第1章 探讨VPN的角色和ASA所支持的技术 1
1.1 “我已经知道了吗?”测试题 1
1.2 介绍虚拟私有网络 3
1.3 支持VPN的协议 9
1.3.1 对称和非对称密钥算法 9
1.3.2 IPSec 10
1.3.3 IKEv1 10
1.3.4 验证头和封装安全负载 12
1.3.5 IKEv2 14
1.3.6 SSL/TLS 16
1.3.7 SSL隧道协商 18
1.3.8 握手 19
1.3.9 DTLS 22
1.4 ASA数据包处理 24
1.5 好的、坏的和许可证 26
1.5.1 基于时间的许可证 34
1.5.2 什么时候基于时间的许可证和永久许可证可被合并 34
1.5.3 共享的SSL VPN许可证 34
1.5.4 基于故障切换的许可证 35
1.6 复习所有考试要点 35
1.7 完成表格并通过记忆列出 35
1.8 定义关键术语 35
第2章 配置策略、继承和属性 37
2.1 “我已经知道了吗?”测试题 37
2.2 策略和它们的关系 38
2.3 理解连接配置文件 41
2.3.1 组的URL 42
2.3.2 组的别名 42
2.3.3 证书到连接配置文件的映射 44
2.3.4 基于用户的连接配置文件的锁定 45
2.3.5 默认的连接配置文件 46
2.4 理解组策略 49
2.5 配置用户属性 51
2.6 使用外部服务器实现AAA和策略 53
2.7 复习所有考试要点 55
2.8 完成表格并通过记忆列出 55
2.9 定义关键术语 55
第3章 配置一个无客户端的SSL VPN解决方案 57
3.1 “我已经知道了吗?”测试题 57
3.2 无客户端的SSL VPN回顾 59
3.3 配置过程和策略 61
3.4 配置第一个无客户端的SSL VPN解决方案 62
3.4.1 IP地址 63
3.4.2 主机名、域名和DNS 63
3.4.3 成为一个公共密钥架构的成员 64
3.4.4 增加一个CA根证书 64
3.4.5 证书吊销列表 65
3.4.6 吊销检查 66
3.4.7 检索CRL的策略 67
3.4.8 检索CRL的方法 67
3.4.9 OCSP规则 67
3.4.10 Advanced 70
3.4.11 为SSL启动相关的接口 78
3.4.12 创建本地用户账号用于验证 80
3.4.13 建立连接配置文件(可选的) 81
3.5 基本的访问控制 86
3.5.1 书签 87
3.5.2 HTTP与HTTPS 87
3.5.3 CIFS 87
3.5.4 FTP 88
3.5.5 组策略 90
3.6 内容转换 94
3.6.1 网关内容重写 94
3.6.2 Application Helper配置文件 96
3.6.3 Java代码的签名 97
3.7 对一个基本的无客户端的SSLVPN进行故障排查 98
3.7.1 对会话的建立进行故障排查 98
3.7.2 对有关证书的错误进行故障排查 100
3.8 复习所有考试要点 101
3.9 完成表格并通过记忆列出 101
3.10 定义关键术语 101
第4章 高级的无客户端的SSL VPN的设置 103
4.1 “我已经知道了吗?”测试题 103
4.2 回顾高级的无客户端的SSL VPN设置 105
4.3 通过端口转发访问应用程序 109
4.4 使用客户端/服务器插件的应用程序访问 115
4.5 通过智能隧道访问应用程序 123
4.6 配置SSL/TLS代理 129
4.6.1 邮件代理 129
4.6.2 内部的HTTP和HTTPS代理 131
4.7 对应用程序做故障排错 131
4.7.1 对应用程序的访问进行故障排错 132
4.7.2 客户端 132
4.7.3 ASA/VPN终结设备 132
4.7.4 应用程序/Web服务器 134
4.8 复习所有考试要点 135
4.9 完成表格并通过记忆列出 135
4.10 定义关键术语 135
第5章 定制无客户端的门户 137
5.1 “我已经知道了吗?”测试题 137
5.2 基本的门户布局配置 138
5.2.1 登录的定制 140
5.2.2 对门户页面进行定制 142
5.2.3 对登出页面的定制 143
5.3 对门户进行配置 144
5.4 门户语言的本地化 144
5.5 获取门户的帮助文件 148
5.6 AnyConnect与门户的集成 149
5.7 无客户端SSL VPN的高级验证 151
5.8 为无客户端访问VPN使用一个外部和内部的CA 152
5.9 无客户端的SSL VPN双因子验证 160
5.10 配置无客户端的SSL VPN的单点登录 164
5.11 对PKI和SSO的集成进行故障排错 168
5.12 复习所有考试要点 171
5.13 完成表格并通过记忆列出 171
5.14 定义关键术语 171
第6章 无客户端的SSL VPN的高级验证和授权 173
6.1 “我已经知道了吗?”测试题 173
6.2 配置过程、部署策略和信息收集 175
6.2.1 建立DAP 178
6.2.2 指定用户的AAA属性 179
6.2.3 指定端点属性 180
