CCNP安全Secure 642-637认证考试指南2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

CCNP安全Secure 642-637认证考试指南PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 网络安全基础1

1.1摸底测验1

1.2定义网络安全4

1.3构建安全网络4

1.4 Cisco SAFE架构5

1.4.1 SCF基础6

1.4.2 SAFE/SCF架构原则9

1.4.3 SAFE/SCF网络基础保护（NFP）9

1.4.4 SAFE/SCF设计蓝图9

1.4.5 SAFE架构用途10

1.5考试要点回顾11

1.6完成助记表12

1.7重要术语12

1.8填空12

第2章 网络安全威胁15

2.1摸底测验15

2.2安全漏洞18

2.3入侵者动机21

2.3.1缺乏对计算机或网络的了解导致的入侵22

2.3.2好奇心导致的入侵22

2.3.3乐趣与成就感导致的入侵23

2.3.4报复导致的入侵23

2.3.5受利益驱使的入侵23

2.3.6政治目的导致的入侵23

2.4网络攻击类型24

2.4.1侦察攻击24

2.4.2访问攻击25

2.4.3 DoS攻击27

2.5考试要点回顾27

2.6完成助记表28

2.7重要术语28

2.8填空28

第3章 网络基础保护（NFP）概述31

3.1摸底测验31

3.2设备功能面概述34

3.2.1控制面34

3.2.2数据面35

3.2.3管理面36

3.3界定NFP部署模型36

3.4界定NFP功能的可用性38

3.4.1 Cisco Catalyst交换机39

3.4.2 Cisco集成多业务路由器39

3.4.3 Cisco支持管理组件40

3.5考试要点回顾42

3.6完成助记表42

3.7重要术语42

3.8填空42

第4章 配置与实施交换式数据面安全解决方案45

4.1摸底测验45

4.2交换式数据面攻击类型47

4.2.1 VLAN跳跃攻击47

4.2.2 CAM泛洪攻击48

4.2.3 MAC地址欺骗51

4.2.4 STP欺骗攻击52

4.2.5 DHCP耗竭攻击52

4.2.6 DHCP服务器欺骗53

4.2.7 ARP欺骗54

4.2.8 IP欺骗55

4.3交换式数据面安全技术55

4.3.1端口配置55

4.3.2端口安全58

4.3.3根防护、BPDU防护与PortFast60

4.3.4 DHCP窥探61

4.3.5动态ARP检测62

4.3.6 IP源防护64

4.3.7私有VLAN64

4.4考试要点回顾67

4.5完成助记表68

4.6重要术语68

4.7本章命令一览68

4.8填空70

第5章 802.1 X与Cisco基于身份的网络服务（IBNS）73

5.1摸底测验73

5.2 CiscoIBNS与IEEE 802.1X标准概述76

5.2.1 Cisco BNS对802.1X的改进与增强76

5.2.2 802.1X构成78

5.3 802.1 X互联79

5.3.1可扩展认证协议（EAP）79

5.3.2基于局域网的可扩展认证协议（EAPOL）80

5.3.3 EAP消息交换81

5.3.4端口状态82

5.3.5端口认证主机模式82

5.4 EAP协议类型82

5.4.1 EAP-MD583

5.4.2 PEAPvO/MSCHAPv283

5.4.3 EAP-LEAP84

5.4.4 EAP-TLS84

5.4.5 EAP-TTLS85

5.4.6 EAP-FAST86

5.5考试要点回顾87

5.6完成助记表87

5.7重要术语87

5.8填空87

第6章 配置与实施802.1 X认证（基础）91

6.1摸底测验91

6.2规划基本的802.1 X部署94

6.2.1收集输入参数95

6.2.2部署工作95

6.2.3部署选择95

6.2.4一般性部署原则96

6.3为Cisco Catalyst交换机配置认证方96

6.3.1配置选择96

6.3.2配置示例97

6.3.3验证基本的802.1 X配置101

6.4为Cisco ACS配置EAP-FAST102

6.4.1配置选择102

6.4.2配置示例103

6.5为Cisco SSC配置请求方107

6.6 802.1X的验证与排错113

6.6.1排错过程114

6.6.2日志消息114

6.6.3验证连接状态114

6.6.4验证认证服务器114

6.6.5验证访客VLAN与受限VLAN的分配114

6.6.6 8021 X准备就绪检测114

6.6.7请求方无响应115

6.6.8认证失败：RADIUS配置存在问题115

6.6.9认证失败：身份凭证存在问题115

6.7考试要点回顾115

6.8完成助记表115

