前言

经过数月、数十位编写、审核人员的辛勤创作和一次又一次的修改，本书终于完稿了，大家也都从这本书内容的专业性和实用性中感受到巨大的成就感。真心希望本书能给大家带来一些实际的帮助，得到大家一如既往的支持与喜爱，更诚挚欢迎、接受大家的批评与指正。

本书特色

本书在编写过程中，聚集了多位专家老师的智慧和专业技能，也权衡了各位专家老师在图书定位、内容编排、整书框架部署、以及具体的知识点写作等方面的建议。使得本书具有了许多以下鲜明特色。

（1）华为安全HCNP技能学习、培训的指定教材

本书由华为技术有限公司官方直接授权创作，在具体编写过程中既充分考虑了普通读者系统学习VPN技术及功能配置与管理方法的需求，同时也考虑到了参加华为安全HCNP认证考试的学习需求。本书是国内第一本、也是唯一一权威的华为网络安全领域VPN技术自学、培训教材。

（2）内容全面、系统、深入，一册无忧

本书是专门针对华为设备各种IP VPN（包括IPSec VPN、L2TP VPN、GRE VPN、DSVPN和SSL VPN）方案进行内容编排的，不仅介绍了各种VPN方案所涉及的各方面技术原理，还全面介绍了各种VPN在不同场景下的配置与管理方法。真正的“一册在手，别无所求”。

（3）通俗原理剖析与完善配置思路结合

为了帮助大家真正理解和掌握各种VPN方案的实现原理，在本书中笔者结合了近20年的工作和学习经验，对各种VPN方案所涉及的许多比较高深、复杂的技术原理进行了深入、通俗化地剖析，许多纯是经验之谈，其他渠道很难获取。另外，为了帮助大家对各种VPN方案在不同场景下的配置思路和方法有一个清晰的认识，笔者在内容编排上采取了分门别类的方式进行讲解，使大家可以非常快捷地找到对应场景下的完整配置思路和方法。

（4）大量配置示例和故障排除方法结合

为了增强本书的实用性，在介绍完每一种相关功能配置后都列举了大量的不同场景下的配置示例，以加深大家对前面所学技术原理和具体配置与管理方法的理解。许多配置示例完全可直接应用于不同现实场景。另外，为了使大家能在部署VPN方案时对所遇到的各种故障迅速地进行排除，在大部分章的最后都介绍了针对一些典型故障现象的排除方法，使得本书具有非常高的专业性和实用性。

适用读者对象

本书具备极高的系统性、专业性和实用性，适合于各层次的读者，具体如下。

· 使用华为AR系列路由器、USG系列防火墙产品的用户（华为S系列交换机支持部分功能）；

· 华为培训合作伙伴、华为网络学院的学员；

· 高等院校的计算机网络专业学生；

· 希望从零开始系统学习华为设备VPN技术的读者；

· 希望有一本可在平时工作中查阅的华为设备VPN技术手册的读者。

本书主要内容

本书是国内图书市场中第一本专门介绍华为VPN技术原理及配置与管理方法的工具图书，也是华为ICT认证系列培训教材。全书共9章，以华为AR系列路由器（部分VPN方案也适用于华为S系列交换机，其中的技术原理及大多数配置方法同样适用于华为USG系列防火墙）所支持的各种IP VPN（基于MPLS的VPN将在《华为MPLS学习指南》一书中介绍）方案为主线全面、系统、深入地介绍了IPSec VPN、L2TP VPN、GRE VPN、DSVPN和SSL VPN的各方面技术原理及各项功能的配置与管理方法。各章的基本内容如下。

第1章 VPN基础：从宏观角度，比较全面介绍了IP VPN技术的一些基础知识，包括VPN的定义、分类、各种隧道协议（PPTP、L2TP、GRE、IPSec、MPLS），以及各种安全技术原理，包括PAP、CHAP身份认证原理，数据加密、数字签名、数字信封、数字证书技术原理，MD5、SHA、SM3、AES、DES等认证或加密算法原理。

第2章 IPSec基础及手工方式IPSec VPN配置与管理：本章首先全面、系统地介绍了IPSec相关的基础知识和技术原理，包括IPSec的安全机制、封装模式、AH和ESP报头格式，IPSec保护数据流定义方式，以及IPSec隧道建立原理和IKEv1/v2密钥交换原理。然后专门介绍采用基于ACL定义保护数据流的手工方式建立IPSec隧道的配置与管理方法。在最后介绍了在采用手工方式建立IPSec隧道过程中可能出现的一些典型故障的排除方法。