6.2.4 配置授权参数 182
6.2.5 为默认的DAP配置授权参数 183
6.3 DAP记录的集合 184
6.4 对DAP配置进行故障排查 189
6.4.1 ASDM测试特性 189
6.4.2 ASA日志 190
6.4.3 DAP调试 191
6.5 复习所有考试要点 192
6.6 完成表格并通过记忆列出 193
6.7 定义关键术语 193
第7章 无客户端的SSL VPN的高可靠性和性能 195
7.1 “我已经知道了吗?”测试题 195
7.2 高可靠性的配置信息和常见的策略 196
7.2.1 故障切换 196
7.2.2 active/active 197
7.2.3 active/standby 197
7.2.4 VPN负载平衡(集群) 198
7.2.5 外部的负载平衡 198
7.2.6 冗余的VPN对等体 198
7.3 缓存内容以实现优化 199
7.4 使用外部负载平衡设备实现无客户端的SSL VPN的负载平衡 201
7.5 为无客户端的SSL VPN的配置集群 202
7.6 对负载平衡和集群执行故障排查 204
7.7 复习所有考试要点 206
7.8 完成表格并通过记忆列出 207
7.9 定义关键术语 207
第8章 配置AnyConnect远程访问VPN解决方案 209
8.1 “我已经知道了吗?”测试题 209
8.2 AnyConnect全隧道SSL VPN概述 212
8.3 配置过程、部署策略和信息收集 213
8.4 配置第一个全隧道的AnyConnect SSL VPN解决方案 215
8.4.1 IP地址 215
8.4.2 启动IPv6访问 216
8.4.3 主机名、域名和DNS 217
8.4.4 向CA登记并且成为PKI的成员 218
8.4.5 添加一个身份证书 218
8.4.6 添加签名的根CA证书 222
8.4.7 为SSL/DTLS和AnyConnect的客户端的连接启动接口 224
8.4.8 建立连接配置文件 225
8.5 配置第一个AnyConnect IKEv2 VPN解决方案 229
8.5.1 为IKEv2和AnyConnect访问启动相关的接口 230
8.5.2 建立IKEv2策略 231
8.5.3 建立连接配置文件 233
8.6 对客户端分配IP地址 236
8.6.1 使用连接配置文件分配地址 238
8.6.2 使用组策略分配地址 240
8.6.3 直接给用户分配地址 244
8.7 对环境的高级控制 245
8.7.1 ACL和可下载的访问控制列表 245
8.7.2 分离隧道 248
8.7.3 访问时长/时间范围 252
8.8 对AnyConnect Secure Mobility客户端进行故障排查 254
8.9 复习所有考试要点 259
8.10 完成表格并通过记忆列出 259
8.11 定义关键术语 259
第9章 AnyConnect VPN高级验证和授权 261
9.1 “我已经知道了吗?”测试题 261
9.2 验证选项和策略 263
9.3 在一个本地CA上配置证书 268
9.4 配置证书映射 278
9.4.1 证书到连接配置文件的映射 279
9.4.2 映射标准 281
9.5 从一个第三方CA配置证书 283
9.5.1 为AnyConnect客户端配置一个XML配置文件 285
9.5.2 为申请证书配置一个专门的连接配置文件 288
9.5.3 AnyConnect客户端向PKI申请证书 290
9.5.4 (可选地)配置客户端的证书选择 290
9.5.5 将颁发者CA的证书导入到ASA中 294
9.5.6 建立一个基于证书验证的连接配置文件 296
9.6 高级的PKI实施策略 297
9.7 客户端的双因子认证 300
9.8 对高级配置的故障排错 305
9.9 复习所有考试要点 307
9.10 完成表格并通过记忆列出 307
9.11 定义关键术语 307
第10章 AnyConnect客户端的高级配置和管理 309
10.1 “我已经知道了吗?”测试题 309
10.2 配置过程、配置策略和信息收集 310
10.3 AnyConnect安装选项 312
10.3.1 手动配置 312
10.3.2 自动Web配置 314
10.4 管理AnyConnect客户端配置文件 322
10.5 高级的配置文件特性 326
10.5.1 登录前启动 326
10.5.2 受信任网络检测 327
10.6 高级的AnyConnect定制和管理 330
10.7 复习所有考试要点 335
10.8 完成表格并通过记忆列出 335
10.9 定义关键术语 335
第11章 使用AAA和DAP的AnyConnect的高级授权 337
11.1 “我已经知道了吗?”测试题 337
11.2 配置过程、部署策略和信息收集 338
11.3 配置本地和远程的组策略 339
11.4 完全的SSL VPN计费 349
11.5 通过动态访问策略进行授权 356
11.6 对高级的授权设置进行故障排错 358
