華為VPN學習指南

本書是國內圖書市場第 1本，也是目前唯1一本專門介紹華為AR系列路由器（華為S系列交換機也支持部分VPN方案，技術原理及大多數配置方法適用於華為NE系列路由器和USG系列防火牆）IP網路中各項VPN技術及套用配置的權v工具圖書，同時也是華為技術有限公司指定的ICT認證系列培訓教材。全書共9章，第1章比較全面、深入地介紹了各種IP VPN技術基礎知識和技術原理，第 2～4章分別介紹了IPSec VPN的各種技術原理，以及不同部署方式下的配置與管理方法；第5~7章分別介紹了L2TP VPN、GRE VPN和DSVPN的各種技術原理及配置與管理方法；第8章介紹了PKI體系架構的各種技術原理，以及不同方式下的本地數字證書的申請方法，為第9章採用數字證書進行身份認證的SSL VPN方案部署打基礎；第9章系統地介紹了SSL VPN部署中有關的SSL策略、HTTPS伺服器，以及SSL VPN網關等方面的配置與管理方法。

本書結合了筆者20多年的工作經驗，其內容非常全面、系統。為了幫助大家真正理解各項技術原理及各種VPN方案的配置思路，除第1章外，其他各章均有大量的配置示例，並對一些典型故障排除方法進行了詳細的介紹。另外，本書經過了華為技術有限公司多位專家指導和審核，因此本書無論在專業性方面，還是在經驗性和實用性方面均有很好的保障，是相關人員自學或者教學華為設備VPN配置與管理的必選教材。

