Cisco VPN完全配置指南PDF电子书下载

第一部分 VPN 3

第1章 VPN概述 3

1.1 流量问题 3

1.1.1 窃听攻击 3

1.1.2 伪装攻击 5

1.1.3 中间人攻击 5

1.2 VPN定义 7

1.2.1 VPN描述 8

1.2.2 VPN连接模式 9

1.2.3 VPN类型 11

1.2.4 VPN分类 14

1.3.1 验证 15

1.3 VPN组件 15

1.3.2 封装方法 17

1.3.3 数据加密 17

1.3.4 数据包的完整性 17

1.3.5 密钥管理 18

1.3.6 抗抵赖性 18

1.3.7 应用程序和协议的支持 18

1.3.8 地址管理 19

1.4 VPN设计 20

1.4.1 连接类型 20

1.4.2 VPN考虑 22

1.4.3 冗余 26

1.5 VPN实施 27

1.5.1 GRE 27

1.5.2 IPSec 28

1.5.4 L2TP 29

1.5.3 PPTP 29

1.5.5 MPLS 30

1.5.6 SSL 30

1.6 VPN：选择解决方案 31

1.6.1 安全性 31

1.6.2 实施、管理和支持 31

1.6.3 高可靠性 32

1.6.4 扩展性和灵活性 32

1.6.5 费用 32

1.7 总结 33

2.1 密钥 35

2.1.1 密钥的使用 35

第2章 VPN技术 35

2.1.2 对称密钥 36

2.1.3 非对称密钥 36

2.2 加密 39

2.2.1 加密的过程 39

2.2.2 加密算法 39

2.3 数据包验证 41

2.3.1 数据包验证的实施 41

2.3.2 数据包验证的使用 43

2.3.3 数据包验证的问题 45

2.4 密钥交换 46

2.4.1 密钥共享的困惑 46

2.4.2 Diffie-HellMan（赫尔曼算法） 48

2.5 验证方法 50

2.4.3 密钥刷新 50

2.4.4 密钥交换方法的限制 50

2.5.1 中间人攻击 51

2.5.2 验证的解决方案 51

2.5.3 设备验证 52

2.5.4 用户验证 64

2.6 总结 65

第3章 IPSec 67

3.1 IPSec标准 67

3.1.1 IETF RFC 68

3.1.2 IPSec连接 72

3.1.3 构建连接的基本过程 74

3.2 ISAKMP/IKE阶段1 75

3.2.1 管理连接 76

3.2.2 密钥交换协议：Diffie-Hellman 78

3.2.3 设备验证 78

3.2.4 远程访问额外的步骤 79

3.3 ISAKMP/IKE阶段2 87

3.3.1 ISAKMP/IKE阶段2组件 87

3.3.2 阶段2安全协议 87

3.3.3 阶段2的连接模式 90

3.3.4 阶段2的传输集 90

3.3.5 数据连接 91

3.4 IPSec流量和网络 92

3.4.1 IPSec和地址转换 92

3.4.2 IPSec和防火墙 94

3.4.3 使用IPSec的其他问题 96

3.5 总结 97

第4章 PPTP和L2TP 99

4.1 PPTP 99

4.1.1 PPP回顾 100

4.1.2 PPTP组件 102

4.1.3 PPTP是如何工作的 102

4.1.4 使用PPTP的问题 107

4.2 L2TP 109

4.2.1 L2TP概述 109

4.2.2 L2TP操作 110

4.2.3 L2TP/IPSec和PPTP的比较 113

4.3 总结 115

5.1 SSL回顾 117

第5章 SSL VPN 117

5.1.1 SSL客户实施 118

5.1.2 SSL保护 119

5.1.3 SSL组件 121

5.2 什么时候使用SSLVPN 124

5.2.1 SSL VPN的好处 124

5.2.2 SSL VPN的缺点 125

5.3 Cisco的WebVPN解决方案 127

5.3.1 VPN 3000系列集中器 127

5.3.2 WebVPN的操作 127

5.3.3 Web访问 128

5.3.4 网络浏览和文件管理访问 129

5.3.5 应用程序访问和端口转发 129

5.3.6 E-mail客户的访问 130

5.4 总结 131

第二部分 集中器 135

第6章 集中器产品信息 135

6.1 集中器的型号 136

6.1.1 3005集中器 136

6.1.2 3015集中器 137

6.1.3 3020集中器 138

6.1.4 3030集中器 138

6.1.5 3060集中器 138

6.1.6 3080集中器 138

6.1.7 集中器型号的比较 139

6.2 集中器的模块 139

6.3 集中器的特性 140

6.2.1 SEP模块 140

6.2.2 SEP操作 140

6.3.1 版本3.5特性 141

6.3.2 版本3.6特性 142

6.3.3 版本4.0特性 143

6.3.4 版本4.1特性 144

6.3.5 版本4.7特性 144

6.4 介绍对集中器的访问 145

6.4.1 命令行接口 145

6.4.2 图形用户接口 149

6.5 总结 157

7.1 控制对集中器的远程访问会话 159

