第1章VPN簡介
1.1部署VPN的動機
1.2VPN技術
1.2.1第2層VPN
1.2.2第3層VPN
1.2.3遠程接入VPN
1.3總結
第2章IPSec概述
2.1加密術語
2.1.1對稱算法
2.1.2非對稱算法
2.1.3數字簽名
2.2IPSec安全協議
2.2.1IPSec傳輸模式
2.2.2IPSec隧道模式
2.2.3封裝安全有效負載(ESP)
2.2.4驗證報頭(AH)
2.3密鑰管理和安全關聯
2.3.1Diffie-Hellman密鑰交換
2.3.2安全關聯及IKE工作原理
2.3.3IKE Phase 1的工作原理
2.3.4IKE Phase 2的工作原理
2.3.5IPSec分組的處理
2.4總結
第3章增強的IPSec特性
3.1IKE存活消息
3.2失效對等體檢測
3.3空閑超時
3.4反向路由注入
3.5有狀態故障切換
3.5.1SADB傳輸
3.5.2SADB同步
3.6IPSec和分段
3.6.1IPSec和PMTUD
3.6.2先行分段
3.7GRE和IPSec
3.8IPSec和NAT
3.8.1NAT對AH的影響
3.8.2NAT對ESP的影響
3.8.3NAT對IKE的影響
3.8.4IPSec和NAT共存問題解決方案
3.9總結
第4章IPSec認證和授權模型
4.1擴展認證和模式配置
4.2模式配置
4.3簡易VPN
4.3.1EzVPN客戶模式
4.3.2網絡擴展模式
4.4在IPSec VPN中使用數字證書
4.4.1數字證書
4.4.2申請證書
4.4.3撤銷證書
4.5總結
第5章IPSec VPN架構
5.1IPSec VPN連接模型
5.1.1IPSec模型
5.1.2GRE模型
5.1.3遠程接入客戶模型
5.1.4IPSec連接模型小結
5.2星型架構
5.2.1使用IPSec模型
5.2.2GRE模型
5.2.3遠程接入客戶連接模型
5.3全互聯架構
5.3.1本征IPSec連接模型
5.3.2GRE模型
5.4總結
第6章設計容錯的IPSec VPN
6.1鏈路容錯
6.1.1主干網絡的容錯
6.1.2接入鏈路的容錯
6.1.3接入鏈路容錯小結
6.2IPSec對等體冗餘
6.2.1簡單對等體冗餘模型
6.2.2使用HSRP的虛擬IPSec對等體冗餘
6.2.3IPSec有狀態切換
6.2.4使用GRE的對等體冗餘
6.2.5使用SLB的虛擬IPSec對等體冗餘
6.2.6服務器負載均衡的概念
6.2.7使用SLB的IPSec對等體冗餘
6.2.8使用Cisco VPN 3000集群來實現對等體冗餘
6.2.9對等體冗餘小結
6.3機架內部的IPSec VPN服務冗餘
6.3.1無狀態IPSec冗餘
6.3.2有狀態IPSec冗餘
6.4總結
第7章站點到站點IPSec VPN的自動配置架構
7.1IPSec隧道端點發現
7.1.1TED的工作原理
7.1.2TED的局限性
7.1.3TED的配置和狀態
7.1.4TED容錯
7.2動態多點VPN
7.2.1多點GRE接口
7.2.2下一跳解析協議
7.2.3動態實例化IPSec代理
7.2.4建立動態多點VPN
7.2.5DMVPN架構冗餘
7.2.6DMVPN模型小結
7.3總結
第8章IPSec和應用的互操作性
8.1支持QoS的IPSec VPN
8.1.1IP QoS機制概述
8.1.2IPSec對分類的影響
8.1.3IPSec對QoS策略的影響
8.2VoIP應用對IPSec VPN的要求
8.2.1延遲的影響
8.2.2抖動的影響
8.2.3分組丟失的影響
8.3針對VoIP的IPSec VPN架構考慮
8.3.1分離VoIP和數據的架構
8.3.2IPSec遠程接入網絡上的VoIP
8.3.3IPSec保護的GRE架構上的VoIP
8.3.4VoIP星型架構
8.3.5DMVPN架構中的VoIP
8.3.6VoIP流量工程小結
8.4IPSec VPN上的多播
8.4.1IPSec保護的GRE上的多播
8.4.2全互聯點到點GRE/IPSec隧道上的多播
8.4.3DMVPN和多播
8.4.4多播組安全
8.4.5多播加密小結
8.5總結
第9章基於網絡的IPSec VPN
9.1基於網絡的VPN的基礎知識
9.2基於網絡的IPSec解決方案:IOS特性
9.2.1虛擬路由選擇和轉發表
9.2.2加密密鑰鏈
9.2.3ISAKMP描述
9.3基於網絡的IPSec VPN的工作原理
9.3.1在PE上使用單個IP地址
9.3.2前門VRF和內部VRF
9.3.3配置和分組傳輸流程
9.3.4使用不同的IP地址端接不同VPN中的IPSec隧道
9.4基於網絡的VPN部署方案
9.4.1通過GRE隧道以IPSec方式連接到MPLS VPN
9.4.2以IPSec方式連接到第2層VPN
9.4.3PE-PE加密
9.5總結