CCNP安全VPN642-648認證考試指南（第2版）

《CCNP安全VPN 642-648認證考試指南(第 2版)》是根據Cisco最新推出的CCNP安全VPN 642-648認證考試綱要編寫的考試指南。全書共分為22章和2個附錄，詳細闡述了ASA的架構，並對Cisco無客戶端的遠程訪問VPN、Cisco AnyConnect遠程訪問VPN、Cisco IPSec遠程訪問VPN、Cisco IPSec站點到站點的VPN等常見的VPN技術的特點、配置和管理、驗證和授權、高可靠性和性能等方面進行了詳細的論述。本書還介紹了Cisco安全桌面的原理及實施，當用戶通過VPN訪問資源時，此技術可為用戶提供一個非常安全的本地環境。

《CCNP安全VPN 642-648認證考試指南(第 2版)》包含了大量的配置實例，並對CLI命令行和ASDM圖形化界面分別進行闡述，有助於讀者掌握配置方式和排錯技巧。每章末尾的考試要點還可以幫助讀者快速了解本章內容。

《CCNP安全VPN 642-648認證考試指南(第 2版)》深入翔實地討論與CCNP安全VPN考試相關的主題，能夠幫助讀者更好地備考CCNP安全認證考試。同時，從事網路安全工作的工程師、網路維護人員也可以從中受益。

