本書將專門以華為AR G3系列路由器中的傳統(tǒng)VPN(包括L2TP VPN、IPSec VPN、GRE VPN、SSL VPN和DSVPN)相關(guān)技術(shù)原理,以及具體的配置方法進行介紹,還有大量的實際配置案例。本書是一本系統(tǒng)、深入地介紹華為各種傳統(tǒng)VPN技術(shù)原理和各種應(yīng)用分類的具體配置方法,以及大量實際部署案例的圖書。
1.本書針對目前市場上沒有專門圖書的華為AR G3系列路由器傳統(tǒng)VPN(包括L2TP VPN、IPSec VPN、GRE VPN、SSL VPN和DSVPN)技術(shù)原理、配置方法進行介紹。
2.本書內(nèi)容系統(tǒng)、豐富,更*實戰(zhàn)化,不僅包括許多深入的技術(shù)原理介紹,還有大量的分類應(yīng)用配置步驟展示和具體的應(yīng)用方案配置案例。
3.本書注重細節(jié),系統(tǒng)深入,思路清晰,符合讀者閱讀習慣。
王達,全國網(wǎng)管技能水平考試專家委員,四屆51CTO最受讀者喜愛的IT圖書作者(并有5屆、7部作品榮獲51CTO主辦的最愛讀者喜愛的IT技術(shù)圖書稱號),國內(nèi)資深網(wǎng)絡(luò)工程技術(shù)專家和知名的IT圖書作者。曾在天極網(wǎng)、IT168、e800等網(wǎng)絡(luò)媒體上發(fā)表千篇以上IT方面的專業(yè)文章,出版過超過50部計算機網(wǎng)絡(luò)方面的著作,其中的代表作有Cisco H3C交換機配置與管理完全手冊》(第二版)、《Cisco H3C交換機高級配置與管理技術(shù)手冊》等,并有多部版權(quán)輸出到了臺灣。
第一章 VPN基礎(chǔ)
1.1VPN的起源、定義與優(yōu)勢
1.1.1 VPN的起源
1.1.2 VPN的通俗理解
1.1.3 VPN的主要優(yōu)勢
1.2 VPN方案的分類
1.2.1 按VPN的應(yīng)用平臺分類
1.2.2 按組網(wǎng)模型分
1.2.3 按業(yè)務(wù)用途分
1.2.4 按實現(xiàn)層次分
1.2.5 按運營模式分
1.3VPN隧道技術(shù)
1.3.1 VPN隧道技術(shù)綜述
1.3.2 PPTP協(xié)議
1.3.3 L2TP協(xié)議
1.3.4 MPLS協(xié)議
1.3.5 IPSec協(xié)議族
1.3.6 GRE協(xié)議
1.4VPN身份認證技術(shù)
1.4.1 PAP協(xié)議報文格式及身份認證原理
1.4.2 CHAP協(xié)議報文格式及身份認證原理
1.4.3 身份認證算法原理
1.5MD5認證算法原理
15.1 MD5算法基本認證原理
1.5.2 MD5算法消息填充原理
1.5.3 MD5算法的主要應(yīng)用
1.6SHA認證算法原理
1.6.1 SHA算法基本認證原理
1.6.2 SHA算法消息填充原理
1.7SM3認證算法原理
1.7.1 SM3算法消息填充原理
1.7.2 SM3算法消息迭代壓縮原理
1.8AES加密算法原理
1.8.1 AES的數(shù)據(jù)塊填充
1.8.2 AES四種工作模式加 解密原理
1.9DES加密算法原理
1.9.1 DES的數(shù)據(jù)塊填充
1.9.2 DES加 解密原理
1.9.3 子密鑰生成原理
1.9.4 3DES算法簡介
第二章 IPSec基礎(chǔ)及手工方式IPSec VPN配置與管理
2.1IPSec VPN基本工作原理
2.1.1 IPSec的安全機制
2.1.2 IPSec的兩種封裝模式
2.1.3 AH報頭和ESP報頭格式
2.1.4 數(shù)字證書身份認證技術(shù)
2.1.5 IPSec隧道建立原理
2.2IKE密鑰交換原理
2.2.1 IKE動態(tài)協(xié)商綜述
2.2.2 IKE的安全機制
2.2.3 IKEv1密鑰交換和協(xié)商:第一階段
