华为VPN学习指南

1.本书针对目前市场上没有专门图书的华为AR G3系列路由器传统VPN（包括L2TP VPN、IPSec VPN、GRE VPN、SSL VPN和DSVPN）技术原理、配置方法进行介绍。 2.本书内容系统、丰富，更实战化，不仅包括许多深入的技术原理介绍，还有大量的分类应用配置步骤展示和具体的应用方案配置案例。 3.本书注重细节，系统深入，思路清晰，符合读者阅读习惯。

本书将专门以华为ARG3系列路由器中的传统VPN（包括L2TPVPN、IPSecVPN、GREVPN、SSLVPN和DSVPN）相关技术原理，以及具体的配置方法进行介绍，还有大量的实际配置案例。本书是一本系统、深入地介绍华为各种传统VPN技术原理和各种应用分类的具体配置方法，以及大量实际部署案例的图书。

第1章 VPN基础 0
1.1 VPN的起源、定义与优势 2
1.1.1 VPN的起源 2
1.1.2 VPN的通俗理解 3
1.1.3 VPN的主要优势 5
1.2 VPN方案的分类 6
1.2.1 按VPN的应用平台分类 6
1.2.2 按组网模型分 7
1.2.3 按业务用途分 9
1.2.4 按实现层次分 11
1.2.5 按运营模式分 12
1.3 VPN隧道技术 13
1.3.1 VPN隧道技术综述 13
1.3.2 PPTP协议 14
1.3.3 L2TP协议 17
1.3.4 MPLS协议 19
1.3.5 IPSec协议族 21
1.3.6 GRE协议 23
1.4 VPN身份认证技术 24
1.4.1 PAP协议报文格式及身份认证原理 24
1.4.2 CHAP协议报文格式及身份认证原理 26
1.4.3 身份认证算法 28
1.5 加密、数字信封、数字签名和数字证书原理 28
1.5.1 加密工作原理 28
1.5.2 数字信封工作原理 30
1.5.3 数字签名工作原理 31
1.5.4 数字证书 33
1.6 MD5认证算法原理 33
1.6.1 MD5算法基本认证原理 33
1.6.2 MD5算法消息填充原理 34
1.6.3 MD5算法的主要应用 35
1.7 SHA认证算法原理 35
1.7.1 SHA算法基本认证原理 36
1.7.2 SHA算法消息填充原理 36
1.8 SM3认证算法原理 37
1.8.1 SM3算法消息填充原理 37
1.8.2 SM3算法消息迭代压缩原理 38
1.9 AES加密算法原理 39
1.9.1 AES的数据块填充 39
1.9.2 AES四种工作模式加/解密原理 41
1.10 DES加密算法原理 44
1.10.1 DES的数据块填充 45
1.10.2 DES加/解密原理 45
1.10.3 子密钥生成原理 47
1.10.4 3DES算法简介 48
第2章 IPSec基础及手工方式IPSec VPN配置与管理 50
2.1 IPSec VPN基本工作原理 52
2.1.1 IPSec的安全机制 53
2.1.2 IPSec的两种封装模式 54
2.1.3 AH报头和ESP报头格式 57
2.1.4 IPSec隧道建立原理 59
2.2 IKE密钥交换原理 60
2.2.1 IKE动态协商综述 61
2.2.2 IKE的安全机制 62
2.2.3 IKEv1密钥交换和协商：第 一阶段 65
2.2.4 IKEv1密钥交换和协商：第 二阶段 68
2.2.5 IKEv2密钥协商和交换 68
2.3 IPSec保护数据流和虚拟隧道接口 70
2.3.1 保护数据流的定义方式 70
2.3.2 IPSec虚拟隧道接口 71
2.4 配置基于ACL方式手工建立IPSec隧道 73
2.4.1 手工方式配置任务及基本工作原理 73
2.4.2 基于ACL定义需要保护的数据流 75
2.4.3 配置IPSec安全提议 77
2.4.4 配置安全策略 81
2.4.5 配置可选扩展功能 85
2.4.6 配置在接口上应用安全策略组 87
2.4.7 IPSec隧道维护和管理命令 89
2.4.8 基于ACL方式手工建立IPSec隧道配置示例 90
