目 录 3
第1章关于Cisco认证安全专业人员 3
1.1这本书如何帮助你通过CCSP Cisco安全 5
VPN考试 5
1.2 CCSP认证概述及需要的考试 5
1.3 Cisco安全VPN考试 6
1.4关于Cisco安全VPN考试的主题 7
1.5推荐的适合于CCSP认证的培训途径 8
1.6使用本书来通过考试 9
1.7最后的考试准备技巧 9
第2章VPN及IPSec技术概述 13
2.1如何最好地使用本章 14
2.2 “我已经知道这些了吗?”测验 14
2.3 CiscoVPN产品线 17
2.4通过Cisco产品实现VPN应用程序 17
2.4.1典型的VPN应用 17
2.4.2使用Cisco的VPN产品 21
2.5IPSec协议概述 28
2.5.1 IPSec协议 30
2.5.2安全关联 35
2.5.3在IPSec过程中使用的已有协议 36
2.5.4认证IPSec对等实体并形成安全关联 41
2.5.5协议与转换集结合 41
2.6使用IPSec建立VPN 43
2.6.1 Step 1:感兴趣的流量触发IPSec处理过程 45
2.6.3 Step 3:建立IPSec SA 46
2.6.2 Step 2:认证对等实体并建立IKE SA 46
2.6.4 Step 4:允许安全通信 47
2.6.5 Step 5:终止VPN 47
2.7与IPSec一同使用的协议表格 47
2.8 IPSec预配置过程 48
2.9使用IPSec创建VPN 49
第3章CiscoVPN 3000系列集中器硬件概述 57
3.2 “我已经知道这些了吗?”测验 58
3.1如何最好地利用本章 58
3.3 Cisco VPN 3000系列集中器的主要优点 61
3.3.1 配置及使用的简易性 62
3.3.2性能及可扩展性 63
3.3.3安全性 65
3.3.4容错 67
3.3.5管理接口 68
3.3.6升级简单 72
3.4 Cisco安全VPN集中器:比较以及特性 72
3.4.1 Cisco VPN 3005集中器 73
3.4.2 Cisco VPN 3015集中器 74
3.4.3 Cisco VPN 3030集中器 75
3.4.4 Cisco VPN 3060集中器 75
3.4.5 Cisco VPN 3080集中器 76
3.4.6 Cisco VPN 3000系列集中器LED指示器 76
3.5 Cisco安全VPN客户端特性 78
3.5.2 Cisco VPN客户端 79
3.5.1 Cisco VPN 3002硬件客户端 79
3.6 Cisco VPN 3000集中器表 80
3.7 Cisco VPN 3000集中器能力表 81
第4章为使用预共享密钥的远程访问配置Cisco VPN 3000 91
4.1如何最好地使用本章 92
4.2 “我已经知道这些了吗?”测验 93
4.3使用VPN进行带有预共享密钥的远程访问 96
4.3.1 惟一预共享密钥 96
4.3.2组预共享密钥 97
4.3.3通配符预共享密钥 97
4.4 VPN集中器配置 97
4.4.1 CiscoVPN 3000集中器配置需求说明 98
4.4.2 Cisco VPN 3000集中器初始化配置 99
4.4.3通过VPN 3000集中器系列管理器配置带有预共享密钥的IPSec 111
4.4.4 VPN集中器的高级配置 123
4.5.1 VPN客户端概述 127
4.5.2 VPN客户端特性 127
4.5 安装和配置VPN客户端 127
4.5.3 VPN客户端安装 129
4.5.4 VPN客户端配置 132
4.6预共享密钥的类型 135
4.7 VPN 3000集中器的CLI快速配置步骤 136
4.8 VPN 3000集中器基于浏览器的管理器快速配置步骤 136
4.10 VPN客户端配置步骤 137
4.11 VPN客户端程序选项 137
4.9 VPN客户端安装步骤 137
4.12组和用户数目的限制 138
4.13全部的配置目录 138
4.14全部的管理目录 140
4.15全部的监督目录 140
4.16场景研究4-1 150
4.17场景研究4-2 150
4.18场景研究4-1答案 151
4.19场景研究4-2答案 152
第5章为使用数字证书的远程访问配置CiscoVPN 3000 155
5.1如何最好地使用本章 156
5.2 “我已经知道这些了吗?”测验 157
5.3数字证书和证书授权委员会 159
