《Cisco IPSec VPN实战指南》PDF下载

  • 购买积分:12 如何计算积分?
  • 作  者:秦柯著
  • 出 版 社:北京:人民邮电出版社
  • 出版年份:2012
  • ISBN:9787115270030
  • 页数:322 页
图书介绍:本书从网络行业中的实际需求出发,以VPN技术为讲解主线,以实验配置为依托,先后给出了IPsec VPN技术的基本理论和详细的配置步骤,以及相应的排错技术,以帮助读者解决在实际工作中遇到的配置问题。

第1章VPN技术简介 1

1.1 VPN产生背景 1

1.2 VPN的两种连接方式 1

1.2.1站点到站点(Site to Site) 1

1.2.2远程访问(Remote Access) 2

第2章GRE 5

2.1 GRE技术简介 5

2.2 GRE基本实验 6

2.2.1实验实际接线状况介绍 6

2.2.2实验拓扑 6

2.2.3实验介绍 7

2.2.4基本网络配置 7

2.2.5 GRE和动态路由协议OSPF配置 9

2.2.6查看状态与测试 9

第3章IPSec基本理论 13

3.1基本原理介绍 13

3.2 IPSec框架 14

3.2.1散列函数 14

3.2.2加密算法 20

3.2.3封装协议 28

3.2.4密钥有效期 34

3.3互联网密钥交换协议IKE (Internet Key Exchange) 34

3.3.1 IKE与ISAKMP 35

3.3.2 IKE的2个阶段与3个模式 35

第4章 站点到站点IPSec VPN 47

4.1经典站点到站点IPSec VPN 47

4.1.1实际接线状况 47

4.1.2实验拓扑介绍 47

4.1.3基本IP地址配置 48

4.1.4 VPN路由分析 49

4.1.5 IOS IPSec VPN的经典配置 52

4.1.6测试IPSec VPN 54

4.1.7查看IPSec VPN的相关状态 54

4.2 ASA站点到站点IPSec VPN 56

4.2.1实际接线状况 56

4.2.2实验拓扑介绍 56

4.2.3基本网络配置 57

4.2.4 ASA站点到站点IPSec VPN配置 58

4.2.5测试IPSec VPN 60

4.2.6 ASA查看IPSec VPN的相关状态 60

4.3路由器GRE Over IPSec站点到站点VPN 62

4.3.1经典IPSec VPN配置方式问题分析 62

4.3.2分析GRE Over IPSec解决问题的思路 63

4.3.3实际接线状况 65

4.3.4实验拓扑介绍 65

4.3.5基本网络配置 66

4.3.6配置GRE隧道 67

4.3.7配置动态路由协议OSPF 67

4.3.8配置IPSec VPN保护站点间GRE流量 68

4.3.9测试与查看GRE Over IPSec 69

4.3.10其他GRE over IPSec配置方式 70

4.4路由器SVTI站点到站点VPN 71

4.4.1 VTI技术介绍 71

4.4.2实际接线状况 72

4.4.3实验拓扑介绍 72

4.4.4基本网络配置 72

4.4.5配置SVTI隧道 73

4.4.6测试并查看隧道状况 74

4.4.7配置动态路由协议OSPF 76

4.5总结 77

第5章 影响IPSec VPN的网络问题 79

5.1动态地址问题 79

5.1.1问题描述 79

5.1.2动态crypto map实验 80

5.2动态DNS (DDNS)技术介绍 85

5.2.1 DDNS技术介绍 85

5.2.2 DDNS在IPSec VPN的使用 85

5.2.3 DDNS在 IOS上的配置 85

5.3加密设备NAT对IPSec VPN的影响 86

5.3.1问题描述 86

5.3.2加密设备NAT问题分析实验 87

5.4中间网络ASA防火墙对IPSec VPN的影响 93

5.4.1问题描述 93

5.4.2 Cisco ASA防火墙对IPSecVPN的影响实验 94

5.5中间网络PAT对IPSec VPN的影响 99

5.5.1问题描述 99

5.5.2 PAT地址转换技术对 IPSecVPN的影响实验 99

第6章 IPSec VPN中的高可用性技术 111

6.1 IPSec VPN高可用性技术介绍 111

6.2 DPD技术介绍 112

6.2.1 DPD技术描述 112

6.2.2 DPD工作模式 112

6.2.3 DPD技术测试 113

6.3 RRI技术介绍 122

6.3.1技术描述 122

6.3.2 RRI技术配置与测试 125

6.4链路备份的IPSec VPN介绍 129

