CCNP安全Secure 642-637认证考试指南PDF电子书下载

第1章 网络安全基础 1

1.1摸底测验 1

1.2定义网络安全 4

1.3构建安全网络 4

1.4 Cisco SAFE架构 5

1.4.1 SCF基础 6

1.4.2 SAFE/SCF架构原则 9

1.4.3 SAFE/SCF网络基础保护（NFP） 9

1.4.4 SAFE/SCF设计蓝图 9

1.4.5 SAFE架构用途 10

1.5考试要点回顾 11

1.6完成助记表 12

1.7重要术语 12

1.8填空 12

第2章 网络安全威胁 15

2.1摸底测验 15

2.2安全漏洞 18

2.3入侵者动机 21

2.3.1缺乏对计算机或网络的了解导致的入侵 22

2.3.2好奇心导致的入侵 22

2.3.3乐趣与成就感导致的入侵 23

2.3.4报复导致的入侵 23

2.3.5受利益驱使的入侵 23

2.3.6政治目的导致的入侵 23

2.4网络攻击类型 24

2.4.1侦察攻击 24

2.4.2访问攻击 25

2.4.3 DoS攻击 27

2.5考试要点回顾 27

2.6完成助记表 28

2.7重要术语 28

2.8填空 28

第3章 网络基础保护（NFP）概述 31

3.1摸底测验 31

3.2设备功能面概述 34

3.2.1控制面 34

3.2.2数据面 35

3.2.3管理面 36

3.3界定NFP部署模型 36

3.4界定NFP功能的可用性 38

3.4.1 Cisco Catalyst交换机 39

3.4.2 Cisco集成多业务路由器 39

3.4.3 Cisco支持管理组件 40

3.5考试要点回顾 42

3.6完成助记表 42

3.7重要术语 42

3.8填空 42

第4章 配置与实施交换式数据面安全解决方案 45

4.1摸底测验 45

4.2交换式数据面攻击类型 47

4.2.1 VLAN跳跃攻击 47

4.2.2 CAM泛洪攻击 48

4.2.3 MAC地址欺骗 51

4.2.4 STP欺骗攻击 52

4.2.5 DHCP耗竭攻击 52

4.2.6 DHCP服务器欺骗 53

4.2.7 ARP欺骗 54

4.2.8 IP欺骗 55

4.3交换式数据面安全技术 55

4.3.1端口配置 55

4.3.2端口安全 58

4.3.3根防护、BPDU防护与PortFast 60

4.3.4 DHCP窥探 61

4.3.5动态ARP检测 62

4.3.6 IP源防护 64

4.3.7私有VLAN 64

4.4考试要点回顾 67

4.5完成助记表 68

4.6重要术语 68

4.7本章命令一览 68

4.8填空 70

第5章 802.1 X与Cisco基于身份的网络服务（IBNS） 73

5.1摸底测验 73

5.2 CiscoIBNS与IEEE 802.1X标准概述 76

5.2.1 Cisco BNS对802.1X的改进与增强 76

5.2.2 802.1X构成 78

5.3 802.1 X互联 79

5.3.1可扩展认证协议（EAP） 79

5.3.2基于局域网的可扩展认证协议（EAPOL） 80

5.3.3 EAP消息交换 81

5.3.4端口状态 82

5.3.5端口认证主机模式 82

5.4 EAP协议类型 82

5.4.1 EAP-MD5 83

5.4.2 PEAPvO/MSCHAPv2 83

5.4.3 EAP-LEAP 84

5.4.4 EAP-TLS 84

5.4.5 EAP-TTLS 85

5.4.6 EAP-FAST 86

5.5考试要点回顾 87

5.6完成助记表 87

5.7重要术语 87

5.8填空 87

第6章 配置与实施802.1 X认证（基础） 91

6.1摸底测验 91

6.2规划基本的802.1 X部署 94

6.2.1收集输入参数 95

6.2.2部署工作 95

6.2.3部署选择 95

6.2.4一般性部署原则 96

6.3为Cisco Catalyst交换机配置认证方 96

6.3.1配置选择 96

6.3.2配置示例 97

6.3.3验证基本的802.1 X配置 101

6.4为Cisco ACS配置EAP-FAST 102

6.4.1配置选择 102

6.4.2配置示例 103

6.5为Cisco SSC配置请求方 107

6.6 802.1X的验证与排错 113

6.6.1排错过程 114