6.9重要术语116

6.10填空116

第7章 配置与实施802.1 X认证（进阶）119

7.1摸底测验119

7.2规划Cisco高级802.1 X认证特性的部署122

7.2.1收集输入参数122

7.2.2任务一览122

7.2.3 EAP类型与认证模式选择122

7.3为Cisco IOS组件与Cisco ACS配置并验证EAP-TLS认证123

7.3.1任务一览124

7.3.2给定条件124

7.3.3配置选择124

7.3.4配置任务125

7.3.5注意事项130

7.3.6版本要求130

7.3.7验证配置131

7.4部署用户认证与机器认证131

7.4.1任务一览131

7.4.2给定条件132

7.4.3配置任务132

7.4.4注意事项135

7.4.5版本要求136

7.5部署VLAN与ACL136

7.5.1任务一览136

7.5.2给定条件136

7.5.3注意事项137

7.5.4配置任务137

7.5.5验证交换机配置的VLAN与ACL140

7.5.6验证Cisco ACS配置的VLAN与ACL141

7.6为Cisco ACS配置并验证MAC地址例外策略141

7.6.1 Cisco交换机的MAC身份验证旁路（MAB）技术141

7.6.2任务一览142

7.6.3给定条件142

7.6.4配置任务143

7.6.5验证配置143

7.6.6注意事项143

7.7为Cisco交换机与Cisco ACS配置并验证Web认证144

7.7.1任务一览145

7.7.2给定条件145

7.7.3配置任务145

7.7.4验证配置147

7.7.5用户体验147

7.8为交换机的单端口配置多主机支持功能147

7.8.1配置方针148

7.8.2配置示例148

7.9配置应急开放策略149

7.9.1配置关键端口149

7.9.2配置开放式认证151

7.10解决802.1 X兼容性问题151

7.10.1局域网唤醒技术（WoL）151

7.10.2不支持802.1 X的IP电话152

7.10.3远程引导技术（PXE）152

7.11考试要点回顾153

7.12完成助记表153

7.13重要术语153

7.14填空154

第8章 配置与实施路由式数据面安全157

8.1摸底测验157

8.2路由式数据面攻击类型159

8.2.1 IP欺骗159

8.2.2慢通道拒绝服务160

8.2.3流量泛洪160

8.3路由式数据面安全技术160

8.3.1访问控制列表160

8.3.2灵活包匹配168

8.3.3灵活NetFlow175

8.3.4单播反向路径转发180

8.4考试要点回顾182

8.5完成助记表182

8.6重要术语182

8.7本章命令一览183

8.8填空185

第9章 配置与实施控制面安全解决方案187

9.1摸底测验187

9.2控制面攻击类型189

9.2.1慢路径拒绝服务攻击189

9.2.2路由协议欺骗190

9.3控制面安全技术190

9.3.1控制面监管（CoPP）190

9.3.2控制面保护（CPPr）193

9.3.3路由协议认证197

9.4考试要点回顾201

9.5完成助记表202

9.6重要术语202

9.7本章命令一览202

9.8填空204

第10章 配置与实施管理面安全解决方案207

10.1摸底测验207

10.2管理面攻击类型209

10.3管理面安全技术209

10.3.1基本管理安全与权限209

10.3.2安全外壳（SSH）协议214

10.3.3简单网络管理协议（SNMP）215

10.3.4 CPU阈值与内存阈值220

10.3.5管理面保护（MPP）221

10.3.6 AutoSecure222

10.3.7数字签名Cisco软件223

10.4考试要点回顾224

10.5完成助记表224

10.6重要术语224

10.7本章命令一览225

10.8填空227

第11章 配置与实施网络地址转换231

11.1摸底测验231

11.2网络地址转换233

11.2.1 NAT示例234

11.2.2 NAT配置236

11.2.3 NAT复用（PAT）240

11.3考试要点回顾242

11.4完成助记表243

11.5重要术语243

11.6本章命令一览243

11.7填空244

第12章 配置与实施基于区域的策略防火墙247

12.1摸底测验247

12.2基于区域的策略防火墙概述249

12.2.1区域/安全区域250

12.2.2区域对251

12.2.3透明防火墙252

12.3基于区域的三层/四层策略防火墙配置252

12.3.1配置类型映射253

12.3.2配置参数映射255

12.3.3配置策略映射256

12.3.4配置安全区域257

12.3.5配置区域对258

