《CCNP安全Secure 642-637認證考試指南》是2014年8月人民郵電出版社出版的圖書,作者是[美]Sean Wilkins、Trey Smith。
基本介紹
- 中文名:CCNP安全Secure 642-637認證考試指南
- 作者:[美]Sean Wilkins、Trey Smith
- 出版社:人民郵電出版社
- 出版時間:2014年8月
- 頁數:543 頁
- 定價:108 元
- 開本:16 開
- 裝幀:平裝
- ISBN:9787115347374
內容簡介,圖書目錄,
內容簡介
《CCNP安全Secure 642-637認證考試指南》是根據Cisco最新推出的CCNP安全Secure 642-637認證考試綱要編寫的考試指南。全書分為22章和2個附錄,包括網路安全基礎的概念、組件、Cisco SAFE模型;對網路及其組件造成威脅的各種手段;網路基礎保護(NFP)概述;交換機數據面的攻擊手段及應對方案;使用802.1X與Cisco IBNS框架為網路提供有效的訪問授權;802.1X認證的配置與實施;路由器數據面的攻擊手段及應對方案;Cisco IOS控制面/管理面的攻擊手段及應對方案;NAT/ZBPFW/IPS的配置與實施;站點到站點的安全解決方案;站點到站點IPSec VPN的部署/認證;DMVPN的部署;為基於隧道的IPSec VPN部署高可用性;GET VPN的部署;使用SSL VPN/EZVPN部署遠程訪問的解決方案等。
《CCNP安全Secure 642-637認證考試指南》包含了大量的配置實例,有助於讀者掌握配置方式和排錯技巧。每章末尾的考試要點總結能夠幫助讀者快速了解本章內容。
《CCNP安全Secure 642-637認證考試指南》深入翔實地討論了與CCNP安全Secure 642-637認證考試相關的主題,能夠幫助讀者更好地備考CCNP安全認證考試;同時,從事網路安全工作的工程師、網路維護人員也可以從中受益。
圖書目錄
第 1章 網路安全基礎 1
1.1 摸底測驗 1
1.2 定義網路安全 4
1.3 構建安全網路 4
1.4 Cisco SAFE架構 5
1.4.1 SCF基礎 6
1.4.2 SAFE/SCF架構原則 9
1.4.3 SAFE/SCF網路基礎保護(NFP) 9
1.4.4 SAFE/SCF設計藍圖 9
1.4.5 SAFE架構用途 10
1.5 考試要點回顧 11
1.6 完成助記表 12
1.7 重要術語 12
1.8 填空 12
第 2章 網路安全威脅 15
2.1 摸底測驗 15
2.2 安全漏洞 18
2.3 入侵者動機 21
2.3.1 缺乏對計算機或網路的了解導致的入侵 22
2.3.2 好奇心導致的入侵 22
2.3.3 樂趣與成就感導致的入侵 23
2.3.4 報復導致的入侵 23
2.3.5 受利益驅使的入侵 23
2.3.6 政治目的導致的入侵 23
2.4 網路攻擊類型 24
2.4.1 偵察攻擊 24
2.4.2 訪問攻擊 25
2.4.3 DoS攻擊 27
2.5 考試要點回顧 27
2.6 完成助記表 28
2.7 重要術語 28
2.8 填空 28
第3章 網路基礎保護(NFP)概述 31
3.1 摸底測驗 31
3.2 設備功能面概述 34
3.2.1 控制面 34
3.2.2 數據面 35
3.2.3 管理面 36
3.3 界定NFP部署模型 36
3.4 界定NFP功能的可用性 38
3.4.1 Cisco Catalyst交換機 39
3.4.2 Cisco集成多業務路由器 39
3.4.3 Cisco支持管理組件 40
3.5 考試要點回顧 42
3.6 完成助記表 42
3.7 重要術語 42
3.8 填空 42
第4章 配置與實施交換式數據面安全解決方案 45
4.1 摸底測驗 45
4.2 交換式數據面攻擊類型 47
4.2.1 VLAN跳躍攻擊 47
4.2.2 CAM泛洪攻擊 48
4.2.3 MAC地址欺騙 51
4.2.4 STP欺騙攻擊 52
4.2.5 DHCP耗竭攻擊 52
4.2.6 DHCP伺服器欺騙 53
4.2.7 ARP欺騙 54
4.2.8 IP欺騙 55
4.3 交換式數據面安全技術 55
4.3.1 連線埠配置 55
4.3.2 連線埠安全 58
4.3.3 根防護、BPDU防護與PortFast 60
4.3.4 DHCP窺探 61
4.3.5 動態ARP檢測 62
4.3.6 IP源防護 64
4.3.7 私有VLAN 64
4.4 考試要點回顧 67
4.5 完成助記表 68
4.6 重要術語 68
4.7 本章命令一覽 68
4.8 填空 70
第5章 802.1X與Cisco基於身份的網路服務(IBNS) 73
5.1 摸底測驗 73
5.2 CiscoIBNS與IEEE 802.1X標準概述 76