6.6.2日志消息 114

6.6.3验证连接状态 114

6.6.4验证认证服务器 114

6.6.5验证访客VLAN与受限VLAN的分配 114

6.6.6 8021 X准备就绪检测 114

6.6.7请求方无响应 115

6.6.8认证失败：RADIUS配置存在问题 115

6.6.9认证失败：身份凭证存在问题 115

6.7考试要点回顾 115

6.8完成助记表 115

6.9重要术语 116

6.10填空 116

第7章 配置与实施802.1 X认证（进阶） 119

7.1摸底测验 119

7.2规划Cisco高级802.1 X认证特性的部署 122

7.2.1收集输入参数 122

7.2.2任务一览 122

7.2.3 EAP类型与认证模式选择 122

7.3为Cisco IOS组件与Cisco ACS配置并验证EAP-TLS认证 123

7.3.1任务一览 124

7.3.2给定条件 124

7.3.3配置选择 124

7.3.4配置任务 125

7.3.5注意事项 130

7.3.6版本要求 130

7.3.7验证配置 131

7.4部署用户认证与机器认证 131

7.4.1任务一览 131

7.4.2给定条件 132

7.4.3配置任务 132

7.4.4注意事项 135

7.4.5版本要求 136

7.5部署VLAN与ACL 136

7.5.1任务一览 136

7.5.2给定条件 136

7.5.3注意事项 137

7.5.4配置任务 137

7.5.5验证交换机配置的VLAN与ACL 140

7.5.6验证Cisco ACS配置的VLAN与ACL 141

7.6为Cisco ACS配置并验证MAC地址例外策略 141

7.6.1 Cisco交换机的MAC身份验证旁路（MAB）技术 141

7.6.2任务一览 142

7.6.3给定条件 142

7.6.4配置任务 143

7.6.5验证配置 143

7.6.6注意事项 143

7.7为Cisco交换机与Cisco ACS配置并验证Web认证 144

7.7.1任务一览 145

7.7.2给定条件 145

7.7.3配置任务 145

7.7.4验证配置 147

7.7.5用户体验 147

7.8为交换机的单端口配置多主机支持功能 147

7.8.1配置方针 148

7.8.2配置示例 148

7.9配置应急开放策略 149

7.9.1配置关键端口 149

7.9.2配置开放式认证 151

7.10解决802.1 X兼容性问题 151

7.10.1局域网唤醒技术（WoL） 151

7.10.2不支持802.1 X的IP电话 152

7.10.3远程引导技术（PXE） 152

7.11考试要点回顾 153

7.12完成助记表 153

7.13重要术语 153

7.14填空 154

第8章 配置与实施路由式数据面安全 157

8.1摸底测验 157

8.2路由式数据面攻击类型 159

8.2.1 IP欺骗 159

8.2.2慢通道拒绝服务 160

8.2.3流量泛洪 160

8.3路由式数据面安全技术 160

8.3.1访问控制列表 160

8.3.2灵活包匹配 168

8.3.3灵活NetFlow 175

8.3.4单播反向路径转发 180

8.4考试要点回顾 182

8.5完成助记表 182

8.6重要术语 182

8.7本章命令一览 183

8.8填空 185

第9章 配置与实施控制面安全解决方案 187

9.1摸底测验 187

9.2控制面攻击类型 189

9.2.1慢路径拒绝服务攻击 189

9.2.2路由协议欺骗 190

9.3控制面安全技术 190

9.3.1控制面监管（CoPP） 190

9.3.2控制面保护（CPPr） 193

9.3.3路由协议认证 197

9.4考试要点回顾 201

9.5完成助记表 202

9.6重要术语 202

9.7本章命令一览 202

9.8填空 204

第10章 配置与实施管理面安全解决方案 207

10.1摸底测验 207

10.2管理面攻击类型 209

10.3管理面安全技术 209

10.3.1基本管理安全与权限 209

10.3.2安全外壳（SSH）协议 214

10.3.3简单网络管理协议（SNMP） 215

10.3.4 CPU阈值与内存阈值 220

10.3.5管理面保护（MPP） 221

10.3.6 AutoSecure 222