7.1.1 组的配置 159

第7章 使用IPSec实现集中器的远程访问连接 159

7.1.2 用户配置 173

7.2 IPSec远程访问 175

7.2.1 ISAKMP/IKE阶段1：IKE建议 175

7.2.2 ISAKMP/IKE阶段1：设备验证 178

7.2.3 ISAKMP/IKE阶段1：IPSec标签 188

7.2.4 ISAKMP/IKE阶段1：Mode/Client Config标签 190

7.2.5 ISAKMP/IKE阶段1：Client FW标签 198

7.2.6 ISAKMP/IKE阶段2：数据SA 204

7.3 对于IPSec和L2TP/IPSec用户的网络访问控制（NAC） 205

7.3.1 对于IPSec,NAC的全局配置 206

7.3.2 NAC的组配置 207

7.4 总结 209

8.1 PPTP和L2TP远程访问 211

第8章 使用PPTP、L2TP和WebVPN实现集中器远程访问连接 211

8.1.1 PPTP和L2TP组配置 212

8.1.2 PPTP全局配置 213

8.1.3 L2TP全局配置 214

8.2 WebVPN远程访问 215

8.2.1 HTTPS访问 215

8.2.2 WebVPN全局配置 217

8.2.3 组配置 227

8.2.4 SSLVPN客户端（SSLVPN客户端，SVC） 232

8.2.5 用于WebVPN访问的Cisco安全桌面 235

8.3 总结 246

第9章 集中器站点到站点的连接 249

9.1 L2L连接例子 249

9.2.1 现有的IKE策略 251

9.2 ISAKMP/IKE阶段1准备 251

9.2.2 IKE策略屏幕 252

9.3 增加站点到站点的连接 253

9.3.1 添加L2L会话 253

9.3.2 完成L2L会话 263

9.3.3 修改L2L会话 265

9.4 地址转换和L2L会话 265

9.4.1 介绍集中器地址转换的能力 266

9.4.2 需要L2L地址转换的例子 266

9.4.3 建立L2L地址转换规则 267

9.4.4 启动L2L地址转换 268

9.5 总结 269

10.1.1 建立带宽策略 271

10.1 带宽管理 271

第10章 集中器的管理 271

10.1.2 激活带宽策略 274

10.2 集中器上的路由选择 277

10.2.1 静态路由选择 277

10.2.2 RIP路由选择协议 279

10.2.3 OSPF路由选择协议 280

10.3 机箱冗余 282

10.3.1 VRRP 282

10.3.2 VCA 286

10.4 管理屏幕 290

10.4.1 Administrator Access（管理员访问） 291

10.4.2 集中器的升级 293

10.4.3 文件管理 294

10.5 总结 295

第11章 验证和故障诊断与排除集中器的连接 297

11.1 集中器的工具 297

11.1.1 系统状态 298

11.1.2 VPN会话 299

11.1.3 事件日志 302

11.1.4 监控统计信息屏幕 313

11.2 故障诊断与排除问题 315

11.2.1 ISAKMP/IKE阶段1的问题 315

11.2.2 ISAKMP/IKE阶段2的问题 320

11.3 总结 322

第12章 Cisco VPN软件客户端 327

第三部分 客户端 327

12.1 Cisco VPN客户端的概述 328

12.1.1 Cisco VPN客户端的特性 328

12.1.2 Cisco VPN客户端的安装 329

12.2 Cisco VPN客户端接口 335

12.2.1 操作模式 335

12.2.2 喜好 337

12.2.3 先进模式工具栏按钮和标签选项 337

12.3 IPSec连接 338

12.3.1 使用预共享密钥建立连接 338

12.3.2 使用证书建立连接 342

12.3.3 其他的连接配置选项 349

12.3.4 连接到一台Easy VPN服务器 349

12.3.5 客户端的连接状态 352

12.4 VPN客户端的GUI选项 354

12.3.6 断开连接 354

12.4.1 Application Launcher（应用程序发起器） 355

12.4.2 Windows Login Properties（Windows登录属性） 355

12.4.3 Automatic Initiation（自动发起） 355

12.4.4 Stateful Firewall（状态防火墙） 358

12.5 VPN客户端软件的更新 361

12.5.1 集中器：客户端更新 361

12.5.2 对于Windows 2000和XP的VPN客户端的自动更新的准备 363

12.5.3 客户端的更新过程 364

12.6 VPN客户端的故障诊断与排除 366

12.6.1 日志查看器 366

12.6.2 验证问题 368

12.6.3 ISAKMP/IKE策略不匹配的问题 369

12.6.4 地址分配的故障诊断与排除 370

12.6.5 分离隧道问题 372

12.6.6 地址转换问题 375