第 1章　探討VPN的角色和ASA所支持的技術　1

1.1　“我已經知道了嗎？”測試題　1

1.2　介紹虛擬私有網路　3

1.3　支持VPN的協定　9

1.3.1　對稱和非對稱密鑰算法　9

1.3.2　IPSec　10

1.3.3　IKEv1　10

1.3.4　驗證頭和封裝安全負載　12

1.3.5　IKEv2　14

1.3.6　SSL/TLS　16

1.3.7　SSL隧道協商　18

1.3.8　握手　19

1.3.9　DTLS　22

1.4　ASA數據包處理　24

1.5　好的、壞的和許可證　26

1.5.1　基於時間的許可證　34

1.5.2　什麼時候基於時間的許可證和**許可證可被合併　34

1.5.3　共享的SSL VPN許可證　34

1.5.4　基於故障切換的許可證　35

1.6　複習所有考試要點　35

1.7　完成表格並通過記憶列出　35

1.8　定義關鍵術語　35

第 2章　配置策略、繼承和屬性　37

2.1　“我已經知道了嗎 ”測試題　37

2.2　策略和它們的關係　38

2.3　理解連線配置檔案　41

2.3.1　組的URL　42

2.3.2　組的別名　42

2.3.3　證書到連線配置檔案的映射　44

2.3.4　基於用戶的連線配置檔案的鎖定　45

2.3.5　默認的連線配置檔案　46

2.4　理解組策略　49

2.5　配置用戶屬性　51

2.6　使用外部伺服器實現AAA和策略　53

2.7　複習所有考試要點　55

2.8　完成表格並通過記憶列出　55

2.9　定義關鍵術語　55

第3章　配置一個無客戶端的SSL VPN解決方案　57

3.1　“我已經知道了嗎？”測試題　57

3.2　無客戶端的SSL VPN回顧　59

3.3　配置過程和策略　61

3.4　配置第 一個無客戶端的SSL VPN解決方案　62

3.4.1　IP位址　63

3.4.2　主機名、域名和DNS　63

3.4.3　成為一個公共密鑰架構的成員　64

3.4.4　增加一個CA根證書　64

3.4.5　證書吊銷列表　65

3.4.6　吊銷檢查　66

3.4.7　檢索CRL的策略　67

3.4.8　檢索CRL的方法　67

3.4.9　OCSP規則　67

3.4.10　Advanced　70

3.4.11　為SSL啟動相關的接口　78

3.4.12　創建本地用戶賬號用於驗證　80

3.4.13　建立連線配置檔案(可選的)　81

3.5　基本的訪問控制　86

3.5.1　書籤　87

3.5.2　HTTP與HTTPS　87

3.5.3　CIFS　87

3.5.4　FTP　88

3.5.5　組策略　90

3.6　內容轉換　94

3.6.1　網關內容重寫　94

3.6.2　Application Helper配置檔案　96

3.6.3　Java代碼的簽名　97

3.7　對一個基本的無客戶端的SSL VPN進行故障排查　98

3.7.1　對會話的建立進行故障排查　98

3.7.2　對有關證書的錯誤進行故障排查　100

3.8　複習所有考試要點　101

3.9　完成表格並通過記憶列出　101

3.10　定義關鍵術語　101

第4章　**的無客戶端的SSL VPN的設定　103

4.1　“我已經知道了嗎？”測試題　103

4.2　回顧**的無客戶端的SSL VPN設定　105

4.3　通過連線埠轉發訪問應用程式　109

4.4　使用客戶端/伺服器外掛程式的應用程式訪問　115

4.5　通過智慧型隧道訪問應用程式　123

4.6　配置SSL/TLS代理　129

4.6.1　郵件代理　129

4.6.2　內部的HTTP和HTTPS代理　131

4.7　對應用程式做故障排錯　131

4.7.1　對應用程式的訪問進行故障排錯　132

4.7.2　客戶端　132

4.7.3　ASA/VPN終結設備　132

4.7.4　應用程式/Web伺服器　134

4.8　複習所有考試要點　135

4.9　完成表格並通過記憶列出　135

4.10　定義關鍵術語　135

第5章　定製無客戶端的門戶　137

5.1　“我已經知道了嗎？”測試題　137

5.2　基本的門戶布局配置　138

5.2.1　登錄的定製　140

5.2.2　對門戶頁面進行定製　142

5.2.3　對登出頁面的定製　143

5.3　對門戶進行配置　144

5.4　門戶語言的本地化　144

5.5　獲取門戶的幫助檔案　148

5.6　AnyConnect與門戶的集成　149

5.7　無客戶端SSL VPN的**驗證　151

5.8　為無客戶端訪問VPN使用一個外部和內部的CA　152

5.9　無客戶端的SSL VPN雙因子驗證　160

5.10　配置無客戶端的SSL VPN的單點登錄　164

5.11　對PKI和SSO的集成進行故障排錯　168

5.12　複習所有考試要點　171

5.13　完成表格並通過記憶列出　171

5.14　定義關鍵術語　171

第6章　無客戶端的SSL VPN的**驗證和授權　173

6.1　“我已經知道了嗎？”測試題　173

6.2　配置過程、部署策略和信息收集　175

6.2.1　建立DAP　178

6.2.2　指定用戶的AAA屬性　179