10.3.7数字签名Cisco软件 223

10.4考试要点回顾 224

10.5完成助记表 224

10.6重要术语 224

10.7本章命令一览 225

10.8填空 227

第11章 配置与实施网络地址转换 231

11.1摸底测验 231

11.2网络地址转换 233

11.2.1 NAT示例 234

11.2.2 NAT配置 236

11.2.3 NAT复用（PAT） 240

11.3考试要点回顾 242

11.4完成助记表 243

11.5重要术语 243

11.6本章命令一览 243

11.7填空 244

第12章 配置与实施基于区域的策略防火墙 247

12.1摸底测验 247

12.2基于区域的策略防火墙概述 249

12.2.1区域/安全区域 250

12.2.2区域对 251

12.2.3透明防火墙 252

12.3基于区域的三层/四层策略防火墙配置 252

12.3.1配置类型映射 253

12.3.2配置参数映射 255

12.3.3配置策略映射 256

12.3.4配置安全区域 257

12.3.5配置区域对 258

12.3.6配置端口到应用的映射（PAM） 259

12.4基于区域的七层策略防火墙配置 261

12.4.1 URL过滤 261

12.4.2 HTTP检测 266

12.5考试要点回顾 270

12.6完成助记表 270

12.7重要术语 271

12.8本章命令一览 271

12.9填空 274

第13章 配置与实施IOS入侵防御系统 277

13.1摸底测验 277

13.2配置选择、基本规程与所需的输入参数 279

13.2.1采用签名实现入侵检测与防御 280

13.22传感器精度 282

13.3选择Cisco IOS IPS传感器平台 283

13.3.1基于软件的传感器 283

13.3.2基于硬件的传感器 283

13.3.3任务一览 284

13.3.4注意事项 284

13.4部署软件Cisco IOSIPS签名策略 284

13.4.1任务一览 284

13.4.2给定条件 284

13.4.3配置任务 285

13.4.4验证配置 288

13.4.5注意事项 289

13.5调整软件Cisco IOS IPS签名 289

13.5.1事件风险评级（ERR）概述 289

13.5.2 ERR计算 289

13.5.3 ERR示例 290

13.5.4事件行为覆盖 291

13.5.5事件行为过滤器 291

13.5.6任务一览 291

13.5.7给定条件 291

13.5.8 配置任务 292

13.5.9验证配置 295

13.5.10注意事项 296

13.6部署软件Cisco IOS IPS签名更新 296

13.6.1任务一览 296

13.6.2给定条件 296

13.6.3配置任务 297

13.6.4验证配置 298

13.7监控软件Cisco IOS IPS事件 298

13.7.1软件IOS IPS事件的产生 298

13.7.2 Cisco IME概述 299

13.7.3 Cisco IME最低配置要求 299

13.7.4任务一览 300

13.7.5给定条件 300

13.7.6配置任务 300

13.7.7验证配置 302

13.8软件Cisco IOS IPS传感器的排错 303

13.8.1查找错误信息 304

13.8.2其他诊断命令 305

13.9考试要点回顾 305

13.10完成助记表 306

13.11重要术语 306

13.12填空 306

第14章Cisco站点间安全解决方案简介 309

14.1摸底测验 309

14.2选择合适的VPN局域网拓扑 312

14.2.1选择最佳的VPN局域网拓扑：输入参数 313

14.2.2选择最佳的VPN局域网拓扑：注意事项 313

14.3选择合适的VPN广域网技术 313

14.3.1选择最佳的VPN广域网技术：输入参数 314

14.3.2选择最佳的VPN广域网技术：注意事项 315

14.4 IPSec VPN技术的核心特性 315

14.4.1 IPSec安全关联 316

14.4.2互联网密钥交换（IKE） 316

14.4.3 IPSec阶段 316

14.4.4 IKE主模式与积极模式 317

14.4.5封装安全载荷（ESP） 317

14.5选择合适的VPN加密控制方式 318

