新書推薦:
《
无法从容的人生:路遥传
》
售價:NT$
340.0
《
亚述:世界历史上第一个帝国的兴衰
》
售價:NT$
490.0
《
大处着眼:持久战与《论持久战》
》
售價:NT$
390.0
《
人工智能与大数据:采煤机智能制造
》
售價:NT$
440.0
《
未来漫游指南:昨日科技与人类未来
》
售價:NT$
445.0
《
新民说·逝去的盛景:宋朝商业文明的兴盛与落幕(上下册)
》
售價:NT$
790.0
《
我从何来:自我的心理学探问
》
售價:NT$
545.0
《
失败:1891—1900 清王朝的变革、战争与排外
》
售價:NT$
390.0
|
編輯推薦: |
“现任明教教主”汇集10年教学经验推出的首部力作,填补了国内思科安全技术没有原创图书的空白;该书是工程实施、维护人员必不可少的参考资料,也是备考思科认证不可或缺的技术手册
|
內容簡介: |
《Cisco IPSec VPN实战指南》是一本全面介绍Cisco IPSec VPN的图书,主要涉及在Cisco路由器和ASA硬件防火墙上的IPSec VPN技术。《Cisco IPSec VPN实战指南》一共分为10章,分别介绍了VPN技术、GRE技术与配置、IPSec基本理论、站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术、动态多点VPN(DMVPN)、组加密传输VPN(GETVPN)、Easy VPN、ASA策略图等。《Cisco IPSec VPN实战指南》附录还详细地介绍了Cisco模拟器的配置与使用。使用附录中介绍的模拟器可以实现本书中介绍的所有实例,因此本书的第一个特点就是实例的可操作性很强。《Cisco IPSec VPN实战指南》的第二个特点就是采用了不同的讲述方式,作者不是生硬地介绍各种IPSec VPN特性,而是结合多年Cisco安全教学经验,首先展示各种IPSec VPN的故障现象,然后深入浅出、一步一步地分析导致这些故障的原因,最后给出相应的解决方案,让读者能够学习到整个排错和分析的过程与思路。《Cisco IPSec VPN实战指南》的第三个特点就是大量作者原创的独门VPN解决方案,在一些特殊部署环境使用这些解决方案会得到意想不到的效果。
|
關於作者: |
秦柯,网名“现任明教教主”,拥有10年Security CCIE 培训经验,截止到2010年已经亲手带过300余名Security CCIE学员,中国大陆绝大部分通过的Security CCIE都和他有直接或者间接的关系。现任明教教主网络工作经验已经10多年,一直努力提升自身技术能力,研究了大量安全相关的技术,并共享了大量视频资料和文档,可以说是网络上Cisco安全方向视频和文档共享第一人。2009-2010年间花费了接近两年的时间开发了教主版CCSP课程,囊括了现在Security CCIE可能涉及的所有知识点,堪称Security CCIE学习的经典。计划一年内出版现任明教教主实验指南,并且于2010年年中开宗立派创立YESLAB,是YESLAB的权威老师之一。
|
目錄:
|
目 录
第1章 VPN技术简介 1
1.1 VPN产生背景 1
1.2 VPN的两种连接方式 1
1.2.1 站点到站点Site to Site 1
1.2.2 远程访问Remote Access 2
第2章 GRE 5
2.1 GRE技术简介 5
2.2 GRE基本实验 6
2.2.1 实验实际接线状况介绍 6
2.2.2 实验拓扑 6
2.2.3 实验介绍 7
2.2.4 基本网络配置 7
2.2.5 GRE和动态路由协议OSPF配置 9
2.2.6 查看状态与测试 9
第3章 IPSec基本理论 13
3.1 基本原理介绍 13
3.2 IPSec框架 14
3.2.1 散列函数 14
3.2.2 加密算法 20
3.2.3 封装协议 28
3.2.4 密钥有效期 34
3.3 互联网密钥交换协议IKEInternet Key Exchange 34
3.3.1 IKE与ISAKMP 35
3.3.2 IKE的2个阶段与3个模式 35
第4章 站点到站点IPSec VPN 47