第1章 VPN基礎 0

1.1 VPN的起源、定義與優勢 2

1.1.1 VPN的起源 2

1.1.2 VPN的通俗理解 3

1.1.3 VPN的主要優勢 5

1.2 VPN方案的分類 6

1.2.1 按VPN的套用平台分類 6

1.2.2 按組網模型分 7

1.2.3 按業務用途分 9

1.2.4 按實現層次分 11

1.2.5 按運營模式分 12

1.3 VPN隧道技術 13

1.3.1 VPN隧道技術綜述 13

1.3.2 PPTP協定 14

1.3.3 L2TP協定 17

1.3.4 MPLS協定 19

1.3.5 IPSec協定族 21

1.3.6 GRE協定 23

1.4 VPN身份認證技術 24

1.4.1 PAP協定報文格式及身份認證原理 24

1.4.2 CHAP協定報文格式及身份認證原理 26

1.4.3 身份認證算法 28

1.5 加密、數字信封、數字簽名和數字證書原理 28

1.5.1 加密工作原理 28

1.5.2 數字信封工作原理 30

1.5.3 數字簽名工作原理 31

1.5.4 數字證書 33

1.6 MD5認證算法原理 33

1.6.1 MD5算法基本認證原理 33

1.6.2 MD5算法訊息填充原理 34

1.6.3 MD5算法的主要套用 35

1.7 SHA認證算法原理 35

1.7.1 SHA算法基本認證原理 36

1.7.2 SHA算法訊息填充原理 36

1.8 SM3認證算法原理 37

1.8.1 SM3算法訊息填充原理 37

1.8.2 SM3算法訊息疊代壓縮原理 38

1.9 AES加密算法原理 39

1.9.1 AES的數據塊填充 39

1.9.2 AES四種工作模式加/解密原理 41

1.10 DES加密算法原理 44

1.10.1 DES的數據塊填充 45

1.10.2 DES加/解密原理 45

1.10.3 子密鑰生成原理 47

1.10.4 3DES算法簡介 48

第 2章 IPSec基礎及手工方式IPSec VPN配置與管理 50

2.1 IPSec VPN基本工作原理 52

2.1.1 IPSec的安全機制 53

2.1.2 IPSec的兩種封裝模式 54

2.1.3 AH報頭和ESP報頭格式 57

2.1.4 IPSec隧道建立原理 59

2.2 IKE密鑰交換原理 60

2.2.1 IKE動態協商綜述 61

2.2.2 IKE的安全機制 62

2.2.3 IKEv1密鑰交換和協商：第 一階段 65

2.2.4 IKEv1密鑰交換和協商：第 二階段 68

2.2.5 IKEv2密鑰協商和交換 68

2.3 IPSec保護數據流和虛擬隧道接口 70

2.3.1 保護數據流的定義方式 70

2.3.2 IPSec虛擬隧道接口 71

2.4 配置基於ACL方式手工建立IPSec隧道 73

2.4.1 手工方式配置任務及基本工作原理 73

2.4.2 基於ACL定義需要保護的數據流 75

2.4.3 配置IPSec安全提議 77

2.4.4 配置安全策略 81

2.4.5 配置可選擴展功能 85

2.4.6 配置在接口上套用安全策略組 87

2.4.7 IPSec隧道維護和管理命令 89

2.4.8 基於ACL方式手工建立IPSec隧道配置示例 90

2.5 基於ACL方式手工建立IPSec隧道的典型故障排除 96

2.5.1 IPSec隧道建立不成功的故障排除 96

2.5.2 IPSec隧道建立成功，但兩端仍不能通信的故障排除 98

第3章 IKE動態協商方式建立IPSec VPN的配置與管理 100

3.1 配置基於ACL方式通過IKE協商建立IPSec隧道 102

3.1.1 IKE動態協商方式配置任務及基本工作原理 103

3.1.2 定義IKE安全提議 104

3.1.3 配置IKE對等體 109

3.1.4 配置安全策略 123

3.1.5 配置可選擴展功能 128

3.2 典型配置示例 141

3.2.1 採用預設IKE安全提議建立IPSec隧道配置示例 141

3.2.2 總部採用策略模板方式與分支建立多條IPSec隧道配置示例 146

3.2.3 總部採用安全策略組方式與分支建立多條IPSec隧道配置示例 153

3.2.4 分支採用多鏈路共享功能與總部建立IPSec隧道配置示例 161

3.2.5 建立NAT穿越功能的IPSec隧道配置示例 166

3.2.6 配置PPPoE撥號分支與總部建立IPSec隧道示例 171

3.3 IKE動態協商方式IPSec隧道建立不成功的故障排除 177

3.3.1 第 一階段IKE SA建立不成功的故障排除 177

3.3.2 第 二階段IPSec SA建立不成功的故障排除 180

第4章 基於Tunnel接口和Efficient VPN策略的IPSec VPN配置與管理 182

4.1 配置採用虛擬Tunnel接口方式建立IPSec隧道 184

4.1.1 配置任務 185

4.1.2 配置安全框架 186

4.1.3 配置可選擴展功能 188

4.1.4 配置IPSec虛擬隧道/隧道模板接口 191

4.1.5 配置基於虛擬Tunnel接口定義需要保護的數據流 194