12.6.7 碎片问题 376

12.6.8 微软的网络邻居问题 380

12.7 总结 381

第13章 Windows软件客户端 383

13.1 Windows客户端 383

13.1.1 理解Windows客户端的特性 384

13.1.2 验证Windows客户端是可操作的 385

13.2 配置Windows VPN客户端 386

13.2.1 建立一个安全的策略 386

13.2.2 需要使用L2TP 390

13.2.3 建立一个微软的VPN连接 391

13.3 配置VPN 3000集中器 398

13.3.1 IKE建议 398

13.3.2 IPSec SA 398

13.3.3 组配置 400

13.3.4 地址管理 401

13.3.5 用户配置 401

13.4 微软客户端的连接 401

13.4.1 连接到VPN网关 402

13.4.2 核实PC上的连接 403

13.4.3 核实集中器上的连接 403

13.5 故障诊断与排除VPN的连接 404

13.5.1 集中器故障诊断与排除工具 404

13.5.2 微软的客户端故障诊断与排除工具 405

13.6 总结 409

第14章 3002硬件客户端 411

14.1 3002硬件客户端概览 411

14.1.1 3002的特性 412

14.1.2 3002型号 412

14.1.3 3002的实施 413

14.2 对于3002的初始访问 414

14.2.1 命令行接口 415

14.2.2 图形用户接口 415

14.3 验证和连接选项 423

14.3.1 单元验证 423

14.3.2 额外的验证选项 424

14.4.2 网络扩展模式 429

14.4.1 客户模式 429

14.4 连接模式 429

14.4.3 路由和反向路由注入 433

14.5 管理任务 435

14.5.1 从公有接口上访问3002 435

14.5.2 升级3002 436

14.6 总结 439

第四部分 IOS路由器 443

第15章 路由器产品信息 443

15.1 路由器实施场景 443

15.1.1 L2L和远程访问连接 443

15.1.2 路由器的特殊能力 444

15.2 路由器产品概述 447

15.3 总结 448

第16章 路由器的ISAKMP/IKE阶段1连接 451

16.1 IPSec的准备 451

16.1.1 收集信息 452

16.1.2 允许IPSec的流量 452

16.2 ISAKMP/IKE阶段1策略 453

16.2.1 启动ISAKMP 453

16.2.2 建立策略 453

16.2.3 与对等体协商策略 454

16.2.4 启动IKE死亡对等体检测 455

16.3 ISAKMP/IKE阶段1设备验证 456

16.3.1 ISAKMP/IKE身份类型 456

16.3.2 预共享密钥 457

16.3.3 RSA加密的随机数 458

16.3.4 数字证书和路由器的注册 462

16.4 监控和管理管理连接 480

16.4.1 查看ISAKMP/IKE阶段1的连接 480

16.4.2 管理ISAKMP/IKE阶段1的连接 481

16.4.3 路由器作为证书授权 481

16.4.4 步骤1：产生和导出RSA密钥信息 482

16.4.5 步骤2：启动CA 485

16.4.6 步骤3：定义额外的CA参数 488

16.4.7 步骤4：处理申请请求 490

16.4.8 步骤5：吊销身份证书 493

16.4.9 步骤6：配置一台服务器使其运行在RA的模式 494

16.4.10 步骤7：备份一个CA 495

16.4.11 步骤8：恢复一个CA 496

16.4.12 步骤9：清除CA服务 497

16.5 总结 498

第17章 路由器站点到站点连接 501

17.1 ISAKMP/IKE阶段2配置 501

17.1.1 定义被保护的流量：Crypto ACL 502

17.1.2 定义保护方法：Transform Sets（传输集） 503

17.1.3 构建一个静态的Crypto Map条目 504

17.1.4 构建一个动态的Crypto Maps 511

17.1.5 可区分的基于名字的Crypto Map 518

17.2 查看和管理连接 520

17.2.1 查看IPSec的数据SA 520

17.2.2 管理IPSec数据SA 522

17.3 站点到站点连接的问题 522

17.3.2 过滤IPSec的流量 524

17.3.3 地址转换和状态防火墙 526

17.3.4 非单播流量 528

17.3.1 迁移到一个基于IPSec的设计 532

17.3.5 配置简化 534

17.3.6 IPSec冗余 536

17.3.7 L2L扩展性 551

17.4 总结 570

第18章 路由器远程访问连接 573

18.1 Easy VPN服务器 574

18.1.1 Easy VPN服务器的配置 574

18.1.2 VPN组监控 582

18.1.3 Easy VPN服务器配置例子 582

18.2 Easy VPN远端 585

18.2.1 Easy VPN远端连接模式 585