4.1 经典站点到站点IPSec VPN 47
4.1.1 实际接线状况 47
4.1.2 实验拓扑介绍 47
4.1.3 基本IP地址配置 48
4.1.4 VPN路由分析 49
4.1.5 IOS IPSec VPN的经典配置 52
4.1.6 测试IPSec VPN 54
4.1.7 查看IPSec VPN的相关状态 54
4.2 ASA站点到站点IPSec VPN 56
4.2.1 实际接线状况 56
4.2.2 实验拓扑介绍 56
4.2.3 基本网络配置 57
4.2.4 ASA站点到站点IPSec VPN配置 58
4.2.5 测试IPSec VPN 60
4.2.6 ASA查看IPSec VPN的相关状态 60
4.3 路由器GRE Over IPSec站点到站点VPN 62
4.3.1 经典IPSec VPN配置方式问题分析 62
4.3.2 分析GRE Over IPSec解决问题的思路 63
4.3.3 实际接线状况 65
4.3.4 实验拓扑介绍 65
4.3.5 基本网络配置 66
4.3.6 配置GRE隧道 67
4.3.7 配置动态路由协议OSPF 67
4.3.8 配置IPSec VPN保护站点间GRE流量 68
4.3.9 测试与查看GRE Over IPSec 69
4.3.10 其他GRE over IPSec配置方式 70
4.4 路由器SVTI站点到站点VPN 71
4.4.1 VTI技术介绍 71
4.4.2 实际接线状况 72
4.4.3 实验拓扑介绍 72
4.4.4 基本网络配置 72
4.4.5 配置SVTI隧道 73
4.4.6 测试并查看隧道状况 74
4.4.7 配置动态路由协议OSPF 76
4.5 总结 77
第5章 影响IPSec VPN的网络问题 79
5.1 动态地址问题 79
5.1.1 问题描述 79
5.1.2 动态crypto map实验 80
5.2 动态DNSDDNS技术介绍 85
5.2.1 DDNS技术介绍 85
5.2.2 DDNS在IPSec VPN的使用 85
5.2.3 DDNS在IOS上的配置 85
5.3 加密设备NAT对IPSec VPN的影响 86
5.3.1 问题描述 86
5.3.2 加密设备NAT问题分析实验 87
5.4 中间网络ASA防火墙对IPSec VPN的影响 93
5.4.1 问题描述 93
5.4.2 Cisco ASA防火墙对IPSec VPN的影响实验 94
5.5 中间网络PAT对IPSec VPN的影响 99
5.5.1 问题描述 99
5.5.2 PAT地址转换技术对IPSec VPN的影响实验 99
第6章 IPSec VPN中的高可用性技术 111
6.1 IPSec VPN高可用性技术介绍 111
6.2 DPD技术介绍 112
6.2.1 DPD技术描述 112
6.2.2 DPD工作模式 112
6.2.3 DPD技术测试 113
6.3 RRI技术介绍 122
6.3.1 技术描述 122
6.3.2 RRI技术配置与测试 125
6.4 链路备份的IPSec VPN介绍 129
6.4.1 链路备份IPSec VPN 129
6.4.2 链路备份IPSec VPN配置与测试 129
6.5 设备备份IPSec VPNRedundancy VPN介绍 138
6.5.1 设备备份IPSec VPN 138
6.5.2 设备备份IPSec VPNRedun-dancy VPN配置与测试 138
6.6 高可用性站点到站点IPSec VPN最佳方案 146
6.6.1 高可用性站点到站点IPSec VPN最佳方案 146
6.6.2 高可用性站点到站点IPSec VPN最佳方案配置与测试 147
第7章 动态多点VPNDMVPN 155
7.1 DMVPN介绍 155
7.1.1 传统IPSec VPN高可用性问题分析 155
7.1.2 DMVPN的优点 157
7.1.3 DMVPN的4大组成协议 157
7.2 经典DMVPN实验 159
7.2.1 实际接线状况 159
7.2.2 实验拓扑 160
7.2.3 基本网络配置 161
