Cisco VPN完全配置指南

第一部分　VPN
第1章　VPN概述　3
1.1　流量問題　3
1.1.1　竊聽攻擊　3
1.1.2　偽裝攻擊　5
1.1.3　中間人攻擊　5
1.2　VPN定義　7
1.2.1　VPN描述　8
1.2.2　VPN連接模式　9
1.2.3　VPN類型　11
1.2.4　VPN分類　14
1.3　VPN組件　15
1.3.1　驗(yàn)證　15
1.3.2　封裝方法　17
1.3.3　數(shù)據(jù)加密　17
1.3.4　數(shù)據(jù)包的完整性　17
1.3.5　密鑰管理　18
1.3.6　抗抵賴性　18
1.3.7　應(yīng)用程序和協(xié)議的支持　18
1.3.8　地址管理　19
1.4　VPN設(shè)計(jì)　20
1.4.1　連接類型　20
1.4.2　VPN考慮　22
1.4.3　冗余　26
1.5　VPN實(shí)施　27
1.5.1　GRE　27
1.5.2　IPSec　28
1.5.3　PPTP　29
1.5.4　L2TP　29
1.5.5　MPLS　30
1.5.6　SSL　30
1.6　VPN：選擇解決方案　31
1.6.1　安全性　31
1.6.2　實(shí)施、管理和支持　31
1.6.3　高可靠性　32
1.6.4　擴(kuò)展性和靈活性　32
1.6.5　費(fèi)用　32
1.7　總結(jié)　33
第2章　VPN技術(shù)　35
2.1　密鑰　35
2.1.1　密鑰的使用　35
2.1.2　對稱密鑰　36
2.1.3　非對稱密鑰　36
2.2　加密　39
2.2.1　加密的過程　39
2.2.2　加密算法　39
2.3　數(shù)據(jù)包驗(yàn)證　41
2.3.1　數(shù)據(jù)包驗(yàn)證的實(shí)施　41
2.3.2　數(shù)據(jù)包驗(yàn)證的使用　43
2.3.3　數(shù)據(jù)包驗(yàn)證的問題　45
2.4　密鑰交換　46
2.4.1　密鑰共享的困惑　46
2.4.2　Diffie-HellMan(赫爾曼算法)　48
2.4.3　密鑰刷新　50
2.4.4　密鑰交換方法的限制　50
2.5　驗(yàn)證方法　50
2.5.1　中間人攻擊　51
2.5.2　驗(yàn)證的解決方案　51
2.5.3　設(shè)備驗(yàn)證　52
2.5.4　用戶驗(yàn)證　64
2.6　總結(jié)　65
第3章　IPSec　67
3.1　IPSec標(biāo)準(zhǔn)　67
3.1.1　IETF RFC　68
3.1.2　IPSec連接　72
3.1.3　構(gòu)建連接的基本過程　74
3.2　ISAKMP/IKE階段1　75
3.2.1　管理連接　76
3.2.2　密鑰交換協(xié)議：Diffie-Hellman　78
3.2.3　設(shè)備驗(yàn)證　78
3.2.4　遠(yuǎn)程訪問額外的步驟　79
3.3　ISAKMP/IKE階段2　87
3.3.1　ISAKMP/IKE階段2組件　87
3.3.2　階段2安全協(xié)議　87
3.3.3　階段2的連接模式　90
3.3.4　階段2的傳輸集　90
3.3.5　數(shù)據(jù)連接　91
3.4　IPSec流量和網(wǎng)絡(luò)　92
3.4.1　IPSec和地址轉(zhuǎn)換　92
3.4.2　IPSec和防火墻　94
3.4.3　使用IPSec的其他問題　96
3.5　總結(jié)　97
第4章　PPTP和L2TP　99
4.1　PPTP　99
4.1.1　PPP回顧　100
4.1.2　PPTP組件　102
4.1.3　PPTP是如何工作的　102
4.1.4　使用PPTP的問題　107
4.2　L2TP　109
4.2.1　L2TP概述　109
4.2.2　L2TP操作　110
4.2.3　L2TP/IPSec和PPTP的比較　113
4.3　總結(jié)　115
第5章　SSL VPN　117
5.1　SSL回顧　117
5.1.1　SSL客戶實(shí)施　118
5.1.2　SSL保護(hù)　119
5.1.3　SSL組件　121
5.2　什么時候使用SSL VPN　124
5.2.1　SSL VPN的好處　124
5.2.2　SSL VPN的缺點(diǎn)　125
5.3　Cisco的WebVPN解決方案　127
5.3.1　VPN 3000系列集中器　127
5.3.2　WebVPN的操作　127
5.3.3　Web訪問　128
5.3.4　網(wǎng)絡(luò)瀏覽和文件管理訪問　129
5.3.5　應(yīng)用程序訪問和端口轉(zhuǎn)發(fā)　129
