本书旨在帮助读者通过CCSP Cisco安全VPN考试。全书共分为11章,第1章提供了CCSP认证的概述,给出了准备考试的策略。第2章到第11章是核心章节,分别介绍了VPN及IPSec技术概述;Cisco VPN 3000系列集中器硬件概述;为使用预共享密钥的远程访问配置Cisco VPN 3000;为使用数字证书的远程访问配置Cisco VPN 3000;配置CiscoVPN防火墙功能;监控和管理VPN 3000系列集中器;配置Cisco 3002硬件客户端进行远程访问;配置VPN 3002硬件客户端的可扩展功能;具有预共享密钥的Cisco VPN 3000局域网对局域网;场景研究等。附录部分是各章习题的答案。
本书适合准备参加CCSP认证考试的读者。
第1章 关于Cisco认证安全专业人员
1.1 这本书如何帮助你通过CCSP Cisco安全VPN考试
1.2 CCSP认证概述及需要的考试
1.3 Cisco安全VPN考试
1.4 关于Cisco安全VPN考试的主题
1.5 推荐的适合于CCSP认证的培训途径
1.6 使用本书来通过考试
1.7 最后的考试准备技巧
第2章 VPN及IPSec技术概述
2.1 如何最好地使用本章
2.2 “我已经知道这些了吗?”测验
2.3 Cisco VPN产品线
2.4 通过Cisco产品实现VPN应用程序
2.4.1 典型的VPN应用
2.4.2 使用Cisco的VPN产品
2.5 IPSec协议概述
2.5.1 IPSec协议
2.5.2 安全关联
2.5.3 在IPSec过程中使用的已有协议
2.5.4 认证IPSec对等实体并形成安全关联
2.5.5 协议与转换集结合
2.6 使用IPSec建立VPN
2.6.1 Step 1:感兴趣的流量触发IPSec处理
2.6.2 Step 2:认证对等实体并建立IKE SA
2.6.3 Step 3:建立IPSec SA
2.6.4 Step 4:允许安全通信
2.6.5 Step 5:终止VPN
2.7 与IPSec一同使用的协议表格
2.8 IPSec预配置过程
2.9 使用IPSec创建VPN
第3章 Cisco VPN 3000系列集中器硬件概述
3.1 如何最好地利用本章
3.2 “我已经知道这些了吗?”测验
3.3 Cisco VPN 3000系列集中器的主要优点
3.3.1 配置及使用的简易性
3.3.2 性能及可扩展性
3.3.3 安全性
3.3.4 容错
3.3.5 管理接口
3.3.6 升级简单
3.4 Cisco安全VPN集中器:比较以及特性
3.4.1 Cisco VPN 3005集中器
3.4.2 Cisco VPN 3015集中器
3.4.3 Cisco VPN 3030集中器
3.4.4 Cisco VPN 3060集中器
3.4.5 Cisco VPN 3080集中器
3.4.6 Cisco VPN 3000系列集中器LED指示器
3.5 Cisco安全VPN客户端特性
3.5.1 Cisco VPN 3002硬件客户端
3.5.2 Cisco VPN客户端
3.6 Cisco VPN 3000集中器表
3.7 Cisco VPN 3000集中器能力表
第4章 为使用预共享密钥的远程访问配置Cisco VPN 3000
4.1 如何最好地使用本章
4.2 “我已经知道这些了吗?”测验
4.3 使用VPN进行带有预共享密钥的远程访问
4.3.1 惟一预共享密钥
4.3.2 组预共享密钥
4.3.3 通配符预共享密钥
4.4 VPN集中器配置
4.4.1 Cisco VPN 3000集中器配置需求说明
4.4.2 Cisco VPN 3000集中器初始化配置
4.4.3 通过VPN 3000集中器系列管理器配置带有预共享密钥的IPSec
4.4.4 VPN集中器的高级配置
4.5 安装和配置VPN客户端
4.5.1 VPN客户端概述
4.5.2 VPN客户端特性
4.5.3 VPN客户端安装
4.5.4 VPN客户端配置
4.6 预共享密钥的类型
4.7 VPN 3000集中器的CLI快速配置步骤
4.8 VPN 3000集中器基于浏览器的管理器快速配置步骤
4.9 VPN客户端安装步骤
4.10 VPN客户端配置步骤
4.11 VPN客户端程序选项
4.12 组和用户数目的限制
4.13 全部的配置目录
4.14 全部的管理目录
4.15 全部的监督目录
4.16 场景研究4-1
4.17 场景研究4-2
4.18 场景研究4-1答案
4.19 场景研究4-2答案
