本書是對《華為VPN學(xué)習(xí)指南》的全面升級和改版�����,不僅采用最新版本的VRP系統(tǒng)進行內(nèi)容的更新��、修訂���,還在配置示例新增了許多在模擬器中實驗時的實時截圖����,更具實踐性�����。本書是專門介紹華為設(shè)備各項VPN技術(shù)及應(yīng)用配置的權(quán)威工具圖書����,是參加華為HCIP-Datacom、HCIA-Security和HCIP-Security認(rèn)證考試必備學(xué)習(xí)教材�。
全書共9章����,分別介紹了各種IP VPN技術(shù)的基礎(chǔ)知識和技術(shù)原理����,以及IPSec VPN、L2TP VPN��、GRE VPN��、DSVPN�����、PKI����、SSL VPN等技術(shù)原理和功能配置與管理方法。在編寫過程中�����,本書充分結(jié)合了筆者20多年的學(xué)習(xí)���、工作和寫作經(jīng)驗�,無論在內(nèi)容的系統(tǒng)性、專業(yè)性�,還是在實用性方面均有鮮明的特色,是相關(guān)人員自學(xué)或者教學(xué)華為設(shè)備VPN配置與管理的必選教材��。
華為HCIA-Security和HCIP-Security認(rèn)證技能學(xué)習(xí)�、培訓(xùn)的指定教材!《華為VPN學(xué)習(xí)指南》更新改版�����!
1.本書內(nèi)容系統(tǒng)���、豐富,更具實戰(zhàn)化�����,不僅包括許多深入的技術(shù)原理介紹��,還有大量的分類應(yīng)用配置步驟展示和具體的應(yīng)用方案配置案例���。
2.本書作者經(jīng)驗豐富�����,華為官方ICT認(rèn)證教材授權(quán)作者���,擁有20多年實踐中所積累的大量�����、實用���、專業(yè)且有特色的經(jīng)驗,本書內(nèi)容是作者寶貴經(jīng)驗的體現(xiàn)�����。
3.本書注重細節(jié)����,系統(tǒng)深入,思路清晰�����,符合讀者閱讀習(xí)慣�����。
4.跟進技術(shù)新發(fā)展,本書按照華為AR G3系列路由器產(chǎn)品當(dāng)前使用的新VRP版本——V200R010�,進行全面的更新和修訂,內(nèi)容更新�����、更精煉����、更通俗易懂、更便于學(xué)習(xí)����!
王達���,曾在多家跨國公司從事網(wǎng)絡(luò)運維工作����,曾任工信部網(wǎng)絡(luò)技術(shù)專家委員����、全國NMSE認(rèn)證專家委員副主任,華為官方ICT認(rèn)證教材授權(quán)作者。20多年來���,出版了100余部計算機網(wǎng)絡(luò)方面的專著�����,主要代表作有《網(wǎng)管員》系列���、《網(wǎng)絡(luò)工程師》系列、《深入理解計算機網(wǎng)絡(luò)》�����、《華為交換機學(xué)習(xí)指南》(第二版)����、《華為路由器學(xué)習(xí)指南》(第二版)等。同時個人及所著圖書也獲得過數(shù)十項榮譽�����,包括多家行業(yè)協(xié)會聯(lián)合頒發(fā)的“輸出版優(yōu)秀圖書獎”�,中國書刊發(fā)行協(xié)會頒發(fā)的“全行業(yè)優(yōu)秀暢銷品種獎”、電子工業(yè)出版社頒發(fā)的“全國優(yōu)秀作者”�����、四屆51CTO“受讀者喜愛的IT圖書作者”等。
第 1章 VPN基礎(chǔ) 1
1.1 VPN概述 2
1.1.1 VPN的起源 2
1.1.2 VPN的主要特性 3
1.1.3 VPN的主要優(yōu)勢 4
1.2 VPN方案的分類 5
1.2.1 按VPN的應(yīng)用平臺分類 5
1.2.2 按組網(wǎng)模型分 6
1.2.3 按實現(xiàn)層次分 8
1.2.4 按業(yè)務(wù)用途分 9
1.2.5 按運營模式分 11
1.3 VPN隧道技術(shù) 12
1.3.1 VPN隧道技術(shù)綜述 12
1.3.2 PPTP協(xié)議 13
