正版 CCNP安全Secure 642-637认证考试指南(附光盘)

第1章　网络安全基础　1
1.1　摸底测验　1
1.2　定义网络安全　4
1.3　构建安全网络　4
1.4　Cisco SAFE架构　5
1.4.1　SCF基础　6
1.4.2　SAFE/SCF架构原则　9
1.4.3　SAFE/SCF网络基础保护(NFP)　9
1.4.4　SAFE/SCF设计蓝图　9
1.4.5　SAFE架构用途　10
1.5　考试要点回顾　11
1.6　完成助记表　12
1.7　重要术语　12
1.8　填空　12

第2章　网络安全威胁　15
2.1　摸底测验　15
2.2　安全漏洞　18
2.3　入侵者动机　21
2.3.1　缺乏对计算机或网络的了解导致的入侵　22
2.3.2　好奇心导致的入侵　22
2.3.3　乐趣与成就感导致的入侵　23
2.3.4　报复导致的入侵　23
2.3.5　受利益驱使的入侵　23
2.3.6　政治目的导致的入侵　23
2.4　网络攻击类型　24
2.4.1　侦察攻击　24
2.4.2　访问攻击　25
2.4.3　DoS攻击　27
2.5　考试要点回顾　27
2.6　完成助记表　28
2.7　重要术语　28
2.8　填空　28

第3章　网络基础保护(NFP)概述　31
3.1　摸底测验　31
3.2　设备功能面概述　34
3.2.1　控制面　34
3.2.2　数据面　35
3.2.3　管理面　36
3.3　界定NFP部署模型　36
3.4　界定NFP功能的可用性　38
3.4.1　Cisco Catalyst交换机　39
3.4.2　Cisco集成多业务路由器　39
3.4.3　Cisco支持管理组件　40
3.5　考试要点回顾　42
3.6　完成助记表　42
3.7　重要术语　42
3.8　填空　42

第4章　配置与实施交换式数据面安全解决方案　45
4.1　摸底测验　45
4.2　交换式数据面攻击类型　47
4.2.1　VLAN跳跃攻击　47
4.2.2　CAM泛洪攻击　48
4.2.3　MAC地址欺骗　51
4.2.4　STP欺骗攻击　52
4.2.5　DHCP耗竭攻击　52
4.2.6　DHCP服务器欺骗　53
4.2.7　ARP欺骗　54
4.2.8　IP欺骗　55
4.3　交换式数据面安全技术　55
4.3.1　端口配置　55
4.3.2　端口安全　58
4.3.3　根防护、BPDU防护与PortFast　60
4.3.4　DHCP窥探　61
4.3.5　动态ARP检测　62
4.3.6　IP源防护　64
4.3.7　私有VLAN　64
4.4　考试要点回顾　67
4.5　完成助记表　68
4.6　重要术语　68
4.7　本章命令一览　68
4.8　填空　70

第5章　802.1X与Cisco基于身份的网络服务(IBNS)　73
5.1　摸底测验　73
5.2　CiscoIBNS与IEEE 802.1X标准概述　76
5.2.1　Cisco IBNS对802.1X的改进与增强　76
5.2.2　802.1X构成　78
5.3　802.1X互联　79
5.3.1　可扩展认证协议(EAP)　79
5.3.2　基于局域网的可扩展认证协议(EAPOL)　80
5.3.3　EAP消息交换　81
5.3.4　端口状态　82
5.3.5　端口认证主机模式　82
5.4　EAP协议类型　82
5.4.1　EAP-MD5　83
5.4.2　PEAPv0/MSCHAPv2　83
5.4.3　EAP-LEAP　84
5.4.4　EAP-TLS　84
5.4.5　EAP-TTLS　85
5.4.6　EAP-FAST　86
5.5　考试要点回顾　87
5.6　完成助记表　87
5.7　重要术语　87
5.8　填空　87