2.5 基于ACL方式手工建立IPSec隧道的典型故障排除 96
2.5.1 IPSec隧道建立不成功的故障排除 96
2.5.2 IPSec隧道建立成功，但两端仍不能通信的故障排除 98
第3章 IKE动态协商方式建立IPSec VPN的配置与管理 100
3.1 配置基于ACL方式通过IKE协商建立IPSec隧道 102
3.1.1 IKE动态协商方式配置任务及基本工作原理 103
3.1.2 定义IKE安全提议 104
3.1.3 配置IKE对等体 109
3.1.4 配置安全策略 123
3.1.5 配置可选扩展功能 128
3.2 典型配置示例 141
3.2.1 采用缺省IKE安全提议建立IPSec隧道配置示例 141
3.2.2 总部采用策略模板方式与分支建立多条IPSec隧道配置示例 146
3.2.3 总部采用安全策略组方式与分支建立多条IPSec隧道配置示例 153
3.2.4 分支采用多链路共享功能与总部建立IPSec隧道配置示例 161
3.2.5 建立NAT穿越功能的IPSec隧道配置示例 166
3.2.6 配置PPPoE拨号分支与总部建立IPSec隧道示例 171
3.3 IKE动态协商方式IPSec隧道建立不成功的故障排除 177
3.3.1 第 一阶段IKE SA建立不成功的故障排除 177
3.3.2 第 二阶段IPSec SA建立不成功的故障排除 180
第4章 基于Tunnel接口和Efficient VPN策略的IPSec VPN配置与管理 182
4.1 配置采用虚拟Tunnel接口方式建立IPSec隧道 184
4.1.1 配置任务 185
4.1.2 配置安全框架 186
4.1.3 配置可选扩展功能 188
4.1.4 配置IPSec虚拟隧道/隧道模板接口 191
4.1.5 配置基于虚拟Tunnel接口定义需要保护的数据流 194
4.1.6 配置子网路由信息的请求/推送/接收功能 195
4.1.7 基于虚拟Tunnel接口建立IPSec隧道配置示例 199
4.1.8 基于虚拟隧道模板接口建立IPSec隧道配置示例 204
4.2 配置采用Efficient VPN策略建立IPSec隧道 208
4.2.1 Efficient VPN简介 209
4.2.2 Efficient VPN的运行模式 209
4.2.3 配置任务 211
4.2.4 配置Remote端 212
4.2.5 配置Server端 218
4.2.6 Efficient VPN Client模式建立IPSec隧道配置示例 221
4.2.7 Efficient VPN Network模式建立IPSec隧道配置示例 225
4.2.8 Efficient VPN Network-plus方式建立IPSec隧道配置示例 229
第5章 L2TP VPN配置与管理 234
5.1 L2TP VPN体系架构 236
5.1.1 L2TP VPN的基本组成 236
5.1.2 LAC位置的几种情形 237
5.1.3 L2TP消息、隧道和会话 238
5.2 L2TP报文格式、封装及传输 240
5.2.1 L2TP协议报文格式 240
5.2.2 L2TP协议报文封装 240
5.2.3 L2TP数据包传输 242
5.3 L2TP隧道模式及隧道建立流程 242
5.3.1 NAS-Initiated模式隧道建立流程 242
5.3.2 LAC-Auto-Initiated模式隧道建立流程 244
5.3.3 Client-Initiated模式隧道建立流程 246
5.4 L2TP的主要应用 247
5.5 华为设备对L2TP VPN的支持 249
5.6 LAC接入呼叫发起L2TP隧道连接的配置与管理 252
5.6.1 配置任务 252
5.6.2 配置AAA认证 254
5.6.3 配置LAC 260
5.6.4 配置LNS 264
5.6.5 L2TP维护与管理 267
5.6.6 移动办公用户发起L2TP隧道连接配置示例 268
