《CCNP安全VPN642-648认证考试指南 第2版》PDF下载

  • 购买积分:18 如何计算积分?
  • 作  者:(美)豪柏著
  • 出 版 社:北京:人民邮电出版社
  • 出版年份:2014
  • ISBN:9787115365309
  • 页数:634 页
图书介绍:本书是CCNP安全认证考试科目VPN(642-648)的权威考试指南,涵盖了与VPN(642-647)考试相关的各个主题,通过本书的学习,读者可以掌握VPN(642-648)考试的所有考试要点,从而为通过考试,获得CCNP安全认证做好准备。

第1章 探讨VPN的角色和ASA所支持的技术 1

1.1 “我已经知道了吗?”测试题 1

1.2 介绍虚拟私有网络 3

1.3 支持VPN的协议 9

1.3.1 对称和非对称密钥算法 9

1.3.2 IPSec 10

1.3.3 IKEv1 10

1.3.4 验证头和封装安全负载 12

1.3.5 IKEv2 14

1.3.6 SSL/TLS 16

1.3.7 SSL隧道协商 18

1.3.8 握手 19

1.3.9 DTLS 22

1.4 ASA数据包处理 24

1.5 好的、坏的和许可证 26

1.5.1 基于时间的许可证 34

1.5.2 什么时候基于时间的许可证和永久许可证可被合并 34

1.5.3 共享的SSL VPN许可证 34

1.5.4 基于故障切换的许可证 35

1.6 复习所有考试要点 35

1.7 完成表格并通过记忆列出 35

1.8 定义关键术语 35

第2章 配置策略、继承和属性 37

2.1 “我已经知道了吗?”测试题 37

2.2 策略和它们的关系 38

2.3 理解连接配置文件 41

2.3.1 组的URL 42

2.3.2 组的别名 42

2.3.3 证书到连接配置文件的映射 44

2.3.4 基于用户的连接配置文件的锁定 45

2.3.5 默认的连接配置文件 46

2.4 理解组策略 49

2.5 配置用户属性 51

2.6 使用外部服务器实现AAA和策略 53

2.7 复习所有考试要点 55

2.8 完成表格并通过记忆列出 55

2.9 定义关键术语 55

第3章 配置一个无客户端的SSL VPN解决方案 57

3.1 “我已经知道了吗?”测试题 57

3.2 无客户端的SSL VPN回顾 59

3.3 配置过程和策略 61

3.4 配置第一个无客户端的SSL VPN解决方案 62

3.4.1 IP地址 63

3.4.2 主机名、域名和DNS 63

3.4.3 成为一个公共密钥架构的成员 64

3.4.4 增加一个CA根证书 64

3.4.5 证书吊销列表 65

3.4.6 吊销检查 66

3.4.7 检索CRL的策略 67

3.4.8 检索CRL的方法 67

3.4.9 OCSP规则 67

3.4.10 Advanced 70

3.4.11 为SSL启动相关的接口 78

3.4.12 创建本地用户账号用于验证 80

3.4.13 建立连接配置文件(可选的) 81

3.5 基本的访问控制 86

3.5.1 书签 87

3.5.2 HTTP与HTTPS 87

3.5.3 CIFS 87

3.5.4 FTP 88

3.5.5 组策略 90

3.6 内容转换 94

3.6.1 网关内容重写 94

3.6.2 Application Helper配置文件 96

3.6.3 Java代码的签名 97

3.7 对一个基本的无客户端的SSLVPN进行故障排查 98

3.7.1 对会话的建立进行故障排查 98

3.7.2 对有关证书的错误进行故障排查 100

3.8 复习所有考试要点 101

3.9 完成表格并通过记忆列出 101

3.10 定义关键术语 101

第4章 高级的无客户端的SSL VPN的设置 103

4.1 “我已经知道了吗?”测试题 103

4.2 回顾高级的无客户端的SSL VPN设置 105

4.3 通过端口转发访问应用程序 109

4.4 使用客户端/服务器插件的应用程序访问 115

4.5 通过智能隧道访问应用程序 123

4.6 配置SSL/TLS代理 129

4.6.1 邮件代理 129

4.6.2 内部的HTTP和HTTPS代理 131

