出版时间:2012-5 出版社:人民邮电出版社 作者:秦柯 页数:322
Tag标签:无
内容概要
这是一本全面介绍Cisco IPSec VPN的图书,主要涉及在Cisco路由器和ASA硬件防火墙上的IPSec
VPN技术。
《Cisco IPSec
VPN实战指南》一共分为10章,分别介绍了VPN技术、GRE技术与配置、IPSec基本理论、站点到站点IPSec
VPN、影响IPSec VPN的网络问题、IPSec
VPN中的高可用性技术、动态多点VPN(DMVPN)、组加密传输VPN(GETVPN)、Easy
VPN、ASA策略图等。本书附录还详细地介绍了Cisco模拟器的配置与使用。使用附录中介绍的模拟器可以实现本书中介绍的所有实例,因此本书的第一个特点就是实例的可操作性很强。本书的第二个特点就是采用了不同的讲述方式,作者不是生硬地介绍各种IPSec
VPN特性,而是结合多年Cisco安全教学经验,首先展示各种IPSec
VPN的故障现象,然后深入浅出、一步一步地分析导致这些故障的原因,最后给出相应的解决方案,让读者能够学习到整个排错和分析的过程与思路。本书的第三个特点就是大量作者原创的独门VPN解决方案,在一些特殊部署环境使用这些解决方案会得到意想不到的效果。
《Cisco IPSec
VPN实战指南》适合正在准备参加CCNA安全(640-553)、SECURE(642-637)、FIREWALL(642-617)、VPN(642-647)、CCIE安全笔试(350-018)以及CCIE安全实验考试的考生阅读,也是从事Cisco安全技术的工程师必不可少的现场参考资料。
书籍目录
第1章 VPN技术简介
1.1 VPN产生背景
1.2 VPN的两种连接方式
1.2.1 站点到站点(Site to Site)
1.2.2 远程访问(Remote Access)
第2章 GRE
2.1 GRE技术简介
2.2 GRE基本实验
2.2.1 实验实际接线状况介绍
2.2.2 实验拓扑
2.2.3 实验介绍
2.2.4 基本网络配置
2.2.5 GRE和动态路由协议OSPF配置
2.2.6 查看状态与测试
第3章 IPSec基本理论
3.1 基本原理介绍
3.2 IPSec框架
3.2.1 散列函数
3.2.2 加密算法
3.2.3 封装协议
3.2.4 密钥有效期
3.3 互联网密钥交换协议IKE(Internet Key Exchange)
3.3.1 IKE与ISAKMP
3.3.2 IKE的2个阶段与3个模式
第4章 站点到站点IPSec VPN
4.1 经典站点到站点IPSec VPN
4.1.1 实际接线状况
4.1.2 实验拓扑介绍
4.1.3 基本IP地址配置
4.1.4 VPN路由分析
4.1.5 IOS IPSec VPN的经典配置
4.1.6 测试IPSec VPN
4.1.7 查看IPSec VPN的相关状态
4.2 ASA站点到站点IPSec VPN
4.2.1 实际接线状况
4.2.2 实验拓扑介绍
4.2.3 基本网络配置
4.2.4 ASA站点到站点IPSec VPN配置
4.2.5 测试IPSec VPN
4.2.6 ASA查看IPSec VPN的相关状态
4.3 路由器GRE Over IPSec站点到站点VPN
4.3.1 经典IPSec VPN配置方式问题分析
4.3.2 分析GRE Over IPSec解决问题的思路
4.3.3 实际接线状况
4.3.4 实验拓扑介绍
4.3.5 基本网络配置
4.3.6 配置GRE隧道
4.3.7 配置动态路由协议OSPF
4.3.8 配置IPSec VPN保护站点间GRE流量
4.3.9 测试与查看GRE Over IPSec
4.3.10 其他GRE over IPSec配置方式
4.4 路由器SVTI站点到站点VPN
4.4.1 VTI技术介绍
4.4.2 实际接线状况
4.4.3 实验拓扑介绍
4.4.4 基本网络配置
4.4.5 配置SVTI隧道
4.4.6 测试并查看隧道状况
4.4.7 配置动态路由协议OSPF
4.5 总结
第5章 影响IPSec VPN的网络问题
5.1 动态地址问题
5.1.1 问题描述
5.1.2 动态crypto map实验
5.2 动态DNS(DDNS)技术介绍
5.2.1 DDNS技术介绍
5.2.2 DDNS在IPSec VPN的使用
5.2.3 DDNS在IOS上的配置
5.3 加密设备NAT对IPSec VPN的影响
5.3.1 问题描述
5.3.2 加密设备NAT问题分析实验
5.4 中间网络ASA防火墙对IPSec VPN的影响
5.4.1 问题描述
5.4.2 Cisco ASA防火墙对IPSec VPN的影响实验
5.5 中间网络PAT对IPSec VPN的影响
5.5.1 问题描述
5.5.2 PAT地址转换技术对IPSec VPN的影响实验