5.6.7 LAC接入传统拨号用户发起L2TP隧道连接配置示例 276
5.6.8 LAC接入PPPoE用户发起L2TP隧道连接配置示例 278
5.7 LAC自拨号发起L2TP隧道连接的配置与管理 283
5.7.1 配置任务 283
5.7.2 配置LAC 284
5.7.3 LAC自拨号发起L2TP隧道连接的配置示例 287
5.7.4 多个LAC自拨号发起L2TP隧道连接配置示例 290
5.8 配置L2TP其他可选功能 294
5.9 L2TP over IPSec的配置与管理 296
5.9.1 L2TP over IPSec封装原理 297
5.9.2 分支与总部通过L2TP Over IPSec方式实现安全互通配置示例 299
5.10 L2TP VPN故障排除 304
5.10.1 Client-Initiated模式L2TP VPN典型故障排除 304
5.10.2 NAS-Initiated和LAC-Auto-Initiated模式L2TP VPN典型故障排除 308
第6章 GRE VPN配置与管理 310
6.1 GRE VPN工作原理 312
6.1.1 GRE报文格式 313
6.1.2 GRE的报文封装和解封装原理 315
6.1.3 GRE的安全机制 316
6.1.4 GRE的Keepalive检测机制 316
6.2 GRE的主要应用场景 317
6.2.1 多协议本地网可以通过GRE隧道隔离传输 317
6.2.2 扩大跳数受限的网络工作范围 318
6.2.3 与IPSec结合，保护组播/广播数据 318
6.2.4 CE采用GRE隧道接入MPLS VPN 321
6.3 GRE VPN配置与管理 323
6.3.1 配置任务 323
6.3.2 配置Tunnel接口 324
6.3.3 配置Tunnel接口的路由 327
6.3.4 配置可选配置任务 328
6.3.5 GRE VPN隧道维护与管理 331
6.4 典型配置示例 332
6.4.1 GRE通过静态路由实现两个远程IPv4子网互联配置示例 332
6.4.2 GRE通过OSPF路由实现两个远程IPv4子网互联配置示例 335
6.4.3 GRE扩大跳数受限的网络工作范围配置示例 339
6.4.4 GRE实现FR协议互通配置示例 343
6.4.5 GRE over IPSec配置示例 344
6.4.6 IPSec over GRE配置示例 348
6.5 GRE典型故障排除 353
6.5.1 隧道两端Ping不通的故障排除 353
6.5.2 隧道是通的，但两端私网不能互访的故障排除 354
第7章 DSVPN配置与管理 356
7.1 DSVPN综述 358
7.1.1 DSVPN简介 358
7.1.2 DSVPN中的重要概念 360
7.1.3 DSVPN的典型应用场景 362
7.2 DSVPN工作原理 364
7.2.1 DSVPN中的GRE封装和解封装原理 364
7.2.2 NHRP协议工作原理 365
7.2.3 非shortcut场景DSVPN工作原理 369
7.2.4 shortcut场景DSVPN工作原理 372
7.2.5 DSVPN NAT穿越原理 375
7.2.6 DSVPN双Hub备份原理 377
7.2.7 DSVPN IPSec保护原理 378
7.3 DSVPN配置与管理 379
7.3.1 配置任务 379
7.3.2 配置mGRE 380
7.3.3 配置路由 381
7.3.4 配置NHRP 384
7.3.5 配置并应用IPSec安全框架 387
7.3.6 DSVPN维护与管理命令 388
7.4 典型配置示例 389
7.4.1 非shortcut场景DSVPN（静态路由）配置示例 389
7.4.2 非shortcut场景DSVPN（RIP协议）配置示例 396
7.4.3 非shortcut场景DSVPN（OSPF协议）配置示例 401
7.4.4 非shortcut场景DSVPN（BGP协议）配置示例 406
