本书是对《华为VPN学习指南》的全面升级和改版，不仅采用最新版本的VRP系统进行内容的更新、修订，还在配置示例新增了许多在模拟器中实验时的实时截图，更具实践性。本书是专门介绍华为设备各项VPN技术及应用配置的权威工具图书，是参加华为HCIP-Datacom、HCIA-Security和HCIP-Security认证考试必备学习教材。 全书共9章，分别介绍了各种IP VPN技术的基础知识和技术原理，以及IPSec VPN、L2TP VPN、GRE VPN、DSVPN、PKI、SSL VPN等技术原理和功能配置与管理方法。在编写过程中，本书充分结合了笔者20多年的学习、工作和写作经验，无论在内容的系统性、专业性，还是在实用性方面均有鲜明的特色，是相关人员自学或者教学华为设备VPN配置与管理的必选教材。

华为HCIA-Security和HCIP-Security认证技能学习、培训的指定教材！《华为VPN学习指南》更新改版！ 1.本书内容系统、丰富，更具实战化，不仅包括许多深入的技术原理介绍，还有大量的分类应用配置步骤展示和具体的应用方案配置案例。 2.本书作者经验丰富，华为官方ICT认证教材授权作者，拥有20多年实践中所积累的大量、实用、专业且有特色的经验，本书内容是作者宝贵经验的体现。 3.本书注重细节，系统深入，思路清晰，符合读者阅读习惯。 4.跟进技术新发展，本书按照华为AR G3系列路由器产品当前使用的新VRP版本——V200R010，进行全面的更新和修订，内容更新、更精炼、更通俗易懂、更便于学习！

王达，曾在多家跨国公司从事网络运维工作，曾任工信部网络技术专家委员、全国NMSE认证专家委员副主任，华为官方ICT认证教材授权作者。20多年来，出版了100余部计算机网络方面的专著，主要代表作有《网管员》系列、《网络工程师》系列、《深入理解计算机网络》、《华为交换机学习指南》（第二版）、《华为路由器学习指南》（第二版）等。同时个人及所著图书也获得过数十项荣誉，包括多家行业协会联合颁发的“输出版优秀图书奖”，中国书刊发行协会颁发的“全行业优秀畅销品种奖”、电子工业出版社颁发的“全国优秀作者”、四届51CTO“受读者喜爱的IT图书作者”等。

第 1章 VPN基础 1 1.1 VPN概述 2 1.1.1 VPN的起源 2 1.1.2 VPN的主要特性 3 1.1.3 VPN的主要优势 4 1.2 VPN方案的分类 5 1.2.1 按VPN的应用平台分类 5 1.2.2 按组网模型分 6 1.2.3 按实现层次分 8 1.2.4 按业务用途分 9 1.2.5 按运营模式分 11 1.3 VPN隧道技术 12 1.3.1 VPN隧道技术综述 12 1.3.2 PPTP协议 13 1.3.3 L2TP协议 18 1.3.4 MPLS协议 21 1.3.5 IPSec协议族 23 1.3.6 GRE协议 24 1.4 VPN身份认证技术 25 1.4.1 PAP协议报文格式及身份认证原理 25 1.4.2 CHAP协议报文格式及身份认证原理 29 1.4.3 身份认证算法基本设计思想 32 1.5 VPN数据安全技术原理 33 1.5.1 数据加/解密工作原理 33 1.5.2 数字信封工作原理 35 1.5.3 数字签名工作原理 36 1.5.4 数字证书简介 37 1.6 MD5认证算法原理 38 16.1 MD5算法基本认证原理 38 1.6.2 MD5算法消息填充原理 39 1.7 SHA认证算法原理 41 1.7.1 SHA算法基本认证原理 41 1.7.2 SHA算法消息填充原理 42 1.8 SM系列算法及SM3基本工作原理 44 1.8.1 SM系列算法简介 44 1.8.2 SM3算法消息填充原理 45 1.8.3 SM3算法消息迭代压缩原理 46 1.9 AES加密算法原理 46 1.9.1 AES的数据块填充 47 1.9.2 AES四种工作模式加/解密原理 49 第 2章 IPSec基础及手工方式IPSec VPN配置与管理 54 2.1 IPSec基础及隧道建立基本原理 55 2.1.1 IPSec的安全机制 55 2.1.2 AH报头格式 56 2.1.3 ESP报头格式 57 2.1.4 IPSec的两种封装模式 58 2.1.5 IPSec隧道建立原理 62 2.2 IPSec保护数据流和虚拟隧道接口 63 2.2.1 感兴趣流的定义方式 63 2.2.2 IPSec虚拟隧道接口 64 2.3 配置基于ACL方式手工建立IPSec隧道 