14.5.1选择加密控制方式：输入参数 318

14.5.2算法选择 318

14.5.3注意事项 320

14.5.4参考资料 320

14.6考试要点回顾 321

14.7完成助记表 321

14.8重要术语 321

14.9填空 321

第15章 部署基于虚拟隧道接口的站点间IPSec VPN 325

15.1摸底测验 325

15.2规划基于VTI的站点间VPN 327

15.2.1虚拟隧道接口（VTI） 328

15.2.2输入参数 329

15.2.3任务一览 330

15.2.4部署选择 330

15.2.5注意事项 330

15.3配置基本的IKE对等体 330

15.3.1基于PSK的默认IKE策略 331

15.3.2任务一览 331

15.3.3配置选择 331

15.3.4给定条件 331

15.3.5配置任务 332

15.3.6验证本地IKE策略的配置 332

15.3.7验证本地IKE会话的配置 333

15.3.8 验证IKE阶段1协商 333

15.3.9注意事项 333

15.3.10 IKE对等体的排错 334

15.3.11排错流程 334

15.4配置静态点对点IPSec VTI隧道 334

15.4.1默认的IPSec转换集 334

15.4.2任务一览 335

15.4.3配置选择 335

15.4.4给定条件 335

15.4.5配置任务 335

15.4.6注意事项 337

15.4.7验证点对点STVI的配置 337

15.4.8排错流程 338

15.5配置动态点对点IPSec VTI隧道 338

15.5.1虚拟接口模板与虚拟访问接口 338

15.5.2 ISAKMP配置文件 339

15.5.3任务一览 339

15.5.4给定条件 340

15.5.5配置任务 340

15.5.6验证点对点DVTI的配置 342

15.5.7注意事项 342

15.6考试要点回顾 343

15.7完成助记表 343

15.8重要术语 343

15.9填空 344

第16章 为站点到站点IPSec VPN部署可扩展的认证 347

16.1摸底测验 347

16.2描述公钥基础设施的概念 350

16.2.1手动密钥交换及验证 350

16.2.2可信任引介 350

16.2.3公钥基础设施：证书权威机构 352

16.2.4 X509身份证书 353

16.2.5证书吊销检查 354

16.2.6在网络应用中使用证书 355

16.2.7部署选择 355

16.2.8部署步骤 356

16.2.9环境参数 356

16.2.10部署指南 356

16.3基础Cisco IOS软件证书服务器的配置、验证及故障排除 357

16.3.1根证书服务器的配置任务 358

16.3.2配置情景 358

16.3.3任务1：创建RSA密钥对 358

16.3.4任务2：创建PKI信任点 359

16.3.5任务3和4：创建证书服务器并配置数据库的存储位置 359

16.3.6任务5：配置发布策略 360

16.3.7任务6：配置吊销策略 361

16.3.8任务7：配置SCEP接口 361

16.3.9任务8：激活证书服务器 361

16.3.10使用Cisco配置专家（CCP） 361

16.3.11验证Cisco IOS软件证书服务器 362

16.3.12特性支持 362

16.3.13实施指南 363

16.3.14故障排除流程 363

16.3.15额外的指南：PKI和时间 364

16.4向PKI注册Cisco IOS软件VPN路由器以及注册过程的故障排除 364

16.4.1 PKI客户端特性 364

16.4.2简单证书注册协议 365

16.4.3密钥存储 365

16.4.4配置任务 365

16.4.5配置情景 365

16.4.6任务1：创建RSA密钥对 366

16.4.7任务2：创建PKI信任点 366

16.4.8任务3：认证PKI证书权威机构 367

16.4.9任务4：在VPN路由器上创建注册请求 368

16.4.10任务5：在CA服务器上颁发客户端证书 368

16.4.11在Cisco IOS软件证书服务器上吊销证书 369

16.4.12使用Cisco配置专家（CCP） 369

16.4.13验证CA和身份证书 369

16.4.14特性支持 370

16.4.15 实施指南 370