5.2.1 Cisco IBNS對802.1X的改進與增強 76
5.2.2 802.1X構成 78
5.3 802.1X互聯 79
5.3.1 可擴展認證協定(EAP) 79
5.3.2 基於區域網路的可擴展認證協定(EAPOL) 80
5.3.3 EAP訊息交換 81
5.3.4 連線埠狀態 82
5.3.5 連線埠認證主機模式 82
5.4 EAP協定類型 82
5.4.1 EAP-MD5 83
5.4.2 PEAPv0/MSCHAPv2 83
5.4.3 EAP-LEAP 84
5.4.4 EAP-TLS 84
5.4.5 EAP-TTLS 85
5.4.6 EAP-FAST 86
5.5 考試要點回顧 87
5.6 完成助記表 87
5.7 重要術語 87
5.8 填空 87
第6章 配置與實施802.1X認證(基礎) 91
6.1 摸底測驗 91
6.2 規劃基本的802.1X部署 94
6.2.1 收集輸入參數 95
6.2.2 部署工作 95
6.2.3 部署選擇 95
6.2.4 一般性部署原則 96
6.3 為Cisco Catalyst交換機配置認證方 96
6.3.1 配置選擇 96
6.3.2 配置示例 97
6.3.3 驗證基本的802.1X配置 101
6.4 為Cisco ACS配置EAP-FAST 102
6.4.1 配置選擇 102
6.4.2 配置示例 103
6.5 為Cisco SSC配置請求方 107
6.6 802.1X的驗證與排錯 113
6.6.1 排錯過程 114
6.6.2 日誌訊息 114
6.6.3 驗證連線狀態 114
6.6.4 驗證認證伺服器 114
6.6.5 驗證訪客VLAN與受限VLAN的分配 114
6.6.6 802.1X準備就緒檢測 114
6.6.7 請求方無回響 115
6.6.8 認證失敗:RADIUS配置存在問題 115
6.6.9 認證失敗:身份憑證存在問題 115
6.7 考試要點回顧 115
6.8 完成助記表 115
6.9 重要術語 116
6.10 填空 116
第7章 配置與實施802.1X認證(進階) 119
7.1 摸底測驗 119
7.2 規劃Cisco**802.1X認證特性的部署 122
7.2.1 收集輸入參數 122
7.2.2 任務一覽 122
7.2.3 EAP類型與認證模式選擇 122
7.3 為Cisco IOS組件與Cisco ACS配置並驗證EAP-TLS認證 123
7.3.1 任務一覽 124
7.3.2 給定條件 124
7.3.3 配置選擇 124
7.3.4 配置任務 125
7.3.5 注意事項 130
7.3.6 版本要求 130
7.3.7 驗證配置 131
7.4 部署用戶認證與機器認證 131
7.4.1 任務一覽 131
7.4.2 給定條件 132
7.4.3 配置任務 132
7.4.4 注意事項 135
7.4.5 版本要求 136
7.5 部署VLAN與ACL 136
7.5.1 任務一覽 136
7.5.2 給定條件 136
7.5.3 注意事項 137
7.5.4 配置任務 137
7.5.5 驗證交換機配置的VLAN與ACL 140
7.5.6 驗證Cisco ACS配置的VLAN與ACL 141
7.6 為Cisco ACS配置並驗證MAC地址例外策略 141
7.6.1 Cisco交換機的MAC身份驗證旁路(MAB)技術 141
7.6.2 任務一覽 142
7.6.3 給定條件 142
7.6.4 配置任務 143
7.6.5 驗證配置 143
7.6.6 注意事項 143
7.7 為Cisco交換機與Cisco ACS配置並驗證Web認證 144
7.7.1 任務一覽 145
7.7.2 給定條件 145
7.7.3 配置任務 145
7.7.4 驗證配置 147
7.7.5 用戶體驗 147
7.8 為交換機的單連線埠配置多主機支持功能 147
7.8.1 配置方針 148
7.8.2 配置示例 148
7.9 配置應急開放策略 149
7.9.1 配置關鍵連線埠 149
7.9.2 配置開放式認證 151
7.10 解決802.1X兼容性問題 151
7.10.1 區域網路喚醒技術(WoL) 151
7.10.2 不支持802.1X的IP電話 152
7.10.3 遠程引導技術(PXE) 152
7.11 考試要點回顧 153
7.12 完成助記表 153
7.13 重要術語 153
7.14 填空 154
第8章 配置與實施路由式數據面安全 157
8.1 摸底測驗 157
8.2 路由式數據面攻擊類型 159
8.2.1 IP欺騙 159
8.2.2 慢通道拒絕服務 160
8.2.3 流量泛洪 160
8.3 路由式數據面安全技術 160