4.7 对应用程序做故障排错 131

4.7.1 对应用程序的访问进行故障排错 132

4.7.2 客户端 132

4.7.3 ASA/VPN终结设备 132

4.7.4 应用程序/Web服务器 134

4.8 复习所有考试要点 135

4.9 完成表格并通过记忆列出 135

4.10 定义关键术语 135

第5章 定制无客户端的门户 137

5.1 “我已经知道了吗?”测试题 137

5.2 基本的门户布局配置 138

5.2.1 登录的定制 140

5.2.2 对门户页面进行定制 142

5.2.3 对登出页面的定制 143

5.3 对门户进行配置 144

5.4 门户语言的本地化 144

5.5 获取门户的帮助文件 148

5.6 AnyConnect与门户的集成 149

5.7 无客户端SSL VPN的高级验证 151

5.8 为无客户端访问VPN使用一个外部和内部的CA 152

5.9 无客户端的SSL VPN双因子验证 160

5.10 配置无客户端的SSL VPN的单点登录 164

5.11 对PKI和SSO的集成进行故障排错 168

5.12 复习所有考试要点 171

5.13 完成表格并通过记忆列出 171

5.14 定义关键术语 171

第6章 无客户端的SSL VPN的高级验证和授权 173

6.1 “我已经知道了吗?”测试题 173

6.2 配置过程、部署策略和信息收集 175

6.2.1 建立DAP 178

6.2.2 指定用户的AAA属性 179

6.2.3 指定端点属性 180

6.2.4 配置授权参数 182

6.2.5 为默认的DAP配置授权参数 183

6.3 DAP记录的集合 184

6.4 对DAP配置进行故障排查 189

6.4.1 ASDM测试特性 189

6.4.2 ASA日志 190

6.4.3 DAP调试 191

6.5 复习所有考试要点 192

6.6 完成表格并通过记忆列出 193

6.7 定义关键术语 193

第7章 无客户端的SSL VPN的高可靠性和性能 195

7.1 “我已经知道了吗?”测试题 195

7.2 高可靠性的配置信息和常见的策略 196

7.2.1 故障切换 196

7.2.2 active/active 197

7.2.3 active/standby 197

7.2.4 VPN负载平衡(集群) 198

7.2.5 外部的负载平衡 198

7.2.6 冗余的VPN对等体 198

7.3 缓存内容以实现优化 199

7.4 使用外部负载平衡设备实现无客户端的SSL VPN的负载平衡 201

7.5 为无客户端的SSL VPN的配置集群 202

7.6 对负载平衡和集群执行故障排查 204

7.7 复习所有考试要点 206

7.8 完成表格并通过记忆列出 207

7.9 定义关键术语 207

第8章 配置AnyConnect远程访问VPN解决方案 209

8.1 “我已经知道了吗?”测试题 209

8.2 AnyConnect全隧道SSL VPN概述 212

8.3 配置过程、部署策略和信息收集 213

8.4 配置第一个全隧道的AnyConnect SSL VPN解决方案 215

8.4.1 IP地址 215

8.4.2 启动IPv6访问 216

8.4.3 主机名、域名和DNS 217

8.4.4 向CA登记并且成为PKI的成员 218

8.4.5 添加一个身份证书 218

8.4.6 添加签名的根CA证书 222

8.4.7 为SSL/DTLS和AnyConnect的客户端的连接启动接口 224

8.4.8 建立连接配置文件 225

8.5 配置第一个AnyConnect IKEv2 VPN解决方案 229

8.5.1 为IKEv2和AnyConnect访问启动相关的接口 230

8.5.2 建立IKEv2策略 231

8.5.3 建立连接配置文件 233

8.6 对客户端分配IP地址 236

8.6.1 使用连接配置文件分配地址 238

8.6.2 使用组策略分配地址 240

8.6.3 直接给用户分配地址 244

8.7 对环境的高级控制 245

8.7.1 ACL和可下载的访问控制列表 245

8.7.2 分离隧道 248

8.7.3 访问时长/时间范围 252

