華為VPN學習指南 （第二版）

本書是對《華為VPN學習指南》的全面升級和改版，不僅採用最新版本的VRP系統進行內容的更新、修訂，還在配置示例新增了許多在模擬器中實驗時的實時截圖，更具實踐性。本書是專門介紹華為設備各項VPN技術及套用配置的權威工具圖書，是參加華為HCIP-Datacom、HCIA-Security和HCIP-Security認證考試必備學習教材。

全書共9章，分別介紹了各種IP VPN技術的基礎知識和技術原理，以及IPSec VPN、L2TP VPN、GRE VPN、DSVPN、PKI、SSL VPN等技術原理和功能配置與管理方法。在編寫過程中，本書充分結合了筆者20多年的學習、工作和寫作經驗，無論在內容的系統性、專業性，還是在實用性方面均有鮮明的特色，是相關人員自學或者教學華為設備VPN配置與管理的必選教材。

王達，曾在多家跨國公司從事網路運維工作，曾任工信部網路技術專家委員、全國NMSE認證專家委員副主任，華為官方ICT認證教材授權作者。20多年來，出版了100餘部計算機網路方面的專著，主要代表作有《網管員》系列、《網路工程師》系列、《深入理解計算機網路》、《華為交換機學習指南》（第二版）、《華為路由器學習指南》（第二版）等。同時個人及所著圖書也獲得過數十項榮譽，包括多家行業協會聯合頒發的“輸出版優秀圖書獎”，中國書刊發行協會頒發的“全行業優秀暢銷品種獎”、電子工業出版社頒發的“全國優秀作者”、四屆51CTO“受讀者喜愛的IT圖書作者”等。