5.3.6　E-mail客戶的訪問　130
5.4　總結(jié)　131
第二部分　集中器
第6章　集中器產(chǎn)品信息　135
6.1　集中器的型號　136
6.1.1　3005集中器　136
6.1.2　3015集中器　137
6.1.3　3020集中器　138
6.1.4　3030集中器　138
6.1.5　3060集中器　138
6.1.6　3080集中器　138
6.1.7　集中器型號的比較　139
6.2　集中器的模塊　139
6.2.1　SEP模塊　140
6.2.2　SEP操作　140
6.3　集中器的特性　140
6.3.1　版本3.5特性　141
6.3.2　版本3.6特性　142
6.3.3　版本4.0特性　143
6.3.4　版本4.1特性　144
6.3.5　版本4.7特性　144
6.4　介紹對集中器的訪問　145
6.4.1　命令行接口　145
6.4.2　圖形用戶接口　149
6.5　總結(jié)　157
第7章　使用IPSec實(shí)現(xiàn)集中器的遠(yuǎn)程訪問連接　159
7.1　控制對集中器的遠(yuǎn)程訪問會話　159
7.1.1　組的配置　159
7.1.2　用戶配置　173
7.2　IPSec遠(yuǎn)程訪問　175
7.2.1　ISAKMP/IKE階段1：IKE建議　175
7.2.2　ISAKMP/IKE階段1：設(shè)備驗(yàn)證　178
7.2.3　ISAKMP/IKE階段1：IPSec標(biāo)簽　188
7.2.4　ISAKMP/IKE階段1：Mode/Client Config標(biāo)簽　190
7.2.5　ISAKMP/IKE階段1：Client FW標(biāo)簽　198
7.2.6　ISAKMP/IKE階段2：數(shù)據(jù)SA　204
7.3　對于IPSec和L2TP/IPSec用戶的網(wǎng)絡(luò)訪問控制(NAC)　205
7.3.1　對于IPSec，NAC的全局配置　206
7.3.2　NAC的組配置　207
7.4　總結(jié)　209
第8章　使用PPTP、L2TP和WebVPN實(shí)現(xiàn)集中器遠(yuǎn)程訪問連接　211
8.1　PPTP和L2TP遠(yuǎn)程訪問　211
8.1.1　PPTP和L2TP組配置　212
8.1.2　PPTP全局配置　213
8.1.3　L2TP全局配置　214
8.2　WebVPN遠(yuǎn)程訪問　215
8.2.1　HTTPS訪問　215
8.2.2　WebVPN全局配置　217
8.2.3　組配置　227
8.2.4　SSL VPN客戶端(SSL VPN客戶端，SVC)　232
8.2.5　用于WebVPN訪問的Cisco安全桌面　235
8.3　總結(jié)　246
第9章　集中器站點(diǎn)到站點(diǎn)的連接　249
9.1　L2L連接例子　249
9.2　ISAKMP/IKE階段1準(zhǔn)備　251
9.2.1　現(xiàn)有的IKE策略　251
9.2.2　IKE策略屏幕　252
9.3　增加站點(diǎn)到站點(diǎn)的連接　253
9.3.1　添加L2L會話　253
9.3.2　完成L2L會話　263
9.3.3　修改L2L會話　265
9.4　地址轉(zhuǎn)換和L2L會話　265
9.4.1　介紹集中器地址轉(zhuǎn)換的能力　266
9.4.2　需要L2L地址轉(zhuǎn)換的例子　266
9.4.3　建立L2L地址轉(zhuǎn)換規(guī)則　267
9.4.4　啟動L2L地址轉(zhuǎn)換　268
9.5　總結(jié)　269
第10章　集中器的管理　271
10.1　帶寬管理　271
10.1.1　建立帶寬策略　271
10.1.2　激活帶寬策略　274
10.2　集中器上的路由選擇　277
10.2.1　靜態(tài)路由選擇　277
10.2.2　RIP路由選擇協(xié)議　279
10.2.3　OSPF路由選擇協(xié)議　280
10.3　機(jī)箱冗余　282
10.3.1　VRRP　282
10.3.2　VCA　286
10.4　管理屏幕　290
10.4.1　Administrator Access(管理員訪問)　291
10.4.2　集中器的升級　293
10.4.3　文件管理　294
10.5　總結(jié)　295
第11章　驗(yàn)證和故障診斷與排除集中器的連接　297
11.1　集中器的工具　297
11.1.1　系統(tǒng)狀態(tài)　298
11.1.2　VPN會話　299
