CCSP自学指南:Cisco安全虚拟专用网络(第二版)---CCSP Self-Study:Cisco Secure Virtual Private Netwo
本书内容全面广泛,注重理论与实际应用的结合。全书共分为14章和2个附录,详细介绍了在实际的网络环境中规划、部署、管理以及维护VPN(基于CiscoVPN 3000集中器)所需的各种知识。同时,书中的内容与CSVPN 642-511考试紧密相关。通过学习本书,读者不仅能够了解到VPN的理论知识和VPN重要的特性,而且可以通过详细的操作步骤,学会实际的配置方法,在实际工作环境中应用VPN技术。在本书每一章章首都列出了明确的学习目标,并在每一章章尾提供了复习题,用以评估读者对该章知识的掌握情况。贯穿全书有很多例子和详细的图表,可以帮助读者更清晰地了解文中所介绍的概念。 本书适用于有一定基础的、具有系统管理实际经验的读者。对于想要了解安全VPN在基础设施中的重要性,而且正在进一步学习网络互连知识的初学者,本书也是具备很高的参考价值。本书涵盖了CSVPN 642-511所要求的内容,对于参加该项考试的考生,本书是帮助他们通过Cisco认证的好帮手。http://www.china-pub.com/computers/ebook20001-25000/23035/shupi.gif
第1章网络安全性和虚拟专用网络技术 3
1.1网络安全性概述 3
1.1.1无结构的威胁 4
1.1.2有结构的威胁 4
1.1.3外部威胁 4
1.1.4内部威胁 4
1.2网络安全性保障应是一个连续的过程 5
1.3Cisco AVVID 6
1.3.1客户端 7
1.3.2网络平台 7
1.3.3智能网络服务 8
1.3.4因特网中间件层 8
1.3.5因特网业务集成商 8
1.3.6因特网业务解决方案 8
1.4Cisco SAFE蓝图 9
1.5VPN和IPSec技术的概述 10
1.5.1远程接入VPN 10
1.5.2站点到站点的VPN 11
1.5.3基于防火墙的VPN 11
1.6对VPN的需求 12
1.7IPSec 12
1.7.1私密性 13
1.7.2数据完整性 16
1.7.3数据源认证 18
1.7.4防重放保护 20
1.8IPSec协议框架 21
1.8.1AH 22
1.8.2ESP 23
1.8.3操作模式 23
1.9IPSec是如何工作的 24
1.9.1步骤1: 定义感兴趣的数据流 25
1.9.2步骤2: IKE阶段1 25
1.9.3步骤3: IKE阶段2 26
1.9.4步骤 4: 数据传输 28
1.9.5步骤5: IPSec 隧道
终止 29
1.10小结 29
1.11复习题 30
第2章Cisco VPN 3000集中器
系列产品的硬件概述 33
2.1Cisco VPN 3000集中器
系列产品的型号 33
2.1.1VPN 3005集中器 35
2.1.2VPN 3015集中器 35
2.1.3VPN 3020集中器 36
2.1.4VPN 3030集中器 37
2.1.5VPN 3060集中器 38
2.1.6VPN 3080集中器 38
2.2VPN客户端 39
2.2.1软件客户端 39
2.2.2硬件客户端 43
2.2.3软件客户端与硬件
客户端的比较 44
2.3VPN集中器的配置 44
2.4VPN集中器的放置 46
2.4.1置于防火墙之前或
在没有防火墙时 46
2.4.2置于防火墙之后 47
2.4.3与防火墙并行 47
2.4.4在DMZ之上 48
2.5网络管理解决方案 49
2.6小结 50
2.7复习题 50
第3章VPN 3000上的路由 53
3.1VPN集中器的路由功能 53
3.2静态路由 54
3.2.1配置静态路由 55
3.2.2配置默认的路由 56
3.3动态路由 57
3.3.1RIP 58
3.3.2OSPF 60
3.4小结 65
3.5复习题 66
第4章使用预共享密钥为远程接入
配置Cisco VPN 3000集中器 69
4.1使用预共享密钥进行远程
接入概述 69
4.2VPN 3000远程接入的初始化
设置 71
4.3通过浏览器配置Cisco VPN 3000
系列集中器 73
4.3.1步骤1:IP接口 73
4.3.2步骤2:系统信息 75
4.3.3步骤3:协议 76
4.3.4步骤4:地址分配 77
4.3.5步骤5:认证 77
4.3.6步骤6:IPSec组 78
4.3.7步骤7: 管理员密码 80
4.4更深入的组配置信息 81
4.4.1IKE提议 81
4.4.2组配置 83
4.5配置Windows VPN Software
Client 97