7.2.4 mGRE与NHRP配置 162
7.2.5 测试 NHRP 163
7.2.6 动态路由协议EIGRP配置 165
7.2.7 测试与调整EIGRP 165
7.2.8 配置IPSec VPN 167
7.2.9 查看DMVPN状态 168
7.2.10 MVPN中“包治百病”的“大招” 172
7.3 DMVPN第三阶段 173
7.3.1 DMVPN三个发展阶段介绍 173
7.3.2 DMVPN三个发展阶段比较表 175
7.3.3 DMVPN第二阶段与第三阶段分支站点间隧道处理方法比较表 175
7.3.4 DMVPN第二阶段NHRP工作流程介绍 175
7.3.5 DMVPN第三阶段NHRP工作流程介绍 176
7.3.6 第三阶段DMVPN实验 177
7.4 DMVPN两种高可用性解决方案 185
7.4.1 解决方案1:单云双中心 185
7.4.2 DMVPN单云双中心配置 185
7.4.3 解决方案2:双云双中心 190
7.4.4 DMVPN双云双中心配置 190
第8章 组加密传输VPNGETVPN 197
8.1 GETVPN概述 197
8.2 传统IPSec VPN在企业网内部部署时出现的问题 197
8.2.1 问题1:影响QoS 198
8.2.2 问题2:点对点IPSec SA造成的问题 199
8.2.3 问题3:覆盖路由Overlay routing问题 200
8.3 GETVPN技术介绍 201
8.4 GETVPN如何解决传统IPSec VPN所带来的问题 202
8.4.1 解决问题1:影响QoS 202
8.4.2 解决问题2:点对点IPSec SA问题 203
8.4.3 解决问题3:覆盖路由Overlay routing问题 203
8.5 GETVPN与传统IPSec VPN技术的比较 204
8.6 GETVPN三大组成部分 204
8.7 GETVPN工作流程图 206
8.8 两种GETVPN的密钥 207
8.9 GETVPN的3种安全关联SA 207
8.10 GETVPN的网络流量 208
8.11 协作密钥服务器Cooperative Key Server 208
8.12 GETVPN密钥更新特点 209
8.13 GETVPN中的防重放攻击技术 209
8.14 GETVPN感兴趣流访问控制列表配置指南 210
8.15 GETVPN实验 211
8.15.1 实际接线状况 211
8.15.2 实验拓扑 212
8.15.3 基本网络与OSPF配置 213
8.15.4 首要和次要密钥服务器同步RSA密钥 214
8.15.5 首要密钥服务器上的GETVPN配置 216
8.15.6 组成员一GETVPN配置 217
8.15.7 GETVPN crypto map调用位置分析 218
8.15.8 组成员二GETVPN配置 218
8.15.9 查看首要服务器GETVPN状态 219
8.15.10 查看组成员GETVPN状态 220
8.15.11 组成员上测试GETVPN的加解密 221
8.15.12 在首要密钥服务器KS1上配置次要密钥服务器KS2 221
8.15.13 配置次要密钥服务器KS2 222
8.15.14 查看协作密钥服务器 222
8.15.15 组成员访问控制列表配置 223
8.16 教主自创版DMVPN + GETVPN实验 224
8.16.1 实验设计介绍 224
8.16.2 实际接线状况 225
8.16.3 实验拓扑 225
8.16.4 基本网络配置 227
8.16.5 mGRE隧道配置 228
8.16.6 静态路由配置 229
8.16.7 配置密钥服务器KS 229
8.16.8 配置组成员 230
8.16.9 测试 231
第9章 Easy VPN 235
9.1 Easy VPN简介 235
9.1.1 Easy VPN特点介绍 235
9.1.2 Easy VPN中心站点管理的内容 235
9.1.3 Easy VPN的部署 236
9.1.4 Easy VPN IKE第一阶段两种认证方式 236
9.2 主动模式3个数据包交换介绍 237
