本書是對(duì)《華為VPN學(xué)習(xí)指南》的全面升級(jí)和改版�,不僅采用最新版本的VRP系統(tǒng)進(jìn)行內(nèi)容的更新、修訂���,還在配置示例新增了許多在模擬器中實(shí)驗(yàn)時(shí)的實(shí)時(shí)截圖����,更具實(shí)踐性���。本書是專門介紹華為設(shè)備各項(xiàng)VPN技術(shù)及應(yīng)用配置的權(quán)威工具圖書���,是參加華為HCIP-Datacom、HCIA-Security和HCIP-Security認(rèn)證考試必備學(xué)習(xí)教材����。
全書共9章����,分別介紹了各種IP VPN技術(shù)的基礎(chǔ)知識(shí)和技術(shù)原理��,以及IPSec VPN��、L2TP VPN����、GRE VPN、DSVPN�、PKI、SSL VPN等技術(shù)原理和功能配置與管理方法�。在編寫過程中,本書充分結(jié)合了筆者20多年的學(xué)習(xí)�����、工作和寫作經(jīng)驗(yàn)��,無論在內(nèi)容的系統(tǒng)性���、專業(yè)性���,還是在實(shí)用性方面均有鮮明的特色����,是相關(guān)人員自學(xué)或者教學(xué)華為設(shè)備VPN配置與管理的必選教材�。
華為HCIA-Security和HCIP-Security認(rèn)證技能學(xué)習(xí)����、培訓(xùn)的指定教材!《華為VPN學(xué)習(xí)指南》更新改版�����!
1.本書內(nèi)容系統(tǒng)���、豐富��,更具實(shí)戰(zhàn)化���,不僅包括許多深入的技術(shù)原理介紹,還有大量的分類應(yīng)用配置步驟展示和具體的應(yīng)用方案配置案例����。
2.本書作者經(jīng)驗(yàn)豐富�,華為官方ICT認(rèn)證教材授權(quán)作者�����,擁有20多年實(shí)踐中所積累的大量�、實(shí)用、專業(yè)且有特色的經(jīng)驗(yàn)�,本書內(nèi)容是作者寶貴經(jīng)驗(yàn)的體現(xiàn)。
3.本書注重細(xì)節(jié)�����,系統(tǒng)深入�����,思路清晰�����,符合讀者閱讀習(xí)慣�。
4.跟進(jìn)技術(shù)新發(fā)展,本書按照華為AR G3系列路由器產(chǎn)品當(dāng)前使用的新VRP版本——V200R010��,進(jìn)行全面的更新和修訂�,內(nèi)容更新���、更精煉、更通俗易懂�����、更便于學(xué)習(xí)��!
王達(dá)��,曾在多家跨國(guó)公司從事網(wǎng)絡(luò)運(yùn)維工作��,曾任工信部網(wǎng)絡(luò)技術(shù)專家委員���、全國(guó)NMSE認(rèn)證專家委員副主任,華為官方ICT認(rèn)證教材授權(quán)作者��。20多年來�����,出版了100余部計(jì)算機(jī)網(wǎng)絡(luò)方面的專著��,主要代表作有《網(wǎng)管員》系列�����、《網(wǎng)絡(luò)工程師》系列、《深入理解計(jì)算機(jī)網(wǎng)絡(luò)》���、《華為交換機(jī)學(xué)習(xí)指南》(第二版)���、《華為路由器學(xué)習(xí)指南》(第二版)等。同時(shí)個(gè)人及所著圖書也獲得過數(shù)十項(xiàng)榮譽(yù)����,包括多家行業(yè)協(xié)會(huì)聯(lián)合頒發(fā)的“輸出版優(yōu)秀圖書獎(jiǎng)”,中國(guó)書刊發(fā)行協(xié)會(huì)頒發(fā)的“全行業(yè)優(yōu)秀暢銷品種獎(jiǎng)”��、電子工業(yè)出版社頒發(fā)的“全國(guó)優(yōu)秀作者”�����、四屆51CTO“受讀者喜愛的IT圖書作者”等��。
第 1章 VPN基礎(chǔ) 1
1.1 VPN概述 2
1.1.1 VPN的起源 2
1.1.2 VPN的主要特性 3
1.1.3 VPN的主要優(yōu)勢(shì) 4
1.2 VPN方案的分類 5
1.2.1 按VPN的應(yīng)用平臺(tái)分類 5
1.2.2 按組網(wǎng)模型分 6
1.2.3 按實(shí)現(xiàn)層次分 8
1.2.4 按業(yè)務(wù)用途分 9
1.2.5 按運(yùn)營(yíng)模式分 11