第 1章 VPN基礎 1

1．1 VPN概述 2

1．1．1 VPN的起源 2

1．1．2 VPN的主要特性 3

1．1．3 VPN的主要優勢 4

1．2 VPN方案的分類 5

1．2．1 按VPN的套用平台分類 5

1．2．2 按組網模型分 6

1．2．3 按實現層次分 8

1．2．4 按業務用途分 9

1．2．5 按運營模式分 11

1．3 VPN隧道技術 12

1．3．1 VPN隧道技術綜述 12

1．3．2 PPTP協定 13

1．3．3 L2TP協定 18

1．3．4 MPLS協定 21

1．3．5 IPSec協定族 23

1．3．6 GRE協定 24

1．4 VPN身份認證技術 25

1．4．1 PAP協定報文格式及身份認證原理 25

1．4．2 CHAP協定報文格式及身份認證原理 29

1．4．3 身份認證算法基本設計思想 32

1．5 VPN數據安全技術原理 33

1．5．1 數據加/解密工作原理 33

1．5．2 數字信封工作原理 35

1．5．3 數字簽名工作原理 36

1．5．4 數字證書簡介 37

1．6 MD5認證算法原理 38

16．1 MD5算法基本認證原理 38

1．6．2 MD5算法訊息填充原理 39

1．7 SHA認證算法原理 41

1．7．1 SHA算法基本認證原理 41

1．7．2 SHA算法訊息填充原理 42

1．8 SM系列算法及SM3基本工作原理 44

1．8．1 SM系列算法簡介 44

1．8．2 SM3算法訊息填充原理 45

1．8．3 SM3算法訊息疊代壓縮原理 46

1．9 AES加密算法原理 46

1．9．1 AES的數據塊填充 47

1．9．2 AES四種工作模式加/解密原理 49

第 2章 IPSec基礎及手工方式IPSec VPN配置與管理 54

2．1 IPSec基礎及隧道建立基本原理 55

2．1．1 IPSec的安全機制 55

2．1．2 AH報頭格式 56

2．1．3 ESP報頭格式 57

2．1．4 IPSec的兩種封裝模式 58

2．1．5 IPSec隧道建立原理 62

2．2 IPSec保護數據流和虛擬隧道接口 63

2．2．1 感興趣流的定義方式 63

2．2．2 IPSec虛擬隧道接口 64

2．3 配置基於ACL方式手工建立IPSec隧道 66

2．3．1 手工方式IPSec VPN配置任務 66

2．3．2手工方式IPSec VPN數據傳輸的基本流程 67

2．3．3 基於ACL定義需要保護的數據流 68

2．3．4 配置IPSec安全提議 70

2．3．5 配置IPSec安全策略 73

2．3．6 配置IPSec隧道可選功能 77

2．3．7 配置在接口上套用安全策略組 81

2．3．8 IPSec隧道維護和管理命令 82

2．3．9 基於ACL方式手工建立IPSec隧道配置示例 83

2．4 基於ACL方式手工建立IPSec隧道的典型故障排除 90

2．4．1 IPSec隧道建立不成功的故障排除 90

2．4．2 IPSec隧道建立成功，但兩端仍不能通信的故障排除 92

第3章 ACL方式IKE動態協商建立IPSec VPN的配置與管理 94

3．1 IKE基礎 95

3．1．1 IKE與IPSec的關係 95

3．1．2 IKE的安全機制 96

3．1．3 IKE動態協商方式的主要優勢 97

3．2 IKE工作原理 98

3．2．1 IKEv1協商SA的第 一階段 98

3．2．2 IKEv1協商SA的第二階段 101

3．2．3 IKEv2協商SA 102

3．3 ACL方式IKE動態協商建立IPSec隧道的配置任務 104

3．4 定義IKE安全提議 104

3．5 配置IKE對等體 109

3．5．1 配置IKE對等體通用屬性 109

3．5．2 配置IKE對等體預共享密鑰認證方法 112

3．5．3 配置IKE對等體RSA簽名認證方法 115

3．5．4 配置IKE對等體RSA數字信封認證方法 119

3．6 配置IKE可選功能 120

3．6．1 配置IKE SA的生存周期 120

3．6．2 配置IKE對等體狀態檢測 121

3．6．3 配置身份過濾集 124

3．6．4 配置IKE報文的DSCP優先權 125

3．6．5 配置NAT穿越功能 125

3．6．6 配置IPSec VPN多實例 127

3．6．7 配置IKEv1協商中IPSec SA的存在依賴於IKE SA 128

3．6．8 配置不校驗證書的有效性 128

3．7 配置並套用IPSec安全策略 129

3．7．1 配置ISAKMP方式IPSec安全策略 129

3．7．2 配置策略模板方式IPSec安全策略 132

3．8 配置IPSec隧道可選功能 134

3．8．1 配置IPSec SA的生存周期 134

3．8．2 配置抗重放功能 136

3．8．3 配置路由注入功能 138

3．8．4 配置IPSec報文的QoS功能 140

3．8．5 配置保護相同數據流的新用戶快速接入總部功能 141

3．8．6 配置IPSec掩碼過濾功能 141

3．9 IKE動態協商方式典型配置示例 142

3．9．1 採用預設IKE安全提議建立IPSec隧道配置示例 142

3．9．2 總部採用策略模板方式與分支建立多條IPSec隧道配置示例 147

