Complete Cisco VPN configuration guide

第一部分　VPN第1章　VPN概述.　31.1　流量问题　31.1.1　窃听攻击　31.1.2　伪装攻击　51.1.3　中间人攻击　51.2　VPN定义　71.2.1　VPN描述　81.2.2　VPN连接模式　91.2.3　VPN类型　111.2.4　VPN分类　141.3　VPN组件　151.3.1　验证　151.3.2　封装方法　171.3.3　数据加密　171.3.4　数据包的完整性　171.3.5　密钥管理　181.3.6　抗抵赖性　181.3.7　应用程序和协议的支持　181.3.8　地址管理　191.4　VPN设计　201.4.1　连接类型　201.4.2　VPN考虑　221.4.3　冗余　261.5　VPN实施　271.5.1　GRE　271.5.2　IPSec　281.5.3　PPTP　291.5.4　L2TP　291.5.5　MPLS　301.5.6　SSL　301.6　VPN：选择解决方案　311.6.1　安全性　311.6.2　实施.管理和支持　311.6.3　高可靠性　321.6.4　扩展性和灵活性　321.6.5　费用　321.7　总结　33第2章　VPN技术　352.1　密钥　352.1.1　密钥的使用　352.1.2　对称密钥　362.1.3　非对称密钥　362.2　加密　392.2.1　加密的过程　392.2.2　加密算法　392.3　数据包验证　412.3.1　数据包验证的实施　412.3.2　数据包验证的使用　432.3.3　数据包验证的问题　452.4　密钥交换　462.4.1　密钥共享的困惑　462.4.2　Diffie-HellMan(赫尔曼算法)　482.4.3　密钥刷新　502.4.4　密钥交换方法的限制　502.5　验证方法　502.5.1　中间人攻击　512.5.2　验证的解决方案　512.5.3　设备验证　522.5.4　用户验证　642.6　总结　65第3章　IPSec　673.1　IPSec标准　673.1.1　IETFRFC　683.1.2　IPSec连接　723.1.3　构建连接的基本过程　743.2　ISAKMP/IKE阶段1　753.2.1　管理连接　763.2.2　密钥交换协议：Diffie-Hellman　783.2.3　设备验证　783.2.4　远程访问额外的步骤　793.3　ISAKMP/IKE阶段2　873.3.1　ISAKMP/IKE阶段2组件　873.3.2　阶段2安全协议　873.3.3　阶段2的连接模式　903.3.4　阶段2的传输集　903.3.5　数据连接　913.4　IPSec流量和网络　923.4.1　IPSec和地址转换　923.4.2　IPSec和防火墙　943.4.3　使用IPSec的其他问题　963.5　总结　97第4章　PPTP和L2TP　994.1　PPTP　994.1.1　PPP回顾　1004.1.2　PPTP组件　1024.1.3　PPTP是如何工作的　1024.1.4　使用PPTP的问题　1074.2　L2TP　1094.2.1　L2TP概述　1094.2.2　L2TP操作　1104.2.3　L2TP/IPSec和PPTP的比较　1134.3　总结　115第5章　SSLVPN　1175.1　SSL回顾　1175.1.1　SSL客户实施　1185.1.2　SSL保护　1195.1.3　SSL组件　1215.2　什么时候使用SSLVPN　1245.2.1　SSLVPN的好处　1245.2.2　SSLVPN的缺点　1255.3　Cisco的WebVPN解决方案　1275.3.1　VPN3000系列集中器　1275.3.2　WebVPN的操作　1275.3.3　Web访问　1285.3.4　网络浏览和文件管理访问　1295.3.5　应用程序访问和端口转发　1295.3.6　E-mail客户的访问　1305.4　总结　131第二部分　集中器第6章　集中器产品信息　1356.1　集中器的型号　1366.1.1　3005集中器　1366.1.2　3015集中器　1376.1.3　3020集中器　1386.1.4　3030集中器　1386.1.5　3060集中器　1386.1.6　3080集中器　1386.1.7　集中器型号的比较　1396.2　集中器的模块　1396.2.1　SEP模块　1406.2.2　SEP操作　1406.3　集中器的特性　1406.3.1　版本3.5特性　1416.3.2　版本3.6特性　1426.3.3　版本4.0特性　1436.3.4　版本4.1特性　1446.3.5　版本4.7特性　1446.4　介绍对集中器的访问　1456.4.1　命令行接口　1456.4.2　图形用户接口　1496.5　总结　157第7章　使用IPSec实现集中器的远程访问连接　1597.1　