8.8 对AnyConnect Secure Mobility客户端进行故障排查 254

8.9 复习所有考试要点 259

8.10 完成表格并通过记忆列出 259

8.11 定义关键术语 259

第9章 AnyConnect VPN高级验证和授权 261

9.1 “我已经知道了吗?”测试题 261

9.2 验证选项和策略 263

9.3 在一个本地CA上配置证书 268

9.4 配置证书映射 278

9.4.1 证书到连接配置文件的映射 279

9.4.2 映射标准 281

9.5 从一个第三方CA配置证书 283

9.5.1 为AnyConnect客户端配置一个XML配置文件 285

9.5.2 为申请证书配置一个专门的连接配置文件 288

9.5.3 AnyConnect客户端向PKI申请证书 290

9.5.4 (可选地)配置客户端的证书选择 290

9.5.5 将颁发者CA的证书导入到ASA中 294

9.5.6 建立一个基于证书验证的连接配置文件 296

9.6 高级的PKI实施策略 297

9.7 客户端的双因子认证 300

9.8 对高级配置的故障排错 305

9.9 复习所有考试要点 307

9.10 完成表格并通过记忆列出 307

9.11 定义关键术语 307

第10章 AnyConnect客户端的高级配置和管理 309

10.1 “我已经知道了吗?”测试题 309

10.2 配置过程、配置策略和信息收集 310

10.3 AnyConnect安装选项 312

10.3.1 手动配置 312

10.3.2 自动Web配置 314

10.4 管理AnyConnect客户端配置文件 322

10.5 高级的配置文件特性 326

10.5.1 登录前启动 326

10.5.2 受信任网络检测 327

10.6 高级的AnyConnect定制和管理 330

10.7 复习所有考试要点 335

10.8 完成表格并通过记忆列出 335

10.9 定义关键术语 335

第11章 使用AAA和DAP的AnyConnect的高级授权 337

11.1 “我已经知道了吗?”测试题 337

11.2 配置过程、部署策略和信息收集 338

11.3 配置本地和远程的组策略 339

11.4 完全的SSL VPN计费 349

11.5 通过动态访问策略进行授权 356

11.6 对高级的授权设置进行故障排错 358

11.7 复习所有考试要点 361

11.8 完成表格并通过记忆列出 361

11.9 定义关键术语 361

第12章 AnyConnect的高可靠性和性能 363

12.1 “我已经知道了吗?”测试题 363

12.2 高可靠性和冗余方法的回顾 365

12.2.1 基于硬件的故障切换 365

12.2.2 VPN集群(VPN负载平衡) 366

12.2.3 冗余的VPN对端 366

12.2.4 外部的负载平衡 367

12.3 部署DTLS 368

12.4 QoS的性能保障 370

12.4.1 基本的ASDM QoS配置 372

12.4.2 基本的CLI QoS配置 378

12.5 AnyConnect冗余对端和故障切换 380

12.6 VPN中基于硬件的故障切换 384

12.6.1 配置故障切换的LAN接口 385

12.6.2 为转发流量的接口配置备份地址 387

12.6.3 定义故障切换的条件 387

12.6.4 配置非默认的MAC地址 388

12.7 VPN核心中的冗余 389

12.7.1 VPN集群 389

12.7.2 使用一个外部负载平衡器实现负载平衡 392

12.8 复习所有考试要点 393

12.9 完成表格并通过记忆列出 393

12.10 定义关键术语 393

第13章 Cisco安全桌面 395

13.1 “我已经知道了吗?”测试题 395

13.2 Cisco安全桌面回顾和配置 396

13.2.1 预登录评估 398

13.2.2 主机扫描 399

13.2.3 安全桌面(Vault) 400

13.2.4 缓存清除器 401

13.2.5 Keystroke L0gger 401

13.2.6 和DAP的集成 401

13.2.7 主机仿真检测 401