3．9．3 總部採用安全策略組方式與分支建立多條IPSec隧道配置示例 158

3．9．4 分支採用多鏈路共享功能與總部建立IPSec隧道配置示例 166

3．9．5 建立NAT穿越功能的IPSec隧道配置示例 172

3．10 IKE動態協商方式IPSec隧道建立不成功的故障排除 180

3．10．1 第 一階段IKE SA建立不成功的故障排除 180

3．10．2 第二階段IPSec SA建立不成功的故障排除 183

第4章 基於Tunnel接口和Efficient VPN策略的IPSec VPN配置與管理 185

4．1 配置採用Tunnel接口方式建立IPSec隧道 186

4．1．1 配置任務 186

4．1．2 配置IPSec安全框架 187

4．1．3 配置可選功能 189

4．1．4 配置IPSec虛擬隧道/隧道模板接口 192

4．1．5 基於Tunnel接口建立IPSec隧道的配置示例 196

4．1．6 基於虛擬隧道模板接口建立IPSec隧道的配置示例 202

4．2 Efficient VPN策略基礎 207

4．2．1 Efficient VPN簡介 207

4．2．2 Efficient VPN的運行模式 208

4．3 配置採用Efficient VPN策略建立IPSec隧道 210

4．3．1 配置任務 211

4．3．2 配置Remote端IPSec基本參數 212

4．3．3 配置Remote端IPSec可選參數 215

4．3．4 配置Server端網路資源參數 218

4．3．5 配置Server端IPSec參數 220

4．3．6 Efficient VPN Client模式建立IPSec隧道配置示例 221

4．3．7 Efficient VPN Network模式建立IPSec隧道配置示例 227

4．3．8 Efficient VPN Network-plus方式建立IPSec隧道配置示例 231

第5章 L2TP VPN配置與管理 236

5．1 L2TP VPN體系架構 237

5．1．1 L2TP VPN的基本組成 237

5．1．2 LAC位置的幾種情形 238

5．1．3 L2TP訊息、隧道和會話 239

5．2 L2TP的主要套用 240

5．3 L2TP報文格式和封裝 243

5．3．1 L2TP協定報文格式 243

5．3．2 L2TP報文封裝 244

5．4 L2TP工作過程 245

5．5 配置LAC接入呼叫發起L2TP隧道連線 248

5．5．1 配置任務 248

5．5．2 配置AAA認證 249

5．5．3 配置LAC 254

5．5．4 配置LNS 259

5．6 配置L2TP Client發起L2TP連線 262

5．6．1 配置任務 262

5．6．2 配置L2TP Client撥號發起L2TP連線 263

5．7 配置L2TP其它可選功能 265

5．8 L2TP配置管理和維護命令 267

5．9 L2TP典型配置示例 268

5．9．1遠程撥號用戶發起L2TP隧道連線配置示例 268

5．9．2 LAC接入PPPoE用戶發起L2TP隧道連線配置示例 270

5．9．3 L2TP Client發起L2TP隧道連線配置示例 275

5．9．4 多個L2TP Client發起L2TP隧道連線配置示例 279

5．10 L2TP over IPSec的配置與管理 286

5．10．1 L2TP over IPSec封裝原理 286

5．10．2 分支與總部通過L2TP Over IPSec方式實現安全互通配置示例 288

第6章 GRE VPN配置與管理 295

6．1 GRE VPN基礎和工作原理 296

6．1．1 GRE的主要優勢 296

6．1．1 GRE報文格式 297

6．1．3 GRE的報文封裝和解封裝原理 298

6．1．4 GRE的安全機制 299

6．1．5 GRE的Keepalive檢測機制 300

6．2 GRE的主要套用場景 301

6．3 GRE VPN配置與管理 305

6．3．1 配置任務 306

6．3．2 配置Tunnel接口 307

6．3．3 配置Tunnel接口的路由 310

6．3．4 配置Link-bridge功能 311

6．3．5 配置GRE的安全機制 312

6．3．5 使能GRE的Keepalive檢測功能 313

6．3．6 配置Ethernet over GRE功能 313

6．3．7 GRE VPN隧道管理與維護 315

6．4 典型配置示例 315

6．4．1 GRE通過靜態路由實現兩個遠程IPv4子網互聯配置示例 315

6．4．2 GRE通過OSPF路由實現兩個遠程IPv4子網互聯配置示例 319

6．4．3 GRE over IPSec配置示例 321

6．4．4 Ethernet over GRE隧道配置示例 327

6．5 GRE典型故障排除 330

6．5．1 隧道兩端Ping不通的故障排除 330

6．5．2 隧道是通的，但兩端私網不能互訪的故障排除 332

第7章 DSVPN配置與管理 333

7．1 DSVPN基礎 334

7．1．1 DSVPN簡介及主要優勢 334

7．1．2 DSVPN中的重要概念 335