8.3.1 訪問控制列表 160
8.3.2 靈活包匹配 168
8.3.3 靈活NetFlow 175
8.3.4 單播反向路徑轉發 180
8.4 考試要點回顧 182
8.5 完成助記表 182
8.6 重要術語 182
8.7 本章命令一覽 183
8.8 填空 185
第9章 配置與實施控制面安全解決方案 187
9.1 摸底測驗 187
9.2 控制面攻擊類型 189
9.2.1 慢路徑拒絕服務攻擊 189
9.2.2 路由協定欺騙 190
9.3 控制面安全技術 190
9.3.1 控制面監管(CoPP) 190
9.3.2 控制面保護(CPPr) 193
9.3.3 路由協定認證 197
9.4 考試要點回顧 201
9.5 完成助記表 202
9.6 重要術語 202
9.7 本章命令一覽 202
9.8 填空 204
第 10章 配置與實施管理面安全解決方案 207
10.1 摸底測驗 207
10.2 管理面攻擊類型 209
10.3 管理面安全技術 209
10.3.1 基本管理安全與許可權 209
10.3.2 安全外殼(SSH)協定 214
10.3.3 簡單網路管理協定(SNMP) 215
10.3.4 CPU閾值與記憶體閾值 220
10.3.5 管理面保護(MPP) 221
10.3.6 AutoSecure 222
10.3.7 數字簽名Cisco軟體 223
10.4 考試要點回顧 224
10.5 完成助記表 224
10.6 重要術語 224
10.7 本章命令一覽 225
10.8 填空 227
第 11章 配置與實施網路地址轉換 231
11.1 摸底測驗 231
11.2 網路地址轉換 233
11.2.1 NAT示例 234
11.2.2 NAT配置 236
11.2.3 NAT復用(PAT) 240
11.3 考試要點回顧 242
11.4 完成助記表 243
11.5 重要術語 243
11.6 本章命令一覽 243
11.7 填空 244
第 12章 配置與實施基於區域的策略防火牆 247
12.1 摸底測驗 247
12.2 基於區域的策略防火牆概述 249
12.2.1 區域/安全區域 250
12.2.2 區域對 251
12.2.3 透明防火牆 252
12.3 基於區域的三層/四層策略防火牆配置 252
12.3.1 配置類型映射 253
12.3.2 配置參數映射 255
12.3.3 配置策略映射 256
12.3.4 配置安全區域 257
12.3.5 配置區域對 258
12.3.6 配置連線埠到套用的映射(PAM) 259
12.4 基於區域的七層策略防火牆配置 261
12.4.1 URL過濾 261
12.4.2 HTTP檢測 266
12.5 考試要點回顧 270
12.6 完成助記表 270
12.7 重要術語 271
12.8 本章命令一覽 271
12.9 填空 274
第 13章 配置與實施IOS入侵防禦系統 277
13.1 摸底測驗 277
13.2 配置選擇、基本規程與所需的輸入參數 279
13.2.1 採用簽名實現入侵檢測與防禦 280
13.2.2 感測器精度 282
13.3 選擇Cisco IOS IPS感測器平台 283
13.3.1 基於軟體的感測器 283
13.3.2 基於硬體的感測器 283
13.3.3 任務一覽 284
13.3.4 注意事項 284
13.4 部署軟體Cisco IOSIPS簽名策略 284
13.4.1 任務一覽 284
13.4.2 給定條件 284
13.4.3 配置任務 285
13.4.4 驗證配置 288
13.4.5 注意事項 289
13.5 調整軟體Cisco IOS IPS簽名 289
13.5.1 事件風險評級(ERR)概述 289
13.5.2 ERR計算 289
13.5.3 ERR示例 290
13.5.4 事件行為覆蓋 291
13.5.5 事件行為過濾器 291
13.5.6 任務一覽 291
13.5.7 給定條件 291
13.5.8 配置任務 292
13.5.9 驗證配置 295
13.5.10 注意事項 296
13.6 部署軟體Cisco IOS IPS簽名更新 296
13.6.1 任務一覽 296
13.6.2 給定條件 296
13.6.3 配置任務 297
13.6.4 驗證配置 298
13.7 監控軟體Cisco IOS IPS事件 298
13.7.1 軟體IOS IPS事件的產生 298
13.7.2 Cisco IME概述 299
13.7.3 Cisco IME**低配置要求 299
13.7.4 任務一覽 300
13.7.5 給定條件 300
13.7.6 配置任務 300
13.7.7 驗證配置 302