11.7 复习所有考试要点 361
11.8 完成表格并通过记忆列出 361
11.9 定义关键术语 361
第12章 AnyConnect的高可靠性和性能 363
12.1 “我已经知道了吗?”测试题 363
12.2 高可靠性和冗余方法的回顾 365
12.2.1 基于硬件的故障切换 365
12.2.2 VPN集群(VPN负载平衡) 366
12.2.3 冗余的VPN对端 366
12.2.4 外部的负载平衡 367
12.3 部署DTLS 368
12.4 QoS的性能保障 370
12.4.1 基本的ASDM QoS配置 372
12.4.2 基本的CLI QoS配置 378
12.5 AnyConnect冗余对端和故障切换 380
12.6 VPN中基于硬件的故障切换 384
12.6.1 配置故障切换的LAN接口 385
12.6.2 为转发流量的接口配置备份地址 387
12.6.3 定义故障切换的条件 387
12.6.4 配置非默认的MAC地址 388
12.7 VPN核心中的冗余 389
12.7.1 VPN集群 389
12.7.2 使用一个外部负载平衡器实现负载平衡 392
12.8 复习所有考试要点 393
12.9 完成表格并通过记忆列出 393
12.10 定义关键术语 393
第13章 Cisco安全桌面 395
13.1 “我已经知道了吗?”测试题 395
13.2 Cisco安全桌面回顾和配置 396
13.2.1 预登录评估 398
13.2.2 主机扫描 399
13.2.3 安全桌面(Vault) 400
13.2.4 缓存清除器 401
13.2.5 Keystroke L0gger 401
13.2.6 和DAP的集成 401
13.2.7 主机仿真检测 401
13.2.8 Windows移动设备管理 402
13.2.9 独立的安装包 402
13.2.10 手动运行CSD 402
13.3 CSD的操作顺序 402
13.3.1 预登录阶段 402
13.3.2 登录后阶段 403
13.3.3 会话终结阶段 403
13.3.4 CSD支持的浏览器、操作系统和登录凭证 404
13.3.5 在ASA上启动Cisco的安全桌面 406
13.4 配置预登录条件 408
13.4.1 击键日志和安全检查 412
13.4.2 清除缓存 412
13.4.3 Secure Desktop(Vault)General 413
13.4.4 安全桌面(Vault)设置 414
13.4.5 安全桌面(Vault)浏览器 415
13.5 主机端点评估 415
13.6 使用DAP的授权 416
13.7 对Cisco安全桌面进行故障排查 417
13.8 复习所有的关键考试要点 419
13.9 完成表格并通过记忆列出 419
13.10 定义关键术语 419
第14章 配置和管理Cisco的VPN客户端 421
14.1 “我已经知道了吗?”测试题 421
14.2 Cisco IPSec VPN客户端的特性 422
14.3 Cisco ASA的基础的远程IPSec客户端的配置 424
14.4 IPSec客户端软件的安装和基本的配置 427
14.4.1 建立一个新的VPN连接条目、主窗口 430
14.4.2 Authentication标签 430
14.4.3 Transport标签 431
14.4.4 Backup Servers标签 431
14.4.5 Dial-Up标签 431
14.5 高级的参数文件设置 432
14.6 VPN客户端软件GUI定制 439
14.7 对VPN客户端连接进行故障排错 439
14.8 复习所有考试要点 443
14.9 完成表格并通过记忆列出 443
14.10 定义关键术语 443
第15章 部署Easy VPN解决方案 445
15.1 “我已经知道了吗?”测试题 445
15.2 配置过程、部署过程和信息采集 446
15.3 Easy VPN的基本配置 448
15.3.1 ASA IP地址 448
15.3.2 配置所需的路由 449
15.3.3 启动IPSec连接 450
15.3.4 配置最优的IKEv 1和IPSec策略 456
15.3.5 客户端IP地址分配 462
15.3.6 使用预共享密钥的VPN客户端的验证 463
15.3.7 为VPN客户端的访问使用XAUTH 467
15.3.8 VPN客户端的IP地址分配 469
15.3.9 DHCP配置 473
15.4 使用高级的特性控制你的环境 474
15.4.1 配置ACL旁路 475
15.4.2 接口ACL的基本配置 476
15.4.3 基于每一个组的ACL配置 478
15.4.4 基于用户的ACL配置 479
15.4.5 配置分离隧道 479
15.5 对一个基本的Easy VPN进行故障排错 481
15.6 复习所有考试要点 483
15.7 完成表格并通过记忆列出 483
15.8 定义关键术语 483
第16章 使用Easy VPN的高级的验证和授权 485
16.1 “我已经知道了吗?”测试题 485
