IPSec VPN設(shè)計(jì)

定　價(jià)：￥39.00

作　者：	（美）Vijay Bollapragada著
出版社：	人民郵電出版社
叢編項(xiàng)：	Cisco技術(shù)圖書
標(biāo)　簽：	暫缺

購買這本書可以去

ISBN：	9787115146267	出版時(shí)間：	2006-05-01	包裝：	平裝
開本：	16開	頁數(shù)：	271	字?jǐn)?shù)：

內(nèi)容簡介

IPSec是流行的VPN技術(shù)之一，有關(guān)IPSec協(xié)議的技術(shù)細(xì)節(jié)和產(chǎn)品級配置的圖書很多，但都沒有討論IPSecVPN總體設(shè)計(jì)方面的問題，本書旨在填補(bǔ)這一空白，幫助讀者在各種環(huán)境中部署高效、安全的IPSecVPN解決方案。.本書詳細(xì)討論了IPSecVPN設(shè)計(jì)，是有關(guān)這方面內(nèi)容的開山之作。全書包括三部分，引導(dǎo)讀者深入理解大型IPSecVPN解決方案的設(shè)計(jì)和架構(gòu)。第一部分全面介紹了IPSec架構(gòu)，包括IPSec協(xié)議及CiscoIOSIPSec實(shí)現(xiàn)細(xì)節(jié)。第二部分討論了IPSecVPN設(shè)計(jì)原則，包括星型（hub-and-spoke）和全互聯(lián)拓?fù)浼叭蒎e(cuò)設(shè)計(jì)；還介紹了用于簡化IPSecVPN配置的動(dòng)態(tài)配置模型。第三部分討論了在IPSecVPN中支持語音和多播等應(yīng)用涉及的設(shè)計(jì)問題，探討了如何高效地集成IPSecVPN和MPLSVPN。本書適合從事IPSecVPN設(shè)計(jì)、部署和故障排除的網(wǎng)絡(luò)工程師閱讀。..網(wǎng)絡(luò)技術(shù)提供的眾多功能之一，是讓組織能夠同分部、移動(dòng)用戶、遠(yuǎn)程辦公人員和商業(yè)伙伴輕松、安全地通信。這種連接性對確保企業(yè)的生產(chǎn)率具有競爭力至關(guān)重要。雖然將企業(yè)場點(diǎn)互聯(lián)起來的技術(shù)有多種，但基于Internet的虛擬專網(wǎng)（VPN）足遠(yuǎn)程雇員、分部、移動(dòng)人員連接到公司網(wǎng)絡(luò)資源的最有效方式。VPN可提高生產(chǎn)率、讓遠(yuǎn)程用戶能夠高效、方便地訪問網(wǎng)絡(luò)資源、提供場點(diǎn)到場點(diǎn)的連接性和安全性以及節(jié)省大量的費(fèi)用。本書詳細(xì)討論了實(shí)現(xiàn)安全通信的IPSec協(xié)議的設(shè)計(jì)，是這方面的開山之作。本書分三部分，引導(dǎo)讀者深入理解大型VPN解決方案的設(shè)計(jì)和架構(gòu)。第一部分全面地介紹了IPSec架構(gòu)，包括其協(xié)議及CiscoIOSIPSec實(shí)現(xiàn)細(xì)節(jié)，第二部分討論了IPSecVPN設(shè)計(jì)原則，包括星型、全互聯(lián)和容錯(cuò)設(shè)計(jì)；還介紹了用于簡化IPSecVPN設(shè)計(jì)的動(dòng)態(tài)配置模型；第三部分討論了在IPSecVPN中支持諸如語音和組播等應(yīng)用涉及的設(shè)計(jì)問題，還介紹了如何高效地集成IPSecVPN和MPLSVPN。本書提供了經(jīng)過實(shí)踐檢驗(yàn)的設(shè)計(jì)和配置建議，以幫助讀者在任何環(huán)境中部署高效、安全的VPN解決方案。...

