CCSP自學(xué)指南：Cisco安全虛擬專用網(wǎng)絡(luò)

第1章  網(wǎng)絡(luò)安全性和虛擬專用網(wǎng)絡(luò)技術(shù)  3
1.1  網(wǎng)絡(luò)安全性概述  3
1.1.1  無結(jié)構(gòu)的威脅  4
1.1.2  有結(jié)構(gòu)的威脅  4
1.1.3  外部威脅  4
1.1.4  內(nèi)部威脅  4
1.2  網(wǎng)絡(luò)安全性保障應(yīng)是一個連續(xù)的過程  5
1.3  Cisco AVVID  6
1.3.1  客戶端  7
1.3.2  網(wǎng)絡(luò)平臺  7
1.3.3  智能網(wǎng)絡(luò)服務(wù)  8
1.3.4  因特網(wǎng)中間件層  8
1.3.5  因特網(wǎng)業(yè)務(wù)集成商  8
1.3.6  因特網(wǎng)業(yè)務(wù)解決方案  8
1.4  Cisco SAFE藍(lán)圖  9
1.5  VPN和IPSec技術(shù)的概述  10
1.5.1  遠(yuǎn)程接入VPN  10
1.5.2  站點到站點的VPN  11
1.5.3  基于防火墻的VPN  11
1.6  對VPN的需求  12
1.7  IPSec  12
1.7.1  私密性  13
1.7.2  數(shù)據(jù)完整性  16
1.7.3  數(shù)據(jù)源認(rèn)證  18
1.7.4  防重放保護(hù)  20
1.8  IPSec協(xié)議框架  21
1.8.1  AH  22
1.8.2  ESP  23
1.8.3  操作模式  23
1.9  IPSec是如何工作的  24
1.9.1  步驟1: 定義感興趣的數(shù)據(jù)流  25
1.9.2  步驟2: IKE階段1  25
1.9.3  步驟3: IKE階段2  26
1.9.4  步驟4: 數(shù)據(jù)傳輸  28
1.9.5  步驟5: IPSec 隧道終止  29
1.10  小結(jié)  29
1.11  復(fù)習(xí)題  30
第2章  Cisco VPN 3000集中器系列產(chǎn)品的硬件概述  33
2.1  Cisco VPN 3000集中器系列產(chǎn)品的型號  33
2.1.1  VPN 3005集中器  35
2.1.2  VPN 3015集中器  35
2.1.3  VPN 3020集中器  36
2.1.4  VPN 3030集中器  37
2.1.5  VPN 3060集中器  38
2.1.6  VPN 3080集中器  38
2.2  VPN客戶端  39
2.2.1  軟件客戶端  39
2.2.2  硬件客戶端  43
2.2.3  軟件客戶端與硬件客戶端的比較  44
2.3  VPN集中器的配置  44
2.4  VPN集中器的放置  46
2.4.1  置于防火墻之前或在沒有防火墻時  46
2.4.2  置于防火墻之后  47
2.4.3  與防火墻并行  47
2.4.4  在DMZ之上  48
2.5  網(wǎng)絡(luò)管理解決方案  49
2.6  小結(jié)  50
2.7  復(fù)習(xí)題  50
第3章  VPN 3000上的路由  53
3.1  VPN集中器的路由功能  53
3.2  靜態(tài)路由  54
3.2.1  配置靜態(tài)路由  55
3.2.2  配置默認(rèn)的路由  56
3.3  動態(tài)路由  57
3.3.1  RIP  58
3.3.2  OSPF  60
3.4  小結(jié)  65
3.5  復(fù)習(xí)題  66
第4章  使用預(yù)共享密鑰為遠(yuǎn)程接入配置Cisco VPN 3000集中器  69
4.1  使用預(yù)共享密鑰進(jìn)行遠(yuǎn)程接入概述  69
4.2  VPN 3000遠(yuǎn)程接入的初始化設(shè)置  71
4.3  通過瀏覽器配置Cisco VPN 3000系列集中器  73
4.3.1  步驟1：IP接口  73
4.3.2  步驟2：系統(tǒng)信息  75
4.3.3  步驟3：協(xié)議  76
4.3.4  步驟4：地址分配  77
4.3.5  步驟5：認(rèn)證  77
4.3.6  步驟6：IPSec組  78
4.3.7  步驟7: 管理員密碼  80
4.4  更深入的組配置信息  81
4.4.1  IKE提議  81
4.4.2  組配置  83
4.5  配置Windows VPN Software Client  97
4.5.1  為遠(yuǎn)程用戶預(yù)配置客戶端  100
4.5.2  Software Client Programs菜單  101
4.6  小結(jié)  102
4.7  復(fù)習(xí)題  102
第5章  應(yīng)用數(shù)字證書為遠(yuǎn)程接入配置Cisco VPN 3000  105
5.1  CA概述  105
5.1.1  數(shù)字簽名  106
5.1.2  基于證書的認(rèn)證  106
5.1.3  CA  107
5.1.4  PKI  108
5.2  證書生成  108
5.2.1  生成證書申請  109
5.2.2  數(shù)字證書  111
5.2.3  安裝證書  112
5.3  驗證證書的有效性  112
5.3.1  簽名的有效性  112
5.3.2  證書鏈  113