1.3.3 L2TP協(xié)議 18
1.3.4 MPLS協(xié)議 21
1.3.5 IPSec協(xié)議族 23
1.3.6 GRE協(xié)議 24
1.4 VPN身份認(rèn)證技術(shù) 25
1.4.1 PAP協(xié)議報文格式及身份認(rèn)證原理 25
1.4.2 CHAP協(xié)議報文格式及身份認(rèn)證原理 29
1.4.3 身份認(rèn)證算法基本設(shè)計思想 32
1.5 VPN數(shù)據(jù)安全技術(shù)原理 33
1.5.1 數(shù)據(jù)加/解密工作原理 33
1.5.2 數(shù)字信封工作原理 35
1.5.3 數(shù)字簽名工作原理 36
1.5.4 數(shù)字證書簡介 37
1.6 MD5認(rèn)證算法原理 38
16.1 MD5算法基本認(rèn)證原理 38
1.6.2 MD5算法消息填充原理 39
1.7 SHA認(rèn)證算法原理 41
1.7.1 SHA算法基本認(rèn)證原理 41
1.7.2 SHA算法消息填充原理 42
1.8 SM系列算法及SM3基本工作原理 44
1.8.1 SM系列算法簡介 44
1.8.2 SM3算法消息填充原理 45
1.8.3 SM3算法消息迭代壓縮原理 46
1.9 AES加密算法原理 46
1.9.1 AES的數(shù)據(jù)塊填充 47
1.9.2 AES四種工作模式加/解密原理 49
第 2章 IPSec基礎(chǔ)及手工方式IPSec VPN配置與管理 54
2.1 IPSec基礎(chǔ)及隧道建立基本原理 55
2.1.1 IPSec的安全機制 55
2.1.2 AH報頭格式 56
2.1.3 ESP報頭格式 57
2.1.4 IPSec的兩種封裝模式 58
2.1.5 IPSec隧道建立原理 62
2.2 IPSec保護數(shù)據(jù)流和虛擬隧道接口 63
2.2.1 感興趣流的定義方式 63
2.2.2 IPSec虛擬隧道接口 64
2.3 配置基于ACL方式手工建立IPSec隧道 66
2.3.1 手工方式IPSec VPN配置任務(wù) 66
2.3.2手工方式IPSec VPN數(shù)據(jù)傳輸?shù)幕玖鞒?67
2.3.3 基于ACL定義需要保護的數(shù)據(jù)流 68
2.3.4 配置IPSec安全提議 70
2.3.5 配置IPSec安全策略 73
2.3.6 配置IPSec隧道可選功能 77
2.3.7 配置在接口上應(yīng)用安全策略組 81
2.3.8 IPSec隧道維護和管理命令 82
2.3.9 基于ACL方式手工建立IPSec隧道配置示例 83
2.4 基于ACL方式手工建立IPSec隧道的典型故障排除 90
2.4.1 IPSec隧道建立不成功的故障排除 90
2.4.2 IPSec隧道建立成功�����,但兩端仍不能通信的故障排除 92
第3章 ACL方式IKE動態(tài)協(xié)商建立IPSec VPN的配置與管理 94
3.1 IKE基礎(chǔ) 95
3.1.1 IKE與IPSec的關(guān)系 95
3.1.2 IKE的安全機制 96
3.1.3 IKE動態(tài)協(xié)商方式的主要優(yōu)勢 97
3.2 IKE工作原理 98
3.2.1 IKEv1協(xié)商SA的第 一階段 98
3.2.2 IKEv1協(xié)商SA的第二階段 101
3.2.3 IKEv2協(xié)商SA 102
3.3 ACL方式IKE動態(tài)協(xié)商建立IPSec隧道的配置任務(wù) 104
3.4 定義IKE安全提議 104
3.5 配置IKE對等體 109
3.5.1 配置IKE對等體通用屬性 109
3.5.2 配置IKE對等體預(yù)共享密鑰認(rèn)證方法 112
3.5.3 配置IKE對等體RSA簽名認(rèn)證方法 115
3.5.4 配置IKE對等體RSA數(shù)字信封認(rèn)證方法 119
3.6 配置IKE可選功能 120
3.6.1 配置IKE SA的生存周期 120
3.6.2 配置IKE對等體狀態(tài)檢測 121
3.6.3 配置身份過濾集 124
