IPSec VPN设计

图书目录:

目　录

第 1章　VPN简介　1

1.1　部署VPN的动机　1

1.2　VPN技术　3

1.2.1　第 2层VPN　3

1.2.2　第3层VPN　4

1.2.3　远程接入VPN　5

1.3　总结　7

第 2章　IPSec概述　9

2.1　加密术语　10

2.1.1　对称算法　10

2.1.2　非对称算法　10

2.1.3　数字签名　12

2.2　IPSec安全协议　13

2.2.1　IPSec传输模式　13

2.2.2　IPSec隧道模式　14

2.2.3　封装安全有效负载(ESP)　15

2.2.4　验证报头(AH)　16

2.3　密钥管理和安全关联　17

2.3.1　Diffie-Hellman密钥交换　18

2.3.2　安全关联及IKE工作原理　19

2.3.3　IKE Phase 1的工作原理　21

2.3.4　IKE Phase 2的工作原理　25

2.3.5　IPSec分组的处理　27

2.4　总结　33

第3章　增强的IPSec特性　35

3.1　IKE存活消息　35

3.2　失效对等体检测　36

3.3　空闲超时　41

3.4　反向路由注入　43

3.5　有状态故障切换　49

3.5.1　SADB传输　49

3.5.2　SADB同步　50

3.6　IPSec和分段　57

3.6.1　IPSec和PMTUD　58

3.6.2　先行分段　60

3.7　GRE和IPSec　61

3.8　IPSec和NAT　66

3.8.1　NAT对AH的影响　66

3.8.2　NAT对ESP的影响　67

3.8.3　NAT对IKE的影响　67

3.8.4　IPSec和NAT共存问题解决方案　67

3.9　总结　76

第4章　IPSec认证和授权模型　79

4.1　扩展认证和模式配置　79

4.2　模式配置　82

4.3　简易VPN　84

4.3.1　EzVPN客户模式　84

4.3.2　网络扩展模式　87

4.4　在IPSec VPN中使用数字证书　90

4.4.1　数字证书　91

4.4.2　申请证书　91

4.4.3　撤销证书　92

4.5　总结　94

第5章　IPSec VPN架构　97

5.1　IPSec VPN连接模型　97

5.1.1　IPSec模型　98

5.1.2　GRE模型　99

5.1.3　远程接入客户模型　99

5.1.4　IPSec连接模型小结　100

5.2　星型架构　101

5.2.1　使用IPSec模型　102

5.2.2　GRE模型　113

5.2.3　远程接入客户连接模型　128

5.3　全互联架构　137

5.3.1　本征IPSec连接模型　138

5.3.2　GRE模型　144

5.4　总结　148

第6章　设计容错的IPSec VPN　151

6.1　链路容错　151

6.1.1　主干网络的容错　152

6.1.2　接入链路的容错　152

6.1.3　接入链路容错小结　165

6.2　IPSec对等体冗余　165

6.2.1　简单对等体冗余模型　165

6.2.2　使用HSRP的虚拟IPSec对等体冗余　169

6.2.3　IPSec有状态切换　171

6.2.4　使用GRE的对等体冗余　174

6.2.5　使用SLB的虚拟IPSec对等体冗余　178

6.2.6　服务器负载均衡的概念　179

6.2.7　使用SLB的IPSec对等体冗余　179

6.2.8　使用Cisco VPN 3000集群来实现对等体冗余　184

6.2.9　对等体冗余小结　185

6.3　机架内部的IPSec VPN服务冗余　185

6.3.1　无状态IPSec冗余　185

6.3.2　有状态IPSec冗余　186

6.4　总结　186

第7章　站点到站点IPSec VPN的自动配置架构　189

7.1　IPSec隧道端点发现　189

7.1.1　TED的工作原理　190

7.1.2　TED的局限性　192

7.1.3　TED的配置和状态　193

7.1.4　TED容错　196

7.2　动态多点VPN　198

7.2.1　多点GRE接口　200

7.2.2　下一跳解析协议　202

7.2.3　动态实例化IPSec代理　205

7.2.4　建立动态多点VPN　206

7.2.5　DMVPN架构冗余　216

7.2.6　DMVPN模型小结　221

7.3　总结　222

第8章　IPSec和应用的互操作性　225

8.1　支持QoS的IPSec VPN　226

8.1.1　IP QoS机制概述　226

8.1.2　IPSec对分类的影响　227

8.1.3　IPSec对QoS策略的影响　232

8.2　VoIP应用对IPSec VPN的要求　233

8.2.1　延迟的影响　233

8.2.2　抖动的影响　234

8.2.3　分组丢失的影响　235

8.3　针对VoIP的IPSec VPN架构考虑　236

8.3.1　分离VoIP和数据的架构　236

8.3.2　IPSec远程接入网络上的VoIP　238

8.3.3　IPSec保护的GRE架构上的VoIP　239

8.3.4　VoIP星型架构　240

8.3.5　DMVPN架构中的VoIP　241

8.3.6　VoIP流量工程小结　243

8.4　IPSec VPN上的多播　243

8.4.1　IPSec保护的GRE上的多播　243

8.4.2　全互联点到点GRE/IPSec隧道上的多播　245

8.4.3　DMVPN和多播　247

8.4.4　多播组安全　248

8.4.5　多播加密小结　251

8.5　总结　252

第9章　基于网络的IPSec VPN　255

9.1　基于网络的VPN的基础知识　255

9.2　基于网络的IPSec解决方案：IOS特性　258

9.2.1　虚拟路由选择和转发表　258

9.2.2　加密密钥链　258

9.2.3　ISAKMP描述　259

9.3　基于网络的IPSec VPN的工作原理　261

9.3.1　在PE上使用单个IP地址　261

9.3.2　前门VRF和内部VRF　261

9.3.3　配置和分组传输流程　262

9.3.4　使用不同的IP地址端接不同VPN中的IPSec隧道　280

9.4　基于网络的VPN部署方案　282

9.4.1　通过GRE隧道以IPSec方式连接到MPLS VPN　282

9.4.2　以IPSec方式连接到第 2层VPN　288

9.4.3　PE-PE加密　292

9.5　总结　296