華為VPN學習指南 (第二版)
王達
買這商品的人也買了...
-
$780$616 -
$556自動化測試實戰寶典:RobotFramework + Python 從小工到專家
-
$500Kali Linux 學習手冊 (Learning Kali Linux: Security Testing, Penetration Testing, and Ethical Hacking)
-
$534$507 -
$774$735 -
$880$695
相關主題
商品描述
本書是對《華為VPN學習指南》的全面升級和改版,不僅採用最新版本的VRP系統進行內容的更新、修訂,還在配置示例新增了許多在模擬器中實驗時的實時截圖,更具實踐性。本書是專門介紹華為設備各項VPN技術及應用配置的權威工具圖書,是參加華為HCIP-Datacom、HCIA-Security和HCIP-Security認證考試必備學習教材。
全書共9章,分別介紹了各種IP VPN技術的基礎知識和技術原理,以及IPSec VPN、L2TP VPN、GRE VPN、DSVPN、PKI、SSL VPN等技術原理和功能配置與管理方法。在編寫過程中,本書充分結合了筆者20多年的學習、工作和寫作經驗,無論在內容的系統性、專業性,還是在實用性方面均有鮮明的特色,是相關人員自學或者教學華為設備VPN配置與管理的必選教材。
作者簡介
王达,曾在多家跨国公司从事网络运维工作,曾任工信部网络技术专家委员、全国NMSE认证专家委员副主任,华为官方ICT认证教材授权作者。20多年来,出版了100余部计算机网络方面的专著,主要代表作有《网管员》系列、《网络工程师》系列、《深入理解计算机网络》、《华为交换机学习指南》(第二版)、《华为路由器学习指南》(第二版)等。同时个人及所著图书也获得过数十项荣誉,包括多家行业协会联合颁发的“输出版优秀图书奖”,中国书刊发行协会颁发的“全行业优秀畅销品种奖”、电子工业出版社颁发的“全国优秀作者”、四届51CTO“受读者喜爱的IT图书作者”等。
目錄大綱
第 1章 VPN基礎 1
1.1 VPN概述 2
1.1.1 VPN的起源 2
1.1.2 VPN的主要特性 3
1.1.3 VPN的主要優勢 4
1.2 VPN方案的分類 5
1.2.1 按VPN的應用平臺分類 5
1.2.2 按組網模型分 6
1.2.3 按實現層次分 8
1.2.4 按業務用途分 9
1.2.5 按運營模式分 11
1.3 VPN隧道技術 12
1.3.1 VPN隧道技術綜述 12
1.3.2 PPTP協議 13
1.3.3 L2TP協議 18
1.3.4 MPLS協議 21
1.3.5 IPSec協議族 23
1.3.6 GRE協議 24
1.4 VPN身份認證技術 25
1.4.1 PAP協議報文格式及身份認證原理 25
1.4.2 CHAP協議報文格式及身份認證原理 29
1.4.3 身份認證算法基本設計思想 32
1.5 VPN數據安全技術原理 33
1.5.1 數據加/解密工作原理 33
1.5.2 數字信封工作原理 35
1.5.3 數字簽名工作原理 36
1.5.4 數字證書簡介 37
1.6 MD5認證算法原理 38
16.1 MD5算法基本認證原理 38
1.6.2 MD5算法消息填充原理 39
1.7 SHA認證算法原理 41
1.7.1 SHA算法基本認證原理 41
1.7.2 SHA算法消息填充原理 42
1.8 SM系列算法及SM3基本工作原理 44
1.8.1 SM系列算法簡介 44
1.8.2 SM3算法消息填充原理 45
1.8.3 SM3算法消息迭代壓縮原理 46
1.9 AES加密算法原理 46
1.9.1 AES的數據塊填充 47
1.9.2 AES四種工作模式加/解密原理 49
第 2章 IPSec基礎及手工方式IPSec VPN配置與管理 54
2.1 IPSec基礎及隧道建立基本原理 55
2.1.1 IPSec的安全機制 55
2.1.2 AH報頭格式 56
2.1.3 ESP報頭格式 57
2.1.4 IPSec的兩種封裝模式 58
2.1.5 IPSec隧道建立原理 62
2.2 IPSec保護數據流和虛擬隧道接口 63
2.2.1 感興趣流的定義方式 63
2.2.2 IPSec虛擬隧道接口 64
2.3 配置基於ACL方式手工建立IPSec隧道 66
2.3.1 手工方式IPSec VPN配置任務 66