7.4.5 shortcut场景DSVPN（RIP协议）配置示例 412
7.4.6 shortcut场景DSVPN（OSPF协议）配置示例 418
7.4.7 shortcut场景DSVPN（BGP协议）配置示例 423
7.4.8 DSVPN NAT穿越配置示例 429
7.4.9 双Hub DSVPN配置示例 437
7.4.10 DSVPN over IPSec配置示例 449
7.5 典型故障排除 458
7.5.1 Spoke NHRP注册失败的故障排除 458
7.5.2 非shortcut场景Spoke间子网无法进行直接通信的故障排除 459
7.5.3 shortcut场景Spoke间子网无法进行直接通信的故障排除 460
第8章 PKI配置与管理 462
8.1 PKI基础及工作原理 464
8.1.1 PKI简介 464
8.1.2 PKI体系架构 465
8.1.3 数字证书结构及分类 467
8.1.4 PKI中的几个概念 468
8.1.5 PKI工作机制 470
8.1.6 PKI的主要应用场景 472
8.2 申请本地证书的预配置 474
8.2.1 配置PKI实体信息 474
8.2.2 配置PKI域 477
8.2.3 配置RSA密钥对 480
8.2.4 配置为PKI实体下载CA证书 481
8.2.5 配置为PKI实体安装CA证书 482
8.2.6 申请本地证书预配置的管理命令 484
8.3 申请和更新本地证书 484
8.3.1 配置通过SCEP协议为PKI实体申请和更新本地证书 484
8.3.2 配置通过CMPv2协议为PKI实体申请和更新本地证书 487
8.3.3 配置为PKI实体离线申请本地证书 492
8.3.4 本地证书申请和更新管理命令 493
8.4 本地证书的下载和安装 494
8.4.1 下载本地证书 494
8.4.2 本地证书安装 495
8.4.3 本地证书下载与安装管理命令 496
8.5 验证CA证书和本地证书的有效性 496
8.5.1 配置检查对端本地证书的状态 497
8.5.2 配置检查CA证书和本地证书的有效性 502
8.5.3 验证CA证书和本地证书有效性管理命令 503
8.6 配置证书扩展功能 503
8.7 PKI典型配置示例 505
8.7.1 通过SCEP协议自动申请本地证书配置示例 505
8.7.2 通过CMPv2协议申请本地证书配置示例 510
8.7.3 离线申请本地证书配置示例 514
8.8 典型故障排除 517
8.8.1 CA证书获取失败的故障排除 517
8.8.2 本地证书获取失败的故障排除 519
第9章 SSL VPN配置与管理 520
9.1 SSL VPN基础 522
9.1.1 SSL概述 522
9.1.2 SSL VPN的引入背景 523
9.1.3 SSL VPN系统组成 524
9.1.4 SSL VPN业务分类 525
9.1.5 SSL VPN的典型应用 528
9.2 SSL服务器策略配置与管理 529
9.2.1 配置SSL服务器策略 530
9.2.2 SSL维护和管理命令 532
9.3 HTTPS服务器配置与管理 532
9.3.1 配置HTTPS服务器 532
9.3.2 HTTPS服务器配置示例 533
9.4 SSL VPN配置与管理 539
9.4.1 配置SSL VPN的侦听端口号 539
9.4.2 创建SSL VPN远程用户 540
9.4.3 配置SSL VPN虚拟网关基本功能 541
9.4.4 配置SSL VPN业务 542
9.4.5 管理SSL VPN远程用户 547
9.4.6 配置个性化定制Web页面元素 548
9.4.7 远程用户接入SSL VPN网关 550
9.4.8 SSL VPN维护与管理 553
9.5 SSL VPN典型配置示例 553
9.5.1 Web代理业务配置示例 554
9.5.2 端口转发业务配置示例 556
9.5.3 网络扩展业务配置示例 559
9.5.4 多虚拟网关配置示例 562