16.4.16故障排除流程 370

16.5配置及验证Cisco IOS软件VPN路由器与PKI的整合 371

16.5.1 IKE对等体认证 371

16.52 IKE对等体证书授权 371

16.5.3配置任务 371

16.5.4配置情景 372

16.5.5任务1：配置IKE策略 372

16.5.6任务2：配置ISAKMP profiile 372

16.5.7任务3：配置基于证书的远程对等体授权 373

16.5.8验证IKE SA的建立 373

16.5.9特性支持 374

16.5.10实施指南 374

16.5.11故障排除流程 374

16.5.12配置高级的PKI整合 374

16.5.13在PKI客户端上配置对CRL的处理 375

16.5.14在PKI客户端上使用OCSP或AAA 375

16.6考试要点回顾 376

16.7完成助记表 376

16.8重要术语 377

16.9填空 377

第17章 部署DMVPN 379

17.1摸底测验 379

17.2理解Cisco IOS软件DMVPN的架构 382

17.2.1 DMVPN的组件 383

17.2.2中心到分支和按需全互连VPN 383

17.2.3 DMVPN的初始状态 384

17.2.4 DMVPN分支到分支隧道的创建 384

17.2.5 DMVPN的优势与局限性 385

17.3规划Cisco IOS软件DMVPN的部署 386

17.3.1环境参数 386

17.3.2配置任务 386

17.3.3部署选择 386

17.3.4部署指南 387

17.4配置及验证Cisco IOS软件GRE隧道 387

17.4.1 GRE的特性和局限性 387

17.4.2点到点与点到多点GRE隧道 388

17.4.3点到点隧道配置实例 388

17.4.4中心到分支网络的配置任务 389

17.4.5配置情景 389

17.4.6任务1：在中心路由器上配置mGRE接口 390

17.4.7任务2：在分支路由器上配置点到点GRE接口 390

17.4.8验证GRE隧道的状态 391

17.5配置及验证Cisco IOS软件NHRP客户端与服务器 391

17.5.1 （m）GRE与NHRP的整合 392

17.5.2配置任务 392

17.5.3配置情景 392

17.5.4任务1：配置NHRP服务器 392

17.5.5任务2：配置NHRP客户端 393

17.5.6验证NHRP映射 393

17.5.7调试NHRP 394

17.6配置及验证Cisco IOS软件DMVPN中心 395

17.6.1配置任务 395

17.6.2配置情景 395

17.6.3任务1：（可选地）配置IKE策略 395

17.6.4任务2：生成/配置认证凭证 396

17.6.5任务3：配置IPSec profile 396

17.6.6任务4：创建mGRE隧道接口 396

17.6.7任务5：配置NHRP服务器 396

17.6.8任务6：为mGRE接口关联IPSec profile 397

17.6.9任务7：在mGRE接口上配置IP参数 397

17.6.10使用Cisco配置专家（CCP） 397

17.6.11验证分支路由器的注册 397

17.6.12验证已注册分支的具体信息 398

17.6.13实施指南 399

17.6.14特性支持 399

17.7配置及验证Cisco IOS软件DMVPN分支 399

17.7.1配置任务 399

17.7.2配置情景 400

17.7.3任务1：（可选地）配置IKE策略 400

17.7.4任务2：生成/配置认证凭证 400

17.7.5任务3：配置IPSec profiile 401

17.7.6任务4：创建mGRE隧道接口 401

17.7.7任务5：配置NHRP客户端 401

17.7.8任务6：为mGRE接口关联IPSec profiile 401

17.7.9任务7：在mGRE接口上配置IP参数 402

17.7.10验证隧道状态和流量统计 402

17.8配置及验证Cisco IOS软件DMVPN中的动态路由 402

17.8.1 EIGRP中心配置 403

17.8.2 OSPF中心配置 404

17.8.3中心到分支模型的路由和IKE对等关系 404

17.8.4全互连模型的路由和IKE对等关系 405

17.9 Cisco IOS软件DMVPN的故障排除 405

