书籍详情

IPSec VPN设计

IPSec VPN设计

作者:(美)Vijay Bollapragada著

出版社:人民邮电出版社

出版时间:2006-05-01

ISBN:9787115146267

定价:¥39.00

购买这本书可以去
内容简介
IPSec是流行的VPN技术之一,有关IPSec协议的技术细节和产品级配置的图书很多,但都没有讨论IPSecVPN总体设计方面的问题,本书旨在填补这一空白,帮助读者在各种环境中部署高效、安全的IPSecVPN解决方案。.本书详细讨论了IPSecVPN设计,是有关这方面内容的开山之作。全书包括三部分,引导读者深入理解大型IPSecVPN解决方案的设计和架构。第一部分全面介绍了IPSec架构,包括IPSec协议及CiscoIOSIPSec实现细节。第二部分讨论了IPSecVPN设计原则,包括星型(hub-and-spoke)和全互联拓扑及容错设计;还介绍了用于简化IPSecVPN配置的动态配置模型。第三部分讨论了在IPSecVPN中支持语音和多播等应用涉及的设计问题,探讨了如何高效地集成IPSecVPN和MPLSVPN。本书适合从事IPSecVPN设计、部署和故障排除的网络工程师阅读。..网络技术提供的众多功能之一,是让组织能够同分部、移动用户、远程办公人员和商业伙伴轻松、安全地通信。这种连接性对确保企业的生产率具有竞争力至关重要。虽然将企业场点互联起来的技术有多种,但基于Internet的虚拟专网(VPN)足远程雇员、分部、移动人员连接到公司网络资源的最有效方式。VPN可提高生产率、让远程用户能够高效、方便地访问网络资源、提供场点到场点的连接性和安全性以及节省大量的费用。本书详细讨论了实现安全通信的IPSec协议的设计,是这方面的开山之作。本书分三部分,引导读者深入理解大型VPN解决方案的设计和架构。第一部分全面地介绍了IPSec架构,包括其协议及CiscoIOSIPSec实现细节,第二部分讨论了IPSecVPN设计原则,包括星型、全互联和容错设计;还介绍了用于简化IPSecVPN设计的动态配置模型;第三部分讨论了在IPSecVPN中支持诸如语音和组播等应用涉及的设计问题,还介绍了如何高效地集成IPSecVPN和MPLSVPN。本书提供了经过实践检验的设计和配置建议,以帮助读者在任何环境中部署高效、安全的VPN解决方案。...
作者简介
  Vijay Bollapragada(CCIE No.1606)是Cisco Systems公司网络系统集成和测试工程小组的主管,从事复杂网络解决方案的架构设计和验证工作。他是路由器架构和IP路由选择方面的专家,同他人合著了Cisco Press出版的图书InsideCisco 10S Software Architecture。他也是杜克大学电子工程系的副教授。Mohamed Khalid(CCIE No.2435)是Cisco Systems公司IP VPN解决方案方面的技术带头人。同大量服务提供商及其Cisco Accoun!小组合作,确定各种IP VPN架构的技术和工程需求。Scott Wainner是Cisco Systems公司美国服务提供商销售组织的一名杰出系统工程师,主要从事VPN架构和解决方案的开发工作。在这个职位上,他以咨询人员的身份直接同客户打交道,提供有关IP VPN架构的指导;同时,解释客户的需求,推动Cisco Systems内部的开发。Scott有18年的网络行业从业经验,从事过众多的工作,其中包括网络运营、网络安装/供应、管理和产品设计。
目录
第1章 VPN简介 1
1.1 部署VPN的动机 1
1.2 VPN技术 3
1.2.1 第2层VPN 3
1.2.2 第3层VPN 3
1.2.3 远程接入VPN 4
1.3 总结 6
第2章 IPSec概述 9
2.1 加密术语 9
2.1.1 对称算法 10
2.1.2 非对称算法 10
2.1.3 数字签名 12
2.2 IPSec安全协议 12
2.2.1 IPSec传输模式 13
2.2.2 IPSec隧道模式 14
2.2.3 封装安全有效负载(ESP) 14
2.2.4 验证报头(AH) 15
2.3 密钥管理和安全关联 17
2.3.1 Diffie-Hellman密钥交换 17
2.3.2 安全关联及IKE工作原理 18
2.3.3 IKE Phase 1的工作原理 20
2.3.4 IKE Phase 2的工作原理 24
2.3.5 IPSec分组的处理 25
2.4 总结 31