13.8 軟體Cisco IOS IPS感測器的排錯 303
13.8.1 查找錯誤信息 304
13.8.2 其他診斷命令 305
13.9 考試要點回顧 305
13.10 完成助記表 306
13.11 重要術語 306
13.12 填空 306
第 14章 Cisco站點間安全解決方案簡介 309
14.1 摸底測驗 309
14.2 選擇合適的VPN區域網路拓撲 312
14.2.1 選擇最佳的VPN區域網路拓撲:輸入參數 313
14.2.2 選擇最佳的VPN區域網路拓撲:注意事項 313
14.3 選擇合適的VPN廣域網技術 313
14.3.1 選擇最佳的VPN廣域網技術:輸入參數 314
14.3.2 選擇最佳的VPN廣域網技術:注意事項 315
14.4 IPSec VPN技術的核心特性 315
14.4.1 IPSec安全關聯 316
14.4.2 網際網路密鑰交換(IKE) 316
14.4.3 IPSec階段 316
14.4.4 IKE主模式與積極模式 317
14.4.5 封裝安全載荷(ESP) 317
14.5 選擇合適的VPN加密控制方式 318
14.5.1 選擇加密控制方式:輸入參數 318
14.5.2 算法選擇 318
14.5.3 注意事項 320
14.5.4 參考資料 320
14.6 考試要點回顧 321
14.7 完成助記表 321
14.8 重要術語 321
14.9 填空 321
第 15章 部署基於虛擬隧道接口的站點間IPSec VPN 325
15.1 摸底測驗 325
15.2 規劃基於VTI的站點間VPN 327
15.2.1 虛擬隧道接口(VTI) 328
15.2.2 輸入參數 329
15.2.3 任務一覽 330
15.2.4 部署選擇 330
15.2.5 注意事項 330
15.3 配置基本的IKE對等體 330
15.3.1 基於PSK的默認IKE策略 331
15.3.2 任務一覽 331
15.3.3 配置選擇 331
15.3.4 給定條件 331
15.3.5 配置任務 332
15.3.6 驗證本地IKE策略的配置 332
15.3.7 驗證本地IKE會話的配置 333
15.3.8 驗證IKE階段1協商 333
15.3.9 注意事項 333
15.3.10 IKE對等體的排錯 334
15.3.11 排錯流程 334
15.4 配置靜態點對點IPSec VTI隧道 334
15.4.1 默認的IPSec轉換集 334
15.4.2 任務一覽 335
15.4.3 配置選擇 335
15.4.4 給定條件 335
15.4.5 配置任務 335
15.4.6 注意事項 337
15.4.7 驗證點對點STVI的配置 337
15.4.8 排錯流程 338
15.5 配置動態點對點IPSec VTI隧道 338
15.5.1 虛擬接口模板與虛擬訪問接口 338
15.5.2 ISAKMP配置檔案 339
15.5.3 任務一覽 339
15.5.4 給定條件 340
15.5.5 配置任務 340
15.5.6 驗證點對點DVTI的配置 342
15.5.7 注意事項 342
15.6 考試要點回顧 343
15.7 完成助記表 343
15.8 重要術語 343
15.9 填空 344
第 16章 為站點到站點IPSec VPN部署可擴展的認證 347
16.1 摸底測驗 347
16.2 描述公鑰基礎設施的概念 350
16.2.1 手動密鑰交換及驗證 350
16.2.2 可信任引介 350
16.2.3 公鑰基礎設施:證書**機構 352
16.2.4 X.509身份證書 353
16.2.5 證書吊銷檢查 354
16.2.6 在網路套用中使用證書 355
16.2.7 部署選擇 355
16.2.8 部署步驟 356
16.2.9 環境參數 356
16.2.10 部署指南 356
16.3 基礎Cisco IOS軟體證書伺服器的配置、驗證及故障排除 357
16.3.1 根證書伺服器的配置任務 358
16.3.2 配置情景 358
16.3.3 任務1:創建RSA密鑰對 358
16.3.4 任務2:創建PKI信任點 359
16.3.5 任務3和4:創建證書伺服器並配置資料庫的存儲位置 359
16.3.6 任務5:配置發布策略 360
16.3.7 任務6:配置吊銷策略 361
16.3.8 任務7:配置SCEP接口 361
16.3.9 任務8:激活證書伺服器 361
16.3.10 使用Cisco配置專家(CCP) 361
16.3.11 驗證Cisco IOS軟體證書伺服器 362
16.3.12 特性支持 362
16.3.13 實施指南 363
16.3.14 故障排除流程 363
16.3.15 額外的指南:PKI和時間 364