66 2.3.1 手工方式IPSec VPN配置任务 66 2.3.2手工方式IPSec VPN数据传输的基本流程 67 2.3.3 基于ACL定义需要保护的数据流 68 2.3.4 配置IPSec安全提议 70 2.3.5 配置IPSec安全策略 73 2.3.6 配置IPSec隧道可选功能 77 2.3.7 配置在接口上应用安全策略组 81 2.3.8 IPSec隧道维护和管理命令 82 2.3.9 基于ACL方式手工建立IPSec隧道配置示例 83 2.4 基于ACL方式手工建立IPSec隧道的典型故障排除 90 2.4.1 IPSec隧道建立不成功的故障排除 90 2.4.2 IPSec隧道建立成功，但两端仍不能通信的故障排除 92 第3章 ACL方式IKE动态协商建立IPSec VPN的配置与管理 94 3.1 IKE基础 95 3.1.1 IKE与IPSec的关系 95 3.1.2 IKE的安全机制 96 3.1.3 IKE动态协商方式的主要优势 97 3.2 IKE工作原理 98 3.2.1 IKEv1协商SA的第 一阶段 98 3.2.2 IKEv1协商SA的第二阶段 101 3.2.3 IKEv2协商SA 102 3.3 ACL方式IKE动态协商建立IPSec隧道的配置任务 104 3.4 定义IKE安全提议 104 3.5 配置IKE对等体 109 3.5.1 配置IKE对等体通用属性 109 3.5.2 配置IKE对等体预共享密钥认证方法 112 3.5.3 配置IKE对等体RSA签名认证方法 115 3.5.4 配置IKE对等体RSA数字信封认证方法 119 3.6 配置IKE可选功能 120 3.6.1 配置IKE SA的生存周期 120 3.6.2 配置IKE对等体状态检测 121 3.6.3 配置身份过滤集 124 3.6.4 配置IKE报文的DSCP优先级 125 3.6.5 配置NAT穿越功能 125 3.6.6 配置IPSec VPN多实例 127 3.6.7 配置IKEv1协商中IPSec SA的存在依赖于IKE SA 128 3.6.8 配置不校验证书的有效性 128 3.7 配置并应用IPSec安全策略 129 3.7.1 配置ISAKMP方式IPSec安全策略 129 3.7.2 配置策略模板方式IPSec安全策略 132 3.8 配置IPSec隧道可选功能 134 3.8.1 配置IPSec SA的生存周期 134 3.8.2 配置抗重放功能 136 3.8.3 配置路由注入功能 138 3.8.4 配置IPSec报文的QoS功能 140 3.8.5 配置保护相同数据流的新用户快速接入总部功能 141 3.8.6 配置IPSec掩码过滤功能 141 3.9 IKE动态协商方式典型配置示例 142 3.9.1 采用缺省IKE安全提议建立IPSec隧道配置示例 142 3.9.2 总部采用策略模板方式与分支建立多条IPSec隧道配置示例 147 3.9.3 总部采用安全策略组方式与分支建立多条IPSec隧道配置示例 158 3.9.4 分支采用多链路共享功能与总部建立IPSec隧道配置示例 166 3.9.5 建立NAT穿越功能的IPSec隧道配置示例 172 3.10 IKE动态协商方式IPSec隧道建立不成功的故障排除 180 3.10.1 第 一阶段IKE SA建立不成功的故障排除 180 3.10.2 第二阶段IPSec SA建立不成功的故障排除 183 第4章 基于Tunnel接口和Efficient VPN策略的IPSec VPN配置与管理 185 4.1 配置采用Tunnel接口方式建立IPSec隧道 186 4.1.1 配置任务 186 4.1.2 配置IPSec安全框架 187 4.1.3 配置可选功能 189 4.1.4 配置IPSec虚拟隧道/隧道模板接口 192 4.1.5 基于Tunnel接口建立IPSec隧道的配置示例 196 4.1.6 基于虚拟隧道模板接口建立IPSec隧道的配置示例 202 4.2 Efficient VPN策略基础 207 4.2.1 Efficient VPN简介 207 4.2.2 Efficient VPN的运行模式 208 4.3 配置采用Efficient VPN策略建立IPSec隧道 210 4.3.1 配置任务 211 4.3.2 配置Remote端IPSec基本参数 212 4.3.3 配置Remote端IPSec可选参数 215 