CCNP安全VPN 642-648认证考试指南（第2版）

图书目录:

目　录

第 1章　探讨VPN的角色和ASA所支持的技术　1

1.1　“我已经知道了吗？”测试题　1

1.2　介绍虚拟私有网络　3

1.3　支持VPN的协议　9

1.3.1　对称和非对称密钥算法　9

1.3.2　IPSec　10

1.3.3　IKEv1　10

1.3.4　验证头和封装安全负载　12

1.3.5　IKEv2　14

1.3.6　SSL/TLS　16

1.3.7　SSL隧道协商　18

1.3.8　握手　19

1.3.9　DTLS　22

1.4　ASA数据包处理　24

1.5　好的、坏的和许可证　26

1.5.1　基于时间的许可证　34

1.5.2　什么时候基于时间的许可证和**许可证可被合并　34

1.5.3　共享的SSL VPN许可证　34

1.5.4　基于故障切换的许可证　35

1.6　复习所有考试要点　35

1.7　完成表格并通过记忆列出　35

1.8　定义关键术语　35

第 2章　配置策略、继承和属性　37

2.1　“我已经知道了吗 ”测试题　37

2.2　策略和它们的关系　38

2.3　理解连接配置文件　41

2.3.1　组的URL　42

2.3.2　组的别名　42

2.3.3　证书到连接配置文件的映射　44

2.3.4　基于用户的连接配置文件的锁定　45

2.3.5　默认的连接配置文件　46

2.4　理解组策略　49

2.5　配置用户属性　51

2.6　使用外部服务器实现AAA和策略　53

2.7　复习所有考试要点　55

2.8　完成表格并通过记忆列出　55

2.9　定义关键术语　55

第3章　配置一个无客户端的SSL VPN解决方案　57

3.1　“我已经知道了吗？”测试题　57

3.2　无客户端的SSL VPN回顾　59

3.3　配置过程和策略　61

3.4　配置第 一个无客户端的SSL VPN解决方案　62

3.4.1　IP地址　63

3.4.2　主机名、域名和DNS　63

3.4.3　成为一个公共密钥架构的成员　64

3.4.4　增加一个CA根证书　64

3.4.5　证书吊销列表　65

3.4.6　吊销检查　66

3.4.7　检索CRL的策略　67

3.4.8　检索CRL的方法　67

3.4.9　OCSP规则　67

3.4.10　Advanced　70

3.4.11　为SSL启动相关的接口　78

3.4.12　创建本地用户账号用于验证　80

3.4.13　建立连接配置文件(可选的)　81

3.5　基本的访问控制　86

3.5.1　书签　87

3.5.2　HTTP与HTTPS　87

3.5.3　CIFS　87

3.5.4　FTP　88

3.5.5　组策略　90

3.6　内容转换　94

3.6.1　网关内容重写　94

3.6.2　Application Helper配置文件　96

3.6.3　Java代码的签名　97

3.7　对一个基本的无客户端的SSL VPN进行故障排查　98

3.7.1　对会话的建立进行故障排查　98

3.7.2　对有关证书的错误进行故障排查　100

3.8　复习所有考试要点　101

3.9　完成表格并通过记忆列出　101

3.10　定义关键术语　101

第4章　**的无客户端的SSL VPN的设置　103

4.1　“我已经知道了吗？”测试题　103

4.2　回顾**的无客户端的SSL VPN设置　105

4.3　通过端口转发访问应用程序　109

4.4　使用客户端/服务器插件的应用程序访问　115

4.5　通过智能隧道访问应用程序　123

4.6　配置SSL/TLS代理　129

4.6.1　邮件代理　129

4.6.2　内部的HTTP和HTTPS代理　131

4.7　对应用程序做故障排错　131

4.7.1　对应用程序的访问进行故障排错　132

4.7.2　客户端　132

4.7.3　ASA/VPN终结设备　132

4.7.4　应用程序/Web服务器　134

4.8　复习所有考试要点　135

4.9　完成表格并通过记忆列出　135

4.10　定义关键术语　135

第5章　定制无客户端的门户　137

5.1　“我已经知道了吗？”测试题　137

5.2　基本的门户布局配置　138

5.2.1　登录的定制　140

5.2.2　对门户页面进行定制　142

5.2.3　对登出页面的定制　143

5.3　对门户进行配置　144

5.4　门户语言的本地化　144

5.5　获取门户的帮助文件　148

5.6　AnyConnect与门户的集成　149

5.7　无客户端SSL VPN的**验证　151

5.8　为无客户端访问VPN使用一个外部和内部的CA　152

5.9　无客户端的SSL VPN双因子验证　160

5.10　配置无客户端的SSL VPN的单点登录　164

5.11　对PKI和SSO的集成进行故障排错　168

5.12　复习所有考试要点　171

5.13　完成表格并通过记忆列出　171

5.14　定义关键术语　171

第6章　无客户端的SSL VPN的**验证和授权　173

6.1　“我已经知道了吗？”测试题　173

6.2　配置过程、部署策略和信息收集　175

6.2.1　建立DAP　178

