第一部分 虚拟专用网络(VPN)基础 4
第1章 VPN和VPN技术 4
1.1 VPN和VPN技术概述 5
1.2 IP安全性(IPSec) 7
1.2.1 IPSec概述 8
1.2.2 隧道模式和传输模式 11
1.2.3 IPSec变换(transforms) 14
1.3 IPSec加密组件 14
1.3.1 DES加密 14
1.3.2 Diffie-Hellman密钥协定 15
1.3.3 散列信息鉴别代码(HMAC) 16
1.4 IKE概述 17
1.4.4 证书授权中心(CA)和数字证书 19
1.4.3 RSA加密 19
1.4.2 RSA签名 19
1.4.1 预共享密钥 19
1.5 IPSec是如何工作的 20
1.5.1 步骤1:定义感兴趣的数据流(interesting traffic) 21
1.5.2 步骤2:IKE阶段1 21
1.5.3 步骤3:IKE阶段2 22
1.5.4 步骤4:IPSec加密隧道 23
1.5.5 步骤5:隧道终止 23
1.6 IPSec安全关联(SA) 24
1.7 CA支持概述 27
1.7.1 数字签名 28
1.7.2 基于证书的认证 29
1.7.3 证书授权中心(CA) 30
1.7.4 公钥基础设施(PKI) 30
1.8 小结 31
1.9 复习题 31
第2章 Cisco VPN产品系列 36
第二部分 Cisco VPN产品系统 36
2.1 Cisco VPN产品线简介 37
2.2 运行Cisco IOS软件的Cisco路由器 39
2.3 Cisco Secure PIX防火墙 40
2.4 Cisco VPN集中器 42
2.4.1 VPN 3000系列 43
2.4.2 VPN 5000系列 50
2.5 小结 50
2.6 复习题 50
第三部分 利用Cisco IOS组建VPN 54
第3章 配置Cisco IOS路由器应用预共享密钥(场点到场点) 54
3.1 配置IPSec加密的任务 55
3.2 任务1:准备IKE和IPSec 56
3.2.1 步骤1:确定IKE策略(IKE阶段1) 56
3.2.2 步骤2:确定IPSec策略(IKE阶段2) 58
3.2.4 步骤4:确认网络工作状况是否正常 61
3.2.3 步骤3:检查当前配置 61
3.2.5 步骤5:确认访问控制列表与IPSec是否相容 62
3.3 任务2:配置IKE 63
3.3.1 步骤1:打开或关闭IKE 63
3.3.2 步骤2:建立IKE策略 63
3.3.3 步骤3:配置预共享密钥 65
3.3.4 步骤4:验证IKE配置 67
3.4 任务3:配置IPSec 67
3.4.1 步骤1:配置变换集套件 68
3.4.2 步骤2:配置全局的IPSec安全关联生存时间 70
3.4.3 步骤3:创建加密用访问控制列表 70
3.4.4 步骤4:创建加密图 72
3.4.5 步骤5:将加密图应用到接口上 75
3.5 任务4:测试和验证IPSec 76
3.5.1 ISAKMP的“show”命令 77
3.5.2 IPSec的“show”命令 77
3.5.3 IPSec的“debug”命令 78
3.6 手工配置IPSec概述 81
3.5.4 ISAKMP的加密系统错误消息 81
3.7 为RSA加密的随机数(nonce)配置IPSec概述 83
3.8 小结 84
3.9 复习题 84
第4章 配置Cisco IOS路由器应用CA(场点到场点) 86
4.1 配置CA支持的任务 87
4.2 任务1:准备IKE和IPSec 88
4.2.1 步骤1:规划CA支持 88
4.2.2 步骤2:确定IKE策略(IKE阶段1) 89
4.3 CA支持概述 91
4.3.1 手工注册过程 92
4.3.2 能与Cisco路由器互操作的CA服务器 93
4.3.3 在CA上注册设备 94
4.4 任务2:配置CA支持 95
4.4.1 步骤1:管理NVRAM内存使用(任选) 96
4.4.2 步骤2:设置路由器的时间和日期 96
4.4.3 步骤3:配置路由器的主机名和域名 97
4.4.4 步骤4:生成RSA密钥对 98
4.4.5 步骤5:宣告CA 99
4.4.6 步骤6:鉴别CA 100
4.4.7 步骤7:请求自己的证书 101
4.4.8 步骤8:保存配置 102