13.2.8 Windows移动设备管理 402

13.2.9 独立的安装包 402

13.2.10 手动运行CSD 402

13.3 CSD的操作顺序 402

13.3.1 预登录阶段 402

13.3.2 登录后阶段 403

13.3.3 会话终结阶段 403

13.3.4 CSD支持的浏览器、操作系统和登录凭证 404

13.3.5 在ASA上启动Cisco的安全桌面 406

13.4 配置预登录条件 408

13.4.1 击键日志和安全检查 412

13.4.2 清除缓存 412

13.4.3 Secure Desktop(Vault)General 413

13.4.4 安全桌面(Vault)设置 414

13.4.5 安全桌面(Vault)浏览器 415

13.5 主机端点评估 415

13.6 使用DAP的授权 416

13.7 对Cisco安全桌面进行故障排查 417

13.8 复习所有的关键考试要点 419

13.9 完成表格并通过记忆列出 419

13.10 定义关键术语 419

第14章 配置和管理Cisco的VPN客户端 421

14.1 “我已经知道了吗?”测试题 421

14.2 Cisco IPSec VPN客户端的特性 422

14.3 Cisco ASA的基础的远程IPSec客户端的配置 424

14.4 IPSec客户端软件的安装和基本的配置 427

14.4.1 建立一个新的VPN连接条目、主窗口 430

14.4.2 Authentication标签 430

14.4.3 Transport标签 431

14.4.4 Backup Servers标签 431

14.4.5 Dial-Up标签 431

14.5 高级的参数文件设置 432

14.6 VPN客户端软件GUI定制 439

14.7 对VPN客户端连接进行故障排错 439

14.8 复习所有考试要点 443

14.9 完成表格并通过记忆列出 443

14.10 定义关键术语 443

第15章 部署Easy VPN解决方案 445

15.1 “我已经知道了吗?”测试题 445

15.2 配置过程、部署过程和信息采集 446

15.3 Easy VPN的基本配置 448

15.3.1 ASA IP地址 448

15.3.2 配置所需的路由 449

15.3.3 启动IPSec连接 450

15.3.4 配置最优的IKEv 1和IPSec策略 456

15.3.5 客户端IP地址分配 462

15.3.6 使用预共享密钥的VPN客户端的验证 463

15.3.7 为VPN客户端的访问使用XAUTH 467

15.3.8 VPN客户端的IP地址分配 469

15.3.9 DHCP配置 473

15.4 使用高级的特性控制你的环境 474

15.4.1 配置ACL旁路 475

15.4.2 接口ACL的基本配置 476

15.4.3 基于每一个组的ACL配置 478

15.4.4 基于用户的ACL配置 479

15.4.5 配置分离隧道 479

15.5 对一个基本的Easy VPN进行故障排错 481

15.6 复习所有考试要点 483

15.7 完成表格并通过记忆列出 483

15.8 定义关键术语 483

第16章 使用Easy VPN的高级的验证和授权 485

16.1 “我已经知道了吗?”测试题 485

16.2 验证选项和策略 486

16.3 配置PKI用于Easy VPN 488

16.4 配置互有/混合验证 492

16.5 配置数字证书映射 493

16.6 从第三方CA配置证书 497

16.7 高级的PKI部署策略 501

16.7.1 CRL 501

16.7.2 OCSP 501

16.7.3 AAA 502

16.8 对Easy VPN的高级验证进行故障排错 503

16.9 复习所有考试要点 504

16.10 完成表格并通过记忆列出 505

16.11 定义关键术语 505

第17章 高级的Easy VPN授权 507

17.1 “我已经知道了吗?”测试题 507

17.2 配置过程、部署策略和信息采集 509

17.3 配置本地和远程组策略 509

17.3.1 将组策略分配给一个本地用户账号 514