6.4.1链路备份IPSec VPN 129

6.4.2链路备份IPSec VPN配置与测试 129

6.5设备备份IPSec VPN(Redundancy VPN)介绍 138

6.5.1设备备份IPSec VPN 138

6.5.2设备备份IPSec VPN (Redun-dancy VPN)配置与测试 138

6.6高可用性站点到站点IPSec VPN最佳方案 146

6.6.1高可用性站点到站点IPSec VPN最佳方案 146

6.6.2高可用性站点到站点IPSec VPN最佳方案配置与测试 147

第7章 动态多点VPN (DMVPN) 155

7.1 DMVPN介绍 155

7.1.1传统IPSec VPN高可用性问题分析 155

7.1.2 DMVPN的优点 157

7.1.3 DMVPN的4大组成协议 157

7.2经典DMVPN实验 159

7.2.1实际接线状况 159

7.2.2实验拓扑 160

7.2.3基本网络配置 161

7.2.4 mGRE与NH RP配置 162

7.2.5测试NHRP 163

7.2.6动态路由协议EIGRP配置 165

7.2.7测试与调整EIGRP 165

7.2.8配置IPSec VPN 167

7.2.9查看DMVPN状态 168

7.2.10 MVPN中“包治百病”的“大招” 172

7.3 DMVPN第三阶段 173

7.3.1 DMVPN三个发展阶段介绍 173

7.3.2 DMVPN三个发展阶段比较表 175

7.3.3 DMVPN第二阶段与第三阶段分支站点间隧道处理方法比较表 175

7.3.4 DMVPN第二阶段NHRP工作流程介绍 175

7.3.5 DMVPN第三阶段NHRP工作流程介绍 176

7.3.6第三阶段DMVPN实验 177

7.4 DMVPN两种高可用性解决方案 185

7.4.1解决方案1:单云双中心 185

7.4.2 DMVPN单云双中心配置 185

7.4.3解决方案2:双云双中心 190

7.4.4 DMVPN双云双中心配置 190

第8章 组加密传输VPN (GETVPN) 197

8.1 GETVPN概述 197

8.2传统IPSec VPN在企业网内部部署时出现的问题 197

8.2.1问题1:影响QoS 198

8.2.2问题2:点对点IPSec SA造成的问题 199

8.2.3问题3:覆盖路由(Overlay routing)问题 200

8.3 GETVPN技术介绍 201

8.4 GETVPN如何解决传统IPSecVPN所带来的问题 202

8.4.1解决问题1:影响QoS 202

8.4.2解决问题2:点对点IPSec SA问题 203

8.4.3解决问题3:覆盖路由(Overlay routing)问题 203

8.5 GETVPN与传统IPSec VPN技术的比较 204

8.6 GETVPN三大组成部分 204

8.7 GETVPN工作流程图 206

8.8两种GETVPN的密钥 207

8.9 GETVPN的3种安全关联(SA) 207

8.10 GETVPN的网络流量 208

8.11协作密钥服务器(Cooperative Key Server) 208

8.12 GETVPN密钥更新特点 209

8.13 GETVPN中的防重放攻击技术 209

8.14 GETVPN感兴趣流访问控制列表配置指南 210

8.15 GETVPN实验 211

8.15.1实际接线状况 211

8.15.2实验拓扑 212

8.15.3基本网络与OSPF配置 213

8.15.4首要和次要密钥服务器同步RSA密钥 214

8.15.5首要密钥服务器上的GETVPN配置 216

8.15.6组成员一GETVPN配置 217

8.15.7 GETVPN crypto map调用位置分析 218

8.15.8组成员二GETVPN配置 218

8.15.9查看首要服务器GETVPN状态 219

8.15.10查看组成员GETVPN状态 220

8.15.11组成员上测试GETVPN的加解密 221

8.15.12在首要密钥服务器KS 1上配置次要密钥服务器KS2 221

8.15.13配置次要密钥服务器KS2 222

8.15.14查看协作密钥服务器 222

8.15.15 组成员访问控制列表配置 223

8.16教主自创版DMVPN+GETVPN实验 224

8.16.1实验设计介绍 224

8.16.2实际接线状况 225

8.16.3实验拓扑 225

8.16.4基本网络配置 227

8.16.5 mGRE隧道配置 228

