本书将专门以华为AR G3系列路由器中的传统VPN（包括L2TP VPN、IPSec VPN、GRE VPN、SSL VPN和DSVPN）相关技术原理，以及具体的配置方法进行介绍，还有大量的实际配置案例。本书是一本系统、深入地介绍华为各种传统VPN技术原理和各种应用分类的具体配置方法，以及大量实际部署案例的图书。

　　王达，全国网管技能水平考试专家委员，四届51CTO“*受读者喜爱的IT图书作者”（并有5届、7部作品荣获51CTO主办的“*爱读者喜爱的IT技术图书”称号），国内资深网络工程技术专家和知名的IT图书作者。曾在天极网、IT168、e800等网络媒体上发表千篇以上IT方面的专业文章，出版过超过50部计算机网络方面的著作，其中的代表作有Cisco H3C交换机配置与管理完全手册》（第二版）、《Cisco H3C交换机高级配置与管理技术手册》等，并有多部版权输出到了台湾。

版权信息
序
自序
前言
第1章 VPN基础
1.1 VPN的起源、定义与优势
1.2 VPN方案的分类
1.3 VPN隧道技术
1.4 VPN身份认证技术
1.5 加密、数字信封、数字签名和数字证书原理
1.6 MD5认证算法原理
1.7 SHA认证算法原理
1.8 SM3认证算法原理
1.9 AES加密算法原理
1.10 DES加密算法原理
第2章 IPSec基础及手工方式IPSec VPN配置与管理
2.1 IPSec VPN基本工作原理
2.2 IKE密钥交换原理
2.3 IPSec保护数据流和虚拟隧道接口
2.4 配置基于ACL方式手工建立IPSec隧道
2.5 基于ACL方式手工建立IPSec隧道的典型故障排除
第3章 IKE动态协商方式建立IPSec VPN的配置与管理
3.1 配置基于ACL方式通过IKE协商建立IPSec隧道
3.2 典型配置示例
3.3 IKE动态协商方式IPSec隧道建立不成功的故障排除
第4章 基于Tunnel接口和Efficient VPN策略的IPSec VPN配置与管理
4.1 配置采用虚拟Tunnel接口方式建立IPSec隧道
4.2 配置采用Efficient VPN策略建立IPSec隧道
第5章 L2TP VPN配置与管理
5.1 L2TP VPN体系架构
5.2 L2TP报文格式、封装及传输
5.3 L2TP隧道模式及隧道建立流程
5.4 L2TP的主要应用
5.5 华为设备对L2TP VPN的支持
5.6 LAC接入呼叫发起L2TP隧道连接的配置与管理
5.7 LAC自拨号发起L2TP隧道连接的配置与管理
5.8 配置L2TP其他可选功能
5.9 L2TP over IPSec的配置与管理
5.10 L2TP VPN故障排除
第6章 GRE VPN配置与管理
6.1 GRE VPN工作原理
6.2 GRE的主要应用场景
6.3 GRE VPN配置与管理
6.4 典型配置示例
6.5 GRE典型故障排除
第7章 DSVPN配置与管理
7.1 DSVPN综述
7.2 DSVPN工作原理
7.3 DSVPN配置与管理
7.4 典型配置示例
7.5 典型故障排除
第8章 PKI配置与管理
8.1 PKI基础及工作原理
8.2 申请本地证书的预配置
8.3 申请和更新本地证书
8.4 本地证书的下载和安装
8.5 验证CA证书和本地证书的有效性
8.6 配置证书扩展功能
8.7 PKI典型配置示例
8.8 典型故障排除
第9章 SSL VPN配置与管理
9.1 SSL VPN基础
9.2 SSL服务器策略配置与管理
9.3 HTTPS服务器配置与管理
9.4 SSL VPN配置与管理
9.5 SSL VPN典型配置示例