6.2.2　指定用户的AAA属性　179

6.2.3　指定端点属性　180

6.2.4　配置授权参数　182

6.2.5　为默认的DAP配置授权参数　183

6.3　DAP记录的集合　184

6.4　对DAP配置进行故障排查　189

6.4.1　ASDM测试特性　189

6.4.2　ASA日志　190

6.4.3　DAP调试　191

6.5　复习所有考试要点　192

6.6　完成表格并通过记忆列出　193

6.7　定义关键术语　193

第7章　无客户端的SSL VPN的高可靠性和性能　195

7.1　“我已经知道了吗？”测试题　195

7.2　高可靠性的配置信息和常见的策略　196

7.2.1　故障切换　196

7.2.2　active/active　197

7.2.3　active/standby　197

7.2.4　VPN负载平衡(集群)　198

7.2.5　外部的负载平衡　198

7.2.6　冗余的VPN对等体　198

7.3　缓存内容以实现优化　199

7.4　使用外部负载平衡设备实现无客户端的SSL VPN的负载平衡　201

7.5　为无客户端的SSL VPN的配置集群　202

7.6　对负载平衡和集群执行故障排查　204

7.7　复习所有考试要点　206

7.8　完成表格并通过记忆列出　207

7.9　定义关键术语　207

第8章　配置AnyConnect远程访问VPN解决方案　209

8.1　“我已经知道了吗？”测试题　209

8.2　AnyConnect全隧道SSL VPN概述　212

8.3　配置过程、部署策略和信息收集　213

8.4　配置第 一个全隧道的AnyConnect SSL VPN解决方案　215

8.4.1　IP地址　215

8.4.2　启动IPv6访问　216

8.4.3　主机名、域名和DNS　217

8.4.4　向CA登记并且成为PKI的成员　218

8.4.5　添加一个身份证书　218

8.4.6　添加签名的根CA证书　222

8.4.7　为SSL/DTLS和AnyConnect的客户端的连接启动接口　224

8.4.8　建立连接配置文件　225

8.5　配置第 一个AnyConnect IKEv2 VPN解决方案　229

8.5.1　为IKEv2和AnyConnect访问启动相关的接口　230

8.5.2　建立IKEv2策略　231

8.5.3　建立连接配置文件　233

8.6　对客户端分配IP地址　236

8.6.1　使用连接配置文件分配地址　238

8.6.2　使用组策略分配地址　240

8.6.3　直接给用户分配地址　244

8.7　对环境的**控制　245

8.7.1　ACL和可下载的访问控制列表　245

8.7.2　分离隧道　248

8.7.3　访问时长/时间范围　252

8.8　对AnyConnect Secure Mobility客户端进行故障排查　254

8.9　复习所有考试要点　259

8.10　完成表格并通过记忆列出　259

8.11　定义关键术语　259

第9章　AnyConnect VPN**验证和授权　261

9.1　“我已经知道了吗？”测试题　261

9.2　验证选项和策略　263

9.3　在一个本地CA上配置证书　268

9.4　配置证书映射　278

9.4.1　证书到连接配置文件的映射　279

9.4.2　映射标准　281

9.5　从一个第三方CA配置证书　283

9.5.1　为AnyConnect客户端配置一个XML配置文件　285

9.5.2　为申请证书配置一个专门的连接配置文件　288

9.5.3　AnyConnect客户端向PKI申请证书　290

9.5.4　(可选地)配置客户端的证书选择　290

9.5.5　将颁发者CA的证书导入到ASA中　294

9.5.6　建立一个基于证书验证的连接配置文件　296

9.6　**的PKI实施策略　297

9.7　客户端的双因子认证　300

9.8　对**配置的故障排错　305

9.9　复习所有考试要点　307

9.10　完成表格并通过记忆列出　307

9.11　定义关键术语　307

第 10章　AnyConnect客户端的**配置和管理　309

10.1　“我已经知道了吗？”测试题　309

10.2　配置过程、配置策略和信息收集　310

10.3　AnyConnect安装选项　312

10.3.1　手动配置　312

10.3.2　自动Web配置　314

10.4　管理AnyConnect客户端配置文件　322

10.5　**的配置文件特性　326

10.5.1　登录前启动　326

10.5.2　受信任网络检测　327

10.6　**的AnyConnect定制和管理　330

10.7　复习所有考试要点　335

10.8　完成表格并通过记忆列出　335

10.9　定义关键术语　335

第 11章　使用AAA和DAP的AnyConnect的**授权　337

11.1　“我已经知道了吗？”测试题　337

11.2　配置过程、部署策略和信息收集　338

11.3　配置本地和远程的组策略　339

11.4　完全的SSL VPN计费　349

11.5　通过动态访问策略进行授权　356