第3章 增强的IPSec特性 33
3.1 IKE存活消息 33
3.2 失效对等体检测 34
3.3 空闲超时 38
3.4 反向路由注入 40
3.5 有状态故障切换 46
3.5.1 SADB传输 46
3.5.2 SADB同步 46
3.6 IPSec和分段 53
3.6.1 IPSec和PMTUD 53
3.6.2 先行分段 56
3.7 GRE和IPSec 56
3.8 IPSec和NAT 61
3.8.1 NAT对AH的影响 61
3.8.2 NAT对ESP的影响 61
3.8.3 NAT对IKE的影响 62
3.8.4 IPSec和NAT共存问题解决方案 62
3.9 总结 70
第4章 IPSec认证和授权模型 73
4.1 扩展认证和模式配置 73
4.2 模式配置 76
4.3 简易VPN 77
4.3.1 EzVPN客户模式 78
4.3.2 网络扩展模式 81
4.4 在IPSec VPN中使用数字证书 84
4.4.1 数字证书 84
4.4.2 申请证书 84
4.4.3 撤销证书 86
4.5 总结 87
第5章 IPSec VPN架构 89
5.1 IPSec VPN连接模型 89
5.1.1 IPSec模型 89
5.1.2 GRE模型 90
5.1.3 远程接入客户模型 91
5.1.4 IPSec连接模型小结 92
5.2 星型架构 93
5.2.1 使用IPSec模型 93
5.2.2 GRE模型 104
5.2.3 远程接入客户连接模型 117
5.3 全互联架构 126
5.3.1 本征IPSec连接模型 126
5.3.2 GRE模型 132
5.4 总结 136
第6章 设计容错的IPSec VPN 139
6.1 链路容错 139
6.1.1 主干网络的容错 140
6.1.2 接入链路的容错 140
6.1.3 接入链路容错小结 152
6.2 IPSec对等体冗余 153
6.2.1 简单对等体冗余模型 153
6.2.2 使用HSRP的虚拟IPSec对等体冗余 156
6.2.3 IPSec有状态切换 158
6.2.4 使用GRE的对等体冗余 161
6.2.5 使用SLB的虚拟IPSec对等体冗余 165
6.2.6 服务器负载均衡的概念 165
6.2.7 使用SLB的IPSec对等体冗余 166
6.2.8 使用Cisco VPN 3000集群来实现对等体冗余 169
6.2.9 对等体冗余小结 171
6.3 机架内部的IPSec VPN服务冗余 171
6.3.1 无状态IPSec冗余 171
6.3.2 有状态IPSec冗余 171
6.4 总结 172
第7章 场点到场点IPSec VPN的自动配置架构 175
7.1 IPSec隧道端点发现 175
7.1.1 TED的工作原理 176
7.1.2 TED的局限性 178
7.1.3 TED的配置和状态 178
7.1.4 TED容错 181
7.2 动态多点VPN 183
7.2.1 多点GRE接口 184
7.2.2 下一跳解析协议 186
7.2.3 动态实例化IPSec代理 189
7.2.4 建立动态多点VPN 190
7.2.5 DMVPN架构冗余 199
7.2.6 DMVPN模型小结 205
7.3 总结 205
第8章 IPSec和应用的互操作性 207
8.1 支持QoS的IPSec VPN 208
8.1.1 IP QoS机制概述 208
8.1.2 IPSec对分类的影响 209
8.1.3 IPSec对QoS策略的影响 213
8.2 VoIP应用对IPSec VPN的要求 214
8.2.1 延迟的影响 214
8.2.2 抖动的影响 215
8.2.3 分组丢失的影响 215
8.3 针对VoIP的IPSec VPN架构考虑 217
8.3.1 分离VoIP和数据的架构 217
8.3.2 IPSec远程接入网络上的VoIP 218
8.3.3 IPSec保护的GRE架构上的VoIP 219
8.3.4 VoIP星型架构 220
8.3.5 DMVPN架构中的VoIP 221
8.3.6 VoIP流量工程小结 223
8.4 IPSec VPN上的多播 223
8.4.1 IPSec保护的GRE上的多播 223
8.4.2 全互联点到点GRE/IPSec隧道上的多播 225
8.4.3 DMVPN和多播 226
8.4.4 多播组安全 228
8.4.5 多播加密小结 231
8.5 总结 231
……
猜您喜欢

读书导航