2.2.4 IKEv1密鑰交換和協(xié)商:第二階段
2.2.5 IKEv2密鑰協(xié)商和交換
2.3IPSec保護數(shù)據(jù)流和虛擬隧道接口
2.3.1 保護數(shù)據(jù)流的定義方式
2.3.2 IPSec虛擬隧道接口
2.4配置基于ACL方式手工建立IPSec隧道
2.4.1 手工方式配置任務(wù)及基本工作原理
2.4.2 基于ACL定義需要保護的數(shù)據(jù)流
2.4.3 配置IPSec安全提議
2.4.4 配置安全策略
2.4.5 配置可選擴展功能
2.4.6 配置在接口上應(yīng)用安全策略組
2.4.7 IPSec隧道維護和管理命令
2.4.8 基于ACL方式手工建立IPSec隧道配置示例
2.5基于ACL方式手工建立IPSec隧道的典型故障排除
2.5.1 IPSec隧道建立不成功的故障排除
2.5.2 IPSec隧道建立成功,但兩端仍不通通信的故障排除
第三章 IKE動態(tài)協(xié)商方式IPSec VPN配置與管理
3.1配置基本ACL方式IKE協(xié)商建立IPSec隧道
3.1.1 IKE動態(tài)協(xié)商方式配置任務(wù)及基本工作原理
3.1.2 定義IKE安全提議
3.1.3 配置IKE對等體
3.1.4 配置安全策略
3.1.5 配置可選擴展功能
3.2典型配置示例
3.2.1 采用缺省IKE安全提議建立IPSec隧道配置示例
3.2.2 總部采用策略模板方式與分支建立多條IPSec隧道配置示例
3.2.3 總部采用安全策略組方式與分支建立多條IPSec隧道配置示例
3.2.4 分支采用多鏈路共享功能與總部建立IPSec隧道配置示例
3.2.5 建立NAT穿越功能的IPSec隧道配置示例
3.2.6 配置PPPoE撥號分支與總部建立IPSec隧道示例
3.3IKE動態(tài)協(xié)商方式IPSec隧道建立不成功的故障排除
3.3.1 第一階段IKE SA建立不成功的故障排除
3.3.2 第二階段IPSec SA建立不成功的故障排除
第四章 基于隧道接口和Efficient VPN策略IPSec VPN配置與管理
4.1配置采用虛擬隧道接口方式建立IPSec隧道
4.1.1 配置任務(wù)
4.1.2 配置安全框架
4.1.3 配置可選擴展功能
4.1.4 配置IPSec虛擬隧道 隧道模板接口
4.1.5 配置基于虛擬隧道接口定義需要保護的數(shù)據(jù)流
4.1.6 配置子網(wǎng)路由信息的請求 推送 接收功能
4.1.7 基于虛擬隧道接口建立IPSec隧道配置示例
4.1.8 基于虛擬隧道模板接口建立IPSec隧道配置示例
4.2配置采用Efficient VPN策略建立IPSec隧道
4.2.1 Efficient VPN簡介
4.2.2 Efficient VPN的運行模式
4.2.3 配置任務(wù)
4.2.4 配置Remote端
4.2.5 配置Server端
4.2.6 Efficient VPN Client模式建立IPSec隧道配置示例
4.2.7 Efficient VPN Network模式建立IPSec隧道配置示例
4.2.8 Efficient VPN Network-plus方式建立IPSec隧道配置示例
第五章 L2TP VPN配置與管理
5.1L2TP VPN體系架構(gòu)
5.1.1 L2TP VPN的基本組成
5.1.2 LAC位置的幾種情形
5.1.3 L2TP消息、隧道和會話
5.2L2TP報文格式、封裝及傳輸
5.2.1 L2TP協(xié)議報文格式
5.2.2 L2TP協(xié)議報文封裝
5.2.3 L2TP數(shù)據(jù)包傳輸
5.3L2TP隧道模式及隧道建立流程
5.3.1 NAS-Initiated模式隧道建立流程
5.3.2 LAC-Auto-Initiated模式隧道建立流程
5.3.3 Client-Initiated模式隧道建立流程
5.4L2TP的主要應(yīng)用