17.10考试要点回顾 406

17.11完成助记表 407

17.12重要术语 407

17.13填空 407

第18章 在基于隧道的IPSec VPN中部署高可用性 411

18.1摸底测验 411

18.2规划Cisco IOS软件站点到站点IPSec VPN高可用性的部署 413

18.2.1 VPN故障模式 413

18.2.2传输网络的局部故障 414

18.2.3服务提供商（SP）传输网络的局部或全部故障 414

18.2.4 VPN设备的局部或全部故障 414

18.2.5部署指南 415

18.3使用路由协议提供VPN的故障倒换 415

18.3.1路由VPN隧道端点 415

18.3.2 VPN隧道内的路由协议 416

18.3.3警惕递归路由 416

18.3.4 VPN拓扑中的路由协议 417

18.3.5为路径选择调整路由 417

18.3.6加快路由收敛 417

18.4为基于VTI隧道的VPN选择最佳的故障规避方法 418

18.4.1为单个传输网络的情景提供路径冗余 418

18.4.2为多个传输网络的情景提供路径冗余 418

18.4.3为单个传输网络的情景提供路径和设备的冗余 419

18.4.4为多个传输网络的情景提供路径和设备的冗余 419

18.5为DMVPN选择最佳的故障规避方法 419

18.5.1推荐架构 419

18.5.2共享的IPSec SA 420

18.5.3配置使用单个传输网络的DMVPN 421

18.5.4配置使用多个传输网络的DMVPN 422

18.6考试要点回顾 424

18.7完成助记表 425

18.8重要术语 425

18.9填空 425

第19章 部署GET VPN 429

19.1摸底测验 429

19.2介绍Cisco IOS软件GET VPN的技术架构 431

19.2.1对等体认证和策略提供 432

19.2.2 GET VPN流量交换 433

19.2.3数据包安全服务 434

19.2.4密钥管理架构 434

19.2.5密钥更新方法 434

19.2.6流量封装 436

19.2.7优势及局限性 437

19.3规划Cisco IOS软件GET VPN的部署 437

19.3.1环境参数 437

19.3.2部署任务 437

19.3.3部署选择 438

19.3.4部署指南 438

19.4配置及验证Cisco IOS软件GET VPN密钥服务器 438

19.4.1配置任务 438

19.4.2配置选择 439

19.4.3配置情景 439

19.4.4任务1：（可选地）配置IKE策略 440

19.4.5任务2：生成/配置认证凭证 440

19.4.6任务3：生成用于密钥更新认证的RSA密钥对 440

19.4.7任务4：在密钥服务器上配置流量保护策略 440

19.4.8任务5：配置及启用GET VPN密钥服务器功能 441

19.4.9任务6：（可选地）调整密钥更新策略 442

19.4.10任务7：创建并应用GET VPN加密图 442

19.4.11使用Cisco配置专家 442

19.4.12验证基础的密钥服务器设置 442

19.4.13验证密钥更新策略 443

19.4.14验证所有已注册的成员 443

19.4.15实施指南 444

19.5配置及验证Cisco IOS软件GET VPN组成员 444

19.5.1配置任务 444

19.5.2配置选择 444

19.5.3配置情景 445

19.5.4任务1：配置IKE策略 445

19.5.5任务2：生成/配置认证凭证 446

19.5.6任务3：配置及启用GET VPN组成员的功能 446

19.5.7任务4：创建并应用GET VPN加密图 446

19.5.8任务5：（可选地）配置失效即关闭策略 447

19.5.9使用Cisco配置专家 447

19.5.10验证组成员的注册 447

19.5.11实施指南 447

19.5.12故障排除流程 448

19.6在GETVPN中配置及验证高可用性机制 448

19.6.1网络分离和网络合并 449

19.6.2配置任务 449

19.6.3配置情景 449

19.6.4任务1：分发密钥更新的RSA密钥对 450

19.6.5任务2：配置全互连的密钥服务器IKE对等关系 450

19.6.6任务3：配置COOP 451

19.6.7任务4和5：配置流量保护策略并在组成员上指定多台密钥服务器 451