4.1.6 配置子網路由信息的請求/推送/接收功能 195

4.1.7 基於虛擬Tunnel接口建立IPSec隧道配置示例 199

4.1.8 基於虛擬隧道模板接口建立IPSec隧道配置示例 204

4.2 配置採用Efficient VPN策略建立IPSec隧道 208

4.2.1 Efficient VPN簡介 209

4.2.2 Efficient VPN的運行模式 209

4.2.3 配置任務 211

4.2.4 配置Remote端 212

4.2.5 配置Server端 218

4.2.6 Efficient VPN Client模式建立IPSec隧道配置示例 221

4.2.7 Efficient VPN Network模式建立IPSec隧道配置示例 225

4.2.8 Efficient VPN Network-plus方式建立IPSec隧道配置示例 229

第5章 L2TP VPN配置與管理 234

5.1 L2TP VPN體系架構 236

5.1.1 L2TP VPN的基本組成 236

5.1.2 LAC位置的幾種情形 237

5.1.3 L2TP訊息、隧道和會話 238

5.2 L2TP報文格式、封裝及傳輸 240

5.2.1 L2TP協定報文格式 240

5.2.2 L2TP協定報文封裝 240

5.2.3 L2TP數據包傳輸 242

5.3 L2TP隧道模式及隧道建立流程 242

5.3.1 NAS-Initiated模式隧道建立流程 242

5.3.2 LAC-Auto-Initiated模式隧道建立流程 244

5.3.3 Client-Initiated模式隧道建立流程 246

5.4 L2TP的主要套用 247

5.5 華為設備對L2TP VPN的支持 249

5.6 LAC接入呼叫發起L2TP隧道連線的配置與管理 252

5.6.1 配置任務 252

5.6.2 配置AAA認證 254

5.6.3 配置LAC 260

5.6.4 配置LNS 264

5.6.5 L2TP維護與管理 267

5.6.6 移動辦公用戶發起L2TP隧道連線配置示例 268

5.6.7 LAC接入傳統撥號用戶發起L2TP隧道連線配置示例 276

5.6.8 LAC接入PPPoE用戶發起L2TP隧道連線配置示例 278

5.7 LAC自撥號發起L2TP隧道連線的配置與管理 283

5.7.1 配置任務 283

5.7.2 配置LAC 284

5.7.3 LAC自撥號發起L2TP隧道連線的配置示例 287

5.7.4 多個LAC自撥號發起L2TP隧道連線配置示例 290

5.8 配置L2TP其他可選功能 294

5.9 L2TP over IPSec的配置與管理 296

5.9.1 L2TP over IPSec封裝原理 297

5.9.2 分支與總部通過L2TP Over IPSec方式實現安全互通配置示例 299

5.10 L2TP VPN故障排除 304

5.10.1 Client-Initiated模式L2TP VPN典型故障排除 304

5.10.2 NAS-Initiated和LAC-Auto-Initiated模式L2TP VPN典型故障排除 308

第6章 GRE VPN配置與管理 310

6.1 GRE VPN工作原理 312

6.1.1 GRE報文格式 313

6.1.2 GRE的報文封裝和解封裝原理 315

6.1.3 GRE的安全機制 316

6.1.4 GRE的Keepalive檢測機制 316

6.2 GRE的主要套用場景 317

6.2.1 多協定本地網可以通過GRE隧道隔離傳輸 317

6.2.2 擴大跳數受限的網路工作範圍 318

6.2.3 與IPSec結合，保護組播/廣播數據 318

6.2.4 CE採用GRE隧道接入MPLS VPN 321

6.3 GRE VPN配置與管理 323

6.3.1 配置任務 323

6.3.2 配置Tunnel接口 324

6.3.3 配置Tunnel接口的路由 327

6.3.4 配置可選配置任務 328

6.3.5 GRE VPN隧道維護與管理 331

6.4 典型配置示例 332

6.4.1 GRE通過靜態路由實現兩個遠程IPv4子網互聯配置示例 332

6.4.2 GRE通過OSPF路由實現兩個遠程IPv4子網互聯配置示例 335

6.4.3 GRE擴大跳數受限的網路工作範圍配置示例 339

6.4.4 GRE實現FR協定互通配置示例 343

6.4.5 GRE over IPSec配置示例 344

6.4.6 IPSec over GRE配置示例 348

6.5 GRE典型故障排除 353

6.5.1 隧道兩端Ping不通的故障排除 353

6.5.2 隧道是通的，但兩端私網不能互訪的故障排除 354

第7章 DSVPN配置與管理 356

7.1 DSVPN綜述 358

7.1.1 DSVPN簡介 358

7.1.2 DSVPN中的重要概念 360

7.1.3 DSVPN的典型套用場景 362

7.2 DSVPN工作原理 364

7.2.1 DSVPN中的GRE封裝和解封裝原理 364