11.1.3　事件日志　302
11.1.4　監(jiān)控統(tǒng)計(jì)信息屏幕　313
11.2　故障診斷與排除問題　315
11.2.1　ISAKMP/IKE階段1的問題　315
11.2.2　ISAKMP/IKE階段2的問題　320
11.3　總結(jié)　322
第三部分　客戶端
第12章　Cisco VPN軟件客戶端　327
12.1　Cisco VPN客戶端的概述　328
12.1.1　Cisco VPN客戶端的特性　328
12.1.2　Cisco VPN客戶端的安裝　329
12.2　Cisco VPN客戶端接口　335
12.2.1　操作模式　335
12.2.2　喜好　337
12.2.3　先進(jìn)模式工具欄按鈕和標(biāo)簽選項(xiàng)　337
12.3　IPSec連接　338
12.3.1　使用預(yù)共享密鑰建立連接　338
12.3.2　使用證書建立連接　342
12.3.3　其他的連接配置選項(xiàng)　349
12.3.4　連接到一臺Easy VPN服務(wù)器　349
12.3.5　客戶端的連接狀態(tài)　352
12.3.6　斷開連接　354
12.4　VPN客戶端的GUI選項(xiàng)　354
12.4.1　Application Launcher(應(yīng)用程序發(fā)起器)　355
12.4.2　Windows Login Properties(Windows登錄屬性)　355
12.4.3　Automatic Initiation(自動發(fā)起)　355
12.4.4　Stateful Firewall(狀態(tài)防火墻)　358
12.5　VPN客戶端軟件的更新　361
12.5.1　集中器：客戶端更新　361
12.5.2　對于Windows 2000和XP的VPN客戶端的自動更新的準(zhǔn)備　363
12.5.3　客戶端的更新過程　364
12.6　VPN客戶端的故障診斷與排除　366
12.6.1　日志查看器　366
12.6.2　驗(yàn)證問題　368
12.6.3　ISAKMP/IKE策略不匹配的問題　369
12.6.4　地址分配的故障診斷與排除　370
12.6.5　分離隧道問題　372
12.6.6　地址轉(zhuǎn)換問題　375
12.6.7　碎片問題　376
12.6.8　微軟的網(wǎng)絡(luò)鄰居問題　380
12.7　總結(jié)　381
第13章　Windows軟件客戶端　383
13.1　Windows客戶端　383
13.1.1　理解Windows客戶端的特性　384
13.1.2　驗(yàn)證Windows客戶端是可操作的　385
13.2　配置Windows VPN客戶端　386
13.2.1　建立一個安全的策略　386
13.2.2　需要使用L2TP　390
13.2.3　建立一個微軟的VPN連接　391
13.3　配置VPN 3000集中器　398
13.3.1　IKE建議　398
13.3.2　IPSec SA　398
13.3.3　組配置　400
13.3.4　地址管理　401
13.3.5　用戶配置　401
13.4　微軟客戶端的連接　401
13.4.1　連接到VPN網(wǎng)關(guān)　402
13.4.2　核實(shí)PC上的連接　403
13.4.3　核實(shí)集中器上的連接　403
13.5　故障診斷與排除VPN的連接　404
13.5.1　集中器故障診斷與排除工具　404
13.5.2　微軟的客戶端故障診斷與排除工具　405
13.6　總結(jié)　409
第14章　3002硬件客戶端　411
14.1　3002硬件客戶端概覽　411
14.1.1　3002的特性　412
14.1.2　3002型號　412
14.1.3　3002的實(shí)施　413
14.2　對于3002的初始訪問　414
14.2.1　命令行接口　415
14.2.2　圖形用戶接口　415
14.3　驗(yàn)證和連接選項(xiàng)　423
14.3.1　單元驗(yàn)證　423
14.3.2　額外的驗(yàn)證選項(xiàng)　424
14.4　連接模式　429
14.4.1　客戶模式　429
14.4.2　網(wǎng)絡(luò)擴(kuò)展模式　429
14.4.3　路由和反向路由注入　433
14.5　管理任務(wù)　435
14.5.1　從公有接口上訪問3002　435
14.5.2　升級3002　436
14.6　總結(jié)　439
第四部分　IOS路由器
第15章　路由器產(chǎn)品信息　443
15.1　路由器實(shí)施場景　443