12.3.6配置端口到应用的映射（PAM）259

12.4基于区域的七层策略防火墙配置261

12.4.1 URL过滤261

12.4.2 HTTP检测266

12.5考试要点回顾270

12.6完成助记表270

12.7重要术语271

12.8本章命令一览271

12.9填空274

第13章 配置与实施IOS入侵防御系统277

13.1摸底测验277

13.2配置选择、基本规程与所需的输入参数279

13.2.1采用签名实现入侵检测与防御280

13.22传感器精度282

13.3选择Cisco IOS IPS传感器平台283

13.3.1基于软件的传感器283

13.3.2基于硬件的传感器283

13.3.3任务一览284

13.3.4注意事项284

13.4部署软件Cisco IOSIPS签名策略284

13.4.1任务一览284

13.4.2给定条件284

13.4.3配置任务285

13.4.4验证配置288

13.4.5注意事项289

13.5调整软件Cisco IOS IPS签名289

13.5.1事件风险评级（ERR）概述289

13.5.2 ERR计算289

13.5.3 ERR示例290

13.5.4事件行为覆盖291

13.5.5事件行为过滤器291

13.5.6任务一览291

13.5.7给定条件291

13.5.8 配置任务292

13.5.9验证配置295

13.5.10注意事项296

13.6部署软件Cisco IOS IPS签名更新296

13.6.1任务一览296

13.6.2给定条件296

13.6.3配置任务297

13.6.4验证配置298

13.7监控软件Cisco IOS IPS事件298

13.7.1软件IOS IPS事件的产生298

13.7.2 Cisco IME概述299

13.7.3 Cisco IME最低配置要求299

13.7.4任务一览300

13.7.5给定条件300

13.7.6配置任务300

13.7.7验证配置302

13.8软件Cisco IOS IPS传感器的排错303

13.8.1查找错误信息304

13.8.2其他诊断命令305

13.9考试要点回顾305

13.10完成助记表306

13.11重要术语306

13.12填空306

第14章Cisco站点间安全解决方案简介309

14.1摸底测验309

14.2选择合适的VPN局域网拓扑312

14.2.1选择最佳的VPN局域网拓扑：输入参数313

14.2.2选择最佳的VPN局域网拓扑：注意事项313

14.3选择合适的VPN广域网技术313

14.3.1选择最佳的VPN广域网技术：输入参数314

14.3.2选择最佳的VPN广域网技术：注意事项315

14.4 IPSec VPN技术的核心特性315

14.4.1 IPSec安全关联316

14.4.2互联网密钥交换（IKE）316

14.4.3 IPSec阶段316

14.4.4 IKE主模式与积极模式317

14.4.5封装安全载荷（ESP）317

14.5选择合适的VPN加密控制方式318

14.5.1选择加密控制方式：输入参数318

14.5.2算法选择318

14.5.3注意事项320

14.5.4参考资料320

14.6考试要点回顾321

14.7完成助记表321

14.8重要术语321

14.9填空321

第15章 部署基于虚拟隧道接口的站点间IPSec VPN325

15.1摸底测验325

15.2规划基于VTI的站点间VPN327

15.2.1虚拟隧道接口（VTI）328

15.2.2输入参数329

15.2.3任务一览330

15.2.4部署选择330

15.2.5注意事项330

15.3配置基本的IKE对等体330

15.3.1基于PSK的默认IKE策略331

15.3.2任务一览331

15.3.3配置选择331

15.3.4给定条件331

15.3.5配置任务332

15.3.6验证本地IKE策略的配置332

15.3.7验证本地IKE会话的配置333

15.3.8 验证IKE阶段1协商333

15.3.9注意事项333

15.3.10 IKE对等体的排错334

15.3.11排错流程334

15.4配置静态点对点IPSec VTI隧道334

15.4.1默认的IPSec转换集334

15.4.2任务一览335

15.4.3配置选择335

15.4.4给定条件335

15.4.5配置任务335

15.4.6注意事项337

15.4.7验证点对点STVI的配置337

15.4.8排错流程338

15.5配置动态点对点IPSec VTI隧道338

15.5.1虚拟接口模板与虚拟访问接口338

15.5.2 ISAKMP配置文件339

15.5.3任务一览339

15.5.4给定条件340