4.5.1为远程用户预配置
客户端 100
4.5.2Software Client Programs
菜单 101
4.6小结 102
4.7复习题 102
第5章应用数字证书为远程
接入配置 Cisco VPN 3000 105
5.1CA概述 105
5.1.1数字签名 106
5.1.2基于证书的认证 106
5.1.3CA 107
5.1.4PKI 108
5.2证书生成 108
5.2.1生成证书申请 109
5.2.2数字证书 111
5.2.3安装证书 112
5.3验证证书的有效性 112
5.3.1签名的有效性 112
5.3.2证书链 113
5.3.3有效期 114
5.3.4CRL 114
5.4配置Cisco VPN 3000集中器
以支持CA 115
5.5CRL 125
5.6使用数字证书为远程接入
VPN配置集中器 126
5.6.1步骤 1: 检查活跃IKE
提议列表 126
5.6.2步骤 2: 检查IKE
提议 126
5.6.3步骤 3: 修改或
添加SA 127
5.7Cisco Software VPN Client
证书支持 129
5.7.1软件客户端证书注册 130
5.7.2使用证书连接远程
接入VPN 137
5.8小结 138
5.9复习题 138
第6章Cisco VPN Client 防火墙的
功能 141
6.1防火墙概述 141
6.2 “AYT”功能 142
6.2.1配置“AYT”功能 142
6.2.2"AYT”功能是如何
工作的 146
6.3stateful防火墙功能 146
6.4集中策略保护功能 147
6.5软件客户端防火墙统计 148
6.6创建自定义防火墙策略 149
6.6.1步骤 1: 定义数据流
限制规则 150
6.6.2步骤2: 添加新策略 152
6.6.3步骤3: 将新规则与
新策略关联 154
6.6.4步骤4: 将新策略分配
给CPP 154
6.7小结 155
6.8复习题 155
第7章为远程接入配置Cisco 3002
硬件客户端 159
7.1Cisco VPN 3002 硬件客户端
概述 159
7.2硬件客户端操作模式 160
7.2.1客户端模式 161
7.2.2网络扩展模式 161
7.3应用预共享密钥配置
Cisco VPN 3002 161
7.3.13002硬件客户端的
初始配置 162
7.3.2步骤1:配置VPN 3002
的身份和系统信息 164
7.3.3步骤2:配置3002中的
网络信息 165
7.3.4步骤3:配置VPN 3002
组和用户信息 170
7.3.5步骤4:配置VPN操作
模式 173
7.4自动更新特性概述 176
7.4.1步骤1:启用硬件客户端
更新功能 176
7.4.2步骤2:设置组更新
参数 176
7.4.3步骤3:向活动客户端
发送更新通知 178
7.5监控Cisco VPN 3002硬件
客户端软件自动更新特性 179
7.6小结 180
7.7复习题 180
第8章为用户和单元认证配置Cisco
3002 硬件客户端 183
8.1用户和单元认证概述 183
8.2配置硬件客户端交互式单元
认证功能 184
8.3配置硬件客户端用户认证
功能 189
8.4监视硬件客户端用户统计
信息 193
8.5小结 193
8.6复习题 193
第9章为备份服务器、负载均衡和
反向路由注入配置
Cisco VPN Client 197
9.1Cisco VPN Client 备份服务器
特性 197
9.1.1备份服务器:集中器
配置 198
9.1.2备份服务器:硬件客户
端配置 199
9.1.3备份服务器:软件客户
端配置 200
9.2配置Cisco VPN Client负载
均衡特性 200
9.2.1负载均衡连接流程 201
9.2.2虚拟集群代理 202
9.2.3配置负载均衡 203
9.3Cisco VPN Client反向路由
注入特性概述 206
9.3.1客户端RRI 206
9.3.2网络扩展RRI 207
9.4小结 208
9.5复习题 208
第10章配置Cisco 3000 集中器的
IPSec over TCP与
IPSec over UDP 211
10.1IPSec和NAT问题 212
10.1.1NAT 212
10.1.2PAT 213
10.1.3IKE和UDP问题 214
10.2配置IPSec over UDP 217
10.2.1配置集中器 218
10.2.2VPN Software Client
配置 218
10.3配置NAT-T 219
10.3.1配置集中器 219