4.4.9 步骤9:监视和维护CA的互操作性 102
4.4.10 步骤10:验证CA支持的配置 103
4.4.11 CA支持配置例 104
4.5 任务3:配置IKE 105
4.6 任务4:配置IPSec 106
4.7 任务5:测试和验证IPSec 106
4.8 小结 107
4.9 复习题 107
第5章 Cisco IOS VPN的故障排除 108
5.1 IPSec网络配置样例 109
5.2 配置IPSec 112
5.2.1 “show”命令 114
5.3 IPSec配置的故障排除 116
5.3.1 不兼容的ISAKMP策略 117
5.3.2 IPSec对等体间的预共享密钥不同 120
5.3.3 不正确的IPSec访问控制列表 122
5.3.4 错误的加密图置放 123
5.3.5 路由问题 124
5.4 小结 125
5.5 复习题 125
第四部分 利用Cisco PIX防火墙组建VPN 128
第6章 配置Cisco PIX防火墙应用预共享密钥(场点到场点) 128
6.1 配置IPSec加密的任务 129
6.2 任务1:准备IPSec 130
6.3 任务2:配置IKE 130
6.3.1 步骤1:打开或关闭IKE 131
6.3.2 步骤2:建立IKE策略 131
6.3.4 步骤4:验证IKE阶段1的策略 132
6.3.3 步骤3:配置预共享密钥 132
6.4 任务3:配置IPSec 133
6.4.1 步骤1:配置加密用访问控制列表 134
6.4.2 步骤2:配置变换集套件 136
6.4.3 步骤3:配置全局的IPSec安全关联生存时间 139
6.4.4 步骤4:配置加密图 140
6.4.5 步骤5:将加密图应用到接口上 142
6.4.6 步骤6:验证IPSec配置 143
6.5 任务4:测试和验证VPN配置 144
6.6 小结 148
6.7 复习题 148
第7章 配置Cisco PIX防火墙应用CA(场点到场点) 150
7.1 配置CA支持的任务 151
7.2 任务1:准备IPSec 152
7.2.1 确定CA服务器的细节 153
7.2.2 确定IKE策略(IKE阶段1) 153
7.3.1 SCEP 156
7.3 PIX对CA的支持概述 156
7.3.3 能与PIX防火墙互操作的CA服务器 157
7.3.2 手工注册过程 157
7.3.4 在CA上注册设备 158
7.4 任务2:配置CA支持 159
7.4.1 步骤1:管理闪存的使用(任选) 159
7.4.2 步骤2:设置PIX防火墙的时间和日期 160
7.4.3 步骤3:配置PIX防火墙的主机名和域名 160
7.4.4 步骤4:生成RSA密钥对 161
7.4.5 步骤5:宣告CA 161
7.4.6 步骤6:配置CA通信参数 161
7.4.7 步骤7:鉴别CA 162
7.4.8 步骤8:请求签署过的证书 163
7.4.9 步骤9:保存配置 163
7.4.10 步骤10:核验CA支持的配置 164
7.4.11 步骤11:监视和维护CA的互操作性 164
7.5 任务3:配置IKE 165
7.4.12 CA服务器的配置例 165
7.6 任务4:配置IPSec 166
7.7 任务5:测试和验证VPN配置 167
7.7.1 测试和验证IKE配置 168
7.7.2 测试和验证IPSec配置 168
7.7.3 监视和管理IKE和IPSec通信 168
7.8 小结 169
7.9 复习题 169
第8章 Cisco PIX防火墙VPN的故障排除 170
8.1 IPSec网络配置样例 171
8.2 配置IPSec 175
8.3 IPSec配置的故障排除 179
8.3.1 不兼容的ISAKMP策略 180
8.3.2 IPSec对等体间的预共享密钥不同 184
8.3.3 不正确的IPSec访问控制列表 185
8.3.4 错误的加密图置放 186
8.3.5 路由问题 187
8.4 小结 188
8.5 复习题 188
第五部分 利用Cisco VPN集中器组建VPN 192
第9章 为远程接入配置Cisco VPN 3000应用预共享密钥 192
9.1 Cisco VPN 3000系列集中器的初始配置 194
9.1.1 用CLI配置私有LAN 195
9.1.2 浏览器登录 196