第6章　配置与实施802.1X认证(基础)　91
6.1　摸底测验　91
6.2　规划基本的802.1X部署　94
6.2.1　收集输入参数　95
6.2.2　部署工作　95
6.2.3　部署选择　95
6.2.4　一般性部署原则　96
6.3　为Cisco Catalyst交换机配置认证方　96
6.3.1　配置选择　96
6.3.2　配置示例　97
6.3.3　验证基本的802.1X配置　101
6.4　为Cisco ACS配置EAP-FAST　102
6.4.1　配置选择　102
6.4.2　配置示例　103
6.5　为Cisco SSC配置请求方　107
6.6　802.1X的验证与排错　113
6.6.1　排错过程　114
6.6.2　日志消息　114
6.6.3　验证连接状态　114
6.6.4　验证认证服务器　114
6.6.5　验证访客VLAN与受限VLAN的分配　114
6.6.6　802.1X准备就绪检测　114
6.6.7　请求方无响应　115
6.6.8　认证失败：RADIUS配置存在问题　115
6.6.9　认证失败：身份凭证存在问题　115
6.7　考试要点回顾　115
6.8　完成助记表　115
6.9　重要术语　116
6.10　填空　116

第7章　配置与实施802.1X认证(进阶)　119
7.1　摸底测验　119
7.2　规划Cisco高级802.1X认证特性的部署　122
7.2.1　收集输入参数　122
7.2.2　任务一览　122
7.2.3　EAP类型与认证模式选择　122
7.3　为Cisco IOS组件与Cisco ACS配置并验证EAP-TLS认证　123
7.3.1　任务一览　124
7.3.2　给定条件　124
7.3.3　配置选择　124
7.3.4　配置任务　125
7.3.5　注意事项　130
7.3.6　版本要求　130
7.3.7　验证配置　131
7.4　部署用户认证与机器认证　131
7.4.1　任务一览　131
7.4.2　给定条件　132
7.4.3　配置任务　132
7.4.4　注意事项　135
7.4.5　版本要求　136
7.5　部署VLAN与ACL　136
7.5.1　任务一览　136
7.5.2　给定条件　136
7.5.3　注意事项　137
7.5.4　配置任务　137
7.5.5　验证交换机配置的VLAN与ACL　140
7.5.6　验证Cisco ACS配置的VLAN与ACL　141
7.6　为Cisco ACS配置并验证MAC地址例外策略　141
7.6.1　Cisco交换机的MAC身份验证旁路(MAB)技术　141
7.6.2　任务一览　142
7.6.3　给定条件　142
7.6.4　配置任务　143
7.6.5　验证配置　143
7.6.6　注意事项　143
7.7　为Cisco交换机与Cisco ACS配置并验证Web认证　144
7.7.1　任务一览　145
7.7.2　给定条件　145
7.7.3　配置任务　145
7.7.4　验证配置　147
7.7.5　用户体验　147
7.8　为交换机的单端口配置多主机支持功能　147
7.8.1　配置方针　148
7.8.2　配置示例　148
7.9　配置应急开放策略　149
7.9.1　配置关键端口　149
7.9.2　配置开放式认证　151
7.10　解决802.1X兼容性问题　151
7.10.1　局域网唤醒技术(WoL)　151
7.10.2　不支持802.1X的IP电话　152
7.10.3　远程引导技术(PXE)　152
7.11　考试要点回顾　153
7.12　完成助记表　153
7.13　重要术语　153
7.14　填空　154

第8章　配置与实施路由式数据面安全　157
8.1　摸底测验　157
8.2　路由式数据面攻击类型　159
8.2.1　IP欺骗　159
8.2.2　慢通道拒绝服务　160
8.2.3　流量泛洪　160
8.3　路由式数据面安全技术　160
8.3.1　访问控制列表　160
8.3.2　灵活包匹配　168
8.3.3　灵活NetFlow　175
8.3.4　单播反向路径转发　180
8.4　考试要点回顾　182
8.5　完成助记表　182
8.6　重要术语　182
8.7　本章命令一览　183
8.8　填空　185