1.3 VPN隧道技術(shù) 12
1.3.1 VPN隧道技術(shù)綜述 12
1.3.2 PPTP協(xié)議 13
1.3.3 L2TP協(xié)議 18
1.3.4 MPLS協(xié)議 21
1.3.5 IPSec協(xié)議族 23
1.3.6 GRE協(xié)議 24
1.4 VPN身份認(rèn)證技術(shù) 25
1.4.1 PAP協(xié)議報(bào)文格式及身份認(rèn)證原理 25
1.4.2 CHAP協(xié)議報(bào)文格式及身份認(rèn)證原理 29
1.4.3 身份認(rèn)證算法基本設(shè)計(jì)思想 32
1.5 VPN數(shù)據(jù)安全技術(shù)原理 33
1.5.1 數(shù)據(jù)加/解密工作原理 33
1.5.2 數(shù)字信封工作原理 35
1.5.3 數(shù)字簽名工作原理 36
1.5.4 數(shù)字證書簡(jiǎn)介 37
1.6 MD5認(rèn)證算法原理 38
16.1 MD5算法基本認(rèn)證原理 38
1.6.2 MD5算法消息填充原理 39
1.7 SHA認(rèn)證算法原理 41
1.7.1 SHA算法基本認(rèn)證原理 41
1.7.2 SHA算法消息填充原理 42
1.8 SM系列算法及SM3基本工作原理 44
1.8.1 SM系列算法簡(jiǎn)介 44
1.8.2 SM3算法消息填充原理 45
1.8.3 SM3算法消息迭代壓縮原理 46
1.9 AES加密算法原理 46
1.9.1 AES的數(shù)據(jù)塊填充 47
1.9.2 AES四種工作模式加/解密原理 49
第 2章 IPSec基礎(chǔ)及手工方式IPSec VPN配置與管理 54
2.1 IPSec基礎(chǔ)及隧道建立基本原理 55
2.1.1 IPSec的安全機(jī)制 55
2.1.2 AH報(bào)頭格式 56
2.1.3 ESP報(bào)頭格式 57
2.1.4 IPSec的兩種封裝模式 58
2.1.5 IPSec隧道建立原理 62
2.2 IPSec保護(hù)數(shù)據(jù)流和虛擬隧道接口 63
2.2.1 感興趣流的定義方式 63
2.2.2 IPSec虛擬隧道接口 64
2.3 配置基于ACL方式手工建立IPSec隧道 66
2.3.1 手工方式IPSec VPN配置任務(wù) 66
2.3.2手工方式IPSec VPN數(shù)據(jù)傳輸?shù)幕玖鞒?67
2.3.3 基于ACL定義需要保護(hù)的數(shù)據(jù)流 68
2.3.4 配置IPSec安全提議 70
2.3.5 配置IPSec安全策略 73
2.3.6 配置IPSec隧道可選功能 77
2.3.7 配置在接口上應(yīng)用安全策略組 81
2.3.8 IPSec隧道維護(hù)和管理命令 82
2.3.9 基于ACL方式手工建立IPSec隧道配置示例 83
2.4 基于ACL方式手工建立IPSec隧道的典型故障排除 90
2.4.1 IPSec隧道建立不成功的故障排除 90
2.4.2 IPSec隧道建立成功��,但兩端仍不能通信的故障排除 92
第3章 ACL方式IKE動(dòng)態(tài)協(xié)商建立IPSec VPN的配置與管理 94
3.1 IKE基礎(chǔ) 95
3.1.1 IKE與IPSec的關(guān)系 95
3.1.2 IKE的安全機(jī)制 96
3.1.3 IKE動(dòng)態(tài)協(xié)商方式的主要優(yōu)勢(shì) 97
3.2 IKE工作原理 98
3.2.1 IKEv1協(xié)商SA的第 一階段 98
3.2.2 IKEv1協(xié)商SA的第二階段 101
3.2.3 IKEv2協(xié)商SA 102
3.3 ACL方式IKE動(dòng)態(tài)協(xié)商建立IPSec隧道的配置任務(wù) 104
3.4 定義IKE安全提議 104
3.5 配置IKE對(duì)等體 109
3.5.1 配置IKE對(duì)等體通用屬性 109
3.5.2 配置IKE對(duì)等體預(yù)共享密鑰認(rèn)證方法 112
3.5.3 配置IKE對(duì)等體RSA簽名認(rèn)證方法 115
3.5.4 配置IKE對(duì)等體RSA數(shù)字信封認(rèn)證方法 119
3.6 配置IKE可選功能 120
3.6.1 配置IKE SA的生存周期 120
3.6.2 配置IKE對(duì)等體狀態(tài)檢測(cè) 121