9.1.3 图形用户界面 196
9.1.4 快速配置 197
9.2 通过浏览器配置Cisco VPN 3000系列集中器 198
9.2.1 步骤1:配置系统属性 198
9.2.2 步骤2:分配地址 200
9.2.3 步骤3:配置IPSec组 201
9.2.4 步骤4:将用户加入到组中 205
9.3 配置IPSec VPN客户端 206
9.3.1 IPSec客户端选项 207
9.3.2 为远程用户配置客户端 208
9.3.3 VPN客户端程序菜单 208
9.4 小结 209
9.5 复习题 210
第10章 为远程接入配置Cisco VPN 3000应用数字证书 212
10.1 Cisco VPN 3000集中器上的证书生成 213
10.2 验证证书 216
10.2.1 有效期 218
10.2.2 证书撤销列表 219
10.2.3 证书验证过程 221
10.3 配置Cisco VPN 3000系列集中器的CA支持 222
10.3.1 集中器证书装载过程 222
10.3.2 配置集中器使用数字证书 226
10.4 在Cisco VPN客户端上配置使用数字证书 229
10.5 小结 230
10.6 复习题 231
第11章 Cisco VPN 3000远程接入网络的监控和管理 232
11.1 监控Cisco VPN 3000集中器 233
11.1.1 监控路由表 234
11.1.2 监控事件日志 235
11.1.3 监控系统状态 236
11.1.4 监控会话 239
11.1.5 监控常规统计信息 239
11.2 管理Cisco VPN 3000集中器 241
11.2.1 管理会话 242
11.2.2 软件更新 242
11.2.3 系统重启 243
11.2.4 Ping 243
11.2.5 监控刷新 244
11.2.6 访问权限 244
11.2.7 文件管理 246
11.3 小结 248
11.4 复习题 248
11.2.8 证书管理 248
第六部分 扩展Cisco VPN解决方案 252
第12章 扩展Cisco IPSec虚拟专用网络 252
12.1 动态加密图 253
12.1.1 PIX防火墙的动态加密图 254
12.1.2 Cisco IOS的动态加密图 256
12.2 在Cisco路由器和PIX防火墙之间配置IPSec 258
12.2.1 IKE策略 258
12.2.2 IPSec策略 259
12.2.3 配置样例 260
12.3 配置VPN集中器到PIX防火墙的场点到场点连接 262
12.3.1 IKE策略 263
12.3.2 IPSec策略 263
12.3.3 配置步骤 264
12.4 扩展认证 269
12.4.1 为安全网关作一个例外 270
12.5 通配预共享密钥 271
12.4.2 Xauth例——PIX防火墙 271
12.6 IKE模式配置 272
12.6.1 IKE模式配置-PIX防火墙 273
12.6.2 为安全网关作一个例外 274
12.6.3 IKE模式配置-Cisco IOS 274
12.7 隧道端点发现 275
12.8 完美前向保密(PFS) 276
12.8.1 配置PFS-PIX防火墙 276
12.8.2 配置PFS-Cisco IOS 277
12.9 IPSec与网络地址翻译(NAT) 277
12.10 为Cisco VPN 3000客户端配置PIX防火墙 279
12.10.1 PIX防火墙配置 279
12.10.2 VPN 3000客户端配置 281
12.11 为Cisco Secure VPN 1.1客户端软件配置PIX防火墙 282
12.11.1 PIX.防火墙配置 283
12.11.2 VPN 1.1客户端软件配置 284
12.12 为Cisco Secure VPN 1.1客户端软件配置Cisco IOS 288
12.13 小结 290
12.14 复习题 290
附录A 复习题答案 292
A.1 第1章 293
A.2 第2章 294
A.3 第3章 295
A.4 第4章 296
A.5 第5章 296
A.6 第6章 298
A.7 第7章 298
A.8 第8章 299
A.9 第9章 300
A.10 第10章 301
A.11 第11章 302
A.12 第12章 303