第9章　配置与实施控制面安全解决方案　187
9.1　摸底测验　187
9.2　控制面攻击类型　189
9.2.1　慢路径拒绝服务攻击　189
9.2.2　路由协议欺骗　190
9.3　控制面安全技术　190
9.3.1　控制面监管(CoPP)　190
9.3.2　控制面保护(CPPr)　193
9.3.3　路由协议认证　197
9.4　考试要点回顾　201
9.5　完成助记表　202
9.6　重要术语　202
9.7　本章命令一览　202
9.8　填空　204

第10章　配置与实施管理面安全解决方案　207
10.1　摸底测验　207
10.2　管理面攻击类型　209
10.3　管理面安全技术　209
10.3.1　基本管理安全与权限　209
10.3.2　安全外壳(SSH)协议　214
10.3.3　简单网络管理协议(SNMP)　215
10.3.4　CPU阈值与内存阈值　220
10.3.5　管理面保护(MPP)　221
10.3.6　AutoSecure　222
10.3.7　数字签名Cisco软件　223
10.4　考试要点回顾　224
10.5　完成助记表　224
10.6　重要术语　224
10.7　本章命令一览　225
10.8　填空　227

第11章　配置与实施网络地址转换　231
11.1　摸底测验　231
11.2　网络地址转换　233
11.2.1　NAT示例　234
11.2.2　NAT配置　236
11.2.3　NAT复用(PAT)　240
11.3　考试要点回顾　242
11.4　完成助记表　243
11.5　重要术语　243
11.6　本章命令一览　243
11.7　填空　244

第12章　配置与实施基于区域的策略防火墙　247
12.1　摸底测验　247
12.2　基于区域的策略防火墙概述　249
12.2.1　区域/安全区域　250
12.2.2　区域对　251
12.2.3　透明防火墙　252
12.3　基于区域的三层/四层策略防火墙配置　252
12.3.1　配置类型映射　253
12.3.2　配置参数映射　255
12.3.3　配置策略映射　256
12.3.4　配置安全区域　257
12.3.5　配置区域对　258
12.3.6　配置端口到应用的映射(PAM)　259
12.4　基于区域的七层策略防火墙配置　261
12.4.1　URL过滤　261
12.4.2　HTTP检测　266
12.5　考试要点回顾　270
12.6　完成助记表　270
12.7　重要术语　271
12.8　本章命令一览　271
12.9　填空　274

第13章　配置与实施IOS入侵防御系统　277
13.1　摸底测验　277
13.2　配置选择、基本规程与所需的输入参数　279
13.2.1　采用签名实现入侵检测与防御　280
13.2.2　传感器精度　282
13.3　选择Cisco IOS IPS传感器平台　283
13.3.1　基于软件的传感器　283
13.3.2　基于硬件的传感器　283
13.3.3　任务一览　284
13.3.4　注意事项　284
13.4　部署软件Cisco IOSIPS签名策略　284
13.4.1　任务一览　284
13.4.2　给定条件　284
13.4.3　配置任务　285
13.4.4　验证配置　288
13.4.5　注意事项　289
13.5　调整软件Cisco IOS IPS签名　289
13.5.1　事件风险评级(ERR)概述　289
13.5.2　ERR计算　289
13.5.3　ERR示例　290
13.5.4　事件行为覆盖　291
13.5.5　事件行为过滤器　291
13.5.6　任务一览　291
13.5.7　给定条件　291
13.5.8　配置任务　292
13.5.9　验证配置　295
13.5.10　注意事项　296
13.6　部署软件Cisco IOS IPS签名更新　296
13.6.1　任务一览　296
13.6.2　给定条件　296
13.6.3　配置任务　297
13.6.4　验证配置　298
13.7　监控软件Cisco IOS IPS事件　298
13.7.1　软件IOS IPS事件的产生　298
13.7.2　Cisco IME概述　299
13.7.3　Cisco IME最低配置要求　299
13.7.4　任务一览　300
13.7.5　给定条件　300
13.7.6　配置任务　300
13.7.7　验证配置　302
13.8　软件Cisco IOS IPS传感器的排错　303
13.8.1　查找错误信息　304
13.8.2　其他诊断命令　305
13.9　考试要点回顾　305
13.10　完成助记表　306
13.11　重要术语　306
13.12　填空　306