3.6.3 配置身份過濾集 124
3.6.4 配置IKE報(bào)文的DSCP優(yōu)先級(jí) 125
3.6.5 配置NAT穿越功能 125
3.6.6 配置IPSec VPN多實(shí)例 127
3.6.7 配置IKEv1協(xié)商中IPSec SA的存在依賴于IKE SA 128
3.6.8 配置不校驗(yàn)證書的有效性 128
3.7 配置并應(yīng)用IPSec安全策略 129
3.7.1 配置ISAKMP方式IPSec安全策略 129
3.7.2 配置策略模板方式IPSec安全策略 132
3.8 配置IPSec隧道可選功能 134
3.8.1 配置IPSec SA的生存周期 134
3.8.2 配置抗重放功能 136
3.8.3 配置路由注入功能 138
3.8.4 配置IPSec報(bào)文的QoS功能 140
3.8.5 配置保護(hù)相同數(shù)據(jù)流的新用戶快速接入總部功能 141
3.8.6 配置IPSec掩碼過濾功能 141
3.9 IKE動(dòng)態(tài)協(xié)商方式典型配置示例 142
3.9.1 采用缺省IKE安全提議建立IPSec隧道配置示例 142
3.9.2 總部采用策略模板方式與分支建立多條IPSec隧道配置示例 147
3.9.3 總部采用安全策略組方式與分支建立多條IPSec隧道配置示例 158
3.9.4 分支采用多鏈路共享功能與總部建立IPSec隧道配置示例 166
3.9.5 建立NAT穿越功能的IPSec隧道配置示例 172
3.10 IKE動(dòng)態(tài)協(xié)商方式IPSec隧道建立不成功的故障排除 180
3.10.1 第 一階段IKE SA建立不成功的故障排除 180
3.10.2 第二階段IPSec SA建立不成功的故障排除 183
第4章 基于Tunnel接口和Efficient VPN策略的IPSec VPN配置與管理 185
4.1 配置采用Tunnel接口方式建立IPSec隧道 186
4.1.1 配置任務(wù) 186
4.1.2 配置IPSec安全框架 187
4.1.3 配置可選功能 189
4.1.4 配置IPSec虛擬隧道/隧道模板接口 192
4.1.5 基于Tunnel接口建立IPSec隧道的配置示例 196
4.1.6 基于虛擬隧道模板接口建立IPSec隧道的配置示例 202
4.2 Efficient VPN策略基礎(chǔ) 207
4.2.1 Efficient VPN簡(jiǎn)介 207
4.2.2 Efficient VPN的運(yùn)行模式 208
4.3 配置采用Efficient VPN策略建立IPSec隧道 210
4.3.1 配置任務(wù) 211
4.3.2 配置Remote端IPSec基本參數(shù) 212
4.3.3 配置Remote端IPSec可選參數(shù) 215
4.3.4 配置Server端網(wǎng)絡(luò)資源參數(shù) 218
4.3.5 配置Server端IPSec參數(shù) 220
4.3.6 Efficient VPN Client模式建立IPSec隧道配置示例 221
4.3.7 Efficient VPN Network模式建立IPSec隧道配置示例 227
4.3.8 Efficient VPN Network-plus方式建立IPSec隧道配置示例 231
第5章 L2TP VPN配置與管理 236
5.1 L2TP VPN體系架構(gòu) 237
5.1.1 L2TP VPN的基本組成 237
5.1.2 LAC位置的幾種情形 238
5.1.3 L2TP消息�、隧道和會(huì)話 239
5.2 L2TP的主要應(yīng)用 240
5.3 L2TP報(bào)文格式和封裝 243
5.3.1 L2TP協(xié)議報(bào)文格式 243
5.3.2 L2TP報(bào)文封裝 244
5.4 L2TP工作過程 245
5.5 配置LAC接入呼叫發(fā)起L2TP隧道連接 248
5.5.1 配置任務(wù) 248
5.5.2 配置AAA認(rèn)證 249
5.5.3 配置LAC 254
5.5.4 配置LNS 259
5.6 配置L2TP Client發(fā)起L2TP連接 262
5.6.1 配置任務(wù) 262
5.6.2 配置L2TP Client撥號(hào)發(fā)起L2TP連接 263
5.7 配置L2TP其它可選功能 265
5.8 L2TP配置管理和維護(hù)命令 267
5.9 L2TP典型配置示例 268