15.5.5配置任务340

15.5.6验证点对点DVTI的配置342

15.5.7注意事项342

15.6考试要点回顾343

15.7完成助记表343

15.8重要术语343

15.9填空344

第16章 为站点到站点IPSec VPN部署可扩展的认证347

16.1摸底测验347

16.2描述公钥基础设施的概念350

16.2.1手动密钥交换及验证350

16.2.2可信任引介350

16.2.3公钥基础设施：证书权威机构352

16.2.4 X509身份证书353

16.2.5证书吊销检查354

16.2.6在网络应用中使用证书355

16.2.7部署选择355

16.2.8部署步骤356

16.2.9环境参数356

16.2.10部署指南356

16.3基础Cisco IOS软件证书服务器的配置、验证及故障排除357

16.3.1根证书服务器的配置任务358

16.3.2配置情景358

16.3.3任务1：创建RSA密钥对358

16.3.4任务2：创建PKI信任点359

16.3.5任务3和4：创建证书服务器并配置数据库的存储位置359

16.3.6任务5：配置发布策略360

16.3.7任务6：配置吊销策略361

16.3.8任务7：配置SCEP接口361

16.3.9任务8：激活证书服务器361

16.3.10使用Cisco配置专家（CCP）361

16.3.11验证Cisco IOS软件证书服务器362

16.3.12特性支持362

16.3.13实施指南363

16.3.14故障排除流程363

16.3.15额外的指南：PKI和时间364

16.4向PKI注册Cisco IOS软件VPN路由器以及注册过程的故障排除364

16.4.1 PKI客户端特性364

16.4.2简单证书注册协议365

16.4.3密钥存储365

16.4.4配置任务365

16.4.5配置情景365

16.4.6任务1：创建RSA密钥对366

16.4.7任务2：创建PKI信任点366

16.4.8任务3：认证PKI证书权威机构367

16.4.9任务4：在VPN路由器上创建注册请求368

16.4.10任务5：在CA服务器上颁发客户端证书368

16.4.11在Cisco IOS软件证书服务器上吊销证书369

16.4.12使用Cisco配置专家（CCP）369

16.4.13验证CA和身份证书369

16.4.14特性支持370

16.4.15 实施指南370

16.4.16故障排除流程370

16.5配置及验证Cisco IOS软件VPN路由器与PKI的整合371

16.5.1 IKE对等体认证371

16.52 IKE对等体证书授权371

16.5.3配置任务371

16.5.4配置情景372

16.5.5任务1：配置IKE策略372

16.5.6任务2：配置ISAKMP profiile372

16.5.7任务3：配置基于证书的远程对等体授权373

16.5.8验证IKE SA的建立373

16.5.9特性支持374

16.5.10实施指南374

16.5.11故障排除流程374

16.5.12配置高级的PKI整合374

16.5.13在PKI客户端上配置对CRL的处理375

16.5.14在PKI客户端上使用OCSP或AAA375

16.6考试要点回顾376

16.7完成助记表376

16.8重要术语377

16.9填空377

第17章 部署DMVPN379

17.1摸底测验379

17.2理解Cisco IOS软件DMVPN的架构382

17.2.1 DMVPN的组件383

17.2.2中心到分支和按需全互连VPN383

17.2.3 DMVPN的初始状态384

17.2.4 DMVPN分支到分支隧道的创建384

17.2.5 DMVPN的优势与局限性385

17.3规划Cisco IOS软件DMVPN的部署386

17.3.1环境参数386

17.3.2配置任务386

17.3.3部署选择386

17.3.4部署指南387

17.4配置及验证Cisco IOS软件GRE隧道387

17.4.1 GRE的特性和局限性387

17.4.2点到点与点到多点GRE隧道388

17.4.3点到点隧道配置实例388

17.4.4中心到分支网络的配置任务389

17.4.5配置情景389

17.4.6任务1：在中心路由器上配置mGRE接口390

17.4.7任务2：在分支路由器上配置点到点GRE接口390

17.4.8验证GRE隧道的状态391

17.5配置及验证Cisco IOS软件NHRP客户端与服务器391

17.5.1 （m）GRE与NHRP的整合392

17.5.2配置任务392

17.5.3配置情景392

17.5.4任务1：配置NHRP服务器392

17.5.5任务2：配置NHRP客户端393

17.5.6验证NHRP映射393

