Cisco VPN完全配置指南

目　录　

第一部分　VPN

第1章　VPN概述　3
1.1　流量问题　3
1.1.1　窃听攻击　3
1.1.2　伪装攻击　5
1.1.3　中间人攻击　5
1.2　VPN定义　7
1.2.1　VPN描述　8
1.2.2　VPN连接模式　9
1.2.3　VPN类型　11
1.2.4　VPN分类　14
1.3　VPN组件　15
1.3.1　验证　15
1.3.2　封装方法　17
1.3.3　数据加密　17
1.3.4　数据包的完整性　17
1.3.5　密钥管理　18
1.3.6　抗抵赖性　18
1.3.7　应用程序和协议的支持　18
1.3.8　地址管理　19
1.4　VPN设计　20
1.4.1　连接类型　20
1.4.2　VPN考虑　22
1.4.3　冗余　26
1.5　VPN实施　27
1.5.1　GRE　27
1.5.2　IPSec　28
1.5.3　PPTP　29
1.5.4　L2TP　29
1.5.5　MPLS　30
1.5.6　SSL　30
1.6　VPN：选择解决方案　31
1.6.1　安全性　31
1.6.2　实施、管理和支持　31
1.6.3　高可靠性　32
1.6.4　扩展性和灵活性　32
1.6.5　费用　32
1.7　总结　33

第2章　VPN技术　35
2.1　密钥　35
2.1.1　密钥的使用　35
2.1.2　对称密钥　36
2.1.3　非对称密钥　36
2.2　加密　39
2.2.1　加密的过程　39
2.2.2　加密算法　39
2.3　数据包验证　41
2.3.1　数据包验证的实施　41
2.3.2　数据包验证的使用　43
2.3.3　数据包验证的问题　45
2.4　密钥交换　46
2.4.1　密钥共享的困惑　46
2.4.2　Diffie-HellMan(赫尔曼算法)　48
2.4.3　密钥刷新　50
2.4.4　密钥交换方法的限制　50
2.5　验证方法　50
2.5.1　中间人攻击　51
2.5.2　验证的解决方案　51
2.5.3　设备验证　52
2.5.4　用户验证　64
2.6　总结　65

第3章　IPSec　67
3.1　IPSec标准　67
3.1.1　IETF RFC　68
3.1.2　IPSec连接　72
3.1.3　构建连接的基本过程　74
3.2　ISAKMP/IKE阶段1　75
3.2.1　管理连接　76
3.2.2　密钥交换协议：Diffie-Hellman　78
3.2.3　设备验证　78
3.2.4　远程访问额外的步骤　79
3.3　ISAKMP/IKE阶段2　87
3.3.1　ISAKMP/IKE阶段2组件　87
3.3.2　阶段2安全协议　87
3.3.3　阶段2的连接模式　90
3.3.4　阶段2的传输集　90
3.3.5　数据连接　91
3.4　IPSec流量和网络　92
3.4.1　IPSec和地址转换　92
3.4.2　IPSec和防火墙　94
3.4.3　使用IPSec的其他问题　96
3.5　总结　97

第4章　PPTP和L2TP　99
4.1　PPTP　99
4.1.1　PPP回顾　100
4.1.2　PPTP组件　102
4.1.3　PPTP是如何工作的　102
4.1.4　使用PPTP的问题　107
4.2　L2TP　109
4.2.1　L2TP概述　109
4.2.2　L2TP操作　110
4.2.3　L2TP/IPSec和PPTP的比较　113
4.3　总结　115

第5章　SSL VPN　117
5.1　SSL回顾　117
5.1.1　SSL客户实施　118
5.1.2　SSL保护　119
5.1.3　SSL组件　121
5.2　什么时候使用SSL VPN　124
5.2.1　SSL VPN的好处　124
5.2.2　SSL VPN的缺点　125
5.3　Cisco的WebVPN解决方案　127
5.3.1　VPN 3000系列集中器　127
5.3.2　WebVPN的操作　127
5.3.3　Web访问　128
5.3.4　网络浏览和文件管理访问　129
5.3.5　应用程序访问和端口转发　129
5.3.6　E-mail客户的访问　130
5.4　总结　131

第二部分　集中器

第6章　集中器产品信息　135
6.1　集中器的型号　136
6.1.1　3005集中器　136
6.1.2　3015集中器　137
6.1.3　3020集中器　138
6.1.4　3030集中器　138
6.1.5　3060集中器　138
6.1.6　3080集中器　138
6.1.7　集中器型号的比较　139
6.2　集中器的模块　139
6.2.1　SEP模块　140
6.2.2　SEP操作　140
6.3　集中器的特性　140
6.3.1　版本3.5特性　141
6.3.2　版本3.6特性　142
6.3.3　版本4.0特性　143
6.3.4　版本4.1特性　144
6.3.5　版本4.7特性　144
6.4　介绍对集中器的访问　145
6.4.1　命令行接口　145
6.4.2　图形用户接口　149
6.5　总结　157