16.4 向PKI註冊Cisco IOS軟體VPN路由器以及註冊過程的故障排除 364
16.4.1 PKI客戶端特性 364
16.4.2 簡單證書註冊協定 365
16.4.3 密鑰存儲 365
16.4.4 配置任務 365
16.4.5 配置情景 365
16.4.6 任務1:創建RSA密鑰對 366
16.4.7 任務2:創建PKI信任點 366
16.4.8 任務3:認證PKI證書**機構 367
16.4.9 任務4:在VPN路由器上創建註冊請求 368
16.4.10 任務5:在CA伺服器上頒發客戶端證書 368
16.4.11 在Cisco IOS軟體證書伺服器上吊銷證書 369
16.4.12 使用Cisco配置專家(CCP) 369
16.4.13 驗證CA和身份證書 369
16.4.14 特性支持 370
16.4.15 實施指南 370
16.4.16 故障排除流程 370
16.5 配置及驗證Cisco IOS軟體VPN路由器與PKI的整合 371
16.5.1 IKE對等體認證 371
16.5.2 IKE對等體證書授權 371
16.5.3 配置任務 371
16.5.4 配置情景 372
16.5.5 任務1:配置IKE策略 372
16.5.6 任務2:配置ISAKMP profile 372
16.5.7 任務3:配置基於證書的遠程對等體授權 373
16.5.8 驗證IKE SA的建立 373
16.5.9 特性支持 374
16.5.10 實施指南 374
16.5.11 故障排除流程 374
16.5.12 配置**的PKI整合 374
16.5.13 在PKI客戶端上配置對CRL的處理 375
16.5.14 在PKI客戶端上使用OCSP或AAA 375
16.6 考試要點回顧 376
16.7 完成助記表 376
16.8 重要術語 377
16.9 填空 377
第 17章 部署DMVPN 379
17.1 摸底測驗 379
17.2 理解Cisco IOS軟體DMVPN的架構 382
17.2.1 DMVPN的組件 383
17.2.2 中心到分支和按需全互連VPN 383
17.2.3 DMVPN的初始狀態 384
17.2.4 DMVPN分支到分支隧道的創建 384
17.2.5 DMVPN的優勢與局限性 385
17.3 規劃Cisco IOS軟體DMVPN的部署 386
17.3.1 環境參數 386
17.3.2 配置任務 386
17.3.3 部署選擇 386
17.3.4 部署指南 387
17.4 配置及驗證Cisco IOS軟體GRE隧道 387
17.4.1 GRE的特性和局限性 387
17.4.2 點到點與點到多點GRE隧道 388
17.4.3 點到點隧道配置實例 388
17.4.4 中心到分支網路的配置任務 389
17.4.5 配置情景 389
17.4.6 任務1:在中心路由器上配置mGRE接口 390
17.4.7 任務2:在分支路由器上配置點到點GRE接口 390
17.4.8 驗證GRE隧道的狀態 391
17.5 配置及驗證Cisco IOS軟體NHRP客戶端與伺服器 391
17.5.1 (m)GRE與NHRP的整合 392
17.5.2 配置任務 392
17.5.3 配置情景 392
17.5.4 任務1:配置NHRP伺服器 392
17.5.5 任務2:配置NHRP客戶端 393
17.5.6 驗證NHRP映射 393
17.5.7 調試NHRP 394
17.6 配置及驗證Cisco IOS軟體DMVPN中心 395
17.6.1 配置任務 395
17.6.2 配置情景 395
17.6.3 任務1:(可選地)配置IKE策略 395
17.6.4 任務2:生成/配置認證憑證 396
17.6.5 任務3:配置IPSec profile 396
17.6.6 任務4:創建mGRE隧道接口 396
17.6.7 任務5:配置NHRP伺服器 396
17.6.8 任務6:為mGRE接口關聯IPSec profile 397
17.6.9 任務7:在mGRE接口上配置IP參數 397
17.6.10 使用Cisco配置專家(CCP) 397
17.6.11 驗證分支路由器的註冊 397
17.6.12 驗證已註冊分支的具體信息 398
17.6.13 實施指南 399
17.6.14 特性支持 399
17.7 配置及驗證Cisco IOS軟體DMVPN分支 399
17.7.1 配置任務 399
17.7.2 配置情景 400
17.7.3 任務1:(可選地)配置IKE策略 400
17.7.4 任務2:生成/配置認證憑證 400
17.7.5 任務3:配置IPSec profile 401
17.7.6 任務4:創建mGRE隧道接口 401