第6章 IPSec VPN中的高可用性技术
6.1 IPSec VPN高可用性技术介绍
6.2 DPD技术介绍
6.2.1 DPD技术描述
6.2.2 DPD工作模式
6.2.3 DPD技术测试
6.3 RRI技术介绍
6.3.1 技术描述
6.3.2 RRI技术配置与测试
6.4 链路备份的IPSec VPN介绍
6.4.1 链路备份IPSec VPN
6.4.2 链路备份IPSec VPN配置与测试
6.5 设备备份IPSec VPN(Redundancy VPN)介绍
6.5.1 设备备份IPSec VPN
6.5.2 设备备份IPSec VPN(Redun-dancy VPN)配置与测试
6.6 高可用性站点到站点IPSec VPN最佳方案
6.6.1 高可用性站点到站点IPSec VPN最佳方案
6.6.2 高可用性站点到站点IPSec VPN最佳方案配置与测试
第7章 动态多点VPN(DMVPN)
7.1 DMVPN介绍
7.1.1 传统IPSec VPN高可用性问题分析
7.1.2 DMVPN的优点
7.1.3 DMVPN的4大组成协议
7.2 经典DMVPN实验
7.2.1 实际接线状况
7.2.2 实验拓扑
7.2.3 基本网络配置
7.2.4 mGRE与NHRP配置
7.2.5 测试 NHRP
7.2.6 动态路由协议EIGRP配置
7.2.7 测试与调整EIGRP
7.2.8 配置IPSec VPN
7.2.9 查看DMVPN状态
7.2.10 MVPN中“包治百病”的“大招”
7.3 DMVPN第三阶段
7.3.1 DMVPN三个发展阶段介绍
7.3.2 DMVPN三个发展阶段比较表
7.3.3 DMVPN第二阶段与第三阶段分支站点间隧道处理方法比较表
7.3.4 DMVPN第二阶段NHRP工作流程介绍
7.3.5 DMVPN第三阶段NHRP工作流程介绍
7.3.6 第三阶段DMVPN实验
7.4 DMVPN两种高可用性解决方案
7.4.1 解决方案1:单云双中心
7.4.2 DMVPN单云双中心配置
7.4.3 解决方案2:双云双中心
7.4.4 DMVPN双云双中心配置
第8章 组加密传输VPN(GETVPN)
8.1 GETVPN概述
8.2 传统IPSec VPN在企业网内部部署时出现的问题
8.2.1 问题1:影响QoS
8.2.2 问题2:点对点IPSec SA造成的问题
8.2.3 问题3:覆盖路由(Overlay routing)问题
8.3 GETVPN技术介绍
8.4 GETVPN如何解决传统IPSec VPN所带来的问题
8.4.1 解决问题1:影响QoS
8.4.2 解决问题2:点对点IPSec SA问题
8.4.3 解决问题3:覆盖路由(Overlay routing)问题
8.5 GETVPN与传统IPSec VPN技术的比较
8.6 GETVPN三大组成部分
8.7 GETVPN工作流程图
8.8 两种GETVPN的密钥
8.9 GETVPN的3种安全关联(SA)
8.10 GETVPN的网络流量
8.11 协作密钥服务器(Cooperative Key Server)
8.12 GETVPN密钥更新特点
8.13 GETVPN中的防重放攻击技术
8.14 GETVPN感兴趣流访问控制列表配置指南
8.15 GETVPN实验
8.15.1 实际接线状况
8.15.2 实验拓扑
8.15.3 基本网络与OSPF配置
8.15.4 首要和次要密钥服务器同步RSA密钥
8.15.5 首要密钥服务器上的GETVPN配置
8.15.6 组成员一GETVPN配置
8.15.7 GETVPN crypto map调用位置分析
8.15.8 组成员二GETVPN配置
8.15.9 查看首要服务器GETVPN状态
8.15.10 查看组成员GETVPN状态
8.15.11 组成员上测试GETVPN的加解密
8.15.12 在首要密钥服务器KS1上配置次要密钥服务器KS2
8.15.13 配置次要密钥服务器KS2
8.15.14 查看协作密钥服务器
8.15.15 组成员访问控制列表配置
8.16 教主自创版DMVPN + GETVPN实验
8.16.1 实验设计介绍
8.16.2 实际接线状况
8.16.3 实验拓扑
8.16.4 基本网络配置
8.16.5 mGRE隧道配置
8.16.6 静态路由配置
8.16.7 配置密钥服务器KS
8.16.8 配置组成员
8.16.9 测试
第9章 Easy VPN
9.1 Easy VPN简介
9.1.1 Easy VPN特点介绍
9.1.2 Easy VPN中心站点管理的内容
9.1.3 Easy VPN的部署
9.1.4 Easy VPN IKE第一阶段两种认证方式
9.2 主动模式3个数据包交换介绍
9.3 Cisco EzVPN IKE的三个阶段
9.3.1 Cisco EzVPN IKE第一阶段介绍