11.6　对**的授权设置进行故障排错　358

11.7　复习所有考试要点　361

11.8　完成表格并通过记忆列出　361

11.9　定义关键术语　361

第 12章　AnyConnect的高可靠性和性能　363

12.1　“我已经知道了吗？”测试题　363

12.2　高可靠性和冗余方法的回顾　365

12.2.1　基于硬件的故障切换　365

12.2.2　VPN集群(VPN负载平衡)　366

12.2.3　冗余的VPN对端　366

12.2.4　外部的负载平衡　367

12.3　部署DTLS　368

12.4　QoS的性能保障　370

12.4.1　基本的ASDM QoS配置　372

12.4.2　基本的CLI QoS配置　378

12.5　AnyConnect冗余对端和故障切换　380

12.6　VPN中基于硬件的故障切换　384

12.6.1　配置故障切换的LAN接口　385

12.6.2　为转发流量的接口配置备份地址　387

12.6.3　定义故障切换的条件　387

12.6.4　配置非默认的MAC地址　388

12.7　VPN核心中的冗余　389

12.7.1　VPN集群　389

12.7.2　使用一个外部负载平衡器实现负载平衡　392

12.8　复习所有考试要点　393

12.9　完成表格并通过记忆列出　393

12.10　定义关键术语　393

第 13章　Cisco安全桌面　395

13.1　“我已经知道了吗？”测试题　395

13.2　Cisco安全桌面回顾和配置　396

13.2.1　预登录评估　398

13.2.2　主机扫描　399

13.2.3　安全桌面(Vault)　400

13.2.4　缓存清除器　401

13.2.5　Keystroke Logger　401

13.2.6　和DAP的集成　401

13.2.7　主机仿真检测　401

13.2.8　Windows移动设备管理　402

13.2.9　独立的安装包　402

13.2.10　手动运行CSD　402

13.3　CSD的操作顺序　402

13.3.1　预登录阶段　402

13.3.2　登录后阶段　403

13.3.3　会话终结阶段　403

13.3.4　CSD支持的浏览器、操作系统和登录凭证　404

13.3.5　在ASA上启动Cisco的安全桌面　406

13.4　配置预登录条件　408

13.4.1　击键日志和安全检查　412

13.4.2　清除缓存　412

13.4.3　Secure Desktop(Vault)General　413

13.4.4　安全桌面(Vault)设置　414

13.4.5　安全桌面(Vault)浏览器　415

13.5　主机端点评估　415

13.6　使用DAP的授权　416

13.7　对Cisco安全桌面进行故障排查　417

13.8　复习所有的关键考试要点　419

13.9　完成表格并通过记忆列出　419

13.10　定义关键术语　419

第 14章　配置和管理Cisco的VPN客户端　421

14.1　“我已经知道了吗？”测试题　421

14.2　Cisco IPSec VPN客户端的特性　422

14.3　Cisco ASA的基础的远程IPSec客户端的配置　424

14.4　IPSec客户端软件的安装和基本的配置　427

14.4.1　建立一个新的VPN连接条目、主窗口　430

14.4.2　Authentication标签　430

14.4.3　Transport标签　431

14.4.4　Backup Servers标签　431

14.4.5　Dial-Up标签　431

14.5　**的参数文件设置　432

14.6　VPN客户端软件GUI定制　439

14.7　对VPN客户端连接进行故障排错　439

14.8　复习所有考试要点　443

14.9　完成表格并通过记忆列出　443

14.10　定义关键术语　443

第 15章　部署Easy VPN解决方案　445

15.1　“我已经知道了吗？”测试题　445

15.2　配置过程、部署过程和信息采集　446

15.3　Easy VPN的基本配置　448

15.3.1　ASA IP地址　448

15.3.2　配置所需的路由　449

15.3.3　启动IPSec连接　450

15.3.4　配置**优的IKEv1和IPSec策略　456

15.3.5　客户端IP地址分配　462

15.3.6　使用预共享密钥的VPN客户端的验证　463

15.3.7　为VPN客户端的访问使用XAUTH　467

15.3.8　VPN客户端的IP地址分配　469

15.3.9　DHCP配置　473

15.4　使用**的特性控制你的环境　474

15.4.1　配置ACL旁路　475

15.4.2　接口ACL的基本配置　476

15.4.3　基于每一个组的ACL配置　478

15.4.4　基于用户的ACL配置　479

15.4.5　配置分离隧道　479

15.5　对一个基本的Easy VPN进行故障排错　481

15.6　复习所有考试要点　483

15.7　完成表格并通过记忆列出　483

15.8　定义关键术语　483

第 16章　使用Easy VPN的**的验证和授权　485