2.3.2手工方式IPSec VPN數據傳輸的基本流程 67
2.3.3 基於ACL定義需要保護的數據流 68
2.3.4 配置IPSec安全提議 70
2.3.5 配置IPSec安全策略 73
2.3.6 配置IPSec隧道可選功能 77
2.3.7 配置在接口上應用安全策略組 81
2.3.8 IPSec隧道維護和管理命令 82
2.3.9 基於ACL方式手工建立IPSec隧道配置示例 83
2.4 基於ACL方式手工建立IPSec隧道的典型故障排除 90
2.4.1 IPSec隧道建立不成功的故障排除 90
2.4.2 IPSec隧道建立成功,但兩端仍不能通信的故障排除 92
第3章 ACL方式IKE動態協商建立IPSec VPN的配置與管理 94
3.1 IKE基礎 95
3.1.1 IKE與IPSec的關系 95
3.1.2 IKE的安全機制 96
3.1.3 IKE動態協商方式的主要優勢 97
3.2 IKE工作原理 98
3.2.1 IKEv1協商SA的第 一階段 98
3.2.2 IKEv1協商SA的第二階段 101
3.2.3 IKEv2協商SA 102
3.3 ACL方式IKE動態協商建立IPSec隧道的配置任務 104
3.4 定義IKE安全提議 104
3.5 配置IKE對等體 109
3.5.1 配置IKE對等體通用屬性 109
3.5.2 配置IKE對等體預共享密鑰認證方法 112
3.5.3 配置IKE對等體RSA簽名認證方法 115
3.5.4 配置IKE對等體RSA數字信封認證方法 119
3.6 配置IKE可選功能 120
3.6.1 配置IKE SA的生存周期 120
3.6.2 配置IKE對等體狀態檢測 121
3.6.3 配置身份過濾集 124
3.6.4 配置IKE報文的DSCP優先級 125
3.6.5 配置NAT穿越功能 125
3.6.6 配置IPSec VPN多實例 127
3.6.7 配置IKEv1協商中IPSec SA的存在依賴於IKE SA 128
3.6.8 配置不校驗證書的有效性 128
3.7 配置並應用IPSec安全策略 129
3.7.1 配置ISAKMP方式IPSec安全策略 129
3.7.2 配置策略模板方式IPSec安全策略 132
3.8 配置IPSec隧道可選功能 134
3.8.1 配置IPSec SA的生存周期 134
3.8.2 配置抗重放功能 136
3.8.3 配置路由註入功能 138
3.8.4 配置IPSec報文的QoS功能 140
3.8.5 配置保護相同數據流的新用戶快速接入總部功能 141
3.8.6 配置IPSec掩碼過濾功能 141
3.9 IKE動態協商方式典型配置示例 142
3.9.1 採用默認IKE安全提議建立IPSec隧道配置示例 142
3.9.2 總部採用策略模板方式與分支建立多條IPSec隧道配置示例 147
3.9.3 總部採用安全策略組方式與分支建立多條IPSec隧道配置示例 158
3.9.4 分支採用多鏈路共享功能與總部建立IPSec隧道配置示例 166
3.9.5 建立NAT穿越功能的IPSec隧道配置示例 172
3.10 IKE動態協商方式IPSec隧道建立不成功的故障排除 180
3.10.1 第 一階段IKE SA建立不成功的故障排除 180
3.10.2 第二階段IPSec SA建立不成功的故障排除 183
第4章 基於Tunnel接口和Efficient VPN策略的IPSec VPN配置與管理 185
4.1 配置採用Tunnel接口方式建立IPSec隧道 186
4.1.1 配置任務 186
4.1.2 配置IPSec安全框架 187
4.1.3 配置可選功能 189
4.1.4 配置IPSec虛擬隧道/隧道模板接口 192
4.1.5 基於Tunnel接口建立IPSec隧道的配置示例 196
4.1.6 基於虛擬隧道模板接口建立IPSec隧道的配置示例 202
4.2 Efficient VPN策略基礎 207
4.2.1 Efficient VPN簡介 207
4.2.2 Efficient VPN的運行模式 208
4.3 配置採用Efficient VPN策略建立IPSec隧道 210
4.3.1 配置任務 211
4.3.2 配置Remote端IPSec基本參數 212
4.3.3 配置Remote端IPSec可選參數 215
4.3.4 配置Server端網絡資源參數 218