控制对集中器的远程访问会话　1597.1.1　组的配置　1597.1.2　用户配置　1737.2　IPSec远程访问　1757.2.1　ISAKMP/IKE阶段1：IKE建议　1757.2.2　ISAKMP/IKE阶段1：设备验证　1787.2.3　ISAKMP/IKE阶段1：IPSec标签　1887.2.4　ISAKMP/IKE阶段1：Mode/ClientConfig标签　1907.2.5　ISAKMP/IKE阶段1：ClientFW标签　1987.2.6　ISAKMP/IKE阶段2：数据SA　2047.3　对于IPSec和L2TP/IPSec用户的网络访问控制(NAC)　2057.3.1　对于IPSec,NAC的全局配置　2067.3.2　NAC的组配置　2077.4　总结　209第8章　使用PPTP.L2TP和WebVPN实现集中器远程访问连接　2118.1　PPTP和L2TP远程访问　2118.1.1　PPTP和L2TP组配置　2128.1.2　PPTP全局配置　2138.1.3　L2TP全局配置　2148.2　WebVPN远程访问　2158.2.1　HTTPS访问　2158.2.2　WebVPN全局配置　2178.2.3　组配置　2278.2.4　SSLVPN客户端(SSLVPN客户端,SVC)　2328.2.5　用于WebVPN访问的Cisco安全桌面　2358.3　总结　246第9章　集中器站点到站点的连接　2499.1　L2L连接例子　2499.2　ISAKMP/IKE阶段1准备　2519.2.1　现有的IKE策略　2519.2.2　IKE策略屏幕　2529.3　增加站点到站点的连接　2539.3.1　添加L2L会话　2539.3.2　完成L2L会话　2639.3.3　修改L2L会话　2659.4　地址转换和L2L会话　2659.4.1　介绍集中器地址转换的能力　2669.4.2　需要L2L地址转换的例子　2669.4.3　建立L2L地址转换规则　2679.4.4　启动L2L地址转换　2689.5　总结　269第10章　集中器的管理　27110.1　带宽管理　27110.1.1　建立带宽策略　27110.1.2　激活带宽策略　27410.2　集中器上的路由选择　27710.2.1　静态路由选择　27710.2.2　RIP路由选择协议　27910.2.3　OSPF路由选择协议　28010.3　机箱冗余..　28210.3.1　VRRP　28210.3.2　VCA　28610.4　管理屏幕　29010.4.1　AdministratorAccess(管理员访问)　29110.4.2　集中器的升级　29310.4.3　文件管理　29410.5　总结　295第11章　验证和故障诊断与排除集中器的连接　29711.1　集中器的工具　29711.1.1　系统状态　29811.1.2　VPN会话　29911.1.3　事件日志　30211.1.4　监控统计信息屏幕　31311.2　故障诊断与排除问题　31511.2.1　ISAKMP/IKE阶段1的问题　31511.2.2　ISAKMP/IKE阶段2的问题　32011.3　总结　322第三部分　客户端第12章　CiscoVPN软件客户端　32712.1　CiscoVPN客户端的概述　32812.1.1　CiscoVPN客户端的特性　32812.1.2　CiscoVPN客户端的安装　32912.2　CiscoVPN客户端接口　33512.2.1　操作模式　33512.2.2　喜好　33712.2.3　先进模式工具栏按钮和标签选项　33712.3　IPSec连接　33812.3.1　使用预共享密钥建立连接　33812.3.2　使用证书建立连接　34212.3.3　其他的连接配置选项　34912.3.4　连接到一台EasyVPN服务器　34912.3.5　客户端的连接状态　35212.3.6　断开连接　35412.4　VPN客户端的GUI选项　35412.4.1　ApplicationLauncher(应用程序发起器)　35512.4.2　WindowsLoginProperties(Windows登录属性)　35512.4.3　AutomaticInitiation(自动发起)　35512.4.4　StatefulFirewall(状态防火墙)　35812.5　VPN客户端软件的更新　36112.5.1　集中器：客户端更新　36112.5.2　对于Windows2000和XP的VPN客户端的自动更新的准备　36312.5.3　客户端的更新过程　36412.6　VPN客户端的故障诊断与排除　36612.6.1　日志查看器　36612.6.2　验证问题　36812.6.3　ISAKMP/IKE策略不匹配的问题　36912.6.4　地址分配的故障诊断与排除　37012.6.5　分离隧道问题　37212.6.6　地址转换问题　37512.6.7　