作者簡介

　　Vijay Bollapragada（CCIE No.1606）是Cisco Systems公司網(wǎng)絡(luò)系統(tǒng)集成和測試工程小組的主管，從事復(fù)雜網(wǎng)絡(luò)解決方案的架構(gòu)設(shè)計(jì)和驗(yàn)證工作。他是路由器架構(gòu)和IP路由選擇方面的專家，同他人合著了Cisco Press出版的圖書InsideCisco 10S Software Architecture。他也是杜克大學(xué)電子工程系的副教授。Mohamed Khalid（CCIE No.2435）是Cisco Systems公司IP VPN解決方案方面的技術(shù)帶頭人。同大量服務(wù)提供商及其Cisco Accoun！小組合作，確定各種IP VPN架構(gòu)的技術(shù)和工程需求。Scott Wainner是Cisco Systems公司美國服務(wù)提供商銷售組織的一名杰出系統(tǒng)工程師，主要從事VPN架構(gòu)和解決方案的開發(fā)工作。在這個(gè)職位上，他以咨詢?nèi)藛T的身份直接同客戶打交道，提供有關(guān)IP VPN架構(gòu)的指導(dǎo)；同時(shí)，解釋客戶的需求，推動(dòng)Cisco Systems內(nèi)部的開發(fā)。Scott有18年的網(wǎng)絡(luò)行業(yè)從業(yè)經(jīng)驗(yàn)，從事過眾多的工作，其中包括網(wǎng)絡(luò)運(yùn)營、網(wǎng)絡(luò)安裝／供應(yīng)、管理和產(chǎn)品設(shè)計(jì)。