第14章　Cisco站点间安全解决方案简介　309
14.1　摸底测验　309
14.2　选择合适的VPN局域网拓扑　312
14.2.1　选择最佳的VPN局域网拓扑：输入参数　313
14.2.2　选择最佳的VPN局域网拓扑：注意事项　313
14.3　选择合适的VPN广域网技术　313
14.3.1　选择最佳的VPN广域网技术：输入参数　314
14.3.2　选择最佳的VPN广域网技术：注意事项　315
14.4　IPSec VPN技术的核心特性　315
14.4.1　IPSec安全关联　316
14.4.2　互联网密钥交换(IKE)　316
14.4.3　IPSec阶段　316
14.4.4　IKE主模式与积极模式　317
14.4.5　封装安全载荷(ESP)　317
14.5　选择合适的VPN加密控制方式　318
14.5.1　选择加密控制方式：输入参数　318
14.5.2　算法选择　318
14.5.3　注意事项　320
14.5.4　参考资料　320
14.6　考试要点回顾　321
14.7　完成助记表　321
14.8　重要术语　321
14.9　填空　321

第15章　部署基于虚拟隧道接口的站点间IPSec VPN　325
15.1　摸底测验　325
15.2　规划基于VTI的站点间VPN　327
15.2.1　虚拟隧道接口(VTI)　328
15.2.2　输入参数　329
15.2.3　任务一览　330
15.2.4　部署选择　330
15.2.5　注意事项　330
15.3　配置基本的IKE对等体　330
15.3.1　基于PSK的默认IKE策略　331
15.3.2　任务一览　331
15.3.3　配置选择　331
15.3.4　给定条件　331
15.3.5　配置任务　332
15.3.6　验证本地IKE策略的配置　332
15.3.7　验证本地IKE会话的配置　333
15.3.8　验证IKE阶段1协商　333
15.3.9　注意事项　333
15.3.10　IKE对等体的排错　334
15.3.11　排错流程　334
15.4　配置静态点对点IPSec VTI隧道　334
15.4.1　默认的IPSec转换集　334
15.4.2　任务一览　335
15.4.3　配置选择　335
15.4.4　给定条件　335
15.4.5　配置任务　335
15.4.6　注意事项　337
15.4.7　验证点对点STVI的配置　337
15.4.8　排错流程　338
15.5　配置动态点对点IPSec VTI隧道　338
15.5.1　虚拟接口模板与虚拟访问接口　338
15.5.2　ISAKMP配置文件　339
15.5.3　任务一览　339
15.5.4　给定条件　340
15.5.5　配置任务　340
15.5.6　验证点对点DVTI的配置　342
15.5.7　注意事项　342
15.6　考试要点回顾　343
15.7　完成助记表　343
15.8　重要术语　343
15.9　填空　344

