1.本書針對目前市場上沒有專門圖書的華為AR G3繫列路由器傳統 （包括L2TP 、IPSec 、GRE 、SSL 和DS ）技術原理、配置方法進行介紹。2.本書內容繫統、豐富，更實戰化，不僅包括許多深入的技術原理介紹，還有大量的分類應用配置步驟展示和具體的應用方案配置案例。3.本書注重細節，繫統深入，思路清晰，符合讀者閱讀習慣。

●第1章 基礎 0
1.1 的起源、定義與優勢 2
1.1.1 的起源 2
1.1.2 的通俗理解 3
1.1.3 的主要優勢 5
1.2 方案的分類 6
1.2.1 按 的應用平臺分類 6
1.2.2 按組網模型分 7
1.2.3 按業務用途分 9
1.2.4 按實現層次分 11
1.2.5 按運營模式分 12
1.3 隧道技術 13
1.3.1 隧道技術綜述 13
1.3.2 PPTP協議 14
1.3.3 L2TP協議 17
1.3.4 MPLS協議 19
1.3.5 IPSec協議族 21
1.3.6 GRE協議 23
1.4 身份認證技術 24
1.4.1 PAP協議報文格式及身份認證原理 24
1.4.2 CHAP協議報文格式及身份認證原理 26
1.4.3 身份認證算法 28
1.5 加密、數字信封、數字簽名和數字證書原理 28
1.5.1 加密工作原理 28
1.5.2 數字信封工作原理 30
1.5.3 數字簽名工作原理 31
1.5.4 數字證書 33
1.6 MD5認證算法原理 33
1.6.1 MD5算法基本認證原理 33
1.6.2 MD5算法消息填充原理 34
1.6.3 MD5算法的主要應用 35
1.7 SHA認證算法原理 35
1.7.1 SHA算法基本認證原理 36
1.7.2 SHA算法消息填充原理 36
1.8 SM3認證算法原理 37
1.8.1 SM3算法消息填充原理 37
1.8.2 SM3算法消息迭代壓縮原理 38
1.9 AES加密算法原理 39
1.9.1 AES的數據塊填充 39
1.9.2 AES四種工作模式加/解密原理 41
1.10 DES加密算法原理 44
1.10.1 DES的數據塊填充 45
1.10.2 DES加/解密原理 45
1.10.3 子密鑰生成原理 47
1.10.4 3DES算法簡介 48
第2章 IPSec基礎及手工方式IPSec 配置與管理 50
2.1 IPSec 基本工作原理 52
2.1.1 IPSec的安全機制 53
2.1.2 IPSec的兩種封裝模式 54
2.1.3 AH報頭和ESP報頭格式 57
2.1.4 IPSec隧道建立原理 59
2.2 IKE密鑰交換原理 60
2.2.1 IKE動態協商綜述 61
2.2.2 IKE的安全機制 62
2.2.3 IKEv1密鑰交換和協商：第 一階段 65
2.2.4 IKEv1密鑰交換和協商：第 二階段 68
2.2.5 IKEv2密鑰協商和交換 68
2.3 IPSec保護數據流和虛擬隧道接口 70
2.3.1 保護數據流的定義方式 70
2.3.2 IPSec虛擬隧道接口 71
2.4 配置基於ACL方式手工建立IPSec隧道 73
2.4.1 手工方式配置任務及基本工作原理 73
2.4.2 基於ACL定義需要保護的數據流 75
2.4.3 配置IPSec安全提議 77
2.4.4 配置安全策略 81
2.4.5 配置可選擴展功能 85
2.4.6 配置在接口上應用安全策略組 87
2.4.7 IPSec隧道維護和管理命令 89
2.4.8 基於ACL方式手工建立IPSec隧道配置示例 90
2.5 基於ACL方式手工建立IPSec隧道的典型故障排除 96
2.5.1 IPSec隧道建立不成功的故障排除 96
2.5.2 IPSec隧道建立成功，但兩端仍不能通信的故障排除 98
第3章 IKE動態協商方式建立IPSec 的配置與管理 100
3.1 配置基於ACL方式通過IKE協商建立IPSec隧道 102
3.1.1 IKE動態協商方式配置任務及基本工作原理 103
3.1.2 定義IKE安全提議 104
3.1.3 配置IKE對等體 109
3.1.4 配置安全策略 123
3.1.5 配置可選擴展功能 128
3.2 典型配置示例 141
3.2.1 采用缺省IKE安全提議建立IPSec隧道配置示例 141
3.2.2 總部采用策略模板方式與分支建立多條IPSec隧道配置示例 146
3.2.3 總部采用安全策略組方式與分支建立多條IPSec隧道配置示例 153
3.2.4 分支采用多鏈路共享功能與總部建立IPSec隧道配置示例 161
3.2.5 建立NAT穿越功能的IPSec隧道配置示例 166
3.2.6 配置PPPoE撥號分支與總部建立IPSec隧道示例 171
3.3 IKE動態協商方式IPSec隧道建立不成功的故障排除 177
3.3.1 第 一階段IKE SA建立不成功的故障排除 177
3.3.2 第 二階段IPSec SA建立不成功的故障排除 180
第4章 基於Tunnel接口和Efficient 策略的IPSec 配置與管理 182
4.1 配置采用虛擬Tunnel接口方式建立IPSec隧道 184
4.1.1 配置任務 185