5.5華為設(shè)備對L2TP VPN的支持
5.6LAC接入呼叫發(fā)起L2TP隧道連接的配置與管理
5.6.1 配置任務(wù)
5.6.2 配置AAA認證
5.6.3 配置LAC
5.6.4 配置LNS
5.6.5 L2TP維護與管理
5.6.6 移動辦公用戶發(fā)起L2TP隧道連接配置示例
5.6.7 LAC接入傳統(tǒng)撥號用戶發(fā)起L2TP隧道連接配置示例
5.6.8 LAC接入PPPoE用戶發(fā)起L2TP隧道連接配置示例
5.7LAC自撥號發(fā)起L2TP隧道連接的配置與管理
5.7.1 配置任務(wù)
5.7.2 配置LAC
5.7.3 LAC自撥號發(fā)起L2TP隧道連接的配置示例
5.7.4 多個LAC自撥號發(fā)起L2TP隧道連接配置示例
5.8配置L2TP其它可選功能
5.9L2TP over IPSec的配置與管理
5.9.1 L2TP over IPSec封裝原理
5.9.2 分支與總部通過L2TP Over IPSec方式實現(xiàn)安全互通配置示例
5.10L2TP VPN故障排除
5.10.1 Client-Initiated模式L2TP VPN典型故障排除
5.10.2 NAS-Initiated和LAC-Auto-Initiated模式L2TP VPN典型故障排除
第六章 GRE VPN配置與管理
6.1GRE VPN工作原理
6.1.1 GRE報文格式
6.1.2 GRE的報文封裝和解封裝原理
6.1.3 GRE的安全機制
6.1.4 GRE的Keepalive檢測機制
6.2GRE的主要應(yīng)用場景
6.2.1 多協(xié)議本地網(wǎng)可以通過GRE隧道隔離傳輸
6.2.2 擴大跳數(shù)受限的網(wǎng)絡(luò)工作范圍
6.2.3 與IPSec結(jié)合,保護組播 廣播數(shù)據(jù)
6.2.4 CE采用GRE隧道接入MPLS VPN
6.2GRE VPN配置與管理
6.3.1 配置任務(wù)
6.3.2 配置Tunnel接口
6.3.3 配置Tunnel接口的路由
6.3.4 配置可選配置任務(wù)
6.3.5 GRE VPN隧道維護與管理
6.3典型配置示例
6.4.1 GRE通過靜態(tài)路由實現(xiàn)兩個遠程IPv4子網(wǎng)互聯(lián)配置示例
6.4.2 GRE通過OSPF路由實現(xiàn)兩個遠程IPv4子網(wǎng)互聯(lián)配置示例
6.4.3 GRE擴大跳數(shù)受限的網(wǎng)絡(luò)工作范圍配置示例
6.4.4 GRE實現(xiàn)FR協(xié)議互通配置示例
6.4.5 GRE over IPSec配置示例
6.4.6 IPSec over GRE配置示例
6.4GRE典型故障排除
6.4.1 隧道兩端Ping不通的故障排除
6.4.2 隧道是通的,但兩端私網(wǎng)不能互訪的故障排除
第七章 DSVPN配置與管理
7.1DSVPN綜述
7.1.1 DSVPN簡介
7.1.2 DSVPN中的重要概念
7.1.3 DSVPN的典型應(yīng)用場景
7.2DSVPN工作原理
7.2.1 DSVPN中的GRE封裝和解封裝原理
7.2.2 NHRP協(xié)議工作原理
7.2.3 非shortcut場景DSVPN工作原理
7.2.4 shortcut場景DSVPN工作原理
7.2.5 DSVPN NAT穿越原理
7.2.6 DSVPN雙Hub備份原理
7.2.7 DSVPN IPSec保護原理
7.3DSVPN配置與管理
7.3.1 配置任務(wù)
7.3.2 配置mGRE
7.3.3配置路由
7.3.4 配置NHRP
7.3.5配置并應(yīng)用IPSec安全框架
7.3.6 DSVPN維護與管理命令
7.4典型配置示例
7.4.1 非shortcut場景DSVPN(靜態(tài)路由)配置示例
7.4.2 非shortcut場景DSVPN(RIP協(xié)議)配置示例