5.3.1 CA的体系结构 159
5.3.2简单证书注册过程的身份认证方法 164
5.3.3支持Cisco VPN产品的CA供应商和产品 166
5.4通过VPN 3000系列集中器管理器提供数字证书支持 167
5.4.1 证书生成和注册 167
5.4.2证书确认 170
5.4.3废弃证书(revocation)列表 171
5.4.4 IKE配置 172
5.5为CA支持配置VPN客户端程序 174
5.6 PKCS#10证书请求字段 176
5.7 X.509身份证书字段 176
5.8数字证书类型 176
5.12证书管理应用程序 177
5.11基于Internet的证书颁发机构 177
5.10证书确认和身份认证过程 177
5.9 CA组织类型 177
5.13场景研究5-1 182
5.14场景研究5-2 182
5.15场景研究5-1答案 182
5.16场景研究5-2答案 183
第6章配置Cisco VPN客户端的防火墙功能 185
6.1如何最好地使用本章 186
6.2 “我已经知道这些了吗?”测验 186
6.3 Cisco VPN客户端防火墙功能概述 189
6.4防火墙配置概述 191
6.4.1 有状态防火墙(总是开启)功能 191
6.4.2 Are You There功能 192
6.5配置防火墙过滤器规则 192
6.5.1名字、说明和操作 195
6.5.2协议和TCP连接 195
6.5.4TCP/UDP源端口和目的端口 196
6.5.3源地址和目的地址 196
6.5.5 ICMP分组类型 197
6.6配置有状态防火墙 197
6.7为使用防火墙配置VPN集中器 198
6.7.1防火墙设置 199
6.7.2防火墙 199
6.7.3自定义防火墙 199
6.8监视VPN客户端防火墙统计 200
6.7.4防火墙策略 200
6.9启用通过Cisco VPN 3000系列集中器管理器自动升级客户端 202
6.10 Cisco VPN客户端防火墙功能概述 203
6.11有状态防火墙(总是开启)功能 205
6.12Cisco集成客户端 205
6.13中心保护策略 205
6.14 Are YouThere功能 205
6.15配置防火墙过滤器规则 206
6.17配置有状态防火墙 207
6.18为使用防火墙配置VPN集中器 207
6.16操作(Action) 207
6.19防火墙 208
6.20防火墙策略 208
6.21监视VPN客户端防火墙统计 208
6.22场景研究6-1 211
6.23场景研究6-1答案 211
第7章监控和管理VPN 3000系列集中器 215
7.1如何最好地使用本章 215
7.2 “我已经知道这些了吗?”测验 216
7.3管理Cisco VPN 3000系列集中器 218
7.3.1管理会话 220
7.3.2软件升级 220
7.3.3系统重启 222
7.3.4 Ping 224
7.3.5监控刷新 224
7.3.6访问权限 225
7.3.8证书管理器 230
7.3.7文件管理 230
7.4监控Cisco VPN 3000系列集中器 231
7.4.1路由表 232
7.4.2事件日志界面 232
7.4.3系统状态 233
7.4.4会话 234
7.4.5统计 236
7.5管理Cisco VPN 3000系列集中器 241
7.6管理会话 242
7.7软件升级 243
7.7.1 集中器 243
7.7.2客户端 244
7.8系统重启 244
7.9 Ping 245
7.10监控刷新 245
7.12管理员 246
7.13访问控制列表 246
7.11访问权限 246
7.14访问设置 247
7.15 AAA服务器 247
7.16身份认证 247
7.17文件管理 247
7.18证书管理器 247
7.19监控Cisco VPN 3000系列集中器 248
7.21会话 249
7.20系统状态 249
7.22前10名列表 250
7.23统计 250
7.24 MIB-Ⅱ统计 251
第8章配置Cisco 3002硬件客户端进行远程访问 257
8.1如何最好地使用本章 258
8.2 “我已经知道这些了吗?”测验 259
8.3置预共享密钥 261
8.3.1验证IKE和IPSec配置 263
8.3.2 VPN 3002硬件客户端的单元和用户身份认证 268
8.4配置预共享密钥 275
