周边集成了稳健的放火墙功能性和入侵检测,丰富了Cisco软件的安全功能。
16.PIX防火墙的关于license信息。
PIX防火墙的license有Unrestricted,Restricted,andFail-Over三种配置。这些基本的配置都可以用VPNDES和3DES来加强安全性。Unrestricted—操作在UR模式下的PIX防火墙允许支持最大数目的接口和最大可支持的内存。UR的License支持热备份冗余,最小化down网络的时间。Restricted—操作在R模式下的PIX防火墙限制支持的接口数和支持的内存大小。限制的许可特性提供对那些小网络的应用价格优化的防火墙方案。限制的许可特性不支持冗余的FO特性。
Fail-Over—操作在FO模式下的PIX防火墙跟另一台带UR许可证的防火墙协同工作,提供一个热冗余备份的结构。FO许可证提供基于状态的容错特性,从而使能高可用性的网络结构。在FO模式下的PIX防火墙维护跟主放火强完全一样的连接实时状态,从而最小化因为设备或网络失败而引起的连接失败。UR和FO的许可证有完全一样的特征和性能指数。UR和FO的防火墙中间需要Fail-over的电缆线。当前的PIX防火墙是基于特性集的许可证,这类许可秘匙限定哪些特性可用,哪些特性不可用。以前的PIX放火墙支持基于连接数的秘匙系统,它是限定PIX放火墙支持的最大连接数。为了统一和易于管理的目的,当前的PIX防火墙都支持基于特性集的许可证。
推荐阅读