IPSec VPN设计【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

IPSec VPN设计PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 VPN简介1

1.1 部署VPN的动机1

1.2 VPN技术3

1.2.1 第2层VPN3

1.2.2 第3层VPN3

1.2.3 远程接入VPN4

1.3 总结6

2.1 加密术语9

第2章 IPSec概述9

2.1.1 对称算法10

2.1.2 非对称算法10

2.1.3 数字签名12

2.2 IPSec安全协议12

2.2.1 IPSec传输模式13

2.2.2 IPSec隧道模式14

2.2.3 封装安全有效负载（ESP）14

2.2.4 验证报头（AH）15

2.3.1 Diffie-Hellman密钥交换17

2.3 密钥管理和安全关联17

2.3.2 安全关联及IKE工作原理18

2.3.3 IKE Phase 1的工作原理20

2.3.4 IKE Phase 2的工作原理24

2.3.5 IPSec分组的处理25

2.4 总结31

第3章 增强的IPSec特性33

3.1 IKE存活消息33

3.2 失效对等体检测34

3.3 空闲超时38

3.4 反向路由注入40

3.5 有状态故障切换46

3.5.1 SADB传输46

3.5.2 SADB同步46

3.6 IPSec和分段53

3.6.1 IPSec和PMTUD53

3.7 GRE和IPSec56

3.6.2 先行分段56

3.8 IPSec和NAT61

3.8.1 NAT对AH的影响61

3.8.2 NAT对ESP的影响61

3.8.3 NAT对IKE的影响62

3.8.4 IPSec和NAT共存问题解决方案62

3.9 总结70

第4章 IPSec认证和授权模型73

4.1 扩展认证和模式配置73

4.2 模式配置76

4.3 简易VPN77

4.3.1 EzVPN客户模式78

4.3.2 网络扩展模式81

4.4 在IPSec VPN中使用数字证书84

4.4.1 数字证书84

4.4.2 申请证书84

4.4.3 撤销证书86

4.5 总结87

第5章 IPSec VPN架构89

5.1 IPSec VPN连接模型89

5.1.1 IPSec模型89

5.1.2 GRE模型90

5.1.3 远程接入客户模型91

5.1.4 IPSec连接模型小结92

5.2 星型架构93

5.2.1 使用IPSec模型93

5.2.2 GRE模型104

5.2.3 远程接入客户连接模型117

5.3 全互联架构126

5.3.1 本征IPSec连接模型126

5.3.2 GRE模型132

5.4 总结136

第6章 设计容错的IPSec VPN139

6.1 链路容错139

6.1.2 接入链路的容错140

6.1.1 主干网络的容错140

6.1.3 接入链路容错小结152

6.2 IPSec对等体冗余153

6.2.1 简单对等体冗余模型153

6.2.2 使用HSRP的虚拟IPSec对等体冗余156

6.2.3 IPSec有状态切换158

6.2.4 使用GRE的对等体冗余161

6.2.5 使用SLB的虚拟IPSec对等体冗余165

6.2.6 服务器负载均衡的概念165

6.2.7 使用SLB的IPSec对等体冗余166

6.2.8 使用Cisco VPN 3000集群来实现对等体冗余169

6.2.9 对等体冗余小结171

6.3 机架内部的IPSec VPN服务冗余171

6.3.1 无状态IPSec冗余171

6.3.2 有状态IPSec冗余171

6.4 总结172

7.1 IPSec隧道端点发现175

第7章 场点到场点IPSec VPN的自动配置架构175

7.1.1 TED的工作原理176

7.1.2 TED的局限性178

7.1.3 TED的配置和状态178

7.1.4 TED容错181

7.2 动态多点VPN183

7.2.1 多点GRE接口184

7.2.2 下一跳解析协议186

7.2.3 动态实例化IPSec代理189

7.2.4 建立动态多点VPN190

7.2.5 DMVPN架构冗余199

7.2.6 DMVPN模型小结205

7.3 总结205

第8章 IPSec和应用的互操作性207

8.1 支持QoS的IPSec VPN208

8.1.1 IP QoS机制概述208

8.1.2 IPSec对分类的影响209

8.1.3 IPSec对QoS策略的影响213

8.2 VoIP应用对IPSec VPN的要求214

8.2.1 延迟的影响214

8.2.2 抖动的影响215

8.2.3 分组丢失的影响215

8.3 针对VoIP的IPSec VPN架构考虑217

8.3.1 分离VoIP和数据的架构217

8.3.2 IPSec远程接入网络上的VoIP218

8.3.3 IPSec保护的GRE架构上的VoIP219

8.3.4 VoIP星型架构220

8.3.5 DMVPN架构中的VoIP221

8.3.6 VoIP流量工程小结223

8.4 IPSec VPN上的多播223

8.4.1 IPSec保护的GRE上的多播223

8.4.2 全互联点到点GRE/IPSec隧道上的多播225

8.4.3 DMVPN和多播226

8.4.4 多播组安全228

8.5 总结231

8.4.5 多播加密小结231

第9章 基于网络的IPSec VPN233

9.1 基于网络的VPN的基础知识233

9.2 基于网络的IPSec解决方案：IOS特性235

9.2.1 虚拟路由选择和转发表236

9.2.2 加密密钥链236

9.2.3 ISAKMP描述237

9.3 基于网络的IPSec VPN的工作原理238

9.3.1 在PE上使用单个IP地址238

9.3.2 前门VRF和内部VRF239

9.3.3 配置和分组传输流程239

9.3.4 使用不同的IP地址端接不同VPN中的IPSec隧道256

9.4 基于网络的VPN部署方案258

9.4.1 通过GRE隧道以IPSec方式连接到MPLS VPN258

9.4.2 以IPSec方式连接到第2层VPN263

9.4.3 PE-PE加密266

9.5 总结271