19.6.8验证IKE对等关系 451

19.6.9验证COOP对等关系 451

196.10实施指南 452

196.11故障排除流程 452

19.7考试要点回顾 453

19.8完成助记表 454

19.9重要术语 454

19.10填空 454

第20章 使用SSL VPN部署远程访问的解决方案 457

20.1摸底测验 457

20.2选择正确的远程访问VPN技术 460

20.2.1 Cisco IOS软件远程访问VPN选项 460

20.2.2完全隧道远程访问SSL VPN的特性 461

20.2.3完全隧道远程访问SSL VPN的优势与限制 461

20.2.4无客户端远程访问SSL VPN的特性 462

20.2.5无客户端SSL VPN的优势与限制 462

20.2.6软件客户端远程访问IPSec VPN（EZVPN）的特性 462

20.2.7硬件客户端远程访问IPSec VPN（EZVPN）的特性 463

20.2.8远程访问IPSec VPN的优势与限制 463

20.2.9各种VPN访问方式的使用情景 463

20.3选择正确的远程访问VPN加密控件 464

20.3.1回顾SSL/TLS 464

20.3.2 Cisco SSL远程访问VPN的算法选择 465

20.3.3 IKE远程访问VPN扩展 466

20.3.4 Cisco IPSec远程访问VPN的算法选择 466

20.4使用SSL VPN部署远程访问的解决方案 467

20.4.1解决方案的基本分析 467

20.4.2部署任务 468

20.4.3环境参数 468

20.5配置及验证通用的SSL VPN参数 469

20.5.1配置任务 469

20.5.2配置选择 469

20.5.3配置情景 469

20.5.4任务1：（可选的）验证SSL VPN的许可 470

20.5.5任务2：为I S R提供一份SSL/TLS服务器的身份证书 470

20.5.6任务3：启用SSL VPN网关及Context 470

20.5.7任务4：配置及调整SSL/TLS设置 471

20.5.8任务5：（可选地）配置网关的高可用性 471

20.5.9网关验证 471

20.5.10实施指南 472

20.6在 SSL VPN网关上配置及验证客户端认证和策略 472

20.6.1网关、Context和策略组 472

20.6.2基础的用户认证概述 473

20.63配置任务 473

20.6.4配置情景 473

20.6.5任务1：创建和应用默认策略 474

20.6.6任务2：使用本地AAA启用用户认证 474

20.6.7实施指南 474

20.7在Cisco IOS SSL VPN网关上配置及验证完全隧道的连通性 475

20.7.1配置任务 475

20.7.2配置情景 475

20.7.3任务1：启用完全隧道访问 476

20.7.4任务2：配置远程客户端的地址分配 476

20.7.5任务3：（可选的）配置客户端参数 476

20.7.6任务4：（可选的）配置分割隧道 477

20.7.7任务5：（可选的）配置访问控制 477

20.7.8使用Cisco配置专家（CCP） 478

20.8安装及配置Cisco AnyConnect客户端 478

20.8.1 AnyConnect 2.4支持的平台 478

20.8.2配置任务 479

20.8.3配置情景 479

20.8.4任务1：启用完全隧道访问 479

20.8.5任务2：验证服务器证书认证链 479

20.8.6任务3：配置基础的AnyConnect profiile的设置 480

20.8.7任务4：建立SSL VPN连接 480

20.8.8在客户端上的验证 480

20.8.9在VPN网关上的验证 481

20.8.10使用Cisco配置专家（CCP） 482

20.9在Cisco IOS SSL VPN网关上配置及验证无客户端的访问 482

20.9.1基础的门户特性 482

20.9.2使用Cisco安全桌面保护无客户端的访问 483

20.9.3端口转发概述 483

20.9.4端口转发的优势与限制 484

20.9.5门户ACL 484

20.9.6配置任务 485

20.9.7配置情景 485

20.9.8任务1：配置SSL VPN门户特性 486

20.9.9任务2：（可选的）配置端口转发 486

