本帖最后由 nmyp007 于 2018-7-7 09:23 编辑
推荐理由
本书为cisco IPsec vpn提供了最佳配置实践、排除故障流程,为暂不熟悉ipsec vpn的网络管理员提供参考指南。
内容简介
这是一本全面介绍Cisco IPSec VPN的图书,主要涉及在Cisco路由器和ASA硬件防火墙上的IPSec VPN技术。
《Cisco IPSec VPN实战指南》一共分为10章,分别介绍了VPN技术、GRE技术与配置、IPSec基本理论、站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术、动态多点VPN(DMVPN)、组加密传输VPN(GETVPN)、Easy VPN、ASA策略图等。本书附录还详细地介绍了Cisco模拟器的配置与使用。使用附录中介绍的模拟器可以实现本书中介绍的所有实例,因此本书的第一个特点就是实例的可操作性很强。本书的第二个特点就是采用了不同的讲述方式,作者不是生硬地介绍各种IPSec VPN特性,而是结合多年Cisco安全教学经验,首先展示各种IPSec VPN的故障现象,然后深入浅出、一步一步地分析导致这些故障的原因,最后给出相应的解决方案,让读者能够学习到整个排错和分析的过程与思路。本书的第三个特点就是大量作者原创的独门VPN解决方案,在一些特殊部署环境使用这些解决方案会得到意想不到的效果。
购书链接:
https://www.epubit.com/book/detail/4593
读书规划
第一周:6月11日-6月17日 1-3章:VPN技术简介、GRE、IPSec基本理论。
第二周:6月18日-6月24日 4-6章:站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术。
第三周:6月25日-7月1日 7-8章:动态多点VPN(DMVPN)、组加密传输VPN(GETVPN)。
第四周:7月2日-7月8日:9章-10章:Easy VPN、ASA策略图。
答案:私密性、完整性、源认证
2、加密算法的分类及各个算法的优缺点、主流协议?
答案:加密算法分为对称密钥算法、非对称密钥算法
对称密钥算法:
优点:速度快、安全、紧凑
缺点:明文传输共享密钥,容易出现中途劫持和窃听的问题
随着参与者数量的增加,密钥数量急剧膨胀((n x(n-1))/2)
因为密钥数量过过,对密钥的管理和存储是有个很大的问题
不支持数字签名和不可否认性
主流协议:DES、3DES、AES、RC4
非对称密钥算法
优点:安全
由于不必担心交换的公钥被劫持,所以非对称密钥的分发更安全
密钥数目和参与者数目相同
在交换公钥之前不需要预先建立某种信任关系
支持数字签名和不可否认性
缺点:加密速度很慢
密文会变长
主流协议:RSA、DH、ECC
3、IKE的2个阶段与3个模式是什么?
答案:IKE第一阶段:产生IKE SA
IKE第二阶段:产生IPSec SA
3个模式:主模式(MM)、主动模式(AM)、快速模式(QM)
4、IOS IPSec VPN配置步骤及命令?
答案:·激活ISAKMP
Site1(config)#crypto isakmp enable
·配置IKE第一阶段策略
Site1(config)#crypto isakmp policy 10
Site1(config-isakmp)#encr 3des
Site1(config-isakmp)#hash md5
Site1(config-isakmp)#authentication pre-share
Site1(config-isakmp)#group 2
Site1(config)#crypto isakmp key 0 L2Lkey address 61.128.1.1
·配置IKE第二阶段策略
1、配置感兴趣流
Site1(config)#ip access-list extended vpn
Site1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
2、配置IPSec策略(转换集)
Site1(config)#crypto ipsec transform-set Trans esp-des esp-md5-hmac
3、配置Crypto map
Site1(config)#crypto map cry-map 10 ipsec-isakmp
Site1(config-crypto-map)#match address vpn
Site1(config-crypto-map)#set transform-set Trans
Site1(config-crypto-map)#set peer 61.128.1.1
Site1(config-crypto-map)#set pfs group2
Site1(config-crypto-map)#set security-association lifetime seconds 1800
·将Crypto map应用到接口
Site1(config)#interface FastEthernet1/0
Site1(config-if)#ip address 202.100.1.1 255.255.255.0
Site1(config-if)#crypto map cry-map
5、查看IPSec VPN的相关状态的命令?
答案:·查看ISAKMP SA的状态
Site1#show crypto isakmp sa
Site1#show crypto isakmp sa detail
·查看IPSec SA的状态
Site1#show crypto ipsec sa
6、ASA防火墙3个基本工作原理?