17.7.7 任務5:配置NHRP客戶端 401
17.7.8 任務6:為mGRE接口關聯IPSec profile 401
17.7.9 任務7:在mGRE接口上配置IP參數 402
17.7.10 驗證隧道狀態和流量統計 402
17.8 配置及驗證Cisco IOS軟體DMVPN中的動態路由 402
17.8.1 EIGRP中心配置 403
17.8.2 OSPF中心配置 404
17.8.3 中心到分支模型的路由和IKE對等關係 404
17.8.4 全互連模型的路由和IKE對等關係 405
17.9 Cisco IOS軟體DMVPN的故障排除 405
17.10 考試要點回顧 406
17.11 完成助記表 407
17.12 重要術語 407
17.13 填空 407
第 18章 在基於隧道的IPSec VPN中部署高可用性 411
18.1 摸底測驗 411
18.2 規劃Cisco IOS軟體站點到站點IPSec VPN高可用性的部署 413
18.2.1 VPN故障模式 413
18.2.2 傳輸網路的局部故障 414
18.2.3 服務提供商(SP)傳輸網路的局部或全部故障 414
18.2.4 VPN設備的局部或全部故障 414
18.2.5 部署指南 415
18.3 使用路由協定提供VPN的故障倒換 415
18.3.1 路由VPN隧道端點 415
18.3.2 VPN隧道內的路由協定 416
18.3.3 警惕遞歸路由 416
18.3.4 VPN拓撲中的路由協定 417
18.3.5 為路徑選擇調整路由 417
18.3.6 加快路由收斂 417
18.4 為基於VTI隧道的VPN選擇最佳的故障規避方法 418
18.4.1 為單個傳輸網路的情景提供路徑冗餘 418
18.4.2 為多個傳輸網路的情景提供路徑冗餘 418
18.4.3 為單個傳輸網路的情景提供路徑和設備的冗餘 419
18.4.4 為多個傳輸網路的情景提供路徑和設備的冗餘 419
18.5 為DMVPN選擇最佳的故障規避方法 419
18.5.1 推薦架構 419
18.5.2 共享的IPSec SA 420
18.5.3 配置使用單個傳輸網路的DMVPN 421
18.5.4 配置使用多個傳輸網路的DMVPN 422
18.6 考試要點回顧 424
18.7 完成助記表 425
18.8 重要術語 425
18.9 填空 425
第 19章 部署GET VPN 429
19.1 摸底測驗 429
19.2 介紹Cisco IOS軟體GET VPN的技術架構 431
19.2.1 對等體認證和策略提供 432
19.2.2 GET VPN流量交換 433
19.2.3 數據包安全服務 434
19.2.4 密鑰管理架構 434
19.2.5 密鑰更新方法 434
19.2.6 流量封裝 436
19.2.7 優勢及局限性 437
19.3 規劃Cisco IOS軟體GET VPN的部署 437
19.3.1 環境參數 437
19.3.2 部署任務 437
19.3.3 部署選擇 438
19.3.4 部署指南 438
19.4 配置及驗證Cisco IOS軟體GET VPN密鑰伺服器 438
19.4.1 配置任務 438
19.4.2 配置選擇 439
19.4.3 配置情景 439
19.4.4 任務1:(可選地)配置IKE策略 440
19.4.5 任務2:生成/配置認證憑證 440
19.4.6 任務3:生成用於密鑰更新認證的RSA密鑰對 440
19.4.7 任務4:在密鑰伺服器上配置流量保護策略 440
19.4.8 任務5:配置及啟用GET VPN密鑰伺服器功能 441
19.4.9 任務6:(可選地)調整密鑰更新策略 442
19.4.10 任務7:創建並套用GET VPN加密圖 442
19.4.11 使用Cisco配置專家 442
19.4.12 驗證基礎的密鑰伺服器設定 442
19.4.13 驗證密鑰更新策略 443
19.4.14 驗證所有已註冊的成員 443
19.4.15 實施指南 444
19.5 配置及驗證Cisco IOS軟體GET VPN組成員 444
19.5.1 配置任務 444
19.5.2 配置選擇 444
19.5.3 配置情景 445
19.5.4 任務1:配置IKE策略 445
19.5.5 任務2:生成/配置認證憑證 446
19.5.6 任務3:配置及啟用GET VPN組成員的功能 446
19.5.7 任務4:創建並套用GET VPN加密圖 446
19.5.8 任務5:(可選地)配置失效即關閉策略 447
19.5.9 使用Cisco配置專家 447
19.5.10 驗證組成員的註冊 447
19.5.11 實施指南 447
19.5.12 故障排除流程 448