8.5 IPSec疑难解析 276
8.6客户端模式和局域网扩展模式 276
8.7分离隧道 277
8.8在VPN 3000集中器上配置个人用户身份认证 277
8.9场景研究8-1 280
8.10场景研究8-2 281
8.11.2场景研究8-2答案 282
8.11.1场景研究8-1答案 282
8.11场景研究答案 282
第9章配置VPN 3002硬件客户端的可扩展功能 285
9.1如何最好地使用本章 286
9.2 “我已经知道这些了吗?”测验 286
9.3 VPN 3002硬件客户端反向路由注入 290
9.3.1使用RIPv2设置VPN集中器 291
9.3.2使用OSPF设置VPN集中器 291
9.3.3配置VPN 3002硬件客户端反向路由注入 292
9.4VPN 3002硬件客户端备份服务器 295
9.5 VPN 3002硬件客户端负载平衡 296
9.6端口地址转换概述 298
9.7在VPN 3002硬件客户端上的IPSec 299
9.7.1基于TCP/IP的IPSec 299
9.7.2 UDP NAT透明IPSec(基于UDP的IPSec) 300
9.7.3 VPN 3002硬件客户端IPSec连接疑难解析 301
9.8为VPN 3002硬件客户端配置自动升级 303
9.9监控自动升级事件 306
9.10 RRI配置表 307
9.11备份服务器 308
9.12负载平衡 308
9.13 比较NAT和PAT 308
9.14基于TCP/IP的IPSec 309
9.15基于UDP的IPSec 309
9.16 IPSec疑难解析 309
9.17 自动升级 310
9.18场景研究9-1 315
9.19场景研究9-1答案 316
第10章具有预共享密钥的Cisco VPN 3000局域网对局域网 319
10.1如何最好地使用本章 320
10.2 “我已经知道这些了吗?”测验 321
10.3局域网对局域网VPN概述 323
10.4局域网对局域网配置 323
10.4.1 配置网络列表 324
10.4.2使用局域网对局域网向导创建隧道 325
10.5.1 证书管理 327
10.5 SCEP概述 327
10.5.2通过SCEP安装根证书 328
10.6最大证书数目 334
10.7注册变量 334
第11章场景研究 341
11.1示例公司 341
11.2.5里士满 342
11.2.4孟斐斯 342
11.2.3西雅图 342
11.2.2波特兰 342
11.2.1底特律 342
11.2站点描述 342
11.2.6 Terry和Carol 343
11.3场景研究11-1——基础 343
11.3.1 IKE策略 343
11.3.2 IPSec策略 343
11.8 场景研究11-6——Terry和Carol 344
11.7场景研究11-5——里士满 344
11.6场景研究11-4——孟斐斯 344
11.5场景研究11-3——西雅图 344
11.4场景研究11-2——波特兰 344
11.9场景研究11-1答案 345
11.9.1 IKE策略 345
11.9.2 IPSec策略 345
11.10场景研究11-2答案 346
11.10.1 底特律VPN 3030集中器和路由器(对所有的都通用) 346
11.11 场景研究11-3答案 347
11.10.2为波特兰配置底特律VPN 3030集中器 347
11.10.3波特兰VPN 3002硬件客户端 347
11.11.1 为西雅图配置底特律3030集中器 348
11.11.2西雅图VPN 3002硬件客户端 348
11.12场景研究11-4答案 348
11.12.1 为孟斐斯配置底特律3030集中器 349
11.12.2孟斐斯VPN 3005集中器和路由器 349
11.13场景研究11-5答案 349
11.13.1 为里士满配置底特律3030集中器 349
11.13.2里士满VPN 3005集中器和路由器 349
11.14场景研究11-6答案 350
11.14.1 为Terry以及相似用户配置底特律VPN 3030集中器 350
11.14.2Terry VPN客户端程序和浏览器 350
11.14.3为Carol和相似用户配置底特律VPN 3030集中器 350
11.14.4 Carol VPN客户端程序和浏览器 351
附录A “我已经知道这些了吗?”答案和Q&A部分 353