17.5.7调试NHRP394

17.6配置及验证Cisco IOS软件DMVPN中心395

17.6.1配置任务395

17.6.2配置情景395

17.6.3任务1：（可选地）配置IKE策略395

17.6.4任务2：生成/配置认证凭证396

17.6.5任务3：配置IPSec profile396

17.6.6任务4：创建mGRE隧道接口396

17.6.7任务5：配置NHRP服务器396

17.6.8任务6：为mGRE接口关联IPSec profile397

17.6.9任务7：在mGRE接口上配置IP参数397

17.6.10使用Cisco配置专家（CCP）397

17.6.11验证分支路由器的注册397

17.6.12验证已注册分支的具体信息398

17.6.13实施指南399

17.6.14特性支持399

17.7配置及验证Cisco IOS软件DMVPN分支399

17.7.1配置任务399

17.7.2配置情景400

17.7.3任务1：（可选地）配置IKE策略400

17.7.4任务2：生成/配置认证凭证400

17.7.5任务3：配置IPSec profiile401

17.7.6任务4：创建mGRE隧道接口401

17.7.7任务5：配置NHRP客户端401

17.7.8任务6：为mGRE接口关联IPSec profiile401

17.7.9任务7：在mGRE接口上配置IP参数402

17.7.10验证隧道状态和流量统计402

17.8配置及验证Cisco IOS软件DMVPN中的动态路由402

17.8.1 EIGRP中心配置403

17.8.2 OSPF中心配置404

17.8.3中心到分支模型的路由和IKE对等关系404

17.8.4全互连模型的路由和IKE对等关系405

17.9 Cisco IOS软件DMVPN的故障排除405

17.10考试要点回顾406

17.11完成助记表407

17.12重要术语407

17.13填空407

第18章 在基于隧道的IPSec VPN中部署高可用性411

18.1摸底测验411

18.2规划Cisco IOS软件站点到站点IPSec VPN高可用性的部署413

18.2.1 VPN故障模式413

18.2.2传输网络的局部故障414

18.2.3服务提供商（SP）传输网络的局部或全部故障414

18.2.4 VPN设备的局部或全部故障414

18.2.5部署指南415

18.3使用路由协议提供VPN的故障倒换415

18.3.1路由VPN隧道端点415

18.3.2 VPN隧道内的路由协议416

18.3.3警惕递归路由416

18.3.4 VPN拓扑中的路由协议417

18.3.5为路径选择调整路由417

18.3.6加快路由收敛417

18.4为基于VTI隧道的VPN选择最佳的故障规避方法418

18.4.1为单个传输网络的情景提供路径冗余418

18.4.2为多个传输网络的情景提供路径冗余418

18.4.3为单个传输网络的情景提供路径和设备的冗余419

18.4.4为多个传输网络的情景提供路径和设备的冗余419

18.5为DMVPN选择最佳的故障规避方法419

18.5.1推荐架构419

18.5.2共享的IPSec SA420

18.5.3配置使用单个传输网络的DMVPN421

18.5.4配置使用多个传输网络的DMVPN422

18.6考试要点回顾424

18.7完成助记表425

18.8重要术语425

18.9填空425

第19章 部署GET VPN429

19.1摸底测验429

19.2介绍Cisco IOS软件GET VPN的技术架构431

19.2.1对等体认证和策略提供432

19.2.2 GET VPN流量交换433

19.2.3数据包安全服务434

19.2.4密钥管理架构434

19.2.5密钥更新方法434

19.2.6流量封装436

19.2.7优势及局限性437

19.3规划Cisco IOS软件GET VPN的部署437

19.3.1环境参数437

19.3.2部署任务437

19.3.3部署选择438

19.3.4部署指南438

19.4配置及验证Cisco IOS软件GET VPN密钥服务器438

19.4.1配置任务438

19.4.2配置选择439

19.4.3配置情景439

19.4.4任务1：（可选地）配置IKE策略440

19.4.5任务2：生成/配置认证凭证440

19.4.6任务3：生成用于密钥更新认证的RSA密钥对440

19.4.7任务4：在密钥服务器上配置流量保护策略440

19.4.8任务5：配置及启用GET VPN密钥服务器功能441

19.4.9任务6：（可选地）调整密钥更新策略442

19.4.10任务7：创建并应用GET VPN加密图442

19.4.11使用Cisco配置专家442

19.4.12验证基础的密钥服务器设置442