19.6 在GET VPN中配置及驗證高可用性機制 448
19.6.1 網路分離和網路合併 449
19.6.2 配置任務 449
19.6.3 配置情景 449
19.6.4 任務1:分發密鑰更新的RSA密鑰對 450
19.6.5 任務2:配置全互連的密鑰伺服器IKE對等關係 450
19.6.6 任務3:配置COOP 451
19.6.7 任務4和5:配置流量保護策略並在組成員上指定多台密鑰伺服器 451
19.6.8 驗證IKE對等關係 451
19.6.9 驗證COOP對等關係 451
19.6.10 實施指南 452
19.6.11 故障排除流程 452
19.7 考試要點回顧 453
19.8 完成助記表 454
19.9 重要術語 454
19.10 填空 454
第 20章 使用SSL VPN部署遠程訪問的解決方案 457
20.1 摸底測驗 457
20.2 選擇正確的遠程訪問VPN技術 460
20.2.1 Cisco IOS軟體遠程訪問VPN選項 460
20.2.2 完全隧道遠程訪問SSL VPN的特性 461
20.2.3 完全隧道遠程訪問SSL VPN的優勢與限制 461
20.2.4 無客戶端遠程訪問SSL VPN的特性 462
20.2.5 無客戶端SSL VPN的優勢與限制 462
20.2.6 軟體客戶端遠程訪問IPSec VPN(EZVPN)的特性 462
20.2.7 硬體客戶端遠程訪問IPSec VPN(EZVPN)的特性 463
20.2.8 遠程訪問IPSec VPN的優勢與限制 463
20.2.9 各種VPN訪問方式的使用情景 463
20.3 選擇正確的遠程訪問VPN加密控制項 464
20.3.1 回顧SSL/TLS 464
20.3.2 Cisco SSL遠程訪問VPN的算法選擇 465
20.3.3 IKE遠程訪問VPN擴展 466
20.3.4 Cisco IPSec遠程訪問VPN的算法選擇 466
20.4 使用SSL VPN部署遠程訪問的解決方案 467
20.4.1 解決方案的基本分析 467
20.4.2 部署任務 468
20.4.3 環境參數 468
20.5 配置及驗證通用的SSL VPN參數 469
20.5.1 配置任務 469
20.5.2 配置選擇 469
20.5.3 配置情景 469
20.5.4 任務1:(可選的)驗證SSL VPN的許可 470
20.5.5 任務2:為ISR提供一份SSL/TLS伺服器的身份證書 470
20.5.6 任務3:啟用SSL VPN網關及Context 470
20.5.7 任務4:配置及調整SSL/TLS設定 471
20.5.8 任務5:(可選地)配置網關的高可用性 471
20.5.9 網關驗證 471
20.5.10 實施指南 472
20.6 在SSL VPN網關上配置及驗證客戶端認證和策略 472
20.6.1 網關、Context和策略組 472
20.6.2 基礎的用戶認證概述 473
20.6.3 配置任務 473
20.6.4 配置情景 473
20.6.5 任務1:創建和套用默認策略 474
20.6.6 任務2:使用本地AAA啟用用戶認證 474
20.6.7 實施指南 474
20.7 在Cisco IOS SSL VPN網關上配置及驗證完全隧道的連通性 475
20.7.1 配置任務 475
20.7.2 配置情景 475
20.7.3 任務1:啟用完全隧道訪問 476
20.7.4 任務2:配置遠程客戶端的地址分配 476
20.7.5 任務3:(可選的)配置客戶端參數 476
20.7.6 任務4:(可選的)配置分割隧道 477
20.7.7 任務5:(可選的)配置訪問控制 477
20.7.8 使用Cisco配置專家(CCP) 478
20.8 安裝及配置Cisco AnyConnect客戶端 478
20.8.1 AnyConnect 2.4支持的平台 478
20.8.2 配置任務 479
20.8.3 配置情景 479
20.8.4 任務1:啟用完全隧道訪問 479
20.8.5 任務2:驗證伺服器證書認證鏈 479
20.8.6 任務3:配置基礎的AnyConnect profile的設定 480
20.8.7 任務4:建立SSL VPN連線 480
20.8.8 在客戶端上的驗證 480
20.8.9 在VPN網關上的驗證 481
20.8.10 使用Cisco配置專家(CCP) 482
20.9 在Cisco IOS SSL VPN網關上配置及驗證無客戶端的訪問 482
20.9.1 基礎的門戶特性 482
20.9.2 使用Cisco安全桌面保護無客戶端的訪問 483
20.9.3 連線埠轉發概述 483
20.9.4 連線埠轉發的優勢與限制 484