4.3.4 配置Server端网络资源参数 218 4.3.5 配置Server端IPSec参数 220 4.3.6 Efficient VPN Client模式建立IPSec隧道配置示例 221 4.3.7 Efficient VPN Network模式建立IPSec隧道配置示例 227 4.3.8 Efficient VPN Network-plus方式建立IPSec隧道配置示例 231 第5章 L2TP VPN配置与管理 236 5.1 L2TP VPN体系架构 237 5.1.1 L2TP VPN的基本组成 237 5.1.2 LAC位置的几种情形 238 5.1.3 L2TP消息、隧道和会话 239 5.2 L2TP的主要应用 240 5.3 L2TP报文格式和封装 243 5.3.1 L2TP协议报文格式 243 5.3.2 L2TP报文封装 244 5.4 L2TP工作过程 245 5.5 配置LAC接入呼叫发起L2TP隧道连接 248 5.5.1 配置任务 248 5.5.2 配置AAA认证 249 5.5.3 配置LAC 254 5.5.4 配置LNS 259 5.6 配置L2TP Client发起L2TP连接 262 5.6.1 配置任务 262 5.6.2 配置L2TP Client拨号发起L2TP连接 263 5.7 配置L2TP其它可选功能 265 5.8 L2TP配置管理和维护命令 267 5.9 L2TP典型配置示例 268 5.9.1远程拨号用户发起L2TP隧道连接配置示例 268 5.9.2 LAC接入PPPoE用户发起L2TP隧道连接配置示例 270 5.9.3 L2TP Client发起L2TP隧道连接配置示例 275 5.9.4 多个L2TP Client发起L2TP隧道连接配置示例 279 5.10 L2TP over IPSec的配置与管理 286 5.10.1 L2TP over IPSec封装原理 286 5.10.2 分支与总部通过L2TP Over IPSec方式实现安全互通配置示例 288 第6章 GRE VPN配置与管理 295 6.1 GRE VPN基础和工作原理 296 6.1.1 GRE的主要优势 296 6.1.1 GRE报文格式 297 6.1.3 GRE的报文封装和解封装原理 298 6.1.4 GRE的安全机制 299 6.1.5 GRE的Keepalive检测机制 300 6.2 GRE的主要应用场景 301 6.3 GRE VPN配置与管理 305 6.3.1 配置任务 306 6.3.2 配置Tunnel接口 307 6.3.3 配置Tunnel接口的路由 310 6.3.4 配置Link-bridge功能 311 6.3.5 配置GRE的安全机制 312 6.3.5 使能GRE的Keepalive检测功能 313 6.3.6 配置Ethernet over GRE功能 313 6.3.7 GRE VPN隧道管理与维护 315 6.4 典型配置示例 315 6.4.1 GRE通过静态路由实现两个远程IPv4子网互联配置示例 315 6.4.2 GRE通过OSPF路由实现两个远程IPv4子网互联配置示例 319 6.4.3 GRE over IPSec配置示例 321 6.4.4 Ethernet over GRE隧道配置示例 327 6.5 GRE典型故障排除 330 6.5.1 隧道两端Ping不通的故障排除 330 6.5.2 隧道是通的，但两端私网不能互访的故障排除 332 第7章 DSVPN配置与管理 333 7.1 DSVPN基础 334 7.1.1 DSVPN简介及主要优势 334 7.1.2 DSVPN中的重要概念 335 7.2 DSVPN基本原理 336 7.2.1 mGRE隧道建立的三个环节 337 7.2.2 Spoke与Hub之间mGRE隧道的建立流程 338 7.2.3 非shortcut方式Spoke与Spoke之间的mGRE隧道的建立流程 340 7.2.4 shortcut方式Spoke与Spoke之间的mGRE隧道的建立流程 343 7.3 DSVPN配置与管理 347 7.3.1 配置任务 347 7.3.2 配置mGRE 348 7.3.3 配置路由 349 7.3.4 配置NHRP 351 7.4 DSVPN的其它应用及配置 354 7.4.1 DSVPN NAT穿越原理 355 7.4.2 DSVPN IPSec保护原理及配置 356 