6.2.3　指定端點屬性　180

6.2.4　配置授權參數　182

6.2.5　為默認的DAP配置授權參數　183

6.3　DAP記錄的集合　184

6.4　對DAP配置進行故障排查　189

6.4.1　ASDM測試特性　189

6.4.2　ASA日誌　190

6.4.3　DAP調試　191

6.5　複習所有考試要點　192

6.6　完成表格並通過記憶列出　193

6.7　定義關鍵術語　193

第7章　無客戶端的SSL VPN的高可靠性和性能　195

7.1　“我已經知道了嗎？”測試題　195

7.2　高可靠性的配置信息和常見的策略　196

7.2.1　故障切換　196

7.2.2　active/active　197

7.2.3　active/standby　197

7.2.4　VPN負載平衡(集群)　198

7.2.5　外部的負載平衡　198

7.2.6　冗餘的VPN對等體　198

7.3　快取內容以實現最佳化　199

7.4　使用外部負載平衡設備實現無客戶端的SSL VPN的負載平衡　201

7.5　為無客戶端的SSL VPN的配置集群　202

7.6　對負載平衡和集群執行故障排查　204

7.7　複習所有考試要點　206

7.8　完成表格並通過記憶列出　207

7.9　定義關鍵術語　207

第8章　配置AnyConnect遠程訪問VPN解決方案　209

8.1　“我已經知道了嗎？”測試題　209

8.2　AnyConnect全隧道SSL VPN概述　212

8.3　配置過程、部署策略和信息收集　213

8.4　配置第 一個全隧道的AnyConnect SSL VPN解決方案　215

8.4.1　IP位址　215

8.4.2　啟動IPv6訪問　216

8.4.3　主機名、域名和DNS　217

8.4.4　向CA登記並且成為PKI的成員　218

8.4.5　添加一個身份證書　218

8.4.6　添加簽名的根CA證書　222

8.4.7　為SSL/DTLS和AnyConnect的客戶端的連線啟動接口　224

8.4.8　建立連線配置檔案　225

8.5　配置第 一個AnyConnect IKEv2 VPN解決方案　229

8.5.1　為IKEv2和AnyConnect訪問啟動相關的接口　230

8.5.2　建立IKEv2策略　231

8.5.3　建立連線配置檔案　233

8.6　對客戶端分配IP位址　236

8.6.1　使用連線配置檔案分配地址　238

8.6.2　使用組策略分配地址　240

8.6.3　直接給用戶分配地址　244

8.7　對環境的**控制　245

8.7.1　ACL和可下載的訪問控制列表　245

8.7.2　分離隧道　248

8.7.3　訪問時長/時間範圍　252

8.8　對AnyConnect Secure Mobility客戶端進行故障排查　254

8.9　複習所有考試要點　259

8.10　完成表格並通過記憶列出　259

8.11　定義關鍵術語　259

第9章　AnyConnect VPN**驗證和授權　261

9.1　“我已經知道了嗎？”測試題　261

9.2　驗證選項和策略　263

9.3　在一個本地CA上配置證書　268

9.4　配置證書映射　278

9.4.1　證書到連線配置檔案的映射　279

9.4.2　映射標準　281

9.5　從一個第三方CA配置證書　283

9.5.1　為AnyConnect客戶端配置一個XML配置檔案　285

9.5.2　為申請證書配置一個專門的連線配置檔案　288

9.5.3　AnyConnect客戶端向PKI申請證書　290

9.5.4　(可選地)配置客戶端的證書選擇　290

9.5.5　將頒發者CA的證書導入到ASA中　294

9.5.6　建立一個基於證書驗證的連線配置檔案　296

9.6　**的PKI實施策略　297

9.7　客戶端的雙因子認證　300

9.8　對**配置的故障排錯　305

9.9　複習所有考試要點　307

9.10　完成表格並通過記憶列出　307

9.11　定義關鍵術語　307

第 10章　AnyConnect客戶端的**配置和管理　309

10.1　“我已經知道了嗎？”測試題　309

10.2　配置過程、配置策略和信息收集　310

10.3　AnyConnect安裝選項　312

10.3.1　手動配置　312

10.3.2　自動Web配置　314

10.4　管理AnyConnect客戶端配置檔案　322

10.5　**的配置檔案特性　326

10.5.1　登錄前啟動　326

10.5.2　受信任網路檢測　327

10.6　**的AnyConnect定製和管理　330

10.7　複習所有考試要點　335

10.8　完成表格並通過記憶列出　335

10.9　定義關鍵術語　335

第 11章　使用AAA和DAP的AnyConnect的**授權　337

11.1　“我已經知道了嗎？”測試題　337

11.2　配置過程、部署策略和信息收集　338

11.3　配置本地和遠程的組策略　339

11.4　完全的SSL VPN計費　349

11.5　通過動態訪問策略進行授權　356

11.6　對**的授權設定進行故障排錯　358