19.4.13验证密钥更新策略443

19.4.14验证所有已注册的成员443

19.4.15实施指南444

19.5配置及验证Cisco IOS软件GET VPN组成员444

19.5.1配置任务444

19.5.2配置选择444

19.5.3配置情景445

19.5.4任务1：配置IKE策略445

19.5.5任务2：生成/配置认证凭证446

19.5.6任务3：配置及启用GET VPN组成员的功能446

19.5.7任务4：创建并应用GET VPN加密图446

19.5.8任务5：（可选地）配置失效即关闭策略447

19.5.9使用Cisco配置专家447

19.5.10验证组成员的注册447

19.5.11实施指南447

19.5.12故障排除流程448

19.6在GETVPN中配置及验证高可用性机制448

19.6.1网络分离和网络合并449

19.6.2配置任务449

19.6.3配置情景449

19.6.4任务1：分发密钥更新的RSA密钥对450

19.6.5任务2：配置全互连的密钥服务器IKE对等关系450

19.6.6任务3：配置COOP451

19.6.7任务4和5：配置流量保护策略并在组成员上指定多台密钥服务器451

19.6.8验证IKE对等关系451

19.6.9验证COOP对等关系451

196.10实施指南452

196.11故障排除流程452

19.7考试要点回顾453

19.8完成助记表454

19.9重要术语454

19.10填空454

第20章 使用SSL VPN部署远程访问的解决方案457

20.1摸底测验457

20.2选择正确的远程访问VPN技术460

20.2.1 Cisco IOS软件远程访问VPN选项460

20.2.2完全隧道远程访问SSL VPN的特性461

20.2.3完全隧道远程访问SSL VPN的优势与限制461

20.2.4无客户端远程访问SSL VPN的特性462

20.2.5无客户端SSL VPN的优势与限制462

20.2.6软件客户端远程访问IPSec VPN（EZVPN）的特性462

20.2.7硬件客户端远程访问IPSec VPN（EZVPN）的特性463

20.2.8远程访问IPSec VPN的优势与限制463

20.2.9各种VPN访问方式的使用情景463

20.3选择正确的远程访问VPN加密控件464

20.3.1回顾SSL/TLS464

20.3.2 Cisco SSL远程访问VPN的算法选择465

20.3.3 IKE远程访问VPN扩展466

20.3.4 Cisco IPSec远程访问VPN的算法选择466

20.4使用SSL VPN部署远程访问的解决方案467

20.4.1解决方案的基本分析467

20.4.2部署任务468

20.4.3环境参数468

20.5配置及验证通用的SSL VPN参数469

20.5.1配置任务469

20.5.2配置选择469

20.5.3配置情景469

20.5.4任务1：（可选的）验证SSL VPN的许可470

20.5.5任务2：为I S R提供一份SSL/TLS服务器的身份证书470

20.5.6任务3：启用SSL VPN网关及Context470

20.5.7任务4：配置及调整SSL/TLS设置471

20.5.8任务5：（可选地）配置网关的高可用性471

20.5.9网关验证471

20.5.10实施指南472

20.6在 SSL VPN网关上配置及验证客户端认证和策略472

20.6.1网关、Context和策略组472

20.6.2基础的用户认证概述473

20.63配置任务473

20.6.4配置情景473

20.6.5任务1：创建和应用默认策略474

20.6.6任务2：使用本地AAA启用用户认证474

20.6.7实施指南474

20.7在Cisco IOS SSL VPN网关上配置及验证完全隧道的连通性475

20.7.1配置任务475

20.7.2配置情景475

20.7.3任务1：启用完全隧道访问476

20.7.4任务2：配置远程客户端的地址分配476

20.7.5任务3：（可选的）配置客户端参数476

20.7.6任务4：（可选的）配置分割隧道477

20.7.7任务5：（可选的）配置访问控制477

20.7.8使用Cisco配置专家（CCP）478

20.8安装及配置Cisco AnyConnect客户端478

20.8.1 AnyConnect 2.4支持的平台478

20.8.2配置任务479

20.8.3配置情景479

20.8.4任务1：启用完全隧道访问479

20.8.5任务2：验证服务器证书认证链479

20.8.6任务3：配置基础的AnyConnect profiile的设置480

20.8.7任务4：建立SSL VPN连接480

20.8.8在客户端上的验证480