答案:原理1:从高安全级别(inside)到低安全级别(outside)的流量outbound流量,默认会被放行。
原理2:从低安全级别(outside)到高安全级别(inside)的流量inbound流量,默认是被拒绝的,但
是可以使用访问控制列表技术,根据需要放行inbound流量。
原理3:ASA防火墙默认只对穿越的TCP和UDP流量维护状态信息(即记录这个会话的源目IP、源目端口等信息),当这些TCP和UDP流量返回时,防火墙会查询状态化信息,如果匹配上对应条目后会放行。也就是说,即使这是一个Inbound流量,只要它是以前某一连接的返回数据包,它也能穿越ASA防火墙。
7、DMVPN相比于传统的IPSec VPN技术有哪些优点?
答案:1)、简单的星形拓扑配置,提供了虚拟网状连通性.
2)、分支站点支持动态IP地址.
3)、增加新的分支站点,无需更改中心站点配置.
4)、分支站点间流量,通过动态产生的站点间隧道进行封装.
8、DMVPN的4大组成协议?
答案:1)、动态多点GRE(Multipoint GRE,mGRE)协议.
2)、下一跳解析协议(Next Hop Resolution Protocol,NHRP).
3)、动态路由协议.
4)、IPSec 技术.
9、配置DMVPN的三大步骤?
答案:1)、配置mGRE和NHRP.
2)、配置动态路由协议.
3)、配置IPSec VPN
10、GETVPN的特点?
答案:1)、基于原生路由架构的透传解决方案
2)、IP Header Preservation技术,实现原始IP头部保留
3)、不影响Qos,不增加网络开销和复杂度
4)、基于trusted group members的概念,在group内的router使用相同的安全策略,比
点对点VPN管理更简单
5)、Group内成员预先协商安全参数(IPSec SA),实现任意到任意(any-to-any)连接
6)、即时连接,减少类似于语言流量的延时
7)、支持对单播和组播的加密
8)、是一个WAN解决方案,需要部署在全局可录音的网络环境,不适合在IPv4的互联网部署。
11、EZVpn的特性?
答案:1)、分割隧道;
2)、保存密码;
3)、备用网关;
4)、分割DNS特性;
5)、PFS特性。
12、DVTI的特点?
答案:1)、替代传统的Dynamic map配置;
2)、支持加密单播和组播;
3)、支持QoS、FW、NetFlow、ACL、NAT和VRF技术(注意不支持在DVTI接口上的动态路由协议);
4)、支持RADIUS服务器推送基于用户和组的策略;
5)、克隆虚拟模板(virtual template)配置,动态创建虚拟访问接口(virtual access interfaces)。
第一周
该书1-3章主要讲了vpn的产生背景、连接方式、GRE的相关介绍和IPSec的基本原理、框架以及IKE协议的知识,重点在第2、3章IPSec的框架下的散列函数、加密算法、封装协议、密钥有效期,IKE的2个阶段与3个模式,什么情况用传输模式、什么情况用隧道模式。
第二周
4-6章主要讲了站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术,这三章是这边书的重点及精华所在,实践拓扑介绍、经典的配置方式、VPN的路由分析、GRE隧道及流量保护、动态地址、高可用性站点到站点IPSec VPN最佳方案等都有详细的介绍和分析。
第三周
7-8章主要讲了动态多点VPN(DMVPN)经典拓扑、实验,DMVPN的高可用性解决方案:单云双中心、双云双中心配置,及IPSec VPN企业内部部署时出现的问题:影响QoS、点对点IPSec SA造成的问题、覆盖路由及解决方法,GETVPN(组加密传输VPN)感兴趣流访问控制列表配置等。
第四周
Easy VPN的经典配置及常见问题故障排除、ASA的策略图的详细介绍及使用。
【管理员说-奖励设置】
参与奖:活动期间跟帖回复主题相关内容即可获得20积分。
优质参与奖:每周优质回复内容可额外获得奖励50积分/条。
幸运奖:每周从优质参与奖获奖用户中随机抽取2人赠送50元代金卡(京东卡或亚马逊卡二选一)
领读者福利: 100元京东卡+500积分奖励(你也想成为领读者,为大家分享好书?立即私信联系管理员)
推荐理由
本书为cisco IPsec vpn提供了最佳配置实践、排除故障流程,为暂不熟悉ipsec vpn的网络管理员提供参考指南。
内容简介
这是一本全面介绍Cisco IPSec VPN的图书,主要涉及在Cisco路由器和ASA硬件防火墙上的IPSec VPN技术。