11.7　複習所有考試要點　361

11.8　完成表格並通過記憶列出　361

11.9　定義關鍵術語　361

第 12章　AnyConnect的高可靠性和性能　363

12.1　“我已經知道了嗎？”測試題　363

12.2　高可靠性和冗餘方法的回顧　365

12.2.1　基於硬體的故障切換　365

12.2.2　VPN集群(VPN負載平衡)　366

12.2.3　冗餘的VPN對端　366

12.2.4　外部的負載平衡　367

12.3　部署DTLS　368

12.4　QoS的性能保障　370

12.4.1　基本的ASDM QoS配置　372

12.4.2　基本的CLI QoS配置　378

12.5　AnyConnect冗餘對端和故障切換　380

12.6　VPN中基於硬體的故障切換　384

12.6.1　配置故障切換的LAN接口　385

12.6.2　為轉發流量的接口配置備份地址　387

12.6.3　定義故障切換的條件　387

12.6.4　配置非默認的MAC地址　388

12.7　VPN核心中的冗餘　389

12.7.1　VPN集群　389

12.7.2　使用一個外部負載平衡器實現負載平衡　392

12.8　複習所有考試要點　393

12.9　完成表格並通過記憶列出　393

12.10　定義關鍵術語　393

第 13章　Cisco安全桌面　395

13.1　“我已經知道了嗎？”測試題　395

13.2　Cisco安全桌面回顧和配置　396

13.2.1　預登錄評估　398

13.2.2　主機掃描　399

13.2.3　安全桌面(Vault)　400

13.2.4　快取清除器　401

13.2.5　Keystroke Logger　401

13.2.6　和DAP的集成　401

13.2.7　主機仿真檢測　401

13.2.8　Windows移動設備管理　402

13.2.9　獨立的安裝包　402

13.2.10　手動運行CSD　402

13.3　CSD的操作順序　402

13.3.1　預登錄階段　402

13.3.2　登錄後階段　403

13.3.3　會話終結階段　403

13.3.4　CSD支持的瀏覽器、作業系統和登錄憑證　404

13.3.5　在ASA上啟動Cisco的安全桌面　406

13.4　配置預登錄條件　408

13.4.1　擊鍵日誌和安全檢查　412

13.4.2　清除快取　412

13.4.3　Secure Desktop(Vault)General　413

13.4.4　安全桌面(Vault)設定　414

13.4.5　安全桌面(Vault)瀏覽器　415

13.5　主機端點評估　415

13.6　使用DAP的授權　416

13.7　對Cisco安全桌面進行故障排查　417

13.8　複習所有的關鍵考試要點　419

13.9　完成表格並通過記憶列出　419

13.10　定義關鍵術語　419

第 14章　配置和管理Cisco的VPN客戶端　421

14.1　“我已經知道了嗎？”測試題　421

14.2　Cisco IPSec VPN客戶端的特性　422

14.3　Cisco ASA的基礎的遠程IPSec客戶端的配置　424

14.4　IPSec客戶端軟體的安裝和基本的配置　427

14.4.1　建立一個新的VPN連線條目、主視窗　430

14.4.2　Authentication標籤　430

14.4.3　Transport標籤　431

14.4.4　Backup Servers標籤　431

14.4.5　Dial-Up標籤　431

14.5　**的參數檔案設定　432

14.6　VPN客戶端軟體GUI定製　439

14.7　對VPN客戶端連線進行故障排錯　439

14.8　複習所有考試要點　443

14.9　完成表格並通過記憶列出　443

14.10　定義關鍵術語　443

第 15章　部署Easy VPN解決方案　445

15.1　“我已經知道了嗎？”測試題　445

15.2　配置過程、部署過程和信息採集　446

15.3　Easy VPN的基本配置　448

15.3.1　ASA IP位址　448

15.3.2　配置所需的路由　449

15.3.3　啟動IPSec連線　450

15.3.4　配置**優的IKEv1和IPSec策略　456

15.3.5　客戶端IP位址分配　462

15.3.6　使用預共享密鑰的VPN客戶端的驗證　463

15.3.7　為VPN客戶端的訪問使用XAUTH　467

15.3.8　VPN客戶端的IP位址分配　469

15.3.9　DHCP配置　473

15.4　使用**的特性控制你的環境　474

15.4.1　配置ACL旁路　475

15.4.2　接口ACL的基本配置　476

15.4.3　基於每一個組的ACL配置　478

15.4.4　基於用戶的ACL配置　479

15.4.5　配置分離隧道　479

15.5　對一個基本的Easy VPN進行故障排錯　481

15.6　複習所有考試要點　483

15.7　完成表格並通過記憶列出　483

15.8　定義關鍵術語　483

第 16章　使用Easy VPN的**的驗證和授權　485

16.1　“我已經知道了嗎？”測試題　485

