IPSec VPN设计PDF电子书下载

第1章 VPN简介 1

1.1 部署VPN的动机 1

1.2 VPN技术 3

1.2.1 第2层VPN 3

1.2.2 第3层VPN 3

1.2.3 远程接入VPN 4

1.3 总结 6

2.1 加密术语 9

第2章 IPSec概述 9

2.1.1 对称算法 10

2.1.2 非对称算法 10

2.1.3 数字签名 12

2.2 IPSec安全协议 12

2.2.1 IPSec传输模式 13

2.2.2 IPSec隧道模式 14

2.2.3 封装安全有效负载（ESP） 14

2.2.4 验证报头（AH） 15

2.3.1 Diffie-Hellman密钥交换 17

2.3 密钥管理和安全关联 17

2.3.2 安全关联及IKE工作原理 18

2.3.3 IKE Phase 1的工作原理 20

2.3.4 IKE Phase 2的工作原理 24

2.3.5 IPSec分组的处理 25

2.4 总结 31

第3章 增强的IPSec特性 33

3.1 IKE存活消息 33

3.2 失效对等体检测 34

3.3 空闲超时 38

3.4 反向路由注入 40

3.5 有状态故障切换 46

3.5.1 SADB传输 46

3.5.2 SADB同步 46

3.6 IPSec和分段 53

3.6.1 IPSec和PMTUD 53

3.7 GRE和IPSec 56

3.6.2 先行分段 56

3.8 IPSec和NAT 61

3.8.1 NAT对AH的影响 61

3.8.2 NAT对ESP的影响 61

3.8.3 NAT对IKE的影响 62

3.8.4 IPSec和NAT共存问题解决方案 62

3.9 总结 70

第4章 IPSec认证和授权模型 73

4.1 扩展认证和模式配置 73

4.2 模式配置 76

4.3 简易VPN 77

4.3.1 EzVPN客户模式 78

4.3.2 网络扩展模式 81

4.4 在IPSec VPN中使用数字证书 84

4.4.1 数字证书 84

4.4.2 申请证书 84

4.4.3 撤销证书 86

4.5 总结 87

第5章 IPSec VPN架构 89

5.1 IPSec VPN连接模型 89

5.1.1 IPSec模型 89

5.1.2 GRE模型 90

5.1.3 远程接入客户模型 91

5.1.4 IPSec连接模型小结 92

5.2 星型架构 93

5.2.1 使用IPSec模型 93

5.2.2 GRE模型 104

5.2.3 远程接入客户连接模型 117

5.3 全互联架构 126

5.3.1 本征IPSec连接模型 126

5.3.2 GRE模型 132

5.4 总结 136

第6章 设计容错的IPSec VPN 139

6.1 链路容错 139

6.1.2 接入链路的容错 140

6.1.1 主干网络的容错 140

6.1.3 接入链路容错小结 152

6.2 IPSec对等体冗余 153

6.2.1 简单对等体冗余模型 153

6.2.2 使用HSRP的虚拟IPSec对等体冗余 156

6.2.3 IPSec有状态切换 158

6.2.4 使用GRE的对等体冗余 161

6.2.5 使用SLB的虚拟IPSec对等体冗余 165

6.2.6 服务器负载均衡的概念 165

6.2.7 使用SLB的IPSec对等体冗余 166

6.2.8 使用Cisco VPN 3000集群来实现对等体冗余 169

6.2.9 对等体冗余小结 171

6.3 机架内部的IPSec VPN服务冗余 171

6.3.1 无状态IPSec冗余 171

6.3.2 有状态IPSec冗余 171

6.4 总结 172

7.1 IPSec隧道端点发现 175

第7章 场点到场点IPSec VPN的自动配置架构 175

7.1.1 TED的工作原理 176

7.1.2 TED的局限性 178

7.1.3 TED的配置和状态 178

7.1.4 TED容错 181

7.2 动态多点VPN 183

7.2.1 多点GRE接口 184

7.2.2 下一跳解析协议 186

7.2.3 动态实例化IPSec代理 189

7.2.4 建立动态多点VPN 190

7.2.5 DMVPN架构冗余 199

7.2.6 DMVPN模型小结 205

7.3 总结 205

第8章 IPSec和应用的互操作性 207

8.1 支持QoS的IPSec VPN 208

8.1.1 IP QoS机制概述 208

8.1.2 IPSec对分类的影响 209

8.1.3 IPSec对QoS策略的影响 213

8.2 VoIP应用对IPSec VPN的要求 214

8.2.1 延迟的影响 214

8.2.2 抖动的影响 215

8.2.3 分组丢失的影响 215

8.3 针对VoIP的IPSec VPN架构考虑 217

8.3.1 分离VoIP和数据的架构 217

8.3.2 IPSec远程接入网络上的VoIP 218

8.3.3 IPSec保护的GRE架构上的VoIP 219

8.3.4 VoIP星型架构 220

8.3.5 DMVPN架构中的VoIP 221

8.3.6 VoIP流量工程小结 223

8.4 IPSec VPN上的多播 223

8.4.1 IPSec保护的GRE上的多播 223

8.4.2 全互联点到点GRE/IPSec隧道上的多播 225

8.4.3 DMVPN和多播 226

8.4.4 多播组安全 228

8.5 总结 231

8.4.5 多播加密小结 231

第9章 基于网络的IPSec VPN 233

9.1 基于网络的VPN的基础知识 233

9.2 基于网络的IPSec解决方案：IOS特性 235

9.2.1 虚拟路由选择和转发表 236

9.2.2 加密密钥链 236

9.2.3 ISAKMP描述 237

9.3 基于网络的IPSec VPN的工作原理 238

9.3.1 在PE上使用单个IP地址 238

9.3.2 前门VRF和内部VRF 239

9.3.3 配置和分组传输流程 239

9.3.4 使用不同的IP地址端接不同VPN中的IPSec隧道 256

9.4 基于网络的VPN部署方案 258

9.4.1 通过GRE隧道以IPSec方式连接到MPLS VPN 258

9.4.2 以IPSec方式连接到第2层VPN 263

9.4.3 PE-PE加密 266

9.5 总结 271