3.6.4 配置IKE報文的DSCP優(yōu)先級 125
3.6.5 配置NAT穿越功能 125
3.6.6 配置IPSec VPN多實例 127
3.6.7 配置IKEv1協(xié)商中IPSec SA的存在依賴于IKE SA 128
3.6.8 配置不校驗證書的有效性 128
3.7 配置并應(yīng)用IPSec安全策略 129
3.7.1 配置ISAKMP方式IPSec安全策略 129
3.7.2 配置策略模板方式IPSec安全策略 132
3.8 配置IPSec隧道可選功能 134
3.8.1 配置IPSec SA的生存周期 134
3.8.2 配置抗重放功能 136
3.8.3 配置路由注入功能 138
3.8.4 配置IPSec報文的QoS功能 140
3.8.5 配置保護相同數(shù)據(jù)流的新用戶快速接入總部功能 141
3.8.6 配置IPSec掩碼過濾功能 141
3.9 IKE動態(tài)協(xié)商方式典型配置示例 142
3.9.1 采用缺省IKE安全提議建立IPSec隧道配置示例 142
3.9.2 總部采用策略模板方式與分支建立多條IPSec隧道配置示例 147
3.9.3 總部采用安全策略組方式與分支建立多條IPSec隧道配置示例 158
3.9.4 分支采用多鏈路共享功能與總部建立IPSec隧道配置示例 166
3.9.5 建立NAT穿越功能的IPSec隧道配置示例 172
3.10 IKE動態(tài)協(xié)商方式IPSec隧道建立不成功的故障排除 180
3.10.1 第 一階段IKE SA建立不成功的故障排除 180
3.10.2 第二階段IPSec SA建立不成功的故障排除 183
第4章 基于Tunnel接口和Efficient VPN策略的IPSec VPN配置與管理 185
4.1 配置采用Tunnel接口方式建立IPSec隧道 186
4.1.1 配置任務(wù) 186
4.1.2 配置IPSec安全框架 187
4.1.3 配置可選功能 189
4.1.4 配置IPSec虛擬隧道/隧道模板接口 192
4.1.5 基于Tunnel接口建立IPSec隧道的配置示例 196
4.1.6 基于虛擬隧道模板接口建立IPSec隧道的配置示例 202
4.2 Efficient VPN策略基礎(chǔ) 207
4.2.1 Efficient VPN簡介 207
4.2.2 Efficient VPN的運行模式 208
4.3 配置采用Efficient VPN策略建立IPSec隧道 210
4.3.1 配置任務(wù) 211
4.3.2 配置Remote端IPSec基本參數(shù) 212
4.3.3 配置Remote端IPSec可選參數(shù) 215
4.3.4 配置Server端網(wǎng)絡(luò)資源參數(shù) 218
4.3.5 配置Server端IPSec參數(shù) 220
4.3.6 Efficient VPN Client模式建立IPSec隧道配置示例 221
4.3.7 Efficient VPN Network模式建立IPSec隧道配置示例 227
4.3.8 Efficient VPN Network-plus方式建立IPSec隧道配置示例 231
第5章 L2TP VPN配置與管理 236
5.1 L2TP VPN體系架構(gòu) 237
5.1.1 L2TP VPN的基本組成 237
5.1.2 LAC位置的幾種情形 238
5.1.3 L2TP消息�����、隧道和會話 239
5.2 L2TP的主要應(yīng)用 240
5.3 L2TP報文格式和封裝 243
5.3.1 L2TP協(xié)議報文格式 243
5.3.2 L2TP報文封裝 244
5.4 L2TP工作過程 245
5.5 配置LAC接入呼叫發(fā)起L2TP隧道連接 248
5.5.1 配置任務(wù) 248
5.5.2 配置AAA認(rèn)證 249
5.5.3 配置LAC 254
5.5.4 配置LNS 259
5.6 配置L2TP Client發(fā)起L2TP連接 262
5.6.1 配置任務(wù) 262
5.6.2 配置L2TP Client撥號發(fā)起L2TP連接 263