第7章　使用IPSec实现集中器的远程访问连接　159
7.1　控制对集中器的远程访问会话　159
7.1.1　组的配置　159
7.1.2　用户配置　173
7.2　IPSec远程访问　175
7.2.1　ISAKMP/IKE阶段1：IKE建议　175
7.2.2　ISAKMP/IKE阶段1：设备验证　178
7.2.3　ISAKMP/IKE阶段1：IPSec标签　188
7.2.4　ISAKMP/IKE阶段1：Mode/Client Config标签　190
7.2.5　ISAKMP/IKE阶段1：Client FW标签　198
7.2.6　ISAKMP/IKE阶段2：数据SA　204
7.3　对于IPSec和L2TP/IPSec用户的网络访问控制(NAC)　205
7.3.1　对于IPSec，NAC的全局配置　206
7.3.2　NAC的组配置　207
7.4　总结　209

第8章　使用PPTP、L2TP和WebVPN实现集中器远程访问连接　211
8.1　PPTP和L2TP远程访问　211
8.1.1　PPTP和L2TP组配置　212
8.1.2　PPTP全局配置　213
8.1.3　L2TP全局配置　214
8.2　WebVPN远程访问　215
8.2.1　HTTPS访问　215
8.2.2　WebVPN全局配置　217
8.2.3　组配置　227
8.2.4　SSL VPN客户端(SSL VPN客户端，SVC)　232
8.2.5　用于WebVPN访问的Cisco安全桌面　235
8.3　总结　246

第9章　集中器站点到站点的连接　249
9.1　L2L连接例子　249
9.2　ISAKMP/IKE阶段1准备　251
9.2.1　现有的IKE策略　251
9.2.2　IKE策略屏幕　252
9.3　增加站点到站点的连接　253
9.3.1　添加L2L会话　253
9.3.2　完成L2L会话　263
9.3.3　修改L2L会话　265
9.4　地址转换和L2L会话　265
9.4.1　介绍集中器地址转换的能力　266
9.4.2　需要L2L地址转换的例子　266
9.4.3　建立L2L地址转换规则　267
9.4.4　启动L2L地址转换　268
9.5　总结　269

第10章　集中器的管理　271
10.1　带宽管理　271
10.1.1　建立带宽策略　271
10.1.2　激活带宽策略　274
10.2　集中器上的路由选择　277
10.2.1　静态路由选择　277
10.2.2　RIP路由选择协议　279
10.2.3　OSPF路由选择协议　280
10.3　机箱冗余　282
10.3.1　VRRP　282
10.3.2　VCA　286
10.4　管理屏幕　290
10.4.1　Administrator Access(管理员访问)　291
10.4.2　集中器的升级　293
10.4.3　文件管理　294
10.5　总结　295

第11章　验证和故障诊断与排除集中器的连接　297
11.1　集中器的工具　297
11.1.1　系统状态　298
11.1.2　VPN会话　299
11.1.3　事件日志　302
11.1.4　监控统计信息屏幕　313
11.2　故障诊断与排除问题　315
11.2.1　ISAKMP/IKE阶段1的问题　315
11.2.2　ISAKMP/IKE阶段2的问题　320
11.3　总结　322

第三部分　客户端

第12章　Cisco VPN软件客户端　327
12.1　Cisco VPN客户端的概述　328
12.1.1　Cisco VPN客户端的特性　328
12.1.2　Cisco VPN客户端的安装　329
12.2　Cisco VPN客户端接口　335
12.2.1　操作模式　335
12.2.2　喜好　337
12.2.3　先进模式工具栏按钮和标签选项　337
12.3　IPSec连接　338
12.3.1　使用预共享密钥建立连接　338
12.3.2　使用证书建立连接　342
12.3.3　其他的连接配置选项　349
12.3.4　连接到一台Easy VPN服务器　349
12.3.5　客户端的连接状态　352
12.3.6　断开连接　354
12.4　VPN客户端的GUI选项　354
12.4.1　Application Launcher(应用程序发起器)　355
12.4.2　Windows Login Properties(Windows登录属性)　355
12.4.3　Automatic Initiation(自动发起)　355
12.4.4　Stateful Firewall(状态防火墙)　358
12.5　VPN客户端软件的更新　361
12.5.1　集中器：客户端更新　361
12.5.2　对于Windows 2000和XP的VPN客户端的自动更新的准备　363
12.5.3　客户端的更新过程　364
12.6　VPN客户端的故障诊断与排除　366
12.6.1　日志查看器　366
12.6.2　验证问题　368
12.6.3　ISAKMP/IKE策略不匹配的问题　369
12.6.4　地址分配的故障诊断与排除　370
12.6.5　分离隧道问题　372
12.6.6　地址转换问题　375
12.6.7　碎片问题　376
12.6.8　Microsoft的网络邻居问题　380
12.7　总结　381