16.2 验证选项和策略 486
16.3 配置PKI用于Easy VPN 488
16.4 配置互有/混合验证 492
16.5 配置数字证书映射 493
16.6 从第三方CA配置证书 497
16.7 高级的PKI部署策略 501
16.7.1 CRL 501
16.7.2 OCSP 501
16.7.3 AAA 502
16.8 对Easy VPN的高级验证进行故障排错 503
16.9 复习所有考试要点 504
16.10 完成表格并通过记忆列出 505
16.11 定义关键术语 505
第17章 高级的Easy VPN授权 507
17.1 “我已经知道了吗?”测试题 507
17.2 配置过程、部署策略和信息采集 509
17.3 配置本地和远程组策略 509
17.3.1 将组策略分配给一个本地用户账号 514
17.3.2 将组策略分配给一个连接配置文件 515
17.4 操作信息的计费方法 516
17.4.1 NetFlow 9 520
17.4.2 RADIUS VPN计费 522
17.4.3 SNMP 523
17.5 复习所有考试要点 525
17.6 完成表格并通过记忆列出 525
17.7 定义关键术语 525
第18章 Easy VPN的高可靠性和性能 527
18.1 “我已经知道了吗?”测试题 527
18.2 配置过程、部署策略和信息采集 529
18.3 Easy VPN客户端HA和故障冗余 531
18.4 基于硬件的VPN的故障切换 533
18.5 Easy VPN的集群配置 539
18.6 对设备的故障切换和集群进行故障排查 541
18.7 复习所有考试要点 544
18.8 完成表格并通过记忆列出 545
18.9 定义关键术语 545
第19章 使用ASA 5505作为一个硬件客户端的Easy VPN的操作 547
19.1 “我已经知道了吗?”测试题 547
19.2 Easy VPN远程硬件客户端概述 549
19.2.1 客户端模式 549
19.2.2 网络扩展模式 550
19.3 将ASA 5505配置成为一个基本的Easy VPN的远程客户端 551
19.4 为ASA 5505配置高级的Easy VPN远程客户端设置 552
19.4.1 X-Auth和设备验证 552
19.4.2 远程管理 555
19.4.3 隧道管理 555
19.4.4 清除隧道管理 556
19.4.5 NAT Traversal 556
19.4.6 设备直通 557
19.5 对ASA 5505 Easy VPN远程硬件客户端进行故障排查 559
19.6 复习所有考试要点 561
19.7 完成表格并通过记忆列出 561
19.8 定义关键术语 561
第20章 部署IPSec站点到站点的VPN 563
20.1 “我已经知道了吗?”测试题 563
20.2 配置过程、部署策略和信息采集 565
20.2.1 阶段1 567
20.2.2 阶段2(快速模式) 568
20.3 IKEv2 569
20.3.1 阶段1 570
20.3.2 阶段2 570
20.4 配置一个基本的IKEv1 IPSec站点到站点VPN 570
20.4.1 配置一个基本的验证对方身份的功能 571
20.4.2 置传输保护 574
20.5 配置一个基本的IKEv2 IPSec站点到站点 580
20.6 为IKEv1 IPSec的站点到站点VPN配置一个高级的验证 583
20.7 对一个IPSec站点到站点的VPN连接进行故障排查 590
20.7.1 没有建立隧道:阶段1 590
20.7.2 有建立隧道:阶段2 591
20.7.3 流量没有通过隧道传输 591
20.8 复习所有考试要点 592
20.9 完成表格并通过记忆列出 593
20.10 定义关键术语 593
第21章 IPSec站点到站点VPN的高可靠性和性能策略 595
21.1 “我已经知道了吗?”测试题 595
21.2 配置过程、部署策略和信息采集 597
21.3 QoS的高保障 597
21.4 为站点到站点的VPN配置冗余对端 605
21.5 使用路由的站点到站点的VPN冗余 606
21.6 VPN基于硬件的故障切换 610
21.6.1 配置LAN故障切换的接口 611
21.6.2 在接口上配置备份的地址用于流量转发 613
21.6.3 定义故障切换的条件 613
21.6.4 配置非默认的MAC地址 614
21.7 对HA部署进行故障排错 615
21.8 复习所有考试要点 616
21.9 完成表格并通过记忆列出 617
21.10 定义关键术语 617
第22章 最后冲刺 619
22.1 最后冲刺工具 619
22.1.1 CD上的Pearson认证练习测试引擎和测试题 619
22.1.2 Cisco学习网络 620
22.2 最后复习/学习的建议计划 621
22.3 总结 622
附录A “我已经知道了吗?”测试题答案 625
附录B CCNP安全642-648 VPN考试更新:版本1.0 629
术语表 631