4.1.2 配置安全框架 186
4.1.3 配置可選擴展功能 188
4.1.4 配置IPSec虛擬隧道/隧道模板接口 191
4.1.5 配置基於虛擬Tunnel接口定義需要保護的數據流 194
4.1.6 配置子網路由信息的請求/推送/接收功能 195
4.1.7 基於虛擬Tunnel接口建立IPSec隧道配置示例 199
4.1.8 基於虛擬隧道模板接口建立IPSec隧道配置示例 204
4.2 配置采用Efficient 策略建立IPSec隧道 208
4.2.1 Efficient 簡介 209
4.2.2 Efficient 的運行模式 209
4.2.3 配置任務 211
4.2.4 配置Remote端 212
4.2.5 配置Server端 218
4.2.6 Efficient Client模式建立IPSec隧道配置示例 221
4.2.7 Efficient Network模式建立IPSec隧道配置示例 225
4.2.8 Efficient Network-plus方式建立IPSec隧道配置示例 229
第5章 L2TP 配置與管理 234
5.1 L2TP 體繫架構 236
5.1.1 L2TP 的基本組成 236
5.1.2 LAC位置的幾種情形 237
5.1.3 L2TP消息、隧道和會話 238
5.2 L2TP報文格式、封裝及傳輸 240
5.2.1 L2TP協議報文格式 240
5.2.2 L2TP協議報文封裝 240
5.2.3 L2TP數據包傳輸 242
5.3 L2TP隧道模式及隧道建立流程 242
5.3.1 NAS-Initiated模式隧道建立流程 242
5.3.2 LAC-Auto-Initiated模式隧道建立流程 244
5.3.3 Client-Initiated模式隧道建立流程 246
5.4 L2TP的主要應用 247
5.5 華為設備對L2TP 的支持 249
5.6 LAC接入呼叫發起L2TP隧道連接的配置與管理 252
5.6.1 配置任務 252
5.6.2 配置AAA認證 254
5.6.3 配置LAC 260
5.6.4 配置LNS 264
5.6.5 L2TP維護與管理 267
5.6.6 移動辦公用戶發起L2TP隧道連接配置示例 268
5.6.7 LAC接入傳統撥號用戶發起L2TP隧道連接配置示例 276
5.6.8 LAC接入PPPoE用戶發起L2TP隧道連接配置示例 278
5.7 LAC自撥號發起L2TP隧道連接的配置與管理 283
5.7.1 配置任務 283
5.7.2 配置LAC 284
5.7.3 LAC自撥號發起L2TP隧道連接的配置示例 287
5.7.4 多個LAC自撥號發起L2TP隧道連接配置示例 290
5.8 配置L2TP其他可選功能 294
5.9 L2TP over IPSec的配置與管理 296
5.9.1 L2TP over IPSec封裝原理 297
5.9.2 分支與總部通過L2TP Over IPSec方式實現安全互通配置示例 299
5.10 L2TP 故障排除 304
5.10.1 Client-Initiated模式L2TP 典型故障排除 304
5.10.2 NAS-Initiated和LAC-Auto-Initiated模式L2TP 典型故障排除 308
第6章 GRE 配置與管理 310
6.1 GRE 工作原理 312
6.1.1 GRE報文格式 313
6.1.2 GRE的報文封裝和解封裝原理 315
6.1.3 GRE的安全機制 316
6.1.4 GRE的Keepalive檢測機制 316
6.2 GRE的主要應用場景 317
6.2.1 多協議本地網可以通過GRE隧道隔離傳輸 317
6.2.2 擴大跳數受限的網絡工作範圍 318
6.2.3 與IPSec結合，保護組播/廣播數據 318
6.2.4 CE采用GRE隧道接入MPLS 321
6.3 GRE 配置與管理 323
6.3.1 配置任務 323
6.3.2 配置Tunnel接口 324
6.3.3 配置Tunnel接口的路由 327
6.3.4 配置可選配置任務 328
6.3.5 GRE 隧道維護與管理 331
6.4 典型配置示例 332
6.4.1 GRE通過靜態路由實現兩個遠程IPv4子網互聯配置示例 332
6.4.2 GRE通過OSPF路由實現兩個遠程IPv4子網互聯配置示例 335
6.4.3 GRE擴大跳數受限的網絡工作範圍配置示例 339
6.4.4 GRE實現FR協議互通配置示例 343
6.4.5 GRE over IPSec配置示例 344
6.4.6 IPSec over GRE配置示例 348
6.5 GRE典型故障排除 353
6.5.1 隧道兩端Ping不通的故障排除 353
6.5.2 隧道是通的，但兩端私網不能互訪的故障排除 354
第7章 DS 配置與管理 356
7.1 DS 綜述 358
7.1.1 DS 簡介 358
7.1.2 DS 中的重要概念 360
7.1.3 DS 的典型應用場景 362
7.2 DS 工作原理 364
7.2.1 DS 中的GRE封裝和解封裝原理 364
7.2.2 NHRP協議工作原理 365