16.2　驗證選項和策略　486

16.3　配置PKI用於Easy VPN　488

16.4　配置互有/混合驗證　492

16.5　配置數字證書映射　493

16.6　從第三方CA配置證書　497

16.7　**的PKI部署策略　501

16.7.1　CRL　501

16.7.2　OCSP　501

16.7.3　AAA　502

16.8　對Easy VPN的**驗證進行故障排錯　503

16.9　複習所有考試要點　504

16.10　完成表格並通過記憶列出　505

16.11　定義關鍵術語　505

第 17章　**的Easy VPN授權　507

17.1　“我已經知道了嗎？”測試題　507

17.2　配置過程、部署策略和信息採集　509

17.3　配置本地和遠程組策略　509

17.3.1　將組策略分配給一個本地用戶賬號　514

17.3.2　將組策略分配給一個連線配置檔案　515

17.4　操作信息的計費方法　516

17.4.1　NetFlow 9　520

17.4.2　RADIUS VPN計費　522

17.4.3　SNMP　523

17.5　複習所有考試要點　525

17.6　完成表格並通過記憶列出　525

17.7　定義關鍵術語　525

第 18章　Easy VPN的高可靠性和性能　527

18.1　“我已經知道了嗎？”測試題　527

18.2　配置過程、部署策略和信息採集　529

18.3　Easy VPN客戶端HA和故障冗餘　531

18.4　基於硬體的VPN的故障切換　533

18.5　Easy VPN的集群配置　539

18.6　對設備的故障切換和集群進行故障排查　541

18.7　複習所有考試要點　544

18.8　完成表格並通過記憶列出　545

18.9　定義關鍵術語　545

第 19章　使用ASA 5505作為一個硬體客戶端的Easy VPN的操作　547

19.1　“我已經知道了嗎？”測試題　547

19.2　Easy VPN遠程硬體客戶端概述　549

19.2.1　客戶端模式　549

19.2.2　網路擴展模式　550

19.3　將ASA 5505配置成為一個基本的Easy VPN的遠程客戶端　551

19.4　為ASA 5505配置**的Easy VPN遠程客戶端設定　552

19.4.1　X-Auth和設備驗證　552

19.4.2　遠程管理　555

19.4.3　隧道管理　555

19.4.4　清除隧道管理　556

19.4.5　NAT Traversal　556

19.4.6　設備直通　557

19.5　對ASA 5505 Easy VPN遠程硬體客戶端進行故障排查　559

19.6　複習所有考試要點　561

19.7　完成表格並通過記憶列出　561

19.8　定義關鍵術語　561

第 20章　部署IPSec站點到站點的VPN　563

20.1　“我已經知道了嗎？”測試題　563

20.2　配置過程、部署策略和信息採集　565

20.2.1　階段1　567

20.2.2　階段2(快速模式)　568

20.3　IKEv2　569

20.3.1　階段1　570

20.3.2　階段2　570

20.4　配置一個基本的IKEv1 IPSec站點到站點VPN　570

20.4.1　配置一個基本的驗證對方身份的功能　571

20.4.2　配置傳輸保護　574

20.5　配置一個基本的IKEv2 IPSec站點到站點　580

20.6　為IKEv1 IPSec的站點到站點VPN配置一個**的驗證　583

20.7　對一個IPSec站點到站點的VPN連線進行故障排查　590

20.7.1　沒有建立隧道：階段1　590

20.7.2　沒有建立隧道：階段2　591

20.7.3　流量沒有通過隧道傳輸　591

20.8　複習所有考試要點　592

20.9　完成表格並通過記憶列出　593

20.10　定義關鍵術語　593

第 21章　IPSec站點到站點VPN的高可靠性和性能策略　595

21.1　“我已經知道了嗎？”測試題　595

21.2　配置過程、部署策略和信息採集　597

21.3　QoS的高保障　597

21.4　為站點到站點的VPN配置冗餘對端　605

21.5　使用路由的站點到站點的VPN冗餘　606

21.6　VPN基於硬體的故障切換　610

21.6.1　配置LAN故障切換的接口　611

21.6.2　在接口上配置備份的地址用於流量轉發　613

21.6.3　定義故障切換的條件　613

21.6.4　配置非默認的MAC地址　614

21.7　對HA部署進行故障排錯　615

21.8　複習所有考試要點　616

21.9　完成表格並通過記憶列出　617

21.10　定義關鍵術語　617

第 22章　最後衝刺　619

22.1　最後衝刺工具　619

22.1.1　CD上的Pearson認證練習測試引擎和測試題　619

22.1.2　Cisco學習網路　620

22.2　最後複習/學習的建議計畫　621

22.3　總結　622

附錄A “我已經知道了嗎？”測試題答案　625

附錄B　CCNP安全642-648 VPN考試更新：版本1.0　629

術語表　631