20.8.9在VPN网关上的验证481

20.8.10使用Cisco配置专家（CCP）482

20.9在Cisco IOS SSL VPN网关上配置及验证无客户端的访问482

20.9.1基础的门户特性482

20.9.2使用Cisco安全桌面保护无客户端的访问483

20.9.3端口转发概述483

20.9.4端口转发的优势与限制484

20.9.5门户ACL484

20.9.6配置任务485

20.9.7配置情景485

20.9.8任务1：配置SSL VPN门户特性486

20.9.9任务2：（可选的）配置端口转发486

20.9.10任务3：（可选的）配置Cisco安全桌面487

20.9.11任务4：（可选的）配置访问控制488

20.9.12基础门户特性的验证488

20.9.13 Web应用的访问488

20.9.14文件服务器的访问488

20.9.15 端口转发的访问488

20.9.16 Cisco安全桌面的验证489

20.9.17在VPN网关上的验证489

20.10对基础SSL VPN操作的故障排除489

20.10.1验证基础连通性489

20.10.2故障排除流程：VPN建立489

20.10.3故障排除流程：数据流489

20.10.4在VPN网关上的问题490

20.10.5在客户端上的问题：证书问题490

20.11考试要点回顾490

20.12完成助记表491

20.13重要术语491

20.14填空491

第21章 使用EZVPN部署远程访问的解决方案495

21.1摸底测验495

21.2规划Cisco IOS软件EZVPN的部署498

21.2.1解决方案的基本分析499

21.2.2部署任务499

21.2.3环境参数499

21.2.4部署指南500

21.3配置及验证基础的Cisco IOS软件基于VTI的EZVPN服务器500

21.3.1组预共享密钥认证500

21.3.2扩展认证（XAUTH）概述501

21.3.3客户端配置组和ISAKMP profiile501

21.3.4配置任务501

21.3.5配置情景502

21.3.6任务1：（可选的）配置IKE策略502

21.3.7任务2：配置IPSec转换集和profiile502

21.3.8任务3：配置动态的VTI模板接口503

21.3.9任务4：创建客户端配置组503

21.3.10任务5：创建ISAKMP profile503

21.3.11任务6和7：配置并启用用户认证504

21.3.12使用Cisco配置专家（CCP）505

21.3.13实施指南505

21.4配置Cisco VPN客户端505

21.4.1配置任务505

21.42配置情景505

21.4.3任务1：安装Cisco VPN客户端软件506

21.4.4任务2：配置VPN客户端连接条目506

21.4.5任务3：建立EZVPN连接506

21.4.6在客户端上的验证506

21.4.7在VPN网关上的验证506

21.5在Cisco ISR上配置及验证基于VTI的EZVPN远程客户端功能507

21.5.1 EZVPN远程特性的操作模式508

21.5.2配置任务508

21.5.3配置情景508

21.5.4任务1：配置EZVPN远程profile508

21.5.5任务2：指定EZVPN接口的角色509

21.5.6实施指南509

21.6配置及验证EZVPN服务器和VPN客户端PKI特性510

21.6.1 EZVPN服务器的PKI配置510

21.6.2 VPN客户端配置：SCEP注册510

21.6.3 VPN客户端注册的验证511

21.6.4 VPN客户端的配置：profiile511

21.7基础EZVPN的故障排除511

21.7.1故障排除流程：VPN会话建立511

21.7.2故障排除流程：VPN数据流511

21.8考试要点回顾512

21.9完成助记表513

21.10重要术语513

21.11填空513

21.12参考资料514

第22章 最后冲刺517

22.1最后冲刺工具517

22.1.1 CD上的Pearson认证练习测试引擎和测试题517

22.1.2安装CD上的软件517

22.1.3激活并下载试题518

22.1.4激活其他试题518

22.1.5高级版本518

22.2 Cisco学习网络518

22.3助记表519

22.4章节末尾回顾工具519

22.5最后复习/学习的建议计划519

22.6步骤1：复习考试要点、摸底测试和填空题520

22.7步骤2：完成助记表520

22.8步骤3：亲自动手练习520

22.9步骤4：列出配置检查表521

22.10步骤5：使用测试引擎521

22.11总结522

附录A摸底测试题答案525

附录B CCNP安全64-637 Secure考试更新：版本1.0543