第5章 为使用数字证书的远程访问配置Cisco VPN 3000
5.1 如何最好地使用本章
5.2 “我已经知道这些了吗?”测验
5.3 数字证书和证书授权委员会
5.3.1 CA的体系结构
5.3.2 简单证书注册过程的身份认证方法
5.3.3 支持Cisco VPN产品的CA供应商和产品
5.4 通过VPN 3000系列集中器管理器捉供数字证书支持
5.4.1 证书生成和注册
5.4.2 证书确认
5.4.3 废弃证书(revocation)列表
5.4.4 IKE配置
5.5 为CA支持配置VPN客户端程序
5.6 PKCS#10证书请求字段
5.7 X.509身份证书字段
5.8 数字证书类型
5.9 CA组织类型
5.10 证书确认和身份认证过程
5.11 基于Internet的证书颁发机构
5.12 证书管理应用程序
5.13 场景研究5-1
5.14 场景研究5-2
5.15 场景研究5-1答案
5.16 场景研究5-2答案
第6章 配置Cisco VPN客户端的防火墙功能
6.1 如何最好地使用本章
6.2 “我已经知道这些了吗?”测验
6.3 Cisco VPN客户端防火墙功能概述
6.4 防火墙配置概述
6.4.1 有状态防火墙(总是开启)功能
6.4.2 Are You There功能
6.5 配置防火墙过滤器规则
6.5.1 名字.说明和操作
6.5.2 协议和TCP连接
6.5.3 源地址和目的地址
6.5.4 TCP/UDP源端口和目的端口
6.5.5 ICMP分组类型
6.6 配置有状态防火墙
6.7 为使用防火墙配置VPN集中器
6.7.1 防火墙设置
6.7.2 防火墙
6.7.3 自定义防火墙
6.7.4 防火墙策略
6.8 监视VPN客户端防火墙统计
6.9 启用通过Cisco VPN 3000系列集中器管理器自动升级客户端
6.10 Cisco VPN客户端防火墙功能概述
6.11 有状态防火墙(总是开启)功能
6.12 Cisco集成客户端
6.13 中心保护策略
6.14 Are You There 功能
6.15 配置防火墙过滤器规则
6.16 操作(Action)
6.17 配置有状态防火墙
6.18 为使用防火墙配置VPN集中器
6.19 防火墙
6.20 防火墙策略
6.21 监视VPN客户端防火墙统计
6.22 场景研究6-1
6.23 场景研究6-1答案
第7章 监控和管理VPN 3000系列集中器
7.1 如何最好地使用本章
7.2 “我已经知道这些了吗?”测验
7.3 管理Cisco VPN 3000系列集中器
7.3.1 管理会话
7.3.2 软件升级
7.3.3 系统重启
7.3.4 Ping
7.3.5 监控刷新
7.3.6 访问权限
7.3.7 文件管理
7.3.8 证书管理器
7.4 监控Cisco VPN 3000系列集中器
7.4.1 路由表
7.4.2 事件日志界面
7.4.3 系统状态
7.4.4 会话
7.4.5 统计
7.5 管理Cisco VPN 3000系列集中器
7.6 管理会话
7.7 软件升级
7.7.1 集中器
7.7.2 客户端
7.8 系统重启
7.9 Ping
7.10 监控刷新
7.11 访问权限
7.12 管理员
7.13 访问控制列表
7.14 访问设置
7.15 AAA服务器
7.16 身份认证
7.17 文件管理
7.18 证书管理器
7.19 监控Cisco VPN 3000系列集中器
7.20 系统状态
7.21 会话
7.22 前10名列表
7.23 统计
7.24 MIB-II统计
第8章 配置Cisco 3002硬件客户端进行远程访问
8.1 如倒最好地便用不草
8.2 “我已经知道这些了吗?”测验
8.3 置预共享密钥
8.3.1 验证IKE和IPSec配置
8.3.2 VPN 3002硬件客户端的单元和用户身份认证
8.4 配置预共享密钥
8.5 IPSec疑难解析
8.6 客户端模式和局域网扩展模式
8.7 分离隧道
8.8 在VPN 3000集中器上配置个人用户身份认证
8.9 场景研究8-1
8.10 场景研究8-2
8.11 场景研究答案
8.11.1 场景研究8-1答案
8.11.2 场景研究8-2答案
第9章 配置VPN 3002硬件客户端的可扩展功能
9.1 如何最好地使用本章
9.2 “我已经知道这些了吗?”测验
9.3 VPN 3002硬件客户端反向路由注入
9.3.1 使用RIPv2设置VPN集中器
9.3.2 使用OSPF设置VPN集中器
9.3.3 配置VPN 3002硬件客户端反向路由注入