5.7 配置L2TP其它可選功能 265
5.8 L2TP配置管理和維護命令 267
5.9 L2TP典型配置示例 268
5.9.1遠程撥號用戶發(fā)起L2TP隧道連接配置示例 268
5.9.2 LAC接入PPPoE用戶發(fā)起L2TP隧道連接配置示例 270
5.9.3 L2TP Client發(fā)起L2TP隧道連接配置示例 275
5.9.4 多個L2TP Client發(fā)起L2TP隧道連接配置示例 279
5.10 L2TP over IPSec的配置與管理 286
5.10.1 L2TP over IPSec封裝原理 286
5.10.2 分支與總部通過L2TP Over IPSec方式實現(xiàn)安全互通配置示例 288
第6章 GRE VPN配置與管理 295
6.1 GRE VPN基礎(chǔ)和工作原理 296
6.1.1 GRE的主要優(yōu)勢 296
6.1.1 GRE報文格式 297
6.1.3 GRE的報文封裝和解封裝原理 298
6.1.4 GRE的安全機制 299
6.1.5 GRE的Keepalive檢測機制 300
6.2 GRE的主要應(yīng)用場景 301
6.3 GRE VPN配置與管理 305
6.3.1 配置任務(wù) 306
6.3.2 配置Tunnel接口 307
6.3.3 配置Tunnel接口的路由 310
6.3.4 配置Link-bridge功能 311
6.3.5 配置GRE的安全機制 312
6.3.5 使能GRE的Keepalive檢測功能 313
6.3.6 配置Ethernet over GRE功能 313
6.3.7 GRE VPN隧道管理與維護 315
6.4 典型配置示例 315
6.4.1 GRE通過靜態(tài)路由實現(xiàn)兩個遠程IPv4子網(wǎng)互聯(lián)配置示例 315
6.4.2 GRE通過OSPF路由實現(xiàn)兩個遠程IPv4子網(wǎng)互聯(lián)配置示例 319
6.4.3 GRE over IPSec配置示例 321
6.4.4 Ethernet over GRE隧道配置示例 327
6.5 GRE典型故障排除 330
6.5.1 隧道兩端Ping不通的故障排除 330
6.5.2 隧道是通的�,但兩端私網(wǎng)不能互訪的故障排除 332
第7章 DSVPN配置與管理 333
7.1 DSVPN基礎(chǔ) 334
7.1.1 DSVPN簡介及主要優(yōu)勢 334
7.1.2 DSVPN中的重要概念 335
7.2 DSVPN基本原理 336
7.2.1 mGRE隧道建立的三個環(huán)節(jié) 337
7.2.2 Spoke與Hub之間mGRE隧道的建立流程 338
7.2.3 非shortcut方式Spoke與Spoke之間的mGRE隧道的建立流程 340
7.2.4 shortcut方式Spoke與Spoke之間的mGRE隧道的建立流程 343
7.3 DSVPN配置與管理 347
7.3.1 配置任務(wù) 347
7.3.2 配置mGRE 348
7.3.3 配置路由 349
7.3.4 配置NHRP 351
7.4 DSVPN的其它應(yīng)用及配置 354
7.4.1 DSVPN NAT穿越原理 355
7.4.2 DSVPN IPSec保護原理及配置 356
7.4.3 DSVPN雙Hub主備備份或負載分擔(dān)原理及配置 358
7.5 DSVPN維護與管理命令 360
7.6 DSVPN典型應(yīng)用配置示例 360
7.6.1非shortcut方式DSVPN(靜態(tài)路由)配置示例 361
7.6.2 非shortcut方式DSVPN(OSPF協(xié)議)配置示例 367
7.6.3 非shortcut方式DSVPN(BGP協(xié)議)配置示例 370
7.6.4 shortcut方式DSVPN(OSPF協(xié)議)配置示例 374
7.6.5 shortcut方式DSVPN(BGP協(xié)議)配置示例 377
7.6.6 DSVPN NAT穿越配置示例 379
7.6.7 雙Hub DSVPN配置示例 387
7.7 DSVPN典型故障排除 396