20.9.10任务3：（可选的）配置Cisco安全桌面 487

20.9.11任务4：（可选的）配置访问控制 488

20.9.12基础门户特性的验证 488

20.9.13 Web应用的访问 488

20.9.14文件服务器的访问 488

20.9.15 端口转发的访问 488

20.9.16 Cisco安全桌面的验证 489

20.9.17在VPN网关上的验证 489

20.10对基础SSL VPN操作的故障排除 489

20.10.1验证基础连通性 489

20.10.2故障排除流程：VPN建立 489

20.10.3故障排除流程：数据流 489

20.10.4在VPN网关上的问题 490

20.10.5在客户端上的问题：证书问题 490

20.11考试要点回顾 490

20.12完成助记表 491

20.13重要术语 491

20.14填空 491

第21章 使用EZVPN部署远程访问的解决方案 495

21.1摸底测验 495

21.2规划Cisco IOS软件EZVPN的部署 498

21.2.1解决方案的基本分析 499

21.2.2部署任务 499

21.2.3环境参数 499

21.2.4部署指南 500

21.3配置及验证基础的Cisco IOS软件基于VTI的EZVPN服务器 500

21.3.1组预共享密钥认证 500

21.3.2扩展认证（XAUTH）概述 501

21.3.3客户端配置组和ISAKMP profiile 501

21.3.4配置任务 501

21.3.5配置情景 502

21.3.6任务1：（可选的）配置IKE策略 502

21.3.7任务2：配置IPSec转换集和profiile 502

21.3.8任务3：配置动态的VTI模板接口 503

21.3.9任务4：创建客户端配置组 503

21.3.10任务5：创建ISAKMP profile 503

21.3.11任务6和7：配置并启用用户认证 504

21.3.12使用Cisco配置专家（CCP） 505

21.3.13实施指南 505

21.4配置Cisco VPN客户端 505

21.4.1配置任务 505

21.42配置情景 505

21.4.3任务1：安装Cisco VPN客户端软件 506

21.4.4任务2：配置VPN客户端连接条目 506

21.4.5任务3：建立EZVPN连接 506

21.4.6在客户端上的验证 506

21.4.7在VPN网关上的验证 506

21.5在Cisco ISR上配置及验证基于VTI的EZVPN远程客户端功能 507

21.5.1 EZVPN远程特性的操作模式 508

21.5.2配置任务 508

21.5.3配置情景 508

21.5.4任务1：配置EZVPN远程profile 508

21.5.5任务2：指定EZVPN接口的角色 509

21.5.6实施指南 509

21.6配置及验证EZVPN服务器和VPN客户端PKI特性 510

21.6.1 EZVPN服务器的PKI配置 510

21.6.2 VPN客户端配置：SCEP注册 510

21.6.3 VPN客户端注册的验证 511

21.6.4 VPN客户端的配置：profiile 511

21.7基础EZVPN的故障排除 511

21.7.1故障排除流程：VPN会话建立 511

21.7.2故障排除流程：VPN数据流 511

21.8考试要点回顾 512

21.9完成助记表 513

21.10重要术语 513

21.11填空 513

21.12参考资料 514

第22章 最后冲刺 517

22.1最后冲刺工具 517

22.1.1 CD上的Pearson认证练习测试引擎和测试题 517

22.1.2安装CD上的软件 517

22.1.3激活并下载试题 518

22.1.4激活其他试题 518

22.1.5高级版本 518

22.2 Cisco学习网络 518

22.3助记表 519

22.4章节末尾回顾工具 519

22.5最后复习/学习的建议计划 519

22.6步骤1：复习考试要点、摸底测试和填空题 520

22.7步骤2：完成助记表 520

22.8步骤3：亲自动手练习 520

22.9步骤4：列出配置检查表 521

22.10步骤5：使用测试引擎 521

22.11总结 522

附录A摸底测试题答案 525

附录B CCNP安全64-637 Secure考试更新：版本1.0 543