7.2.2 NHRP協定工作原理 365

7.2.3 非shortcut場景DSVPN工作原理 369

7.2.4 shortcut場景DSVPN工作原理 372

7.2.5 DSVPN NAT穿越原理 375

7.2.6 DSVPN雙Hub備份原理 377

7.2.7 DSVPN IPSec保護原理 378

7.3 DSVPN配置與管理 379

7.3.1 配置任務 379

7.3.2 配置mGRE 380

7.3.3 配置路由 381

7.3.4 配置NHRP 384

7.3.5 配置並套用IPSec安全框架 387

7.3.6 DSVPN維護與管理命令 388

7.4 典型配置示例 389

7.4.1 非shortcut場景DSVPN（靜態路由）配置示例 389

7.4.2 非shortcut場景DSVPN（RIP協定）配置示例 396

7.4.3 非shortcut場景DSVPN（OSPF協定）配置示例 401

7.4.4 非shortcut場景DSVPN（BGP協定）配置示例 406

7.4.5 shortcut場景DSVPN（RIP協定）配置示例 412

7.4.6 shortcut場景DSVPN（OSPF協定）配置示例 418

7.4.7 shortcut場景DSVPN（BGP協定）配置示例 423

7.4.8 DSVPN NAT穿越配置示例 429

7.4.9 雙Hub DSVPN配置示例 437

7.4.10 DSVPN over IPSec配置示例 449

7.5 典型故障排除 458

7.5.1 Spoke NHRP註冊失敗的故障排除 458

7.5.2 非shortcut場景Spoke間子網無法進行直接通信的故障排除 459

7.5.3 shortcut場景Spoke間子網無法進行直接通信的故障排除 460

第8章 PKI配置與管理 462

8.1 PKI基礎及工作原理 464

8.1.1 PKI簡介 464

8.1.2 PKI體系架構 465

8.1.3 數字證書結構及分類 467

8.1.4 PKI中的幾個概念 468

8.1.5 PKI工作機制 470

8.1.6 PKI的主要套用場景 472

8.2 申請本地證書的預配置 474

8.2.1 配置PKI實體信息 474

8.2.2 配置PKI域 477

8.2.3 配置RSA密鑰對 480

8.2.4 配置為PKI實體下載CA證書 481

8.2.5 配置為PKI實體安裝CA證書 482

8.2.6 申請本地證書預配置的管理命令 484

8.3 申請和更新本地證書 484

8.3.1 配置通過SCEP協定為PKI實體申請和更新本地證書 484

8.3.2 配置通過CMPv2協定為PKI實體申請和更新本地證書 487

8.3.3 配置為PKI實體離線申請本地證書 492

8.3.4 本地證書申請和更新管理命令 493

8.4 本地證書的下載和安裝 494

8.4.1 下載本地證書 494

8.4.2 本地證書安裝 495

8.4.3 本地證書下載與安裝管理命令 496

8.5 驗證CA證書和本地證書的有效性 496

8.5.1 配置檢查對端本地證書的狀態 497

8.5.2 配置檢查CA證書和本地證書的有效性 502

8.5.3 驗證CA證書和本地證書有效性管理命令 503

8.6 配置證書擴展功能 503

8.7 PKI典型配置示例 505

8.7.1 通過SCEP協定自動申請本地證書配置示例 505

8.7.2 通過CMPv2協定申請本地證書配置示例 510

8.7.3 離線申請本地證書配置示例 514

8.8 典型故障排除 517

8.8.1 CA證書獲取失敗的故障排除 517

8.8.2 本地證書獲取失敗的故障排除 519

第9章 SSL VPN配置與管理 520

9.1 SSL VPN基礎 522

9.1.1 SSL概述 522

9.1.2 SSL VPN的引入背景 523

9.1.3 SSL VPN系統組成 524

9.1.4 SSL VPN業務分類 525

9.1.5 SSL VPN的典型套用 528

9.2 SSL伺服器策略配置與管理 529

9.2.1 配置SSL伺服器策略 530

9.2.2 SSL維護和管理命令 532

9.3 HTTPS伺服器配置與管理 532

9.3.1 配置HTTPS伺服器 532

9.3.2 HTTPS伺服器配置示例 533

9.4 SSL VPN配置與管理 539

9.4.1 配置SSL VPN的偵聽連線埠號 539

9.4.2 創建SSL VPN遠程用戶 540

9.4.3 配置SSL VPN虛擬網關基本功能 541

9.4.4 配置SSL VPN業務 542

9.4.5 管理SSL VPN遠程用戶 547

9.4.6 配置個性化定製Web頁面元素 548

9.4.7 遠程用戶接入SSL VPN網關 550

9.4.8 SSL VPN維護與管理 553

9.5 SSL VPN典型配置示例 553

9.5.1 Web代理業務配置示例 554

9.5.2 連線埠轉發業務配置示例 556

9.5.3 網路擴展業務配置示例 559

9.5.4 多虛擬網關配置示例 562