4.3.5 配置Server端IPSec參數 220
4.3.6 Efficient VPN Client模式建立IPSec隧道配置示例 221
4.3.7 Efficient VPN Network模式建立IPSec隧道配置示例 227
4.3.8 Efficient VPN Network-plus方式建立IPSec隧道配置示例 231
第5章 L2TP VPN配置與管理 236
5.1 L2TP VPN體系架構 237
5.1.1 L2TP VPN的基本組成 237
5.1.2 LAC位置的幾種情形 238
5.1.3 L2TP消息、隧道和會話 239
5.2 L2TP的主要應用 240
5.3 L2TP報文格式和封裝 243
5.3.1 L2TP協議報文格式 243
5.3.2 L2TP報文封裝 244
5.4 L2TP工作過程 245
5.5 配置LAC接入呼叫發起L2TP隧道連接 248
5.5.1 配置任務 248
5.5.2 配置AAA認證 249
5.5.3 配置LAC 254
5.5.4 配置LNS 259
5.6 配置L2TP Client發起L2TP連接 262
5.6.1 配置任務 262
5.6.2 配置L2TP Client撥號發起L2TP連接 263
5.7 配置L2TP其它可選功能 265
5.8 L2TP配置管理和維護命令 267
5.9 L2TP典型配置示例 268
5.9.1遠程撥號用戶發起L2TP隧道連接配置示例 268
5.9.2 LAC接入PPPoE用戶發起L2TP隧道連接配置示例 270
5.9.3 L2TP Client發起L2TP隧道連接配置示例 275
5.9.4 多個L2TP Client發起L2TP隧道連接配置示例 279
5.10 L2TP over IPSec的配置與管理 286
5.10.1 L2TP over IPSec封裝原理 286
5.10.2 分支與總部通過L2TP Over IPSec方式實現安全互通配置示例 288
第6章 GRE VPN配置與管理 295
6.1 GRE VPN基礎和工作原理 296
6.1.1 GRE的主要優勢 296
6.1.1 GRE報文格式 297
6.1.3 GRE的報文封裝和解封裝原理 298
6.1.4 GRE的安全機制 299
6.1.5 GRE的Keepalive檢測機制 300
6.2 GRE的主要應用場景 301
6.3 GRE VPN配置與管理 305
6.3.1 配置任務 306
6.3.2 配置Tunnel接口 307
6.3.3 配置Tunnel接口的路由 310
6.3.4 配置Link-bridge功能 311
6.3.5 配置GRE的安全機制 312
6.3.5 使能GRE的Keepalive檢測功能 313
6.3.6 配置Ethernet over GRE功能 313
6.3.7 GRE VPN隧道管理與維護 315
6.4 典型配置示例 315
6.4.1 GRE通過靜態路由實現兩個遠程IPv4子網互聯配置示例 315
6.4.2 GRE通過OSPF路由實現兩個遠程IPv4子網互聯配置示例 319
6.4.3 GRE over IPSec配置示例 321
6.4.4 Ethernet over GRE隧道配置示例 327
6.5 GRE典型故障排除 330
6.5.1 隧道兩端Ping不通的故障排除 330
6.5.2 隧道是通的,但兩端私網不能互訪的故障排除 332
第7章 DSVPN配置與管理 333
7.1 DSVPN基礎 334
7.1.1 DSVPN簡介及主要優勢 334
7.1.2 DSVPN中的重要概念 335
7.2 DSVPN基本原理 336
7.2.1 mGRE隧道建立的三個環節 337
7.2.2 Spoke與Hub之間mGRE隧道的建立流程 338
7.2.3 非shortcut方式Spoke與Spoke之間的mGRE隧道的建立流程 340
7.2.4 shortcut方式Spoke與Spoke之間的mGRE隧道的建立流程 343
7.3 DSVPN配置與管理 347
7.3.1 配置任務 347
7.3.2 配置mGRE 348
7.3.3 配置路由 349
7.3.4 配置NHRP 351
7.4 DSVPN的其它應用及配置 354
7.4.1 DSVPN NAT穿越原理 355
7.4.2 DSVPN IPSec保護原理及配置 356