8.16.6静态路由配置 229

8.16.7配置密钥服务器KS 229

8.16.8配置组成员 230

8.16.9测试 231

第9章 Easy VPN 235

9.1 Easy VPN简介 235

9.1.1 Easy VPN特点介绍 235

9.1.2 Easy VPN中心站点管理的内容 235

9.1.3 Easy VPN的部署 236

9.1.4 Easy VPN IKE第一阶段两种认证方式 236

9.2主动模式3个数据包交换介绍 237

9.3 Cisco EzVPN IKE的三个阶段 238

9.3.1 Cisco EzVPN IKE第一阶段介绍 238

9.3.2 Cisco EzVPN IKE第1.5阶段介绍 239

9.3.3 Easy VPN IKE第二阶段介绍 239

9.4 Cisco EzVPN软件客户端安装 240

9.5 EzVPN经典配置实验 241

9.5.1实际接线状况 241

9.5.2实验拓扑 241

9.5.3基本网络配置 242

9.5.4 Windows XP基本网络配置 244

9.5.5 Center路由器上EzVPN服务器配置 244

9.5.6配置Windows XP上的EzVPN软件客户端并查看状态 246

9.6 EzVPN特性 249

9.6.1分割隧道(Split Tunneling) 249

9.6.2保存密码(save-password) 251

9.6.3备用网关(backup-gateway) 252

9.6.4其他EzVPN特性 254

9.7 EzVPN硬件客户端 254

9.7.1 EzVPN硬件客户端的3种工作模式 254

9.7.2配置EzVPN硬件客户端客户模式 256

9.8测试EzVPN各种模式的特性 258

9.8.1测试客户模式 258

9.8.2客户模式加上分割隧道 261

9.9 ISAKMP Profile技术 263

9.9.1实际接线状况 264

9.9.2实验拓扑 264

9.9.3基本网络配置 264

9.9.4配置站点到站点VPN 266

9.9.5配置EzVPN 268

9.9.6 EzVPN对站点到站点VPN的影响 269

9.9.7 EzVPN对站点到站点VPN的影响问题分析 269

9.9.8 ISAKMP Profile技术简介 271

9.10 Dynamic Virtual Tunnel Interface(DVTI)技术 274

9.10.1实际接线状况 274

9.10.2实验拓扑 275

9.10.3基本网络配置 275

9.10.4 EzVPN DVTI配置 276

9.10.5查看EzVPN DVTI状态 278

9.11 GRE Over EzVPN完美解决方案 280

9.11.1配置环回口Loopback100 281

9.11.2配置EzVPN 281

9.11.3配置GRE隧道 283

9.11.4动态路由协议 284

第10章ASA策略图 287

10.1 Tunnel-Group 288

10.1.1站点到站点IPSec VPNTunnel-Group查询 288

10.1.2 EzVPN Tunnel-Group查询 288

10.1.3 SSL VPN Tunnel-Group查询 289

10.2 Group-Policy介绍 291

10.3 ASA基本EzVPN配置 291

10.3.1实际接线状况 291

10.3.2实验拓扑 291

10.3.3基本网络配置 292

10.3.4基本EzVPN配置 293

10.3.5基本EzVPN策略图分析 295

10.4策略继承位置介绍 296

10.4.1第1策略继承位置:用户属性username attribute 296

10.4.2第2策略继承位置:用户组策略user group-policy 297

10.4.3第3策略继承位置:Tunnel-Group默认组策略Default-group-policy 299

10.4.4第4策略继承位置:默认全局组策略DfltGrpPolicy 300

10.5 ASA策略图策略优先顺序测试 302

10.5.1测试1:第1号策略继承位置 303

10.5.2测试2:第2号策略继承位置 304

10.5.3测试3:第3号策略继承位置 304

10.5.4测试4:第4号策略继承位置 305

10.5.5测试5:第5号策略继承位置 306

10.6 ASA策略图总结 307

10.7 ASA动态Crypto map配置 308

10.8 ASA L2TP over IPSec配置 308

附录A Cisco模拟器配置指南 311