17.3.2 将组策略分配给一个连接配置文件 515

17.4 操作信息的计费方法 516

17.4.1 NetFlow 9 520

17.4.2 RADIUS VPN计费 522

17.4.3 SNMP 523

17.5 复习所有考试要点 525

17.6 完成表格并通过记忆列出 525

17.7 定义关键术语 525

第18章 Easy VPN的高可靠性和性能 527

18.1 “我已经知道了吗?”测试题 527

18.2 配置过程、部署策略和信息采集 529

18.3 Easy VPN客户端HA和故障冗余 531

18.4 基于硬件的VPN的故障切换 533

18.5 Easy VPN的集群配置 539

18.6 对设备的故障切换和集群进行故障排查 541

18.7 复习所有考试要点 544

18.8 完成表格并通过记忆列出 545

18.9 定义关键术语 545

第19章 使用ASA 5505作为一个硬件客户端的Easy VPN的操作 547

19.1 “我已经知道了吗?”测试题 547

19.2 Easy VPN远程硬件客户端概述 549

19.2.1 客户端模式 549

19.2.2 网络扩展模式 550

19.3 将ASA 5505配置成为一个基本的Easy VPN的远程客户端 551

19.4 为ASA 5505配置高级的Easy VPN远程客户端设置 552

19.4.1 X-Auth和设备验证 552

19.4.2 远程管理 555

19.4.3 隧道管理 555

19.4.4 清除隧道管理 556

19.4.5 NAT Traversal 556

19.4.6 设备直通 557

19.5 对ASA 5505 Easy VPN远程硬件客户端进行故障排查 559

19.6 复习所有考试要点 561

19.7 完成表格并通过记忆列出 561

19.8 定义关键术语 561

第20章 部署IPSec站点到站点的VPN 563

20.1 “我已经知道了吗?”测试题 563

20.2 配置过程、部署策略和信息采集 565

20.2.1 阶段1 567

20.2.2 阶段2(快速模式) 568

20.3 IKEv2 569

20.3.1 阶段1 570

20.3.2 阶段2 570

20.4 配置一个基本的IKEv1 IPSec站点到站点VPN 570

20.4.1 配置一个基本的验证对方身份的功能 571

20.4.2 置传输保护 574

20.5 配置一个基本的IKEv2 IPSec站点到站点 580

20.6 为IKEv1 IPSec的站点到站点VPN配置一个高级的验证 583

20.7 对一个IPSec站点到站点的VPN连接进行故障排查 590

20.7.1 没有建立隧道:阶段1 590

20.7.2 有建立隧道:阶段2 591

20.7.3 流量没有通过隧道传输 591

20.8 复习所有考试要点 592

20.9 完成表格并通过记忆列出 593

20.10 定义关键术语 593

第21章 IPSec站点到站点VPN的高可靠性和性能策略 595

21.1 “我已经知道了吗?”测试题 595

21.2 配置过程、部署策略和信息采集 597

21.3 QoS的高保障 597

21.4 为站点到站点的VPN配置冗余对端 605

21.5 使用路由的站点到站点的VPN冗余 606

21.6 VPN基于硬件的故障切换 610

21.6.1 配置LAN故障切换的接口 611

21.6.2 在接口上配置备份的地址用于流量转发 613

21.6.3 定义故障切换的条件 613

21.6.4 配置非默认的MAC地址 614

21.7 对HA部署进行故障排错 615

21.8 复习所有考试要点 616

21.9 完成表格并通过记忆列出 617

21.10 定义关键术语 617

第22章 最后冲刺 619

22.1 最后冲刺工具 619

22.1.1 CD上的Pearson认证练习测试引擎和测试题 619

22.1.2 Cisco学习网络 620

22.2 最后复习/学习的建议计划 621

22.3 总结 622

附录A “我已经知道了吗?”测试题答案 625

附录B CCNP安全642-648 VPN考试更新:版本1.0 629

术语表 631