7.4.3 DSVPN双Hub主备备份或负载分担原理及配置 358 7.5 DSVPN维护与管理命令 360 7.6 DSVPN典型应用配置示例 360 7.6.1非shortcut方式DSVPN（静态路由）配置示例 361 7.6.2 非shortcut方式DSVPN（OSPF协议）配置示例 367 7.6.3 非shortcut方式DSVPN（BGP协议）配置示例 370 7.6.4 shortcut方式DSVPN（OSPF协议）配置示例 374 7.6.5 shortcut方式DSVPN（BGP协议）配置示例 377 7.6.6 DSVPN NAT穿越配置示例 379 7.6.7 双Hub DSVPN配置示例 387 7.7 DSVPN典型故障排除 396 7.7.1 Spoke NHRP注册失败的故障排除 397 7.7.2 非shortcut方式Spoke间子网无法进行直接通信的故障排除 398 7.7.3 shortcut方式Spoke间子网无法进行直接通信的故障排除 399 第6章 PKI配置与管理 400 8.1 PKI基础及工作原理 401 8.1.1 PKI简介 401 8.1.2 PKI体系架构 401 8.1.3 数字证书结构、分类和格式 403 8.1.4 PKI中的几个概念 405 8.1.5 PKI工作机制 407 8.1.6 PKI的主要应用场景 410 8.2 PKI实体申请本地证书配置任务 411 8.3 申请本地证书的预配置 412 8.3.1 配置PKI实体信息 413 8.3.2 配置RSA/SM2密钥对 415 8.3.3 配置为PKI实体获取CA证书 417 8.3.4 RSA/SM2密钥对导出、销毁和查看 420 8.3.5 申请本地证书预配置的管理命令 421 8.4 申请和更新本地证书 421 8.4.1 配置通过SCEP协议为PKI实体申请和更新本地证书 422 8.4.2 配置通过CMPv2协议为PKI实体申请和更新本地证书 426 8.4.3 配置为PKI实体离线申请本地证书 432 8.4.4 本地证书申请和更新管理命令 433 8.5 本地证书的下载和安装 433 8.5.1 本地证书的下载 434 8.5.2 本地证书的安装 434 8.5.3 本地证书下载与安装管理命令 435 8.6 验证CA证书和本地证书的有效性 436 8.6.1 配置检查对端本地证书的状态 436 8.6.2 配置检查CA证书和本地证书的有效性 441 8.6.3 验证CA证书和本地证书有效性管理命令 442 8.7 配置证书扩展功能 443 8.8 PKI典型配置示例 444 8.8.1 通过SCEP协议自动申请本地证书配置示例 444 8.8.2 通过CMPv2协议首次申请本地证书配置示例 450 8.8.3 离线申请本地证书配置示例 454 8.9 典型故障排除 458 8.9.1 CA证书获取失败的故障排除 458 8.9.2 本地证书获取失败的故障排除 460 第9章 SSL VPN配置与管理 462 9.1 SSL VPN基础 463 9.1.1 SSL概述 463 9.1.2 SSL VPN的引入背景 464 9.1.3 SSL VPN系统组成 465 9.1.4 SSL VPN业务分类 466 9.1.5 SSL VPN远程用户访问内网资源过程 469 9.1.6 SSL VPN的典型应用 470 9.2 服务器型SSL策略配置与管理 471 9.2.1 配置服务器型SSL策略 471 9.2.2 SSL维护和管理命令 474 9.3 HTTPS服务器配置与管理 474 9.3.1 配置HTTPS服务器 474 9.3.2 HTTPS服务器配置示例 475 9.4 SSL VPN配置与管理 481 9.4.1 配置SSL VPN的侦听端口号 482 9.4.2 创建SSL VPN远程用户 482 9.4.3 配置SSL VPN虚拟网关基本功能 483 9.4.4 配置SSL VPN业务 484 9.4.5 管理SSL VPN远程用户 489 9.4.6 配置个性化定制Web页面元素 490 9.4.7 远程用户接入SSL VPN网关 492 9.4.8 SSL VPN维护与管理 496 9.5 SSL VPN典型配置示例 496 9.5.1 Web代理业务配置示例 496 9.5.2 端口转发业务配置示例 499 9.5.3 网络扩展业务配置示例 502 9.5.4 多虚拟网关配置示例 506