第13章　Windows软件客户端　383
13.1　Windows客户端　383
13.1.1　理解Windows客户端的特性　384
13.1.2　验证Windows客户端是可操作的　385
13.2　配置Windows VPN客户端　386
13.2.1　建立一个安全的策略　386
13.2.2　需要使用L2TP　390
13.2.3　建立一个Microsoft的VPN连接　391
13.3　配置VPN 3000集中器　398
13.3.1　IKE建议　398
13.3.2　IPSec SA　398
13.3.3　组配置　400
13.3.4　地址管理　401
13.3.5　用户配置　401
13.4　Microsoft客户端的连接　401
13.4.1　连接到VPN网关　402
13.4.2　核实PC上的连接　403
13.4.3　核实集中器上的连接　403
13.5　故障诊断与排除VPN的连接　404
13.5.1　集中器故障诊断与排除工具　404
13.5.2　Microsoft的客户端故障诊断与排除工具　405
13.6　总结　409

第14章　3002硬件客户端　411
14.1　3002硬件客户端概览　411
14.1.1　3002的特性　412
14.1.2　3002型号　412
14.1.3　3002的实施　413
14.2　对于3002的初始访问　414
14.2.1　命令行接口　415
14.2.2　图形用户接口　415
14.3　验证和连接选项　423
14.3.1　单元验证　423
14.3.2　额外的验证选项　424
14.4　连接模式　429
14.4.1　客户模式　429
14.4.2　网络扩展模式　429
14.4.3　路由和反向路由注入　433
14.5　管理任务　435
14.5.1　从公有接口上访问3002　435
14.5.2　升级3002　436
14.6　总结　439

第四部分　IOS路由器

第15章　路由器产品信息　443
15.1　路由器实施场景　443
15.1.1　L2L和远程访问连接　443
15.1.2　路由器的特殊能力　444
15.2　路由器产品概述　447
15.3　总结　448

第16章　路由器的ISAKMP/IKE阶段1连接　451
16.1　IPSec的准备　451
16.1.1　收集信息　452
16.1.2　允许IPSec的流量　452
16.2　ISAKMP/IKE阶段1策略　453
16.2.1　启动ISAKMP　453
16.2.2　建立策略　453
16.2.3　与对等体协商策略　454
16.2.4　启动IKE死亡对等体检测　455
16.3　ISAKMP/IKE阶段1设备验证　456
16.3.1　ISAKMP/IKE身份类型　456
16.3.2　预共享密钥　457
16.3.3　RSA加密的随机数　458
16.3.4　数字证书和路由器的注册　462
16.4　监控和管理管理连接　480
16.4.1　查看ISAKMP/IKE阶段1的连接　480
16.4.2　管理ISAKMP/IKE阶段1的连接　481
16.4.3　路由器作为证书授权　481
16.4.4　步骤1：产生和导出RSA密钥信息　482
16.4.5　步骤2：启动CA　485
16.4.6　步骤3：定义额外的CA参数　488
16.4.7　步骤4：处理申请请求　490
16.4.8　步骤5：吊销身份证书　493
16.4.9　步骤6：配置一台服务器使其运行在RA的模式　494
16.4.10　步骤7：备份一个CA　495
16.4.11　步骤8：恢复一个CA　496
16.4.12　步骤9：清除CA服务　497
16.5　总结　498

第17章　路由器站点到站点连接　501
17.1　ISAKMP/IKE阶段2配置　501
17.1.1　定义被保护的流量：Crypto ACL　502
17.1.2　定义保护方法：Transform Set(传输集)　503
17.1.3　构建一个静态的Crypto Map条目　504
17.1.4　构建一个动态的Crypto Map　511
17.1.5　可区分的基于名字的Crypto Map　518
17.2　查看和管理连接　520
17.2.1　查看IPSec的数据SA　520
17.2.2　管理IPSec数据SA　522
17.3　站点到站点连接的问题　522
17.3.1　迁移到一个基于IPSec的设计　522
17.3.2　过滤IPSec的流量　524
17.3.3　地址转换和状态防火墙　526
17.3.4　非单播流量　528
17.3.5　配置简化　534
17.3.6　IPSec冗余　536
17.3.7　L2L扩展性　551
17.4　总结　570