5.3.3  有效期  114
5.3.4  CRL  114
5.4  配置Cisco VPN 3000集中器以支持CA  115
5.5  CRL  125
5.6  使用數(shù)字證書為遠(yuǎn)程接入VPN配置集中器  126
5.6.1  步驟 1: 檢查活躍IKE提議列表  126
5.6.2  步驟 2: 檢查IKE提議  126
5.6.3  步驟 3: 修改或添加SA  127
5.7  Cisco Software VPN Client證書支持  129
5.7.1  軟件客戶端證書注冊  130
5.7.2  使用證書連接遠(yuǎn)程接入VPN  137
5.8  小結(jié)  138
5.9  復(fù)習(xí)題  138
第6章  Cisco VPN Client防火墻的功能  141
6.1  防火墻概述  141
6.2 “AYT”功能  142
6.2.1  配置“AYT”功能  142
6.2.2  “AYT”功能是如何工作的  146
6.3  stateful防火墻功能  146
6.4  集中策略保護(hù)功能  147
6.5  軟件客戶端防火墻統(tǒng)計  148
6.6  創(chuàng)建自定義防火墻策略  149
6.6.1  步驟1: 定義數(shù)據(jù)流限制規(guī)則  150
6.6.2  步驟2: 添加新策略  152
6.6.3  步驟3: 將新規(guī)則與新策略關(guān)聯(lián)  154
6.6.4  步驟4: 將新策略分配給CPP  154
6.7  小結(jié)  155
6.8  復(fù)習(xí)題  155
第7章  為遠(yuǎn)程接入配置Cisco 3002硬件客戶端  159
7.1  Cisco VPN 3002硬件客戶端概述  159
7.2  硬件客戶端操作模式  160
7.2.1  客戶端模式  161
7.2.2  網(wǎng)絡(luò)擴(kuò)展模式  161
7.3  應(yīng)用預(yù)共享密鑰配置Cisco VPN 3002  161
7.3.1  3002硬件客戶端的初始配置  162
7.3.2  步驟1：配置VPN 3002的身份和系統(tǒng)信息  164
7.3.3  步驟2：配置3002中的網(wǎng)絡(luò)信息  165
7.3.4  步驟3：配置VPN 3002組和用戶信息  170
7.3.5  步驟4：配置VPN操作模式  173
7.4  自動更新特性概述  176
7.4.1  步驟1：啟用硬件客戶端更新功能  176
7.4.2  步驟2：設(shè)置組更新參數(shù)  176
7.4.3  步驟3：向活動客戶端發(fā)送更新通知  178
7.5  監(jiān)控Cisco VPN 3002硬件客戶端軟件自動更新特性  179
7.6  小結(jié)  180
7.7  復(fù)習(xí)題  180
第8章  為用戶和單元認(rèn)證配置Cisco 3002 硬件客戶端  183
8.1  用戶和單元認(rèn)證概述  183
8.2  配置硬件客戶端交互式單元認(rèn)證功能  184
8.3  配置硬件客戶端用戶認(rèn)證功能  189
8.4  監(jiān)視硬件客戶端用戶統(tǒng)計信息  193
8.5  小結(jié)  193
8.6  復(fù)習(xí)題  193
第9章  為備份服務(wù)器、負(fù)載均衡和反向路由注入配置Cisco VPN Client  197
9.1  Cisco VPN Client備份服務(wù)器特性  197
9.1.1  備份服務(wù)器：集中器配置  198
9.1.2  備份服務(wù)器：硬件客戶端配置  199
9.1.3  備份服務(wù)器：軟件客戶端配置  200
9.2  配置Cisco VPN Client負(fù)載均衡特性  200
9.2.1  負(fù)載均衡連接流程  201
9.2.2  虛擬集群代理  202
9.2.3  配置負(fù)載均衡  203
9.3  Cisco VPN Client反向路由注入特性概述  206
9.3.1  客戶端RRI  206
9.3.2  網(wǎng)絡(luò)擴(kuò)展RRI  207
9.4  小結(jié)  208
9.5  復(fù)習(xí)題  208
第10章  配置Cisco 3000集中器的IPSec over TCP與IPSec over UDP  211
10.1  IPSec和NAT問題  212
10.1.1  NAT  212
10.1.2  PAT  213
10.1.3  IKE和UDP問題  214
10.2  配置IPSec over UDP  217
10.2.1  配置集中器  218
10.2.2  VPN Software Client配置  218
10.3  配置NAT-T  219
10.3.1  配置集中器  219
10.3.2  VPN Software Client配置  219
10.4  配置IPSec over TCP  220
10.4.1  配置集中器  220
10.4.2  VPN Software Client配置  220
10.5  監(jiān)控會話統(tǒng)計信息  221
10.6  小結(jié)  223
10.7  復(fù)習(xí)題  223
第11章  在Cisco 3000上配置
LAN-to-LAN VPN  227
11.1  LAN-to-LAN VPN概述  227