9.4 VPN 3002硬件客户端备份服务器
9.5 VPN 3002硬件客户端负载平衡
9.6 端口地址转换概述
9.7 在VPN 3002硬件客户端上的IPSec
9.7.1 基于TCP/IP的IPSec
9.7.2 UDP NAT透明IPSec(基于UDP的IPSec)
9.7.3 VPN 3002硬件客户端IPSec连接疑难解析
9.8 为VPN 3002硬件客户端配置自动升级
9.9 监控自动升级事件
9.10 RRI配置表
9.11 备份服务器
9.12 负载平衡
9.13 比较NAT和PAT
9.14 基于TCP/IP的IPSec
9.15 基于UDP的IPSec
9.16 IPSec疑难解析
9.17 自动升级
9.18 场景研究9-1
9.19 场景研究9-1答案
第10章 具有预共享密钥的Cisco VPN 3000局域网对局域网
10.1 如何最好地使用本章
10.2 “我已经知道这些了吗?”测验
10.3 局域网对局域网VPN概述
10.4 局域网对局域网配置
10.4.1 配置网络列表
10.4.2 使用局域网对局域网向导创建隧道
10.5 SCEP概述
10.5.1 证书管理
10.5.2 通过SCEP安装根证书
10.6 最大证书数目
10.7 注册变量
第1l章 场景研究
11.1 示例公司
11.2 站点描述
11.2.1 底特律
11.2.2 波特兰
11.2.3 西雅图
11.2.4 孟斐斯
11.2.5 里士满
11.2.6 Terry和Carol
11.3 场景研究11-1——基础
11.3.1 IKE策略
11.3.2 IPSec
11.4 场景研究11-2——波特兰
11.5 场景研究11-3——西雅图
11.6 场景研究11-4——孟斐斯
11.7 场景研究11-5——里士满
11.8 场景研究11-6 Terry和Carol
11.9 场景研究11-1答案
11.9.1 IKE策略
11.9.2 IPSec策略
11.10 场景研究11-2答案
11.10.1 底特律VPN 3030集中器和路由器(对所有的都通用)
11.10.2 为波特兰配置底特律VPN 3030集中器
11.10.3 波特兰VPN 3002硬件客户端
11.11 场景研究11-3答案
11.11.1 为西雅图配置底特律3030集中器
11.11.2 西雅图VPN 3002硬件客户端
11.12 场景研究11-4答案
11.12.1 为孟斐斯配置底特律3030集中器
11.12.2 孟斐斯VPN 3005集中器和路由器
11.13 场景研究11-5答案
11.13.1 为里士满配置底特律3030集中器
11.13.2 里士满VPN 3005集中器和路由器
11.14 场景研究11-6答案
11.14.1 为Terry以及相似用户配置底特律VPN 3030集中器
11.14.2 Terry VPN客户端程序和浏览器
11.14.3 为Carol和相似用户配置底特律VPN 3030集中器
11.14.4 Carol VPN客户端程序和浏览器
附录A “我已经知道这些了吗?”答案和Q&A部分
Cisco Systems的系列认证为读者提供了评价读者在某个核心学习领域专业技术的有效方法. 许多网络专家正在努力获得Cisco认证安全专业人员(CCSP)认证, 因为网络安全已经成为21世纪企业中总体安全计划中极其重要的部分. 本书就是为了帮助读者获得这个在业界享有盛誉的认证.
目标和方法
本书的主要目标是帮助那些要获得CCSP认证或VPN认证的读者通过9E0-121或642-511Cisco安全VPN(CSVPN)考试. 作为个人, 我们会通过不同媒介保留信息, 基于上述前提, 本书提供了许多方式帮助读者通过考试. 问题构成了本书的重要部分, 因为它们是读者在考试中要面对的, 而且它们也是衡量读者理解材料的有效手段. 附带的光盘提供了附加的问题帮助读者准备考试.
除了书和光盘中广泛. 全面的问题之外, 本书还详细地覆盖了所有公布的考点, 并使用了图. 表和截屏图来帮助读者理解概念. 本书假定读者已经具备了一定的网络知识(Cisco要求参加CCSP认证的首要条件就是拥有CCNA证书, 然后再通过5门考试), 不会用读者应该掌握的材料来烦扰读者. 某些知识点强调读者必须具备一些CCNA认证没有提供的知识时, 本书会补充这些知识使读者掌握这部分知识点. 由于这是认证考试指南, 因此目标是给读者足够的信息理解公布的主题并通过考试, 考试中的主题相关的材料是有效的和精简的.