15.1.1　L2L和遠(yuǎn)程訪問連接　443
15.1.2　路由器的特殊能力　444
15.2　路由器產(chǎn)品概述　447
15.3　總結(jié)　448
第16章　路由器的ISAKMP/IKE階段1連接　451
16.1　IPSec的準(zhǔn)備　451
16.1.1　收集信息　452
16.1.2　允許IPSec的流量　452
16.2　ISAKMP/IKE階段1策略　453
16.2.1　啟動ISAKMP　453
16.2.2　建立策略　453
16.2.3　與對等體協(xié)商策略　454
16.2.4　啟動IKE死亡對等體檢測　455
16.3　ISAKMP/IKE階段1設(shè)備驗(yàn)證　456
16.3.1　ISAKMP/IKE身份類型　456
16.3.2　預(yù)共享密鑰　457
16.3.3　RSA加密的隨機(jī)數(shù)　458
16.3.4　數(shù)字證書和路由器的注冊　462
16.4　監(jiān)控和管理管理連接　480
16.4.1　查看ISAKMP/IKE階段1的連接　480
16.4.2　管理ISAKMP/IKE階段1的連接　481
16.4.3　路由器作為證書授權(quán)　481
16.4.4　步驟1：產(chǎn)生和導(dǎo)出RSA密鑰信息　482
16.4.5　步驟2：啟動CA　485
16.4.6　步驟3：定義額外的CA參數(shù)　488
16.4.7　步驟4：處理申請請求　490
16.4.8　步驟5：吊銷身份證書　493
16.4.9　步驟6：配置一臺服務(wù)器使其運(yùn)行在RA的模式　494
16.4.10　步驟7：備份一個CA　495
16.4.11　步驟8：恢復(fù)一個CA　496
16.4.12　步驟9：清除CA服務(wù)　497
16.5　總結(jié)　498
第17章　路由器站點(diǎn)到站點(diǎn)連接　501
17.1　ISAKMP/IKE階段2配置　501
17.1.1　定義被保護(hù)的流量：Crypto ACL　502
17.1.2　定義保護(hù)方法：Transform Sets(傳輸集)　503
17.1.3　構(gòu)建一個靜態(tài)的Crypto Map條目　504
17.1.4　構(gòu)建一個動態(tài)的Crypto Maps　511
17.1.5　可區(qū)分的基于名字的Crypto Map　518
17.2　查看和管理連接　520
17.2.1　查看IPSec的數(shù)據(jù)SA　520
17.2.2　管理IPSec數(shù)據(jù)SA　522
17.3　站點(diǎn)到站點(diǎn)連接的問題　522
17.3.1　遷移到一個基于IPSec的設(shè)計(jì)　522
17.3.2　過濾IPSec的流量　524
17.3.3　地址轉(zhuǎn)換和狀態(tài)防火墻　526
17.3.4　非單播流量　528
17.3.5　配置簡化　534
17.3.6　IPSec冗余　536
17.3.7　L2L擴(kuò)展性　551
17.4　總結(jié)　570
第18章　路由器遠(yuǎn)程訪問連接　573
18.1　Easy VPN服務(wù)器　574
18.1.1　Easy VPN服務(wù)器的配置　574
18.1.2　VPN組監(jiān)控　582
18.1.3　Easy VPN服務(wù)器配置例子　582
18.2　Easy VPN遠(yuǎn)端　585
18.2.1　Easy VPN遠(yuǎn)端連接模式　585
18.2.2　Easy VPN遠(yuǎn)端配置　587
18.2.3　Easy VPN遠(yuǎn)端配置的例子　590
18.3　在同一路由器上的IPSec遠(yuǎn)程訪問和L2L會話　592
18.3.1　中心辦公室路由器的配置　592
18.3.2　遠(yuǎn)程訪問和L2L樣例配置　595
18.4　WebVPN　597
18.4.1　WebVPN建立　598
18.4.2　WebVPN配置例子　603
18.5　總結(jié)　604
第19章　故障診斷與排除路由器的連接　607
19.1　ISAKMP/IKE階段1連接　607
19.1.1　階段1命令的回顧　608
19.1.2　show crypto isakmp sa命令　608
19.1.3　debug crypto isakmp命令　608
19.1.4　debug crypto pki命令　617
19.1.5　debug crypto engine命令　618
19.2　ISAKMP/IKE階段2連接　619