《Cisco IPSec VPN实战指南》一共分为10章,分别介绍了VPN技术、GRE技术与配置、IPSec基本理论、站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术、动态多点VPN(DMVPN)、组加密传输VPN(GETVPN)、Easy VPN、ASA策略图等。本书附录还详细地介绍了Cisco模拟器的配置与使用。使用附录中介绍的模拟器可以实现本书中介绍的所有实例,因此本书的第一个特点就是实例的可操作性很强。本书的第二个特点就是采用了不同的讲述方式,作者不是生硬地介绍各种IPSec VPN特性,而是结合多年Cisco安全教学经验,首先展示各种IPSec VPN的故障现象,然后深入浅出、一步一步地分析导致这些故障的原因,最后给出相应的解决方案,让读者能够学习到整个排错和分析的过程与思路。本书的第三个特点就是大量作者原创的独门VPN解决方案,在一些特殊部署环境使用这些解决方案会得到意想不到的效果。
购书链接:
https://www.epubit.com/book/detail/4593
读书规划
第一周:6月11日-6月17日 1-3章:VPN技术简介、GRE、IPSec基本理论。
第二周:6月18日-6月24日 4-6章:站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术。
第三周:6月25日-7月1日 7-8章:动态多点VPN(DMVPN)、组加密传输VPN(GETVPN)。
第四周:7月2日-7月8日:9章-10章:Easy VPN、ASA策略图。
我的问题
1、IPSec对VPN流量提供哪三个方面的保护?答案:私密性、完整性、源认证
2、加密算法的分类及各个算法的优缺点、主流协议?
答案:加密算法分为对称密钥算法、非对称密钥算法
对称密钥算法:
优点:速度快、安全、紧凑
缺点:明文传输共享密钥,容易出现中途劫持和窃听的问题
随着参与者数量的增加,密钥数量急剧膨胀((n x(n-1))/2)
因为密钥数量过过,对密钥的管理和存储是有个很大的问题
不支持数字签名和不可否认性
主流协议:DES、3DES、AES、RC4
非对称密钥算法
优点:安全
由于不必担心交换的公钥被劫持,所以非对称密钥的分发更安全
密钥数目和参与者数目相同
在交换公钥之前不需要预先建立某种信任关系
支持数字签名和不可否认性
缺点:加密速度很慢
密文会变长
主流协议:RSA、DH、ECC
3、IKE的2个阶段与3个模式是什么?
答案:IKE第一阶段:产生IKE SA
IKE第二阶段:产生IPSec SA
3个模式:主模式(MM)、主动模式(AM)、快速模式(QM)
4、IOS IPSec VPN配置步骤及命令?
答案:·激活ISAKMP
Site1(config)#crypto isakmp enable
·配置IKE第一阶段策略
Site1(config)#crypto isakmp policy 10
Site1(config-isakmp)#encr 3des
Site1(config-isakmp)#hash md5
Site1(config-isakmp)#authentication pre-share
Site1(config-isakmp)#group 2
Site1(config)#crypto isakmp key 0 L2Lkey address 61.128.1.1
·配置IKE第二阶段策略
1、配置感兴趣流
Site1(config)#ip access-list extended vpn
Site1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
2、配置IPSec策略(转换集)
Site1(config)#crypto ipsec transform-set Trans esp-des esp-md5-hmac
3、配置Crypto map
Site1(config)#crypto map cry-map 10 ipsec-isakmp
Site1(config-crypto-map)#match address vpn
Site1(config-crypto-map)#set transform-set Trans
Site1(config-crypto-map)#set peer 61.128.1.1
Site1(config-crypto-map)#set pfs group2
Site1(config-crypto-map)#set security-association lifetime seconds 1800
·将Crypto map应用到接口
Site1(config)#interface FastEthernet1/0
Site1(config-if)#ip address 202.100.1.1 255.255.255.0
Site1(config-if)#crypto map cry-map
5、查看IPSec VPN的相关状态的命令?
答案:·查看ISAKMP SA的状态
Site1#show crypto isakmp sa
Site1#show crypto isakmp sa detail
·查看IPSec SA的状态
Site1#show crypto ipsec sa
6、ASA防火墙3个基本工作原理?