本书能够帮助读者使用如下方法通过Cisco Secure VPN考试:
每章开始有自我评估问题帮助读者发现需要学习的地方.
提供了详细的主题材料向读者澄清没有理解的地方.
每章末尾的练习和场景研究(scenario)帮助读者确定从本章中学到了什么.
光盘中附加的问题向读者提供了从不同角度对待材料的机会.
谁需要阅读本书
本书旨在帮助读者通过CCSP Cisco安全VPN考试. 因为这是本书的主要目标, 显然CCSP的应试者将会从本书中受益. 每个要获得CCSP认证的人都必须参加Cisco安全VPN考试, 本书将使您受益匪浅.
这并不意味着这又是一本考试辅导资料, 通过考试后就可以丢入垃圾箱. 本书中的材料提供的VPN配置挑战的实际解决方案有80%~90%你会在日常网络工作中遇到. 本书对于安全网络经理是非常有价值的参考工具. 设计者也可以从中找到有价值的材料和结论用于网络设计项目.
本书的内容组织
尽管可以一页一页地阅读本书, 但是本书的结构非常灵活. 您可以在章节之间任意移动, 选择自己需要用到的材料. 第1章提供了CCSP证书的概述, 给出了准备考试的策略. 第2章到第11章是核心章节, 可以以任意/顷序阅读. 如果您打算阅读所有的章节, 书中的顺序是一个可以使用的很好的顺序.
核心章节——第2章到第11章——覆盖了以下考点:
第2章, “VPN及IPSec技术概述”——这一章讨论了VPN协议和概念, 重点在VPN协议上. 本章覆盖的考试内容如下:
——1 Cisco产品实现安全VPN,
——2 IPSec概述:
——3 IPSec协议框架:
——4 IPSec如何工作.
第3章, “Cisco VPN 3000系列集中器硬件概述”——本章着眼于Cisco VPN 3000系列集中器, 并描述了每个VPN集中器型号的性能. 本章覆盖的考试内容如下:
——5 Cisco VPN 3000系列集中器概述,
——6 Cisco VPN 3000系列集中器模型,
——7 Cisco VPN 3000系列集中器的优点以及特性,
——8 Cisco VPN 3000系列集中器客户端支持.
第4章, “为使用预共享密钥的远程访问配置Cisco VPN 3000”——本章描述了为使用预共享密钥的远程访问配置VPN集中器的过程. 集中器的最初的CLI和浏览器配置也包含在内. 同时讨论了高级配置问题. 为Windows安装和配置Cisco VPN客户端也在本章中进行了讨论. 本章覆盖的考试内容如下:
——9使用预共享密钥的远程访问概述,
——10用于远程访问的Cisco VPN 3000系列集中器的初始化配置:
——11 Cisco VPN 3000系列集中器的浏览器配置,
——12配置用户和组,
——13 Cisco VPN 3000系列集中器的高级配置,
——14 配置IPSec的Windows客户.
第5章, “为使用数字证书的远程访问配置Cisco VPN 3000”——本章讨论了数字证书和证书授权委员会(CA)支持. 注册和安装证书, 生成公共/私有密钥对, 确认证书也被讨论. 本章中, VPN集中器和VPN客户端被配置使用数字证书. 本章覆盖的考试内容如下:
——15 CA支持概述:
——16证书生成,
——17证书确认,
——18为CA支持配置Cisco VPN 3000集中器系列.
第6章, “配置Cisco VPN防火墙功能”——本章讨论了VPN客户端的防火墙特性设置, 包括Are You There特性. 中心策略保护和监控防火墙统计. 本章覆盖的考试内容如下:
——19软件客户端的防火墙功能概述,
——20软件客户端的Are You There功能,
——21软件客户端的有状态防火墙功能,
——22软件客户端的中心策略保护功能,
——23客户端的防火墙统计,
——24自定义防火墙策略.
第7章, “监控和管理VPN 3000系列集中器”——本书中的前面章节讨论的都是VPN管理器的配置菜单. 本章将继续VPN管理器的剩余部分, 监控和管理员部分. 本章覆盖的考试内容如下:
——25监控Cisco VPN 3000系列集中器,
——26管理Cisco VPN 3000系列集中器.