5.9.1遠(yuǎn)程撥號(hào)用戶發(fā)起L2TP隧道連接配置示例 268
5.9.2 LAC接入PPPoE用戶發(fā)起L2TP隧道連接配置示例 270
5.9.3 L2TP Client發(fā)起L2TP隧道連接配置示例 275
5.9.4 多個(gè)L2TP Client發(fā)起L2TP隧道連接配置示例 279
5.10 L2TP over IPSec的配置與管理 286
5.10.1 L2TP over IPSec封裝原理 286
5.10.2 分支與總部通過L2TP Over IPSec方式實(shí)現(xiàn)安全互通配置示例 288
第6章 GRE VPN配置與管理 295
6.1 GRE VPN基礎(chǔ)和工作原理 296
6.1.1 GRE的主要優(yōu)勢(shì) 296
6.1.1 GRE報(bào)文格式 297
6.1.3 GRE的報(bào)文封裝和解封裝原理 298
6.1.4 GRE的安全機(jī)制 299
6.1.5 GRE的Keepalive檢測(cè)機(jī)制 300
6.2 GRE的主要應(yīng)用場(chǎng)景 301
6.3 GRE VPN配置與管理 305
6.3.1 配置任務(wù) 306
6.3.2 配置Tunnel接口 307
6.3.3 配置Tunnel接口的路由 310
6.3.4 配置Link-bridge功能 311
6.3.5 配置GRE的安全機(jī)制 312
6.3.5 使能GRE的Keepalive檢測(cè)功能 313
6.3.6 配置Ethernet over GRE功能 313
6.3.7 GRE VPN隧道管理與維護(hù) 315
6.4 典型配置示例 315
6.4.1 GRE通過靜態(tài)路由實(shí)現(xiàn)兩個(gè)遠(yuǎn)程IPv4子網(wǎng)互聯(lián)配置示例 315
6.4.2 GRE通過OSPF路由實(shí)現(xiàn)兩個(gè)遠(yuǎn)程IPv4子網(wǎng)互聯(lián)配置示例 319
6.4.3 GRE over IPSec配置示例 321
6.4.4 Ethernet over GRE隧道配置示例 327
6.5 GRE典型故障排除 330
6.5.1 隧道兩端Ping不通的故障排除 330
6.5.2 隧道是通的,但兩端私網(wǎng)不能互訪的故障排除 332
第7章 DSVPN配置與管理 333
7.1 DSVPN基礎(chǔ) 334
7.1.1 DSVPN簡(jiǎn)介及主要優(yōu)勢(shì) 334
7.1.2 DSVPN中的重要概念 335
7.2 DSVPN基本原理 336
7.2.1 mGRE隧道建立的三個(gè)環(huán)節(jié) 337
7.2.2 Spoke與Hub之間mGRE隧道的建立流程 338
7.2.3 非shortcut方式Spoke與Spoke之間的mGRE隧道的建立流程 340
7.2.4 shortcut方式Spoke與Spoke之間的mGRE隧道的建立流程 343
7.3 DSVPN配置與管理 347
7.3.1 配置任務(wù) 347
7.3.2 配置mGRE 348
7.3.3 配置路由 349
7.3.4 配置NHRP 351
7.4 DSVPN的其它應(yīng)用及配置 354
7.4.1 DSVPN NAT穿越原理 355
7.4.2 DSVPN IPSec保護(hù)原理及配置 356
7.4.3 DSVPN雙Hub主備備份或負(fù)載分擔(dān)原理及配置 358
7.5 DSVPN維護(hù)與管理命令 360
7.6 DSVPN典型應(yīng)用配置示例 360
7.6.1非shortcut方式DSVPN(靜態(tài)路由)配置示例 361
7.6.2 非shortcut方式DSVPN(OSPF協(xié)議)配置示例 367
7.6.3 非shortcut方式DSVPN(BGP協(xié)議)配置示例 370
7.6.4 shortcut方式DSVPN(OSPF協(xié)議)配置示例 374
7.6.5 shortcut方式DSVPN(BGP協(xié)議)配置示例 377
7.6.6 DSVPN NAT穿越配置示例 379
7.6.7 雙Hub DSVPN配置示例 387
7.7 DSVPN典型故障排除 396
7.7.1 Spoke NHRP注冊(cè)失敗的故障排除 397
7.7.2 非shortcut方式Spoke間子網(wǎng)無法進(jìn)行直接通信的故障排除 398