18.2.2 Easy VPN远端配置 587

18.2.3 Easy VPN远端配置的例子 590

18.3 在同一路由器上的IPSec远程访问和L2L会话 592

18.3.1 中心办公室路由器的配置 592

18.3.2 远程访问和L2L样例配置 595

18.4 WebVPN 597

18.4.1 WebVPN建立 598

18.4.2 WebVPN配置例子 603

18.5 总结 604

第19章 故障诊断与排除路由器的连接 607

19.1 ISAKMP/IKE阶段1连接 607

19.1.1 阶段1命令的回顾 608

19.1.2 show crypto isakmp sa命令 608

19.1.3 debug crypto isakmp命令 608

19.1.4 debug crypto pki命令 617

19.1.5 debug crypto engine命令 618

19.2 ISAKMP/IKE阶段2连接 619

19.2.1 阶段2命令的回顾 619

19.2.2 show crypto engine connection active命令 620

19.2.3 show crypto ipsec sa命令 620

19.2.4 debug crypto ipsec命令 621

19.3 新的IPSec故障诊断与排除特性 625

19.3.1 IPSec VPN监控特性 625

19.3.2 清除Crypto会话 627

19.3.3 无效的安全参数索引恢复特性 627

19.4 碎片问题 628

19.4.1 碎片问题 629

19.4.2 碎片发现 630

19.4.3 碎片问题的解决方案 631

19.5 总结 634

第五部分 PIX防火墙 639

第20章 PIX和ASA产品信息 639

20.1 PIX实施场景 639

20.1.1 L2L和远程访问连接 640

20.1.2 PIX和ASA的特殊能力 640

20.2 PIX和ASA的特性和产品回顾 641

20.2.1 PIX和ASAVPN特性 641

20.2.2 PIX型号 643

20.2.3 ASA型号 643

20.3 总结 644

第21章 PIX和ASA站点到站点的连接 647

21.1.1 允许IPSec的流量 648

21.1 ISAKMP/IKE阶段1管理连接 648

21.1.2 建立ISAKMP 650

21.1.3 配置管理连接的策略 651

21.1.4 配置设备验证 652

21.2 ISAKMP/IKE阶段2数据连接 660

21.2.1 指定被保护的流量 660

21.2.2 定义如何保护流量 661

21.2.3 构建Crypto Map 661

21.2.4 激活一个Crypto Map 664

21.2.5 数据连接管理命令 664

21.3 L2L连接例子 665

21.3.1 FOS 6.3 L2L的例子 666

21.3.2 FOS 7.0 L2L的例子 668

21.4 总结 669

第22章 PIX和ASA远程访问连接 673

22.1 6.x对于Easy VPN服务器的支持 673

22.1.1 6.x的Easy VPN服务器的配置 674

22.1.2 6.x的Easy VPN服务器的例子 678

22.2 6.x的Easy VPN远端支持 680

22.2.1 6.x的Easy VPN远端配置 681

22.2.2 使用证书作为远程访问 682

22.2.3 核实您的6.x远端配置和连接 682

22.2.4 6.x的Easy VPN远端设备的例子配置 684

22.3 对于7.0的EasyVPN服务器的支持 685

22.3.1 理解隧道组 686

22.3.2 定义组策略 686

22.3.3 建立隧道组 692

22.3.4 为XAUTH建立用户账号 696

22.3.5 远程访问会话的问题及在7.0中的解决方案 697

22.3.6 解释7.0的一台Easy VPN服务器配置的例子 702

22.4 总结 703

第23章 PIX和ASA连接的故障诊断与排除 705

23.1 ISAKMP/IKE阶段1连接 705

23.1.1 阶段1命令的回顾 705

23.1.2 show isakmp sa命令 706

23.1.3 debug crypto isakmp命令 707

23.1.4 debug crypto vpnclient命令 714

23.2 ISAKMP/IKE阶段2连接 716

23.2.1 阶段2命令的回顾 716

23.2.2 show crypto ipsec sa命令 717

23.2.3 debug crypto ipsec命令 719

23.3 总结 723

第六部分 案例研究 727

第24章 案例研究 727

24.1 公司的概貌 727

24.1.1 总部办公室 729

24.1.2 区域办公室 731

24.1.3 分支办公室 732

24.1.4 远程访问用户 732

24.2 案例研究的配置 732

24.2.1 边缘路由器的配置 733

24.2.2 Internet远程访问配置 739

24.2.3 主要园区无线的配置 749

24.3 总结 756