7.7.1 Spoke NHRP注冊失敗的故障排除 397
7.7.2 非shortcut方式Spoke間子網(wǎng)無法進行直接通信的故障排除 398
7.7.3 shortcut方式Spoke間子網(wǎng)無法進行直接通信的故障排除 399
第6章 PKI配置與管理 400
8.1 PKI基礎(chǔ)及工作原理 401
8.1.1 PKI簡介 401
8.1.2 PKI體系架構(gòu) 401
8.1.3 數(shù)字證書結(jié)構(gòu)、分類和格式 403
8.1.4 PKI中的幾個概念 405
8.1.5 PKI工作機制 407
8.1.6 PKI的主要應(yīng)用場景 410
8.2 PKI實體申請本地證書配置任務(wù) 411
8.3 申請本地證書的預(yù)配置 412
8.3.1 配置PKI實體信息 413
8.3.2 配置RSA/SM2密鑰對 415
8.3.3 配置為PKI實體獲取CA證書 417
8.3.4 RSA/SM2密鑰對導(dǎo)出�、銷毀和查看 420
8.3.5 申請本地證書預(yù)配置的管理命令 421
8.4 申請和更新本地證書 421
8.4.1 配置通過SCEP協(xié)議為PKI實體申請和更新本地證書 422
8.4.2 配置通過CMPv2協(xié)議為PKI實體申請和更新本地證書 426
8.4.3 配置為PKI實體離線申請本地證書 432
8.4.4 本地證書申請和更新管理命令 433
8.5 本地證書的下載和安裝 433
8.5.1 本地證書的下載 434
8.5.2 本地證書的安裝 434
8.5.3 本地證書下載與安裝管理命令 435
8.6 驗證CA證書和本地證書的有效性 436
8.6.1 配置檢查對端本地證書的狀態(tài) 436
8.6.2 配置檢查CA證書和本地證書的有效性 441
8.6.3 驗證CA證書和本地證書有效性管理命令 442
8.7 配置證書擴展功能 443
8.8 PKI典型配置示例 444
8.8.1 通過SCEP協(xié)議自動申請本地證書配置示例 444
8.8.2 通過CMPv2協(xié)議首次申請本地證書配置示例 450
8.8.3 離線申請本地證書配置示例 454
8.9 典型故障排除 458
8.9.1 CA證書獲取失敗的故障排除 458
8.9.2 本地證書獲取失敗的故障排除 460
第9章 SSL VPN配置與管理 462
9.1 SSL VPN基礎(chǔ) 463
9.1.1 SSL概述 463
9.1.2 SSL VPN的引入背景 464
9.1.3 SSL VPN系統(tǒng)組成 465
9.1.4 SSL VPN業(yè)務(wù)分類 466
9.1.5 SSL VPN遠程用戶訪問內(nèi)網(wǎng)資源過程 469
9.1.6 SSL VPN的典型應(yīng)用 470
9.2 服務(wù)器型SSL策略配置與管理 471
9.2.1 配置服務(wù)器型SSL策略 471
9.2.2 SSL維護和管理命令 474
9.3 HTTPS服務(wù)器配置與管理 474
9.3.1 配置HTTPS服務(wù)器 474
9.3.2 HTTPS服務(wù)器配置示例 475
9.4 SSL VPN配置與管理 481
9.4.1 配置SSL VPN的偵聽端口號 482
9.4.2 創(chuàng)建SSL VPN遠程用戶 482
9.4.3 配置SSL VPN虛擬網(wǎng)關(guān)基本功能 483
9.4.4 配置SSL VPN業(yè)務(wù) 484
9.4.5 管理SSL VPN遠程用戶 489
9.4.6 配置個性化定制Web頁面元素 490
9.4.7 遠程用戶接入SSL VPN網(wǎng)關(guān) 492
9.4.8 SSL VPN維護與管理 496
9.5 SSL VPN典型配置示例 496
9.5.1 Web代理業(yè)務(wù)配置示例 496
9.5.2 端口轉(zhuǎn)發(fā)業(yè)務(wù)配置示例 499
9.5.3 網(wǎng)絡(luò)擴展業(yè)務(wù)配置示例 502
9.5.4 多虛擬網(wǎng)關(guān)配置示例 506
書單推薦