16.1　“我已经知道了吗？”测试题　485

16.2　验证选项和策略　486

16.3　配置PKI用于Easy VPN　488

16.4　配置互有/混合验证　492

16.5　配置数字证书映射　493

16.6　从第三方CA配置证书　497

16.7　**的PKI部署策略　501

16.7.1　CRL　501

16.7.2　OCSP　501

16.7.3　AAA　502

16.8　对Easy VPN的**验证进行故障排错　503

16.9　复习所有考试要点　504

16.10　完成表格并通过记忆列出　505

16.11　定义关键术语　505

第 17章　**的Easy VPN授权　507

17.1　“我已经知道了吗？”测试题　507

17.2　配置过程、部署策略和信息采集　509

17.3　配置本地和远程组策略　509

17.3.1　将组策略分配给一个本地用户账号　514

17.3.2　将组策略分配给一个连接配置文件　515

17.4　操作信息的计费方法　516

17.4.1　NetFlow 9　520

17.4.2　RADIUS VPN计费　522

17.4.3　SNMP　523

17.5　复习所有考试要点　525

17.6　完成表格并通过记忆列出　525

17.7　定义关键术语　525

第 18章　Easy VPN的高可靠性和性能　527

18.1　“我已经知道了吗？”测试题　527

18.2　配置过程、部署策略和信息采集　529

18.3　Easy VPN客户端HA和故障冗余　531

18.4　基于硬件的VPN的故障切换　533

18.5　Easy VPN的集群配置　539

18.6　对设备的故障切换和集群进行故障排查　541

18.7　复习所有考试要点　544

18.8　完成表格并通过记忆列出　545

18.9　定义关键术语　545

第 19章　使用ASA 5505作为一个硬件客户端的Easy VPN的操作　547

19.1　“我已经知道了吗？”测试题　547

19.2　Easy VPN远程硬件客户端概述　549

19.2.1　客户端模式　549

19.2.2　网络扩展模式　550

19.3　将ASA 5505配置成为一个基本的Easy VPN的远程客户端　551

19.4　为ASA 5505配置**的Easy VPN远程客户端设置　552

19.4.1　X-Auth和设备验证　552

19.4.2　远程管理　555

19.4.3　隧道管理　555

19.4.4　清除隧道管理　556

19.4.5　NAT Traversal　556

19.4.6　设备直通　557

19.5　对ASA 5505 Easy VPN远程硬件客户端进行故障排查　559

19.6　复习所有考试要点　561

19.7　完成表格并通过记忆列出　561

19.8　定义关键术语　561

第 20章　部署IPSec站点到站点的VPN　563

20.1　“我已经知道了吗？”测试题　563

20.2　配置过程、部署策略和信息采集　565

20.2.1　阶段1　567

20.2.2　阶段2(快速模式)　568

20.3　IKEv2　569

20.3.1　阶段1　570

20.3.2　阶段2　570

20.4　配置一个基本的IKEv1 IPSec站点到站点VPN　570

20.4.1　配置一个基本的验证对方身份的功能　571

20.4.2　配置传输保护　574

20.5　配置一个基本的IKEv2 IPSec站点到站点　580

20.6　为IKEv1 IPSec的站点到站点VPN配置一个**的验证　583

20.7　对一个IPSec站点到站点的VPN连接进行故障排查　590

20.7.1　没有建立隧道：阶段1　590

20.7.2　没有建立隧道：阶段2　591

20.7.3　流量没有通过隧道传输　591

20.8　复习所有考试要点　592

20.9　完成表格并通过记忆列出　593

20.10　定义关键术语　593

第 21章　IPSec站点到站点VPN的高可靠性和性能策略　595

21.1　“我已经知道了吗？”测试题　595

21.2　配置过程、部署策略和信息采集　597

21.3　QoS的高保障　597

21.4　为站点到站点的VPN配置冗余对端　605

21.5　使用路由的站点到站点的VPN冗余　606

21.6　VPN基于硬件的故障切换　610

21.6.1　配置LAN故障切换的接口　611

21.6.2　在接口上配置备份的地址用于流量转发　613

21.6.3　定义故障切换的条件　613

21.6.4　配置非默认的MAC地址　614

21.7　对HA部署进行故障排错　615

21.8　复习所有考试要点　616

21.9　完成表格并通过记忆列出　617

21.10　定义关键术语　617

第 22章　**后冲刺　619

22.1　**后冲刺工具　619

22.1.1　CD上的Pearson认证练习测试引擎和测试题　619

22.1.2　Cisco学习网络　620

22.2　**后复习/学习的建议计划　621

22.3　总结　622

附录A “我已经知道了吗？”测试题答案　625

附录B　CCNP安全642-648 VPN考试更新：版本1.0　629

术语表　631