20.9.5 門戶ACL 484
20.9.6 配置任務 485
20.9.7 配置情景 485
20.9.8 任務1:配置SSL VPN門戶特性 486
20.9.9 任務2:(可選的)配置連線埠轉發 486
20.9.10 任務3:(可選的)配置Cisco安全桌面 487
20.9.11 任務4:(可選的)配置訪問控制 488
20.9.12 基礎門戶特性的驗證 488
20.9.13 Web套用的訪問 488
20.9.14 檔案伺服器的訪問 488
20.9.15 連線埠轉發的訪問 488
20.9.16 Cisco安全桌面的驗證 489
20.9.17 在VPN網關上的驗證 489
20.10 對基礎SSL VPN操作的故障排除 489
20.10.1 驗證基礎連通性 489
20.10.2 故障排除流程:VPN建立 489
20.10.3 故障排除流程:數據流 489
20.10.4 在VPN網關上的問題 490
20.10.5 在客戶端上的問題:證書問題 490
20.11 考試要點回顧 490
20.12 完成助記表 491
20.13 重要術語 491
20.14 填空 491
第 21章 使用EZVPN部署遠程訪問的解決方案 495
21.1 摸底測驗 495
21.2 規劃Cisco IOS軟體EZVPN的部署 498
21.2.1 解決方案的基本分析 499
21.2.2 部署任務 499
21.2.3 環境參數 499
21.2.4 部署指南 500
21.3 配置及驗證基礎的Cisco IOS軟體基於VTI的EZVPN伺服器 500
21.3.1 組預共享密鑰認證 500
21.3.2 擴展認證(XAUTH)概述 501
21.3.3 客戶端配置組和ISAKMP profile 501
21.3.4 配置任務 501
21.3.5 配置情景 502
21.3.6 任務1:(可選的)配置IKE策略 502
21.3.7 任務2:配置IPSec轉換集和profile 502
21.3.8 任務3:配置動態的VTI模板接口 503
21.3.9 任務4:創建客戶端配置組 503
21.3.10 任務5:創建ISAKMP profile 503
21.3.11 任務6和7:配置並啟用用戶認證 504
21.3.12 使用Cisco 配置專家(CCP) 505
21.3.13 實施指南 505
21.4 配置Cisco VPN客戶端 505
21.4.1 配置任務 505
21.4.2 配置情景 505
21.4.3 任務1:安裝Cisco VPN客戶端軟體 506
21.4.4 任務2:配置VPN客戶端連線條目 506
21.4.5 任務3:建立EZVPN連線 506
21.4.6 在客戶端上的驗證 506
21.4.7 在VPN網關上的驗證 506
21.5 在Cisco ISR上配置及驗證基於VTI的EZVPN遠程客戶端功能 507
21.5.1 EZVPN遠程特性的操作模式 508
21.5.2 配置任務 508
21.5.3 配置情景 508
21.5.4 任務1:配置EZVPN遠程profile 508
21.5.5 任務2:指定EZVPN接口的角色 509
21.5.6 實施指南 509
21.6 配置及驗證EZVPN伺服器和VPN客戶端PKI特性 510
21.6.1 EZVPN伺服器的PKI配置 510
21.6.2 VPN客戶端配置:SCEP註冊 510
21.6.3 VPN客戶端註冊的驗證 511
21.6.4 VPN客戶端的配置:profile 511
21.7 基礎EZVPN的故障排除 511
21.7.1 故障排除流程:VPN會話建立 511
21.7.2 故障排除流程:VPN數據流 511
21.8 考試要點回顧 512
21.9 完成助記表 513
21.10 重要術語 513
21.11 填空 513
21.12 參考資料 514
第 22章 最後衝刺 517
22.1 最後衝刺工具 517
22.1.1 CD上的Pearson認證練習測試引擎和測試題 517
22.1.2 安裝CD上的軟體 517
22.1.3 激活並下載試題 518
22.1.4 激活其他試題 518
22.1.5 **版本 518
22.2 Cisco學習網路 518
22.3 助記表 519
22.4 章節末尾回顧工具 519
22.5 最後複習/學習的建議計畫 519
22.6 步驟1:複習考試要點、摸底測試和填空題 520
22.7 步驟2:完成助記表 520
22.8 步驟3:親自動手練習 520
22.9 步驟4:列出配置檢查表 521
22.10 步驟5:使用測試引擎 521
22.11 總結 522
附錄A 摸底測試題答案 525
附錄B CCNP安全64-637 Secure考試更新:版本1.0 543