碎片问题　37612.6.8　微软的网络邻居问题　38012.7　总结　381第13章　Windows软件客户端　38313.1　Windows客户端　38313.1.1　理解Windows客户端的特性　38413.1.2　验证Windows客户端是可操作的　38513.2　配置WindowsVPN客户端　38613.2.1　建立一个安全的策略　38613.2.2　需要使用L2TP　39013.2.3　建立一个微软的VPN连接　39113.3　配置VPN3000集中器　39813.3.1　IKE建议　39813.3.2　IPSecSA　39813.3.3　组配置　40013.3.4　地址管理　40113.3.5　用户配置　40113.4　微软客户端的连接　40113.4.1　连接到VPN网关　40213.4.2　核实PC上的连接　40313.4.3　核实集中器上的连接　40313.5　故障诊断与排除VPN的连接　40413.5.1　集中器故障诊断与排除工具　40413.5.2　微软的客户端故障诊断与排除工具　40513.6　总结　409第14章　3002硬件客户端　41114.1　3002硬件客户端概览　41114.1.1　3002的特性　41214.1.2　3002型号　41214.1.3　3002的实施　41314.2　对于3002的初始访问　41414.2.1　命令行接口　41514.2.2　图形用户接口　41514.3　验证和连接选项　42314.3.1　单元验证　42314.3.2　额外的验证选项　42414.4　连接模式　42914.4.1　客户模式　42914.4.2　网络扩展模式　42914.4.3　路由和反向路由注入　43314.5　管理任务　43514.5.1　从公有接口上访问3002　43514.5.2　升级3002　43614.6　总结　439第四部分　IOS路由器第15章　路由器产品信息　44315.1　路由器实施场景　44315.1.1　L2L和远程访问连接　44315.1.2　路由器的特殊能力　44415.2　路由器产品概述　44715.3　总结　448第16章　路由器的ISAKMP/IKE阶段1连接　45116.1　IPSec的准备　45116.1.1　收集信息　45216.1.2　允许IPSec的流量　45216.2　ISAKMP/IKE阶段1策略　45316.2.1　启动ISAKMP　45316.2.2　建立策略　45316.2.3　与对等体协商策略　45416.2.4　启动IKE死亡对等体检测　45516.3　ISAKMP/IKE阶段1设备验证　45616.3.1　ISAKMP/IKE身份类型　45616.3.2　预共享密钥　45716.3.3　RSA加密的随机数　45816.3.4　数字证书和路由器的注册　46216.4　监控和管理管理连接　48016.4.1　查看ISAKMP/IKE阶段1的连接　48016.4.2　管理ISAKMP/IKE阶段1的连接　48116.4.3　路由器作为证书授权　48116.4.4　步骤1：产生和导出RSA密钥信息　48216.4.5　步骤2：启动CA　48516.4.6　步骤3：定义额外的CA参数　48816.4.7　步骤4：处理申请请求　49016.4.8　步骤5：吊销身份证书　49316.4.9　步骤6：配置一台服务器使其运行在RA的模式　49416.4.10　步骤7：备份一个CA　49516.4.11　步骤8：恢复一个CA　49616.4.12　步骤9：清除CA服务　49716.5　总结　498第17章　路由器站点到站点连接　50117.1　ISAKMP/IKE阶段2配置　50117.1.1　定义被保护的流量：CryptoACL　50217.1.2　定义保护方法：TransformSets(传输集)　50317.1.3　构建一个静态的CryptoMap条目　50417.1.4　构建一个动态的CryptoMaps　51117.1.5　可区分的基于名字的CryptoMap　51817.2　查看和管理连接　52017.2.1　查看IPSec的数据SA　52017.2.2　管理IPSec数据SA　52217.3　站点到站点连接的问题　52217.3.1　迁移到一个基于IPSec的设计　52217.3.2　过滤IPSec的流量　52417.3.3　地址转换和状态防火墙　52617.3.4　非单播流量　52817.3.5　配置简化　53417.3.6　IPSec冗余　53617.3.7　L2L扩展性　55117.4　总结　570第18章　路由器远程访问连接　57318.1　EasyVPN服务器　57418.1.1　EasyVPN服务器的配置　57418.1.2　VPN组监控　58218.1.3　EasyVPN服务器配置例子　58218.2　EasyVPN远端　58518.2.1　EasyVPN远端连接模式　