9.3 Cisco EzVPN IKE的三个阶段 238
9.3.1 Cisco EzVPN IKE第一阶段介绍 238
9.3.2 Cisco EzVPN IKE第1.5阶段介绍 239
9.3.3 Easy VPN IKE第二阶段介绍 239
9.4 Cisco EzVPN软件客户端安装 240
9.5 EzVPN经典配置实验 241
9.5.1 实际接线状况 241
9.5.2 实验拓扑 241
9.5.3 基本网络配置 242
9.5.4 Windows XP基本网络配置 244
9.5.5 Center路由器上EzVPN服务器配置 244
9.5.6 配置Windows XP上的EzVPN软件客户端并查看状态 246
9.6 EzVPN特性 249
9.6.1 分割隧道Split Tunneling 249
9.6.2 保存密码save-password 251
9.6.3 备用网关backup-gateway 252
9.6.4 其他EzVPN特性 254
9.7 EzVPN硬件客户端 254
9.7.1 EzVPN硬件客户端的3种工作模式 254
9.7.2 配置EzVPN硬件客户端客户模式 256
9.8 测试EzVPN各种模式的特性 258
9.8.1 测试客户模式 258
9.8.2 客户模式加上分割隧道 261
9.9 ISAKMP Profile技术 263
9.9.1 实际接线状况 264
9.9.2 实验拓扑 264
9.9.3 基本网络配置 264
9.9.4 配置站点到站点VPN 266
9.9.5 配置EzVPN 268
9.9.6 EzVPN对站点到站点VPN的影响 269
9.9.7 EzVPN对站点到站点VPN的影响问题分析 269
9.9.8 ISAKMP Profile技术简介 271
9.10 Dynamic Virtual Tunnel InterfaceDVTI技术 274
9.10.1 实际接线状况 274
9.10.2 实验拓扑 275
9.10.3 基本网络配置 275
9.10.4 EzVPN DVTI配置 276
9.10.5 查看EzVPN DVTI状态 278
9.11 GRE Over EzVPN完美解决方案 280
9.11.1 配置环回口Loopback100 281
9.11.2 配置EzVPN 281
9.11.3 配置GRE隧道 283
9.11.4 动态路由协议 284
第10章 ASA策略图 287
10.1 Tunnel-Group 288
10.1.1 站点到站点IPSec VPN Tunnel-Group查询 288
10.1.2 EzVPN Tunnel-Group查询 288
10.1.3 SSL VPN Tunnel-Group查询 289
10.2 Group-Policy介绍 291
10.3 ASA基本EzVPN配置 291
10.3.1 实际接线状况 291
10.3.2 实验拓扑 291
10.3.3 基本网络配置 292
10.3.4 基本EzVPN配置 293
10.3.5 基本EzVPN策略图分析 295
10.4 策略继承位置介绍 296
10.4.1 第1策略继承位置:用户属性username attribute 296
10.4.2 第2策略继承位置:用户组策略user group-policy 297
10.4.3 第3策略继承位置:Tunnel-Group默认组策略Default-group-policy 299
10.4.4 第4策略继承位置:默认全局组策略DfltGrpPolicy 300
10.5 ASA策略图策略优先顺序测试 302
10.5.1 测试1:第1号策略继承位置 303
10.5.2 测试2:第2号策略继承位置 304
10.5.3 测试3:第3号策略继承位置 304
10.5.4 测试4:第4号策略继承位置 305
10.5.5 测试5:第5号策略继承位置 306
10.6 ASA策略图总结 307
10.7 ASA动态Crypto map配置 308
10.8 ASA L2TP over IPSec配置 308
附录A Cisco模拟器配置指南 311
|
|