圖書目錄

第1章　VPN簡介　1
1.1　部署VPN的動(dòng)機(jī)　1
1.2　VPN技術(shù)　3
1.2.1　第2層VPN　3
1.2.2　第3層VPN　3
1.2.3　遠(yuǎn)程接入VPN　4
1.3　總結(jié)　6
第2章　IPSec概述　9
2.1　加密術(shù)語　9
2.1.1　對稱算法　10
2.1.2　非對稱算法　10
2.1.3　數(shù)字簽名　12
2.2　IPSec安全協(xié)議　12
2.2.1　IPSec傳輸模式　13
2.2.2　IPSec隧道模式　14
2.2.3　封裝安全有效負(fù)載(ESP)　14
2.2.4　驗(yàn)證報(bào)頭(AH)　15
2.3　密鑰管理和安全關(guān)聯(lián)　17
2.3.1　Diffie-Hellman密鑰交換　17
2.3.2　安全關(guān)聯(lián)及IKE工作原理　18
2.3.3　IKE Phase 1的工作原理　20
2.3.4　IKE Phase 2的工作原理　24
2.3.5　IPSec分組的處理　25
2.4　總結(jié)　31
第3章　增強(qiáng)的IPSec特性　33
3.1　IKE存活消息　33
3.2　失效對等體檢測　34
3.3　空閑超時(shí)　38
3.4　反向路由注入　40
3.5　有狀態(tài)故障切換　46
3.5.1　SADB傳輸　46
3.5.2　SADB同步　46
3.6　IPSec和分段　53
3.6.1　IPSec和PMTUD　53
3.6.2　先行分段　56
3.7　GRE和IPSec　56
3.8　IPSec和NAT　61
3.8.1　NAT對AH的影響　61
3.8.2　NAT對ESP的影響　61
3.8.3　NAT對IKE的影響　62
3.8.4　IPSec和NAT共存問題解決方案　62
3.9　總結(jié)　70
第4章　IPSec認(rèn)證和授權(quán)模型　73
4.1　擴(kuò)展認(rèn)證和模式配置　73
4.2　模式配置　76
4.3　簡易VPN　77
4.3.1　EzVPN客戶模式　78
4.3.2　網(wǎng)絡(luò)擴(kuò)展模式　81
4.4　在IPSec VPN中使用數(shù)字證書　84
4.4.1　數(shù)字證書　84
4.4.2　申請證書　84
4.4.3　撤銷證書　86
4.5　總結(jié)　87
第5章　IPSec VPN架構(gòu)　89
5.1　IPSec VPN連接模型　89
5.1.1　IPSec模型　89
5.1.2　GRE模型　90
5.1.3　遠(yuǎn)程接入客戶模型　91
5.1.4　IPSec連接模型小結(jié)　92
5.2　星型架構(gòu)　93
5.2.1　使用IPSec模型　93
5.2.2　GRE模型　104
5.2.3　遠(yuǎn)程接入客戶連接模型　117
5.3　全互聯(lián)架構(gòu)　126
5.3.1　本征IPSec連接模型　126
5.3.2　GRE模型　132
5.4　總結(jié)　136
第6章　設(shè)計(jì)容錯(cuò)的IPSec VPN　139
6.1　鏈路容錯(cuò)　139
6.1.1　主干網(wǎng)絡(luò)的容錯(cuò)　140
6.1.2　接入鏈路的容錯(cuò)　140
6.1.3　接入鏈路容錯(cuò)小結(jié)　152
6.2　IPSec對等體冗余　153
6.2.1　簡單對等體冗余模型　153
6.2.2　使用HSRP的虛擬IPSec對等體冗余　156
6.2.3　IPSec有狀態(tài)切換　158
6.2.4　使用GRE的對等體冗余　161
6.2.5　使用SLB的虛擬IPSec對等體冗余　165
6.2.6　服務(wù)器負(fù)載均衡的概念　165
6.2.7　使用SLB的IPSec對等體冗余　166
6.2.8　使用Cisco VPN 3000集群來實(shí)現(xiàn)對等體冗余　169
6.2.9　對等體冗余小結(jié)　171
6.3　機(jī)架內(nèi)部的IPSec VPN服務(wù)冗余　171
6.3.1　無狀態(tài)IPSec冗余　171
6.3.2　有狀態(tài)IPSec冗余　171
6.4　總結(jié)　172
第7章　場點(diǎn)到場點(diǎn)IPSec VPN的自動(dòng)配置架構(gòu)　175
7.1　IPSec隧道端點(diǎn)發(fā)現(xiàn)　175
7.1.1　TED的工作原理　176
7.1.2　TED的局限性　178
7.1.3　TED的配置和狀態(tài)　178
7.1.4　TED容錯(cuò)　181
7.2　動(dòng)態(tài)多點(diǎn)VPN　183
7.2.1　多點(diǎn)GRE接口　184
7.2.2　下一跳解析協(xié)議　186
7.2.3　動(dòng)態(tài)實(shí)例化IPSec代理　189
7.2.4　建立動(dòng)態(tài)多點(diǎn)VPN　190
7.2.5　DMVPN架構(gòu)冗余　199
7.2.6　DMVPN模型小結(jié)　205
7.3　總結(jié)　205
第8章　IPSec和應(yīng)用的互操作性　207
8.1　支持QoS的IPSec VPN　208
8.1.1　IP QoS機(jī)制概述　208
8.1.2　IPSec對分類的影響　209
8.1.3　IPSec對QoS策略的影響　213
8.2　VoIP應(yīng)用對IPSec VPN的要求　214
8.2.1　延遲的影響　214
8.2.2　抖動(dòng)的影響　215
8.2.3　分組丟失的影響　215
8.3　針對VoIP的IPSec VPN架構(gòu)考慮　217
8.3.1　分離VoIP和數(shù)據(jù)的架構(gòu)　217
8.3.2　IPSec遠(yuǎn)程接入網(wǎng)絡(luò)上的VoIP　218
8.3.3　IPSec保護(hù)的GRE架構(gòu)上的VoIP　219
8.3.4　VoIP星型架構(gòu)　220
8.3.5　DMVPN架構(gòu)中的VoIP　221
8.3.6　VoIP流量工程小結(jié)　223
8.4　IPSec VPN上的多播　223
8.4.1　IPSec保護(hù)的GRE上的多播　223
8.4.2　全互聯(lián)點(diǎn)到點(diǎn)GRE/IPSec隧道上的多播　225
8.4.3　DMVPN和多播　226
8.4.4　多播組安全　228
8.4.5　多播加密小結(jié)　231
8.5　總結(jié)　231
……