9.3.2 Cisco EzVPN IKE第1.5阶段介绍
9.3.3 Easy VPN IKE第二阶段介绍
9.4 Cisco EzVPN软件客户端安装
9.5 EzVPN经典配置实验
9.5.1 实际接线状况
9.5.2 实验拓扑
9.5.3 基本网络配置
9.5.4 Windows XP基本网络配置
9.5.5 Center路由器上EzVPN服务器配置
9.5.6 配置Windows XP上的EzVPN软件客户端并查看状态
9.6 EzVPN特性
9.6.1 分割隧道(Split Tunneling)
9.6.2 保存密码(save-password)
9.6.3 备用网关(backup-gateway)
9.6.4 其他EzVPN特性
9.7 EzVPN硬件客户端
9.7.1 EzVPN硬件客户端的3种工作模式
9.7.2 配置EzVPN硬件客户端客户模式
9.8 测试EzVPN各种模式的特性
9.8.1 测试客户模式
9.8.2 客户模式加上分割隧道
9.9 ISAKMP Profile技术
9.9.1 实际接线状况
9.9.2 实验拓扑
9.9.3 基本网络配置
9.9.4 配置站点到站点VPN
9.9.5 配置EzVPN
9.9.6 EzVPN对站点到站点VPN的影响
9.9.7 EzVPN对站点到站点VPN的影响问题分析
9.9.8 ISAKMP Profile技术简介
9.10 Dynamic Virtual Tunnel Interface(DVTI)技术
9.10.1 实际接线状况
9.10.2 实验拓扑
9.10.3 基本网络配置
9.10.4 EzVPN DVTI配置
9.10.5 查看EzVPN DVTI状态
9.11 GRE Over EzVPN完美解决方案
9.11.1 配置环回口Loopback100
9.11.2 配置EzVPN
9.11.3 配置GRE隧道
9.11.4 动态路由协议
第10章 ASA策略图
10.1 Tunnel-Group
10.1.1 站点到站点IPSec VPN Tunnel-Group查询
10.1.2 EzVPN Tunnel-Group查询
10.1.3 SSL VPN Tunnel-Group查询
10.2 Group-Policy介绍
10.3 ASA基本EzVPN配置
10.3.1 实际接线状况
10.3.2 实验拓扑
10.3.3 基本网络配置
10.3.4 基本EzVPN配置
10.3.5 基本EzVPN策略图分析
10.4 策略继承位置介绍
10.4.1 第1策略继承位置:用户属性username attribute
10.4.2 第2策略继承位置:用户组策略user group-policy
10.4.3 第3策略继承位置:Tunnel-Group默认组策略Default-group-policy
10.4.4 第4策略继承位置:默认全局组策略DfltGrpPolicy
10.5 ASA策略图策略优先顺序测试
10.5.1 测试1:第1号策略继承位置
10.5.2 测试2:第2号策略继承位置
10.5.3 测试3:第3号策略继承位置
10.5.4 测试4:第4号策略继承位置
10.5.5 测试5:第5号策略继承位置
10.6 ASA策略图总结
10.7 ASA动态Crypto map配置
10.8 ASA L2TP over IPSec配置
附录A Cisco模拟器配置指南
章节摘录
版权页:随着时代的发展以及企业规模的发展壮大,企业网络也在不断发生变化。例如,一家总部设在北京的企业,可能会在上海、广州和深圳等地都设有分支机构,因此需要把各个分支机构连接在一起,以便共享资源、协同工作,提高工作效率。但传统的专线联网方式价格昂贵,一般中小企业难以负担。这时低成本的VPN技术就孕育而生。VPN(Virtual PrivateNetwork)即虚拟专用网络,它可以利用廉价接入的公共网络(主要使用lnternet)来传输私有数据,相较于传统的专线连网方式具有成本优势,因此被很多企业和电信运营商采用。根据客户网络接人方式的不同,VPN技术主要分为站点到站点(Site to Site)连接方式和远程访问(Remote Access)连接方式。站点到点连接技术是一种主要的VPN连接方式,主要用于公司重要站点之间的连接。如图1-1所示,两个站点采用VPN技术虚拟地连接在⋯起,使得它们在通信时,就像通过普通网线一样,可以访问到对方。站点到站点的VPN技术对于终端用户而言是透明的,即用户感觉不到VPN技术的存在,而是觉得相互访问的站点位于同一个内网。
编辑推荐
《Cisco IPSec VPN实战指南》具有很强的实操性,书中所有的实验环境都能够使用虚拟机来搭建。并且每一个实验给出了详细的测试过程与结果,以帮助读者彻底掌握与实验相关的理论知识和技术,真正做到“知行合一”。
图书封面
图书标签Tags
无
评论、评分、阅读与下载