第16章　为站点到站点IPSec VPN部署可扩展的认证　347
16.1　摸底测验　347
16.2　描述公钥基础设施的概念　350
16.2.1　手动密钥交换及验证　350
16.2.2　可信任引介　350
16.2.3　公钥基础设施：证书权威机构　352
16.2.4　X.509身份证书　353
16.2.5　证书吊销检查　354
16.2.6　在网络应用中使用证书　355
16.2.7　部署选择　355
16.2.8　部署步骤　356
16.2.9　环境参数　356
16.2.10　部署指南　356
16.3　基础Cisco IOS软件证书服务器的配置、验证及故障排除　357
16.3.1　根证书服务器的配置任务　358
16.3.2　配置情景　358
16.3.3　任务1：创建RSA密钥对　358
16.3.4　任务2：创建PKI信任点　359
16.3.5　任务3和4：创建证书服务器并配置数据库的存储位置　359
16.3.6　任务5：配置发布策略　360
16.3.7　任务6：配置吊销策略　361
16.3.8　任务7：配置SCEP接口　361
16.3.9　任务8：激活证书服务器　361
16.3.10　使用Cisco配置专家(CCP)　361
16.3.11　验证Cisco IOS软件证书服务器　362
16.3.12　特性支持　362
16.3.13　实施指南　363
16.3.14　故障排除流程　363
16.3.15　额外的指南：PKI和时间　364
16.4　向PKI注册Cisco IOS软件VPN路由器以及注册过程的故障排除　364
16.4.1　PKI客户端特性　364
16.4.2　简单证书注册协议　365
16.4.3　密钥存储　365
16.4.4　配置任务　365
16.4.5　配置情景　365
16.4.6　任务1：创建RSA密钥对　366
16.4.7　任务2：创建PKI信任点　366
16.4.8　任务3：认证PKI证书权威机构　367
16.4.9　任务4：在VPN路由器上创建注册请求　368
16.4.10　任务5：在CA服务器上颁发客户端证书　368
16.4.11　在Cisco IOS软件证书服务器上吊销证书　369
16.4.12　使用Cisco配置专家(CCP)　369
16.4.13　验证CA和身份证书　369
16.4.14　特性支持　370
16.4.15　实施指南　370
16.4.16　故障排除流程　370
16.5　配置及验证Cisco IOS软件VPN路由器与PKI的整合　371
16.5.1　IKE对等体认证　371
16.5.2　IKE对等体证书授权　371
16.5.3　配置任务　

Sean Wilkins，是一名来自于SR-W咨询公司的资深网络顾问，他拥有近20年的IT从业经验，曾供职于Cisco、Lucent、Verizon、AT&T，以及其他一些私营企业。Sean当前持有CCNP\/CCDP（Cisco）、MCSE（Microsoft）和A+\/Network+（CompTIA）证书，同时他还拥有计算机信息系统应用科学和计算机网络专业的学士学位。另外，他还获得了网络架构与设计、组织管理学以及网络安全这三个研究方向的硕士学位。在工作闲暇，Sean还是一名技术撰稿人和编辑。
Franklin H.Smith III（Trey），作为一名高级的网络安全架构师，他在网络设计与部署，保护大型企业及运营商网络方面拥有超过15年的从业经验。另外，他曾是许多企业、数据中心及SMB网络的架构级交付工程师。Trey拥有管理信息系统专业的工商管理学士学位，同时他还持有CCSP、CCNP、CCDP、MCSE（Microsoft）和CISSP（ISC2）认证。目前，他致力于为一家财富50强的企业提供支付卡行业（PCI）数据安全标准（DSS）方面的战略及技术支持。

《CCNP安全Secure 642-637认证考试指南》是根据Cisco最新推出的CCNP安全Secure 642-637认证考试纲要编写的考试指南。全书分为22章和2个附录，包括网络安全基础的概念、组件、Cisco SAFE模型；对网络及其组件造成威胁的各种手段；网络基础保护(NFP)概述；交换机数据面的攻击手段及应对方案；使用802.1X与Cisco IBNS框架为网络提供有效的访问授权；802.1X认证的配置与实施；路由器数据面的攻击手段及应对方案；Cisco IOS控制面/管理面的攻击手段及应对方案；NAT/ZBPFW/IPS的配置与实施；站点到站点的安全解决方案；站点到站点IPSec VPN的部署/认证；DMVPN的部署；为基于隧道的IPSec VPN部署高可用性；GET VPN的部署；使用SSL VPN/EZVPN部署远程访问的解决方案等。
《CCNP安全Secure 642-637认证考试指南》包含了大量的配置实例，有助于读者掌握配置方式和排错技巧。每章末尾的考试要点总结能够帮助读者快速了解本章内容。
《CCNP安全Secure 642-637认证考试指南》深入翔实地讨论了与CCNP安全Secure 642-637认证考试相关的主题，能够帮助读者更好地备考CCNP安全认证考试；同时，从事网络安全工作的工程师、网络维护人员也可以从中受益。