19.2.1　階段2命令的回顧　619
19.2.2　show crypto engine connection active命令　620
19.2.3　show crypto ipsec sa命令　620
19.2.4　debug crypto ipsec命令　621
19.3　新的IPSec故障診斷與排除特性　625
19.3.1　IPSec VPN監(jiān)控特性　625
19.3.2　清除Crypto會話　627
19.3.3　無效的安全參數(shù)索引恢復(fù)特性　627
19.4　碎片問題　628
19.4.1　碎片問題　629
19.4.2　碎片發(fā)現(xiàn)　630
19.4.3　碎片問題的解決方案　631
19.5　總結(jié)　634
第五部分　PIX防火墻
第20章　PIX和ASA產(chǎn)品信息　639
20.1　PIX實(shí)施場景　639
20.1.1　L2L和遠(yuǎn)程訪問連接　640
20.1.2　PIX和ASA的特殊能力　640
20.2　PIX和ASA的特性和產(chǎn)品回顧　641
20.2.1　PIX和ASA VPN特性　641
20.2.2　PIX型號　643
20.2.3　ASA型號　643
20.3　總結(jié)　644
第21章　PIX和ASA站點(diǎn)到站點(diǎn)的連接　647
21.1　ISAKMP/IKE階段1管理連接　648
21.1.1　允許IPSec的流量　648
21.1.2　建立ISAKMP　650
21.1.3　配置管理連接的策略　651
21.1.4　配置設(shè)備驗(yàn)證　652
21.2　ISAKMP/IKE階段2數(shù)據(jù)連接　660
21.2.1　指定被保護(hù)的流量　660
21.2.2　定義如何保護(hù)流量　661
21.2.3　構(gòu)建Crypto Map　661
21.2.4　激活一個Crypto Map　664
21.2.5　數(shù)據(jù)連接管理命令　664
21.3　L2L連接例子　665
21.3.1　FOS 6.3 L2L的例子　666
21.3.2　FOS 7.0 L2L的例子　668
21.4　總結(jié)　669
第22章　PIX和ASA遠(yuǎn)程訪問連接　673
22.1　6.x對于Easy VPN服務(wù)器的支持　673
22.1.1　6.x的Easy VPN服務(wù)器的配置　674
22.1.2　6.x的Easy VPN服務(wù)器的例子　678
22.2　6.x的Easy VPN遠(yuǎn)端支持　680
22.2.1　6.x的Easy VPN遠(yuǎn)端配置　681
22.2.2　使用證書作為遠(yuǎn)程訪問　682
22.2.3　核實(shí)您的6.x遠(yuǎn)端配置和連接　682
22.2.4　6.x的Easy VPN遠(yuǎn)端設(shè)備的例子配置　684
22.3　對于7.0的Easy VPN服務(wù)器的支持　685
22.3.1　理解隧道組　686
22.3.2　定義組策略　686
22.3.3　建立隧道組　692
22.3.4　為XAUTH建立用戶賬號　696
22.3.5　遠(yuǎn)程訪問會話的問題及在7.0中的解決方案　697
22.3.6　解釋7.0的一臺Easy VPN服務(wù)器配置的例子　702
22.4　總結(jié)　703
第23章　PIX和ASA連接的故障診斷與排除　705
23.1　ISAKMP/IKE階段1連接　705
23.1.1　階段1命令的回顧　705
23.1.2　show isakmp sa命令　706
23.1.3　debug crypto isakmp命令　707
23.1.4　debug crypto vpnclient命令　714
23.2　ISAKMP/IKE階段2連接　716
23.2.1　階段2命令的回顧　716
23.2.2　show crypto ipsec sa命令　717
23.2.3　debug crypto ipsec命令　719
23.3　總結(jié)　723
第六部分　案例研究
第24章　案例研究　727
24.1　公司的概貌　727
24.1.1　總部辦公室　729
24.1.2　區(qū)域辦公室　731
24.1.3　分支辦公室　732
24.1.4　遠(yuǎn)程訪問用戶　732
24.2　案例研究的配置　732
24.2.1　邊緣路由器的配置　733
24.2.2　Internet遠(yuǎn)程訪問配置　739
24.2.3　主要園區(qū)無線的配置　749
24.3　總結(jié)　756