7．2 DSVPN基本原理 336

7．2．1 mGRE隧道建立的三個環節 337

7．2．2 Spoke與Hub之間mGRE隧道的建立流程 338

7．2．3 非shortcut方式Spoke與Spoke之間的mGRE隧道的建立流程 340

7．2．4 shortcut方式Spoke與Spoke之間的mGRE隧道的建立流程 343

7．3 DSVPN配置與管理 347

7．3．1 配置任務 347

7．3．2 配置mGRE 348

7．3．3 配置路由 349

7．3．4 配置NHRP 351

7．4 DSVPN的其它套用及配置 354

7．4．1 DSVPN NAT穿越原理 355

7．4．2 DSVPN IPSec保護原理及配置 356

7．4．3 DSVPN雙Hub主備備份或負載分擔原理及配置 358

7．5 DSVPN維護與管理命令 360

7．6 DSVPN典型套用配置示例 360

7．6．1非shortcut方式DSVPN（靜態路由）配置示例 361

7．6．2 非shortcut方式DSVPN（OSPF協定）配置示例 367

7．6．3 非shortcut方式DSVPN（BGP協定）配置示例 370

7．6．4 shortcut方式DSVPN（OSPF協定）配置示例 374

7．6．5 shortcut方式DSVPN（BGP協定）配置示例 377

7．6．6 DSVPN NAT穿越配置示例 379

7．6．7 雙Hub DSVPN配置示例 387

7．7 DSVPN典型故障排除 396

7．7．1 Spoke NHRP註冊失敗的故障排除 397

7．7．2 非shortcut方式Spoke間子網無法進行直接通信的故障排除 398

7．7．3 shortcut方式Spoke間子網無法進行直接通信的故障排除 399

第6章 PKI配置與管理 400

8．1 PKI基礎及工作原理 401

8．1．1 PKI簡介 401

8．1．2 PKI體系架構 401

8．1．3 數字證書結構、分類和格式 403

8．1．4 PKI中的幾個概念 405

8．1．5 PKI工作機制 407

8．1．6 PKI的主要套用場景 410

8．2 PKI實體申請本地證書配置任務 411

8．3 申請本地證書的預配置 412

8．3．1 配置PKI實體信息 413

8．3．2 配置RSA/SM2密鑰對 415

8．3．3 配置為PKI實體獲取CA證書 417

8．3．4 RSA/SM2密鑰對導出、銷毀和查看 420

8．3．5 申請本地證書預配置的管理命令 421

8．4 申請和更新本地證書 421

8．4．1 配置通過SCEP協定為PKI實體申請和更新本地證書 422

8．4．2 配置通過CMPv2協定為PKI實體申請和更新本地證書 426

8．4．3 配置為PKI實體離線申請本地證書 432

8．4．4 本地證書申請和更新管理命令 433

8．5 本地證書的下載和安裝 433

8．5．1 本地證書的下載 434

8．5．2 本地證書的安裝 434

8．5．3 本地證書下載與安裝管理命令 435

8．6 驗證CA證書和本地證書的有效性 436

8．6．1 配置檢查對端本地證書的狀態 436

8．6．2 配置檢查CA證書和本地證書的有效性 441

8．6．3 驗證CA證書和本地證書有效性管理命令 442

8．7 配置證書擴展功能 443

8．8 PKI典型配置示例 444

8．8．1 通過SCEP協定自動申請本地證書配置示例 444

8．8．2 通過CMPv2協定首次申請本地證書配置示例 450

8．8．3 離線申請本地證書配置示例 454

8．9 典型故障排除 458

8．9．1 CA證書獲取失敗的故障排除 458

8．9．2 本地證書獲取失敗的故障排除 460

第9章 SSL VPN配置與管理 462

9．1 SSL VPN基礎 463

9．1．1 SSL概述 463

9．1．2 SSL VPN的引入背景 464

9．1．3 SSL VPN系統組成 465

9．1．4 SSL VPN業務分類 466

9．1．5 SSL VPN遠程用戶訪問區域網路資源過程 469

9．1．6 SSL VPN的典型套用 470

9．2 伺服器型SSL策略配置與管理 471

9．2．1 配置伺服器型SSL策略 471

9．2．2 SSL維護和管理命令 474

9．3 HTTPS伺服器配置與管理 474

9．3．1 配置HTTPS伺服器 474

9．3．2 HTTPS伺服器配置示例 475

9．4 SSL VPN配置與管理 481

9．4．1 配置SSL VPN的偵聽連線埠號 482

9．4．2 創建SSL VPN遠程用戶 482

9．4．3 配置SSL VPN虛擬網關基本功能 483

9．4．4 配置SSL VPN業務 484

9．4．5 管理SSL VPN遠程用戶 489

9．4．6 配置個性化定製Web頁面元素 490

9．4．7 遠程用戶接入SSL VPN網關 492

9．4．8 SSL VPN維護與管理 496

9．5 SSL VPN典型配置示例 496

9．5．1 Web代理業務配置示例 496

9．5．2 連線埠轉發業務配置示例 499

9．5．3 網路擴展業務配置示例 502

9．5．4 多虛擬網關配置示例 506