答案:原理1:从高安全级别(inside)到低安全级别(outside)的流量outbound流量,默认会被放行。
原理2:从低安全级别(outside)到高安全级别(inside)的流量inbound流量,默认是被拒绝的,但
是可以使用访问控制列表技术,根据需要放行inbound流量。
原理3:ASA防火墙默认只对穿越的TCP和UDP流量维护状态信息(即记录这个会话的源目IP、源目端口等信息),当这些TCP和UDP流量返回时,防火墙会查询状态化信息,如果匹配上对应条目后会放行。也就是说,即使这是一个Inbound流量,只要它是以前某一连接的返回数据包,它也能穿越ASA防火墙。
7、DMVPN相比于传统的IPSec VPN技术有哪些优点?
答案:1)、简单的星形拓扑配置,提供了虚拟网状连通性.
2)、分支站点支持动态IP地址.
3)、增加新的分支站点,无需更改中心站点配置.
4)、分支站点间流量,通过动态产生的站点间隧道进行封装.
8、DMVPN的4大组成协议?
答案:1)、动态多点GRE(Multipoint GRE,mGRE)协议.
2)、下一跳解析协议(Next Hop Resolution Protocol,NHRP).
3)、动态路由协议.
4)、IPSec 技术.
9、配置DMVPN的三大步骤?
答案:1)、配置mGRE和NHRP.
2)、配置动态路由协议.
3)、配置IPSec VPN
10、GETVPN的特点?
答案:1)、基于原生路由架构的透传解决方案
2)、IP Header Preservation技术,实现原始IP头部保留
3)、不影响Qos,不增加网络开销和复杂度
4)、基于trusted group members的概念,在group内的router使用相同的安全策略,比
点对点VPN管理更简单
5)、Group内成员预先协商安全参数(IPSec SA),实现任意到任意(any-to-any)连接
6)、即时连接,减少类似于语言流量的延时
7)、支持对单播和组播的加密
8)、是一个WAN解决方案,需要部署在全局可录音的网络环境,不适合在IPv4的互联网部署。
11、EZVpn的特性?
答案:1)、分割隧道;
2)、保存密码;
3)、备用网关;
4)、分割DNS特性;
5)、PFS特性。
12、DVTI的特点?
答案:1)、替代传统的Dynamic map配置;
2)、支持加密单播和组播;
3)、支持QoS、FW、NetFlow、ACL、NAT和VRF技术(注意不支持在DVTI接口上的动态路由协议);
4)、支持RADIUS服务器推送基于用户和组的策略;
5)、克隆虚拟模板(virtual template)配置,动态创建虚拟访问接口(virtual access interfaces)。
我的心得及分享
(每周伊始,更新心得体会哦,和我一起读书的小伙伴,欢迎在回复中交流)第一周
该书1-3章主要讲了vpn的产生背景、连接方式、GRE的相关介绍和IPSec的基本原理、框架以及IKE协议的知识,重点在第2、3章IPSec的框架下的散列函数、加密算法、封装协议、密钥有效期,IKE的2个阶段与3个模式,什么情况用传输模式、什么情况用隧道模式。
第二周
4-6章主要讲了站点到站点IPSec VPN、影响IPSec VPN的网络问题、IPSec VPN中的高可用性技术,这三章是这边书的重点及精华所在,实践拓扑介绍、经典的配置方式、VPN的路由分析、GRE隧道及流量保护、动态地址、高可用性站点到站点IPSec VPN最佳方案等都有详细的介绍和分析。
第三周
7-8章主要讲了动态多点VPN(DMVPN)经典拓扑、实验,DMVPN的高可用性解决方案:单云双中心、双云双中心配置,及IPSec VPN企业内部部署时出现的问题:影响QoS、点对点IPSec SA造成的问题、覆盖路由及解决方法,GETVPN(组加密传输VPN)感兴趣流访问控制列表配置等。
第四周
Easy VPN的经典配置及常见问题故障排除、ASA的策略图的详细介绍及使用。
【管理员说-注意事项】
1. 禁止发表不当言论,不涉及政治、国家、党派等信息,禁止刷帖灌水行为,审核发现后将不能获得活动积分,对于在论坛中多次出现此行为者,将采取至少禁言一周的处罚。
2. 积分奖励在管理员审核通过后即刻发放,优质回复奖在活动结束发布获奖公告后进行发放。
3. 思科服务支持社区对本次活动有最终解释权。