11.2  應(yīng)用預(yù)共享密鑰為LAN-to-LAN VPN配置VPN 3000  229
11.2.1  配置中央站點LAN-to-LAN連接  229
11.2.2  配置遠(yuǎn)程站點LAN-to-LAN連接  236
11.3  LAN-to-LAN VPN隧道管理  237
11.4  處理多個子網(wǎng)  238
11.4.1  網(wǎng)絡(luò)列表  238
11.4.2  NAD  240
11.5  應(yīng)用數(shù)字證書為LAN-to-LAN VPN配置VPN 3000  241
11.6  小結(jié)  243
11.7  復(fù)習(xí)題  243
第12章  網(wǎng)絡(luò)監(jiān)控與管理  245
12.1  在VPN 3000上監(jiān)控  245
12.1.1  路由表  246
12.1.2  動態(tài)過濾器  247
12.1.3  可過濾事件日志  247
12.1.4  系統(tǒng)狀態(tài)  249
12.1.5  會話  251
12.1.6  常規(guī)統(tǒng)計信息  254
12.2  管理VPN 3000  254
12.2.1  管理員會話  255
12.2.2  軟件更新  256
12.2.3  系統(tǒng)重啟  257
12.2.4  重啟狀態(tài)  258
12.2.5  Ping  258
12.2.6  監(jiān)控刷新  258
12.2.7  訪問權(quán)限  259
12.2.8  文件管理  260
12.2.9  證書管理  263
12.3  帶寬管理  264
12.3.1  帶寬監(jiān)管  265
12.3.2  帶寬預(yù)留  267
12.3.3  公用接口配置  269
12.3.4  組配置  269
12.3.5  帶寬聚合  270
12.3.6  監(jiān)控帶寬統(tǒng)計信息  270
12.4  小結(jié)  271
12.5  復(fù)習(xí)題  271
第13章  故障排除  273
13.1  VPN的故障排除  273
13.1.1  初始故障  273
13.1.2  后續(xù)故障  274
13.2  遠(yuǎn)程接入VPN的故障排除  274
13.2.1  初始遠(yuǎn)程接入VPN的故障  275
13.2.2  后續(xù)遠(yuǎn)程接入VPN故障  277
13.3  應(yīng)用預(yù)共享密鑰的LAN-to-LAN VPN故障排除  278
13.3.1  應(yīng)用預(yù)共享密鑰的始LAN-to-LAN VPN故障  278
13.3.2  應(yīng)用預(yù)共享密鑰的后續(xù)LAN-to-LAN VPN故障  283
13.4  基于CA的LAN-to-LAN VPN的故障排除  284
13.4.1  應(yīng)用CA服務(wù)的LAN-to-LAN VPN初始故障  284
13.4.2  應(yīng)用CA服務(wù)的LAN-to-LAN VPN后續(xù)故障  286
13.5  小結(jié)  286
13.6  復(fù)習(xí)題  286
第14章  案例研究  289
14.1  Acme Limited公司概況  289
14.1.1  設(shè)計Acme Limited公司遠(yuǎn)程接入解決方案的幾點考慮事項  290
14.1.2  中心網(wǎng)站基礎(chǔ)設(shè)施  291
14.1.3  遠(yuǎn)程代理的結(jié)構(gòu)  292
14.2  配置VPN集中器  292
14.2.1  步驟1：初始化系統(tǒng)  292
14.2.2  步驟2：激活全局VPN設(shè)置  296
14.2.3  步驟3：創(chuàng)建組  297
14.2.4  步驟4：配置PIX防火墻  301
14.2.5  步驟5：配置VPN客戶端  301
14.3  小結(jié)  302
附錄A  復(fù)習(xí)題答案  305
附錄B  配置movianVPN  317
B.1  什么是movianVPN  318
B.1.1  ECC和movianVPN  318
B.1.2  網(wǎng)關(guān)接入  318
B.1.3  movianVPN是如何工作的  318
B.2  配置movianVPN和網(wǎng)關(guān)  319
B.2.1  為網(wǎng)關(guān)創(chuàng)建movianVPN策略  320
B.2.2  對策略進(jìn)行測試  322
B.2.3  在movianVPN上配置IPSec  323
B.2.4  改進(jìn)movianVPN策略  323
B.2.5  完美向前保密  324
B.2.6  DNS 支持  325
B.2.7  使用證書進(jìn)行認(rèn)證  326
B.2.8  外部認(rèn)證  326
B.2.9  NAT-Traversal  327
B.2.10  旗標(biāo)支持與密碼保存特性  328
B.3  movianVPN故障診斷工具  328
B.4  客戶端配置工作表  328
B.5  movian安全應(yīng)用程序  329
B.5.1  movianVPN  329
B.5.2  movianMail  330
B.5.3  movianCrypt  330
B.5.4  movianDM  330
B.6  Certicom公司簡介  330