7.2.3 非shortcut場景DS 工作原理 369
7.2.4 shortcut場景DS 工作原理 372
7.2.5 DS NAT穿越原理 375
7.2.6 DS 雙Hub備份原理 377
7.2.7 DS IPSec保護原理 378
7.3 DS 配置與管理 379
7.3.1 配置任務 379
7.3.2 配置mGRE 380
7.3.3 配置路由 381
7.3.4 配置NHRP 384
7.3.5 配置並應用IPSec安全框架 387
7.3.6 DS 維護與管理命令 388
7.4 典型配置示例 389
7.4.1 非shortcut場景DS （靜態路由）配置示例 389
7.4.2 非shortcut場景DS （RIP協議）配置示例 396
7.4.3 非shortcut場景DS （OSPF協議）配置示例 401
7.4.4 非shortcut場景DS （BGP協議）配置示例 406
7.4.5 shortcut場景DS （RIP協議）配置示例 412
7.4.6 shortcut場景DS （OSPF協議）配置示例 418
7.4.7 shortcut場景DS （BGP協議）配置示例 423
7.4.8 DS NAT穿越配置示例 429
7.4.9 雙Hub DS 配置示例 437
7.4.10 DS over IPSec配置示例 449
7.5 典型故障排除 458
7.5.1 Spoke NHRP注冊失敗的故障排除 458
7.5.2 非shortcut場景Spoke間子網無法進行直接通信的故障排除 459
7.5.3 shortcut場景Spoke間子網無法進行直接通信的故障排除 460
第8章 PKI配置與管理 462
8.1 PKI基礎及工作原理 464
8.1.1 PKI簡介 464
8.1.2 PKI體繫架構 465
8.1.3 數字證書結構及分類 467
8.1.4 PKI中的幾個概念 468
8.1.5 PKI工作機制 470
8.1.6 PKI的主要應用場景 472
8.2 申請本地證書的預配置 474
8.2.1 配置PKI實體信息 474
8.2.2 配置PKI域 477
8.2.3 配置RSA密鑰對 480
8.2.4 配置為PKI實體下載CA證書 481
8.2.5 配置為PKI實體安裝CA證書 482
8.2.6 申請本地證書預配置的管理命令 484
8.3 申請和更新本地證書 484
8.3.1 配置通過SCEP協議為PKI實體申請和更新本地證書 484
8.3.2 配置通過CMPv2協議為PKI實體申請和更新本地證書 487
8.3.3 配置為PKI實體離線申請本地證書 492
8.3.4 本地證書申請和更新管理命令 493
8.4 本地證書的下載和安裝 494
8.4.1 下載本地證書 494
8.4.2 本地證書安裝 495
8.4.3 本地證書下載與安裝管理命令 496
8.5 驗證CA證書和本地證書的有效性 496
8.5.1 配置檢查對端本地證書的狀態 497
8.5.2 配置檢查CA證書和本地證書的有效性 502
8.5.3 驗證CA證書和本地證書有效性管理命令 503
8.6 配置證書擴展功能 503
8.7 PKI典型配置示例 505
8.7.1 通過SCEP協議自動申請本地證書配置示例 505
8.7.2 通過CMPv2協議申請本地證書配置示例 510
8.7.3 離線申請本地證書配置示例 514
8.8 典型故障排除 517
8.8.1 CA證書獲取失敗的故障排除 517
8.8.2 本地證書獲取失敗的故障排除 519
第9章 SSL 配置與管理 520
9.1 SSL 基礎 522
9.1.1 SSL概述 522
9.1.2 SSL 的引入背景 523
9.1.3 SSL 繫統組成 524
9.1.4 SSL 業務分類 525
9.1.5 SSL 的典型應用 528
9.2 SSL服務器策略配置與管理 529
9.2.1 配置SSL服務器策略 530
9.2.2 SSL維護和管理命令 532
9.3 HTTPS服務器配置與管理 532
9.3.1 配置HTTPS服務器 532
9.3.2 HTTPS服務器配置示例 533
9.4 SSL 配置與管理 539
9.4.1 配置SSL 的偵聽端口號 539
9.4.2 創建SSL 遠程用戶 540
9.4.3 配置SSL 虛擬網關基本功能 541
9.4.4 配置SSL 業務 542
9.4.5 管理SSL 遠程用戶 547
9.4.6 配置個性化定制We素 548
9.4.7 遠程用戶接入SSL 網關 550
9.4.8 SSL 維護與管理 553
9.5 SSL 典型配置示例 553
9.5.1 Web代理業務配置示例 554
9.5.2 端口轉發業務配置示例 556
9.5.3 網絡擴展業務配置示例 559
9.5.4 多虛擬網關配置示例 562

本書將專門以華為ARG3繫列路由器中的傳統 （包括L2TP 、IPSec 、GRE 、SSL 和DS ）相關技術原理，以及具體的配置方法進行介紹，還有大量的實際配置案例。本書是一本繫統、深入地介紹華為各種傳統 技術原理和各種應用分類的具體配置方法，以及大量實際部署案例的圖書。