7.4.3 非shortcut場景DSVPN(OSPF協(xié)議)配置示例
7.4.4 非shortcut場景DSVPN(BGP協(xié)議)配置示例
7.4.5 shortcut場景DSVPN(RIP協(xié)議)配置示例
7.4.6 shortcut場景DSVPN(OSPF協(xié)議)配置示例
7.4.7 shortcut場景DSVPN(BGP協(xié)議)配置示例
7.4.8 DSVPN NAT穿越配置示例
7.4.9 雙Hub DSVPN配置示例
7.4.10 DSVPN over IPSec配置示例
7.5典型故障排除
7.5.1 Spoke NHRP注冊失敗的故障排除
7.5.2 非shortcut場景Spoke間子網(wǎng)無法進行直接通信的故障排除
7.5.3 shortcut場景Spoke間子網(wǎng)無法進行直接通信的故障排除
第八章 SSL VPN配置與管理
8.1 SSL VPPN綜述
8.1.1 SSL概述
8.1.2 SSL VPN的引入背景
8.1.3 SSL VPN的系統(tǒng)組成
8.1.4 SSL VPN的典型應(yīng)用
8.2 PKI基礎(chǔ)及工作原理
8.2.1 PKI簡介
8.2.2 PKI基本概念
8.2.3 PKI體系架構(gòu)
8.2.4 PKI工作機制
8.2.5 PKI主要應(yīng)用場景
8.3 申請本地證書的預(yù)配置
8.3.1 配置PKI實體信息
8.3.2 配置RSA密鑰對
8.3.3 配置為PKI實體獲取CA證書
8.3.4 PKI和RSA密鑰管理
8.4 本地證書申請、安裝及管理
8.4.1 配置通過SCEP協(xié)議為PKI實體申請和更新本地證書
8.4.2 配置通過CMPv2協(xié)議為PKI實體申請和更新本地證書
8.4.3 配置為PKI實體離線申請本地證書
8.4.4 下載本地證書
8.4.5 安裝本地證書
8.4.6 驗證CA證書和本地證書
8.4.7 刪除本地證書
8.4.8 本地證書管理
8.4.9 通過SCEP協(xié)議自動為PKI實體申請本地證書配置示例
8.4.10 通過CMPv2協(xié)議為PKI實體首次申請本地證書配置示例
8.4.11 為PKI實體離線申請本地證書配置示例
8.5 HTTPS服務(wù)器的配置
8.5.1 HTTPS概述
8.6.2 配置服務(wù)器型SSL策略
8.7.2 配置HTTPS服務(wù)器
8.8.3 HTTPS服務(wù)器配置示例
8.6 SSL VPN配置與管理
8.6.1 配置任務(wù)
8.6.2 配置SSL VPN的偵聽端口號
8.6.3 創(chuàng)建遠程用戶的用戶信息
8.6.4 配置SSL VPN虛擬網(wǎng)關(guān)基本功能
8.6.5 配置SSL VPN Web代理業(yè)務(wù)
8.6.6 配置SSL VPN端口轉(zhuǎn)發(fā)業(yè)務(wù)
8.6.7 配置SSL VPN網(wǎng)絡(luò)擴展業(yè)務(wù)
8.6.8 管理SSL VPN遠程用戶
8.6.9 配置個性化定制Web頁面元素
8.6.10 遠程用戶接入SSL VPN網(wǎng)關(guān)
8.6.11 SSL VPN維護與管理
8.7 SSL VPN典型配置示例
8.7.1 基于Web代理業(yè)務(wù)的SSL VPN配置示例
8.7.2 基于端口轉(zhuǎn)發(fā)業(yè)務(wù)的SSL VPN配置示例
8.7.3 基于網(wǎng)絡(luò)擴展業(yè)務(wù)的SSL VPN配置示例
8.7.4 多SSL VPN虛擬網(wǎng)關(guān)配置示例
8.8 典型故障排除
8.8.1 獲取CA證書失敗故障排除
8.8.2 獲取本地證書失敗故障排除
8.8.3 SSL VPN建立不成功故障排除
8.8.4 SSL VPN網(wǎng)關(guān)登陸慢故障排除