7.4.3 DSVPN雙Hub主備備份或負載分擔原理及配置 358
7.5 DSVPN維護與管理命令 360
7.6 DSVPN典型應用配置示例 360
7.6.1非shortcut方式DSVPN(靜態路由)配置示例 361
7.6.2 非shortcut方式DSVPN(OSPF協議)配置示例 367
7.6.3 非shortcut方式DSVPN(BGP協議)配置示例 370
7.6.4 shortcut方式DSVPN(OSPF協議)配置示例 374
7.6.5 shortcut方式DSVPN(BGP協議)配置示例 377
7.6.6 DSVPN NAT穿越配置示例 379
7.6.7 雙Hub DSVPN配置示例 387
7.7 DSVPN典型故障排除 396
7.7.1 Spoke NHRP註冊失敗的故障排除 397
7.7.2 非shortcut方式Spoke間子網無法進行直接通信的故障排除 398
7.7.3 shortcut方式Spoke間子網無法進行直接通信的故障排除 399
第6章 PKI配置與管理 400
8.1 PKI基礎及工作原理 401
8.1.1 PKI簡介 401
8.1.2 PKI體系架構 401
8.1.3 數字證書結構、分類和格式 403
8.1.4 PKI中的幾個概念 405
8.1.5 PKI工作機制 407
8.1.6 PKI的主要應用場景 410
8.2 PKI實體申請本地證書配置任務 411
8.3 申請本地證書的預配置 412
8.3.1 配置PKI實體信息 413
8.3.2 配置RSA/SM2密鑰對 415
8.3.3 配置為PKI實體獲取CA證書 417
8.3.4 RSA/SM2密鑰對導出、銷毀和查看 420
8.3.5 申請本地證書預配置的管理命令 421
8.4 申請和更新本地證書 421
8.4.1 配置通過SCEP協議為PKI實體申請和更新本地證書 422
8.4.2 配置通過CMPv2協議為PKI實體申請和更新本地證書 426
8.4.3 配置為PKI實體離線申請本地證書 432
8.4.4 本地證書申請和更新管理命令 433
8.5 本地證書的下載和安裝 433
8.5.1 本地證書的下載 434
8.5.2 本地證書的安裝 434
8.5.3 本地證書下載與安裝管理命令 435
8.6 驗證CA證書和本地證書的有效性 436
8.6.1 配置檢查對端本地證書的狀態 436
8.6.2 配置檢查CA證書和本地證書的有效性 441
8.6.3 驗證CA證書和本地證書有效性管理命令 442
8.7 配置證書擴展功能 443
8.8 PKI典型配置示例 444
8.8.1 通過SCEP協議自動申請本地證書配置示例 444
8.8.2 通過CMPv2協議首次申請本地證書配置示例 450
8.8.3 離線申請本地證書配置示例 454
8.9 典型故障排除 458
8.9.1 CA證書獲取失敗的故障排除 458
8.9.2 本地證書獲取失敗的故障排除 460
第9章 SSL VPN配置與管理 462
9.1 SSL VPN基礎 463
9.1.1 SSL概述 463
9.1.2 SSL VPN的引入背景 464
9.1.3 SSL VPN系統組成 465
9.1.4 SSL VPN業務分類 466
9.1.5 SSL VPN遠程用戶訪問內網資源過程 469
9.1.6 SSL VPN的典型應用 470
9.2 服務器型SSL策略配置與管理 471
9.2.1 配置服務器型SSL策略 471
9.2.2 SSL維護和管理命令 474
9.3 HTTPS服務器配置與管理 474
9.3.1 配置HTTPS服務器 474
9.3.2 HTTPS服務器配置示例 475
9.4 SSL VPN配置與管理 481
9.4.1 配置SSL VPN的偵聽埠號 482
9.4.2 創建SSL VPN遠程用戶 482
9.4.3 配置SSL VPN虛擬網關基本功能 483
9.4.4 配置SSL VPN業務 484
9.4.5 管理SSL VPN遠程用戶 489
9.4.6 配置個性化定製Web頁面元素 490
9.4.7 遠程用戶接入SSL VPN網關 492
9.4.8 SSL VPN維護與管理 496
9.5 SSL VPN典型配置示例 496
9.5.1 Web代理業務配置示例 496
9.5.2 埠轉發業務配置示例 499
9.5.3 網絡擴展業務配置示例 502
9.5.4 多虛擬網關配置示例 506