7.7.3 shortcut方式Spoke間子網(wǎng)無法進(jìn)行直接通信的故障排除 399
第6章 PKI配置與管理 400
8.1 PKI基礎(chǔ)及工作原理 401
8.1.1 PKI簡(jiǎn)介 401
8.1.2 PKI體系架構(gòu) 401
8.1.3 數(shù)字證書結(jié)構(gòu)�����、分類和格式 403
8.1.4 PKI中的幾個(gè)概念 405
8.1.5 PKI工作機(jī)制 407
8.1.6 PKI的主要應(yīng)用場(chǎng)景 410
8.2 PKI實(shí)體申請(qǐng)本地證書配置任務(wù) 411
8.3 申請(qǐng)本地證書的預(yù)配置 412
8.3.1 配置PKI實(shí)體信息 413
8.3.2 配置RSA/SM2密鑰對(duì) 415
8.3.3 配置為PKI實(shí)體獲取CA證書 417
8.3.4 RSA/SM2密鑰對(duì)導(dǎo)出、銷毀和查看 420
8.3.5 申請(qǐng)本地證書預(yù)配置的管理命令 421
8.4 申請(qǐng)和更新本地證書 421
8.4.1 配置通過SCEP協(xié)議為PKI實(shí)體申請(qǐng)和更新本地證書 422
8.4.2 配置通過CMPv2協(xié)議為PKI實(shí)體申請(qǐng)和更新本地證書 426
8.4.3 配置為PKI實(shí)體離線申請(qǐng)本地證書 432
8.4.4 本地證書申請(qǐng)和更新管理命令 433
8.5 本地證書的下載和安裝 433
8.5.1 本地證書的下載 434
8.5.2 本地證書的安裝 434
8.5.3 本地證書下載與安裝管理命令 435
8.6 驗(yàn)證CA證書和本地證書的有效性 436
8.6.1 配置檢查對(duì)端本地證書的狀態(tài) 436
8.6.2 配置檢查CA證書和本地證書的有效性 441
8.6.3 驗(yàn)證CA證書和本地證書有效性管理命令 442
8.7 配置證書擴(kuò)展功能 443
8.8 PKI典型配置示例 444
8.8.1 通過SCEP協(xié)議自動(dòng)申請(qǐng)本地證書配置示例 444
8.8.2 通過CMPv2協(xié)議首次申請(qǐng)本地證書配置示例 450
8.8.3 離線申請(qǐng)本地證書配置示例 454
8.9 典型故障排除 458
8.9.1 CA證書獲取失敗的故障排除 458
8.9.2 本地證書獲取失敗的故障排除 460
第9章 SSL VPN配置與管理 462
9.1 SSL VPN基礎(chǔ) 463
9.1.1 SSL概述 463
9.1.2 SSL VPN的引入背景 464
9.1.3 SSL VPN系統(tǒng)組成 465
9.1.4 SSL VPN業(yè)務(wù)分類 466
9.1.5 SSL VPN遠(yuǎn)程用戶訪問內(nèi)網(wǎng)資源過程 469
9.1.6 SSL VPN的典型應(yīng)用 470
9.2 服務(wù)器型SSL策略配置與管理 471
9.2.1 配置服務(wù)器型SSL策略 471
9.2.2 SSL維護(hù)和管理命令 474
9.3 HTTPS服務(wù)器配置與管理 474
9.3.1 配置HTTPS服務(wù)器 474
9.3.2 HTTPS服務(wù)器配置示例 475
9.4 SSL VPN配置與管理 481
9.4.1 配置SSL VPN的偵聽端口號(hào) 482
9.4.2 創(chuàng)建SSL VPN遠(yuǎn)程用戶 482
9.4.3 配置SSL VPN虛擬網(wǎng)關(guān)基本功能 483
9.4.4 配置SSL VPN業(yè)務(wù) 484
9.4.5 管理SSL VPN遠(yuǎn)程用戶 489
9.4.6 配置個(gè)性化定制Web頁(yè)面元素 490
9.4.7 遠(yuǎn)程用戶接入SSL VPN網(wǎng)關(guān) 492
9.4.8 SSL VPN維護(hù)與管理 496
9.5 SSL VPN典型配置示例 496
9.5.1 Web代理業(yè)務(wù)配置示例 496
9.5.2 端口轉(zhuǎn)發(fā)業(yè)務(wù)配置示例 499
9.5.3 網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)配置示例 502
9.5.4 多虛擬網(wǎng)關(guān)配置示例 506
書單推薦