58518.2.2　EasyVPN远端配置　58718.2.3　EasyVPN远端配置的例子　59018.3　在同一路由器上的IPSec远程访问和L2L会话　59218.3.1　中心办公室路由器的配置　59218.3.2　远程访问和L2L样例配置　59518.4　WebVPN　59718.4.1　WebVPN建立　59818.4.2　WebVPN配置例子　60318.5　总结　604第19章　故障诊断与排除路由器的连接　60719.1　ISAKMP/IKE阶段1连接　60719.1.1　阶段1命令的回顾　60819.1.2　showcryptoisakmpsa命令　60819.1.3　debugcryptoisakmp命令　60819.1.4　debugcryptopki命令　61719.1.5　debugcryptoengine命令　61819.2　ISAKMP/IKE阶段2连接　61919.2.1　阶段2命令的回顾　61919.2.2　showcryptoengineconnectionactive命令　62019.2.3　showcryptoipsecsa命令　62019.2.4　debugcryptoipsec命令　62119.3　新的IPSec故障诊断与排除特性　62519.3.1　IPSecVPN监控特性　62519.3.2　清除Crypto会话　62719.3.3　无效的安全参数索引恢复特性　62719.4　碎片问题　62819.4.1　碎片问题　62919.4.2　碎片发现　63019.4.3　碎片问题的解决方案　63119.5　总结　634第五部分　PIX防火墙第20章　PIX和ASA产品信息　63920.1　PIX实施场景　63920.1.1　L2L和远程访问连接　64020.1.2　PIX和ASA的特殊能力　64020.2　PIX和ASA的特性和产品回顾　64120.2.1　PIX和ASAVPN特性　64120.2.2　PIX型号　64320.2.3　ASA型号　64320.3　总结　644第21章　PIX和ASA站点到站点的连接　64721.1　ISAKMP/IKE阶段1管理连接　64821.1.1　允许IPSec的流量　64821.1.2　建立ISAKMP　65021.1.3　配置管理连接的策略　65121.1.4　配置设备验证　65221.2　ISAKMP/IKE阶段2数据连接　66021.2.1　指定被保护的流量　66021.2.2　定义如何保护流量　66121.2.3　构建CryptoMap　66121.2.4　激活一个CryptoMap　66421.2.5　数据连接管理命令　66421.3　L2L连接例子　66521.3.1　FOS6.3L2L的例子　66621.3.2　FOS7.0L2L的例子　66821.4　总结　669第22章　PIX和ASA远程访问连接　67322.1　6.x对于EasyVPN服务器的支持　67322.1.1　6.x的EasyVPN服务器的配置　67422.1.2　6.x的EasyVPN服务器的例子　67822.2　6.x的EasyVPN远端支持　68022.2.1　6.x的EasyVPN远端配置　68122.2.2　使用证书作为远程访问　68222.2.3　核实您的6.x远端配置和连接　68222.2.4　6.x的EasyVPN远端设备的例子配置　68422.3　对于7.0的EasyVPN服务器的支持　68522.3.1　理解隧道组　68622.3.2　定义组策略　68622.3.3　建立隧道组　69222.3.4　为XAUTH建立用户账号　69622.3.5　远程访问会话的问题及在7.0中的解决方案　69722.3.6　解释7.0的一台EasyVPN服务器配置的例子　70222.4　总结　703第23章　PIX和ASA连接的故障诊断与排除　70523.1　ISAKMP/IKE阶段1连接　70523.1.1　阶段1命令的回顾　70523.1.2　showisakmpsa命令　70623.1.3　debugcryptoisakmp命令　70723.1.4　debugcryptovpnclient命令　71423.2　ISAKMP/IKE阶段2连接　71623.2.1　阶段2命令的回顾　71623.2.2　showcryptoipsecsa命令　71723.2.3　debugcryptoipsec命令　71923.3　总结　723第六部分　案例研究第24章　案例研究　72724.1　公司的概貌　72724.1.1　总部办公室　72924.1.2　区域办公室　73124.1.3　分支办公室　73224.1.4　远程访问用户　73224.2　案例研究的配置　73224.2.1　边缘路由器的配置　73324.2.2　Internet远程访问配置　73924.2.3　主要园区无线的配置　74924.3　总结...　756