Cisco ASA設(shè)備使用指南（第3版）

第1章　安全技術(shù)介紹 1
1．1　防火墻　1
1．1．1　網(wǎng)絡(luò)防火墻　2
1．1．2　非軍事化區(qū)域（DMZ）　5
1．1．3　深度數(shù)據(jù)包監(jiān)控　6
1．1．4　可感知環(huán)境的下一代防火墻　6
1．1．5　個(gè)人防火墻　7
1．2　入侵檢測(cè)系統(tǒng)（IDS）與入侵防御
系統(tǒng)（IPS）　7
1．2．1　模式匹配及狀態(tài)化模式匹配
識(shí)別　8
1．2．2　協(xié)議分析　9
1．2．3　基于啟發(fā)的分析　9
1．2．4　基于異常的分析　9
1．2．5　全球威脅關(guān)聯(lián)功能　10
1．3　虛擬專(zhuān)用網(wǎng)絡(luò)　11
1．3．1　IPSec技術(shù)概述　12
1．3．2　SSL VPN　17
1．4　Cisco AnyConnect Secure Mobility　18
1．5　云和虛擬化安全　19
總結(jié)　20
第2章　Cisco ASA產(chǎn)品及解決方案概述　21
2．1　Cisco ASA各型號(hào)概述　21
2．2　Cisco ASA 5505型　22
2．3　Cisco ASA 5510型　26
2．4　Cisco ASA 5512-X型　27
2．5　Cisco ASA 5515-X型　29
2．6　Cisco ASA 5520型　30
2．7　Cisco ASA 5525-X型　31
2．8　Cisco ASA 5540型　31
2．9　Cisco ASA 5545-X型　32
2．10　Cisco ASA 5550型　32
2．11　Cisco ASA 5555-X型　33
2．12　Cisco ASA 5585系列　34
2．13　Cisco Catalyst 6500系列ASA
服務(wù)模塊　37
2．14　Cisco ASA 1000V云防火墻　37
2．15　Cisco ASA下一代防火墻服務(wù)
（前身為Cisco ASA CX）　38
2．16　Cisco ASA AIP-SSM模塊　38
2．16．1　Cisco ASA AIP-SSM-10　38
2．16．2　Cisco ASA AIP-SSM-20　39
2．16．3　Cisco ASA AIP-SSM-40　39
2．17　Cisco ASA吉比特以太網(wǎng)模塊　39
2．17．1　Cisco ASA SSM -4GE　40
2．17．2　Cisco ASA 5580擴(kuò)展卡　40
2．17．3　Cisco ASA 5500-X系列6端口
GE接口卡　41
總結(jié)　41
第3章　許可證　42
3．1　ASA上的許可證授權(quán)特性　42
3．1．1　基本平臺(tái)功能　43
3．1．2　高級(jí)安全特性　45
3．1．3　分層功能特性　46
3．1．4　顯示許可證信息　48
3．2　通過(guò)激活密鑰管理許可證　49
3．2．1　永久激活密鑰和臨時(shí)激活
密鑰　49
3．2．2　使用激活密鑰　51
3．3　故障倒換和集群的組合許可證　52
3．3．1　許可證匯聚規(guī)則　53
3．3．2　匯聚的臨時(shí)許可證倒計(jì)時(shí)　54
3．4　共享的Premium VPN許可證　55
3．4．1　共享服務(wù)器與參與方　55
3．4．2　配置共享許可證　56
總結(jié)　58
第4章　初始設(shè)置　59
4．1　訪(fǎng)問(wèn)Cisco ASA設(shè)備　59
4．1．1　建立Console連接　59
4．1．2　命令行界面　62
4．2　管理許可證　63
4．3　初始設(shè)置　65
4．3．1　通過(guò)CLI進(jìn)行初始設(shè)置　65
4．3．2　ASDM的初始化設(shè)置　67
4．4　配置設(shè)備　73
4．4．1　設(shè)置設(shè)備名和密碼　74
4．4．2　配置接口　75
4．4．3　DHCP服務(wù)　82
4．5　設(shè)置系統(tǒng)時(shí)鐘　83
4．5．1　手動(dòng)調(diào)整系統(tǒng)時(shí)鐘　84
4．5．2　使用網(wǎng)絡(luò)時(shí)間協(xié)議自動(dòng)
調(diào)整時(shí)鐘　85
總結(jié)　86
第5章　系統(tǒng)維護(hù)　87
5．1　配置管理　87
5．1．1　運(yùn)行配置　87
5．1．2　啟動(dòng)配置　90
5．1．3　刪除設(shè)備配置文件　91
5．2　遠(yuǎn)程系統(tǒng)管理　92
5．2．1　Telnet　92
5．2．2　SSH　94
5．3　系統(tǒng)維護(hù)　97
5．3．1　軟件安裝　97
5．3．2　密碼恢復(fù)流程　101
5．3．3　禁用密碼恢復(fù)流程　104
5．4　系統(tǒng)監(jiān)測(cè)　107
5．4．1　系統(tǒng)日志記錄　107
5．4．2　NetFlow安全事件記錄
（NSEL）　116
5．4．3　簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議
（SNMP）　119
5．5　設(shè)備監(jiān)測(cè)及排錯(cuò)　123
5．5．1　監(jiān)測(cè)CPU及內(nèi)存　123
5．5．2　設(shè)備排錯(cuò)　125