第18章　路由器远程访问连接　573
18.1　Easy VPN服务器　574
18.1.1　Easy VPN服务器的配置　574
18.1.2　VPN组监控　582
18.1.3　Easy VPN服务器配置例子　582
18.2　Easy VPN远端　585
18.2.1　Easy VPN远端连接模式　585
18.2.2　Easy VPN远端配置　587
18.2.3　Easy VPN远端配置的例子　590
18.3　在同一路由器上的IPSec远程访问和L2L会话　592
18.3.1　中心办公室路由器的配置　592
18.3.2　远程访问和L2L样例配置　595
18.4　WebVPN　597
18.4.1　WebVPN建立　598
18.4.2　WebVPN配置例子　603
18.5　总结　604

第19章　路由器连接的故障诊断与排除　607
19.1　ISAKMP/IKE阶段1连接　607
19.1.1　阶段1命令的回顾　608
19.1.2　show crypto isakmp sa命令　608
19.1.3　debug crypto isakmp命令　608
19.1.4　debug crypto pki命令　617
19.1.5　debug crypto engine命令　618
19.2　ISAKMP/IKE阶段2连接　619
19.2.1　阶段2命令的回顾　619
19.2.2　show crypto engine connection active命令　620
19.2.3　show crypto ipsec sa命令　620
19.2.4　debug crypto ipsec命令　621
19.3　新的IPSec故障诊断与排除特性　625
19.3.1　IPSec VPN监控特性　625
19.3.2　清除Crypto会话　627
19.3.3　无效的安全参数索引恢复特性　627
19.4　碎片问题　628
19.4.1　碎片问题　629
19.4.2　碎片发现　630
19.4.3　碎片问题的解决方案　631
19.5　总结　634

第五部分　PIX防火墙

第20章　PIX和ASA产品信息　639
20.1　PIX实施场景　639
20.1.1　L2L和远程访问连接　640
20.1.2　PIX和ASA的特殊能力　640
20.2　PIX和ASA的特性和产品回顾　641
20.2.1　PIX和ASA VPN特性　641
20.2.2　PIX型号　643
20.2.3　ASA型号　643
20.3　总结　644

第21章　PIX和ASA站点到站点的连接　647
21.1　ISAKMP/IKE阶段1管理连接　648
21.1.1　允许IPSec的流量　648
21.1.2　建立ISAKMP　650
21.1.3　配置管理连接的策略　651
21.1.4　配置设备验证　652
21.2　ISAKMP/IKE阶段2数据连接　660
21.2.1　指定被保护的流量　660
21.2.2　定义如何保护流量　661
21.2.3　构建Crypto Map　661
21.2.4　激活一个Crypto Map　664
21.2.5　数据连接管理命令　664
21.3　L2L连接例子　665
21.3.1　FOS 6.3 L2L的例子　666
21.3.2　FOS 7.0 L2L的例子　668
21.4　总结　669

第22章　PIX和ASA远程访问连接　673
22.1　6.x对于Easy VPN服务器的支持　673
22.1.1　6.x的Easy VPN服务器的配置　674
22.1.2　6.x的Easy VPN服务器的例子　678
22.2　6.x的Easy VPN远端支持　680
22.2.1　6.x的Easy VPN远端配置　681
22.2.2　使用证书作为远程访问　682
22.2.3　核实您的6.x远端配置和连接　682
22.2.4　6.x的Easy VPN远端设备的例子配置　684
22.3　对于7.0的Easy VPN服务器的支持　685
22.3.1　理解隧道组　686
22.3.2　定义组策略　686
22.3.3　建立隧道组　692
22.3.4　为XAUTH建立用户账号　696
22.3.5　远程访问会话的问题及在7.0中的解决方案　697
22.3.6　解释7.0的一台Easy VPN服务器配置的例子　702
22.4　总结　703

第23章　PIX和ASA连接的故障诊断与排除　705
23.1　ISAKMP/IKE阶段1连接　705
23.1.1　阶段1命令的回顾　705
23.1.2　show isakmp sa命令　706
23.1.3　debug crypto isakmp命令　707
23.1.4　debug crypto vpnclient命令　714
23.2　ISAKMP/IKE阶段2连接　716
23.2.1　阶段2命令的回顾　716
23.2.2　show crypto ipsec sa命令　717
23.2.3　debug crypto ipsec命令　719
23.3　总结　723

第六部分　案例研究

第24章　案例研究　727
24.1　公司的概貌　727
24.1.1　总部办公室　729
24.1.2　区域办公室　731
24.1.3　分支办公室　732
24.1.4　远程访问用户　732
24.2　案例研究的配置　732
24.2.1　边缘路由器的配置　733
24.2.2　Internet远程访问配置　739
24.2.3　主要园区无线的配置　749
24.3　总结　756