第8章, “配置Cisco 3002硬件客户端进行远程访问”——本章全面讨论Cisco VPN3002硬件客户端. 交互和集成的硬件和客户端认证将会被讨论. 客户端统计监视也将在本章中涉及到. 本章覆盖的考试内容如下:
——27 Cisco VPN 3002硬件客户使用预共享密钥进行远程访问,
——28 VPN 3002交互单元身份认证和用户身份认证功能概述:
——29配置VPN 3002集成单元身份认证功能,
——30配置VPN 3002用户身份认证,
——31监控VPN 3002用户统计.
第9章, “配置VPN 3002硬件客户的可扩展功能”——Cisco VPN 3002硬件客户端也很好地适用于大型组织. 本章讨论了负载平衡的可扩展性. PAT. 自动升级和备份服务器. 本章覆盖的考试内容如下:
——32 VPN 3002硬件客户反向路由注入(Reverse Route Injection)概述,
——33配置VPN 3002备份服务器功能,
——34配置VPN 3002负载平衡功能,
——35 VPN 3002自动升级功能概述,
——36配置VPN 3002自动升级功能,
——37监控VPN 3002自动升级事件,
——38端口地址转换概述,
——39配置基于UDP的IPSec,
——40配置基于TCP的IPSec.
第10章, “具有预共享密钥的Cisco VPN 3000局域网对局域网”——作为远程访问的理想实现, Cisco VPN 3000系列集中器对于LAN-to-LAN VPN连接也是一个优秀的平台. 本章将讨论LAN-to-LAN的概念, 并且向您演示如何配置VPN集中器来实现这个功能. 本章覆盖的考试内容如下:
——41 Cisco VPN 3000 IPSec局域网对局域网,
——42局域网对局域网配置,
——43 SCEP支持概述,
——44根证书安装,
——45身份证书安装.
第11章, “场景研究”——本章给出了测试你分析各种VPN环境并且应用你的知识来解决问题实现方案的能力.
书中所用图标
命令语法惯例
本书中所用的命令语法惯例同IOS命令参考中所使用的约定相同. 下面给出命令参考给出的惯例描述:
竖线(|)隔开多个相互独立的可选参数.
方括号[]表示可选参数.
大括号{}表示一个必需的选择项.
方括号内的大括号[{}]表示在一个可选参数内的必须选择项.
黑体表示按所显示的逐字输入的命令和关键字. 在实际的配置实例和输出(不是一般的命令语法)中, 黑体表示用户手工输入的命令(例如一个show命令).
斜体表示你所提供的实际值的论据.
各章的特点
例示的测试问题允许进行最终考试的模拟. 后续的每一章都有一些共同的特点来帮助你在该章最有效地利用你的时间. 主要有以下特点:
“我已经知道这些了吗?”测验和分类测试——每一章都以一个测验开始, 它将有助于你决定你在本章将花费多少时间. 测验又被分为小节, 称为“分类测试”, 与该章的一部分对应. 在每一章的开始部分后面紧跟着的是“我已经知道这些了吗?”
以引导你是学习本章的全部内容还是部分内容.
基础知识点——这是各章的核心, 主要解释协议. 概念和本章话题的配置.
基础知识小结——接近本章的最后, 总结了本章最重要的图表. 这部分主要是帮助你复习本章的关键概念, 如果你在“我已经知道这些了吗?”测验小节得的分数较好的话, 而且那些概念是最后复习时最值得看的内容.
Q&A——这些在各章最后的问题主要集中于通过几种类型的问题来复习在“基础知识点”一节介绍的内容. 因为“我已经知道这些了吗?”测验中的问题同样能够有助于你的复习, 这些问题又在Q&A部分稍微重复一点. 重新回顾这些问题, 并考虑一些新的问题, 将为你提供很多实际的问题以测试你在阅读完本章后所掌握的知识, 也非常有助于在最终考试到来前进行最后的复习.
场景研究——在大多数章节的最后. 场景能够给你一个对真实网络实施的深入介绍. 而不是仅问一些简单的问题以获取一些实事. 场景使你能够不用根据多选测验的形式来设计和构建自己的网络(至少是在纸上).
关于CD-ROM
随书附带的光盘中包含超过200道的试题, 而这些试题并没有出现在书中. 你可以根据模拟考试的特点和典型复习的特点来回答这些问题. 这是你在备考过程中最好的工具.
第二书店&China-pub战略联盟提供专业服务
第二书店联系方式 010-64348411 webmaster@dearbook.com