10.3.2VPN Software Client
配置 219
10.4配置IPSec over TCP 220
10.4.1配置集中器 220
10.4.2VPN Software Client
配置 220
10.5监控会话统计信息 221
10.6小结 223
10.7复习题 223
第11章在Cisco 3000上配置
LAN-to-LAN VPN 227
11.1LAN-to-LAN VPN概述 227
11.2应用预共享密钥为LAN-to-
LAN VPN配置VPN 3000 229
11.2.1配置中央站点
LAN-to-LAN连接 229
11.2.2配置远程站点
LAN-to-LAN连接 236
11.3LAN-to-LAN VPN隧道管理 237
11.4处理多个子网 238
11.4.1网络列表 238
11.4.2NAD 240
11.5应用数字证书为LAN-to-
LAN VPN配置VPN 3000 241
11.6小结 243
11.7复习题 243
第12章网络监控与管理 245
12.1在VPN 3000上监控 245
12.1.1路由表 246
12.1.2动态过滤器 247
12.1.3可过滤事件日志 247
12.1.4系统状态 249
12.1.5会话 251
12.1.6常规统计信息 254
12.2管理VPN 3000 254
12.2.1管理员会话 255
12.2.2软件更新 256
12.2.3系统重启 257
12.2.4重启状态 258
12.2.5Ping 258
12.2.6监控刷新 258
12.2.7访问权限 259
12.2.8文件管理 260
12.2.9证书管理 263
12.3带宽管理 264
12.3.1带宽监管 265
12.3.2带宽预留 267
12.3.3公用接口配置 269
12.3.4组配置 269
12.3.5带宽聚合 270
12.3.6监控带宽统计信息 270
12.4小结 271
12.5复习题 271
第13章故障排除 273
13.1VPN的故障排除 273
13.1.1初始故障 273
13.1.2后续故障 274
13.2远程接入VPN的故障排除 274
13.2.1初始远程接入VPN
的故障 275
13.2.2后续远程接入VPN
故障 277
13.3应用预共享密钥的LAN-to-
LAN VPN故障排除 278
13.3.1应用预共享密钥的
始LAN-to-LAN VPN
故障 278
13.3.2应用预共享密钥的后续
LAN-to-LAN VPN
故障 283
13.4基于CA的LAN-to-LAN VPN
的故障排除 284
13.4.1应用CA服务的LAN-to-
LAN VPN初始故障 284
13.4.2应用CA服务的LAN-to-
LAN VPN 后续故障 286
13.5小结 286
13.6复习题 286
第14章案例研究 289
14.1Acme Limited公司概况 289
14.1.1设计Acme Limited公司远
程接入解决方案的几点考
虑事项 290
14.1.2中心网站基础设施 291
14.1.3远程代理的结构 292
14.2配置VPN集中器 292
14.2.1步骤1:初始化系统 292
14.2.2步骤2:激活全局VPN
设置 296
14.2.3步骤3:创建组 297
14.2.4步骤4:配置PIX
防火墙 301
14.2.5步骤5:配置VPN
客户端 301
14.3小结 302
附录A复习题答案 305
附录B配置movianVPN 317
B.1什么是movianVPN 318
B.1.1ECC和movianVPN 318
B.1.2网关接入 318
B.1.3movianVPN 是如何
工作的 318
B.2配置movianVPN和网关 319
B.2.1为网关创建movianVPN
策略 320
B.2.2对策略进行测试 322
B.2.3在movianVPN上配置
IPSec 323
B.2.4改进movianVPN策略 323
B.2.5完美向前保密 324
B.2.6DNS 支持 325
B.2.7使用证书进行认证 326
B.2.8外部认证 326
B.2.9NAT-Traversal 327
B.2.10旗标支持与密码保存
特性 328
B.3movianVPN故障诊断工具 328
B.4客户端配置工作表 328
B.5movian安全应用程序 329
B.5.1movianVPN 329
B.5.2movianMail 330
B.5.3movianCrypt 330
B.5.4movianDM 330
B.6Certicom公司简介 330
页:
[1]