第3章 IKE动态协商方式建立IPSec VPN的配置与管理：本章专门介绍了在采用基于ACL定义保护数据流的IKE协议动态协商方式建立IPSec隧道的配置与管理方法。本章有大量针对不同应用场景下的配置示例，并在最后也专门介绍了在采用IKE协议动态协商建立IPSec隧道的过程中可能出现的一些典型故障的排除方法。

第4章 基于Tunnel接口和Efficient VPN策略的IPSec VPN配置与管理：本章介绍了基于Tunnel接口定义保护数据流和基于Efficient VPN策略建立IPSec隧道的配置与管理方法。基于隧道接口方式的主要特点是无需通过 ACL 来定义数据流，凡是通过Tunnel接口转的数据流都将被IPSec保护；基于Efficient VPN策略方式可以使远程终端的配置极为简单，更适合采用动态IP公网接入的移动办公用户远程接入企业网络。

第5章 L2TP VPN配置与管理：本章专门介绍了L2TP VPN这种二层VPN解决方案所涉及的各方面基础知识、技术原理和具体功能配置与管理方法。在基础方面主要包括L2TP VPN体系架构、L2TP协议报文格式，L2TP隧道模式；在技术原理方面主要涉及 L2TP 报文的封装和传输原理、各种 L2TP 隧道模式的隧道建立流程。在本章最后列举了多个不适用不同场景下的L2TP VPN配置示例，介绍了在L2TP VPN部署中可能出现的一些典型故障的排除方法。

第6章 GRE VPN配置与管理：本章专门介绍了GRE VPN解决方案所涉及的各方面基础知识、技术原理和具体功能配置与管理方法。主要包括GRE协议报文格式、GRE报文的封装和解封装原理、GRE安全机制和GRE隧道配置与管理方法。在本章最后列举了多个不适用不同场景下的GRE VPN配置示例，介绍了在GRE VPN部署中可能出现的一些典型故障的排除方法。

第7章 DSVPN配置与管理：本书专门介绍了DSVPN解决方案所涉及的各方面基础知识、技术原理和具体功能配置与管理方法。主要包括mGRE协议报文的封装和解封装原理、NHRP协议工作原理、shortcut和非shortcut场景的DSVPN工作原理、DSVPN NAT穿越和IPSec保护原理，以及shortcut和非shortcut场景下DSVPN隧道配置与管理方法。在本章最后列举了多个不适用不同场景、不同路由方式下的 DSVPN 配置示例，介绍了在DSVPN部署中可能出现的一些典型故障的排除方法。

第8章 PKI配置与管理：本章是为第9章介绍SSL VPN打基础，其目的是为设备申请本地数字证书，因为在SSL VPN部署中要用到数字证书进行身份认证。本章主要围绕本地数字证书的申请、下载、安装、更新介绍了PKI各方面的基础知识、技术原理和具体功能配置与管理方法。在基础知识和技术原理方面包括PKI体系架构、数字证书结构和分类、PKI 工作机制。在本章最后列举了多个采用不同方式申请本地证书的配置示例，介绍了在本地证书申请过程中可能出现的一些典型故障的排除方法。

第9章 SSL VPN配置与管理：本章围绕SSL VPN部署过程中除了PKI数字证书以外的SSL策略、HTTPS服务器、SSL VPN这三个方面的功能与管理方法进行介绍。部署SSL VPN首先要把网关设备配置为HTTPS服务器，以供远程用户可以通过浏览器以Web方式进行访问。在HTTPS服务器的配置过程中需要配置SSL服务器策略，而在创建SSL服务器策略时又要用到设备的本地证书。最后把设备配置为SSL VPN网关，为远程用户提供访问企业内网资源的Web页面。同样，在本章最后也列举了多个基于不同业务类型的SSL VPN配置示例。

阅读注意地方

在阅读本书时，请注意以下几个地方。

· 书中是以华为最新一代AR G3系列路由器、V200R006及以后版本VRP系统的配置为主线进行介绍。

· 在配置命令代码介绍中，粗体字部分是命令本身或关键字选项部分，是不可变的；斜体字部分是命令或者关键字的参数部分，是可变的。

· 在介绍各种VPN 技术及功能配置说明过程中，对于一些需要特别注意的地方均以粗体字格式加以强调，以便读者在阅读学习时引起特别注意。

· 为了使书中内容具有更广的适用性，在介绍具体的配置步骤过程中，对一些命令在不同VRP系统版本中的支持情况做了具体说明。