　　序
　　人类社会和人类文明发展的历史也是一部科学技术发展的历史。半个多世纪以来，精彩纷呈的ICT技术，汇聚成了波澜壮阔的互联网，突破了时间和空间的限制，把人类社会和人类文明带入到前所未有的高度。今天，人类社会已经步入网络和信息时代，我们已经处在无处不在的网络连接中。联接已经成为一种常态，信息浪潮迅速而深刻地改变着我们的工作和生活。人们与世界联接得如此紧密，实现了随时随地自由沟通，对信息与数据的获取、分享也唾手可得。这意味着，这个联接的世界，正以超乎想象的速度与力量，对人类社会的政治、经济、商业文明和生产方式等进行全面的重塑。
　　ICT正在蓬勃发展，移动化、物联网、云计算和大数据等新趋势正在引领行业开创新的格局。世界正在发生影响深远的数字化变革，互联网正在促进传统产业的升级和重构。通过以业务、用户和体验为中心的敏捷网络架构将深刻影响着未来数字社会的基础。我们深知每个人都拥有平等的数字发展机会，这对于构建一个更加公平的现实世界至关重要。
　　ICT产业的发展离不开人才的支撑，产业的变革也将对ICT行业人才的知识体系和综合技能提出更高的挑战。作为全球领先的信息与通信解决方案供应商，华为的产品与解决方案已广泛应用于金融、能源、交通、政府、制造等各个行业。同时，我们也非常注重对ICT专业人才的培养。所以，我们与行业专家、高校老师合作编写了“华为ICT认证系列丛书”，旨在为广大用户、ICT从业者，以及愿意投身到ICT行业中的人士提供更加便利的学习帮助。
　　继2014年与国内资深网络技术专家、业界知名作者王达老师合作并出版《华为交换机学习指南》《华为路由器学习指南》以来，华为ICT认证系列丛书得到广大读者的高度肯定和大力支持。随着读者朋友的成长，大家渴望更加专业的技术学习。其中在各大企业广泛使用的VPN技术，以及在各个行业广泛使用的MPLS技术就是典型代表。为此，我们再度与王达老师合作并出版《华为VPN学习指南》一书（另一本《华为MPLS学习指南》也将很快上市）。这本书从学习和实用的角度，基于学习的逻辑对知识点进行了系统地组织编排，书籍由浅入深，让读者逐步掌握各种VPN技术原理和应用方案配置与管理方法。同时该书中配备了大量不同场景下的各种VPN方案的应用配置示例和典型故障排除方法，让读者能够真正地学以致用。希望本书能够帮助读者快速地学习华为设备的VPN技术，不断提升，在ICT行业大展身手！

　　1.1 VPN的起源、定义与优势
　　1.2 VPN方案的分类
　　1.3 VPN隧道技术
　　1.4 VPN身份认证技术
　　1.5 加密、数字信封、数字签名和数字证书原理
　　1.6 MD5认证算法原理
　　1.7 SHA认证算法原理
　　1.8 SM3认证算法原理
　　1.9 AES加密算法原理
　　1.10 DES加密算法原理
　　本章作为本书开篇，将对本书后续各章所涉及的一些公用技术基础知识和技术原理进行介绍。其中主要包括VPN定义（这对理解什么是VPN很重要）、VPN的分类，以及各种VPN隧道技术（如PPTP、L2TP、IPSec、GRE、MPLS等）、VPN身份认证技术（如PAP、CHAP、AH、ESP）、认证算法（如MD5、SHA、SM3）和加密算法（如AES、DES、3DES等），以及加密、数字签名和数字信封技术原理，为本书后续各章的学习打下基础。
　　因为本书的重点是后续各章将要介绍华为AR G3系列路由器中所支持的各种VPN解决方案的具体配置与管理方法，所以对于一些复杂的认证算法和加密算法的具体运算原理无需有太深入的了解。
　　任何技术的诞生都有其特定的应用需求背景，即是由需求驱动产生的。在计算机网络发展初期，各企业的局域网基本上都处于同一地点，无分机构网络，也就无需进行远程连接。但随着经济的发展，计算机网络应用的普及和发展日趋完善，越来越多的企业开始在全国，甚至全球建立分支机构，全国乃至全球的合作伙伴也日益增多，同时公司员工对移动访问公司网络的需求也不断增加。这一切都涉及到一个非常现实的重要问题，那就是如何通过安全、便捷的方式把这些分支机构的内部网络进行互联，实现资源共享；如何使合作伙伴、公司移动办公员工可以方便、快捷地访问公司内部网络。这就是VPN（Virtual Private Network，虚拟专用网）技术诞生的最初背景需求，但最初解决这类需求的方案还不是VPN，这将在1.1.1节具体介绍。
　　VPN是一类技术的统称，随着技术的发展，产生了多种可以实现以上目的的VPN解决方案，如本书后续各章所介绍的IPSec VPN、GRE VPN、L2TP VPN、DSVPN和SSL VPN等。但这些VPN解决方案都有两个共同的基本特点：（1）主要应用于通过公共的Internet进行远程网络连接，满足了远程网络连接的便捷性；（2）不是直接通过公共的Internet来传输远程网络互联通信中的数据，而是会采取各种安全保密技术（或称“隧道”技术），使得人们担心的安全问题也随之得到解决。
　　最初，为了解决企业网络远程连接的问题，电信运营商采用的是租赁线路（Leased Line）的方式为客户提供远程网络的专线连接，但这并不是我们现在所说的真正意义上的VPN，两者只是功能类似。
　　这种专线方式是为企业用户提供物理的二层链路，即以二层的方式为企业用户实现远程网络的连接。这种专线方式有其明显的缺点：网络建设时间长、价格昂贵，不适宜太远距离的连接，因为都需要专门为每一个用户架设物理线路，而且一条物理线路只为一个用户专用，线路利用率低。对用户来说，租用专线的费用的确非常高，不仅限制了用户的使用，同时也阻碍了远程网络连接技术的应用和发展。这不符合我们前面所说到的VPN所具有的便捷、安全这些基本特性。