總結(jié)　129
第6章　Cisco ASA服務(wù)模塊　130
6．1　Cisco ASA服務(wù)模塊概述　130
6．1．1　硬件架構(gòu)　131
6．1．2　機(jī)框集成　132
6．2　管理主機(jī)機(jī)框　132
6．2．1　分配VLAN接口　133
6．2．2　監(jiān)測(cè)數(shù)據(jù)流量　134
6．3　常用的部署方案　136
6．3．1　內(nèi)部網(wǎng)段防火墻　136
6．3．2　邊緣保護(hù)　137
6．4　讓可靠流量通過(guò)策略路由
繞過(guò)模塊　138
6．4．1　數(shù)據(jù)流　139
6．4．2　PBR配置示例　140
總結(jié)　142
第7章　認(rèn)證、授權(quán)、審計(jì)（AAA）　143
7．1　Cisco ASA支持的協(xié)議
與服務(wù)　143
7．2　定義認(rèn)證服務(wù)器　148
7．3　配置管理會(huì)話(huà)的認(rèn)證　152
7．3．1　認(rèn)證Telnet連接　153
7．3．2　認(rèn)證SSH連接　154
7．3．3　認(rèn)證串行Console連接　155
7．3．4　認(rèn)證Cisco ASDM連接　156
7．4　認(rèn)證防火墻會(huì)話(huà)
（直通代理特性）　156
7．5　自定義認(rèn)證提示　160
7．6　配置授權(quán)　160
7．6．1　命令授權(quán)　162
7．6．2　配置可下載ACL　162
7．7　配置審計(jì)　163
7．7．1　RADIUS審計(jì)　164
7．7．2　TACACS+審計(jì)　165
7．8　對(duì)去往Cisco ASA的管理
連接進(jìn)行排錯(cuò)　166
7．8．1　對(duì)防火墻會(huì)話(huà)（直通代理）
進(jìn)行排錯(cuò)　168
7．8．2　ASDM與CLI AAA測(cè)試
工具　168
總結(jié)　169
第8章　控制網(wǎng)絡(luò)訪(fǎng)問(wèn)：傳統(tǒng)方式　170
8．1　數(shù)據(jù)包過(guò)濾　170
8．1．1　ACL的類(lèi)型　173
8．1．2　ACL特性的比較　174
8．2　配置流量過(guò)濾　174
8．2．1　過(guò)濾穿越設(shè)備的流量　175
8．2．2　過(guò)濾去往設(shè)備的流量　178
8．3　高級(jí)ACL特性　180
8．3．1　對(duì)象分組　180
8．3．2　標(biāo)準(zhǔn)ACL　186
8．3．3　基于時(shí)間的ACL　187
8．3．4　可下載的ACL　190
8．3．5　ICMP過(guò)濾　190
8．4　流量過(guò)濾部署方案　191
8．5　監(jiān)測(cè)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制　195
總結(jié)　198
第9章　通過(guò)ASA CX實(shí)施下一代
防火墻服務(wù)　199
9．1　CX集成概述　199
9．1．1　邏輯架構(gòu)　200
9．1．2　硬件模塊　201
9．1．3　軟件模塊　201
9．1．4　高可用性　202
9．2　ASA CX架構(gòu)　203
9．2．1　數(shù)據(jù)平面　204
9．2．2　事件與報(bào)告　205
9．2．3　用戶(hù)身份　205
9．2．4　TLS解密代理　205
9．2．5　HTTP監(jiān)控引擎　205
9．2．6　應(yīng)用監(jiān)控引擎　206
9．2．7　管理平面　206
9．2．8　控制平面　206
9．3　配置CX需要在ASA進(jìn)行的
準(zhǔn)備工作　206
9．4　使用PRSM管理ASA CX　210
9．4．1　使用PRSM　211
9．4．2　配置用戶(hù)賬戶(hù)　214
9．4．3　CX許可證　216
9．4．4　組件與軟件的更新　217
9．4．5　配置數(shù)據(jù)庫(kù)備份　219
9．5　定義CX策略元素　220
9．5．1　網(wǎng)絡(luò)組　221
9．5．2　身份對(duì)象　222
9．5．3　URL對(duì)象　223
9．5．4　用戶(hù)代理對(duì)象　224
9．5．5　應(yīng)用對(duì)象　224
9．5．6　安全移動(dòng)對(duì)象　225
9．5．7　接口角色　226
9．5．8　服務(wù)對(duì)象　226
9．5．9　應(yīng)用服務(wù)對(duì)象　227
9．5．10　源對(duì)象組　228
9．5．11　目的對(duì)象組　228
9．5．12　文件過(guò)濾配置文件　229
9．5．13　Web名譽(yù)配置文件　230
9．5．14　下一代IPS配置文件　230
9．6　啟用用戶(hù)身份服務(wù)　231
9．6．1　配置目錄服務(wù)器　232
9．6．2　連接到AD代理或CDA　234
9．6．3　調(diào)試認(rèn)證設(shè)置　234
9．6．4　定義用戶(hù)身份發(fā)現(xiàn)策略　235
9．7　啟用TLS解密　237
9．7．1　配置解密設(shè)置　239
9．7．2　定義解密策略　241
9．8　啟用NG IPS　242
9．9　定義可感知上下文的訪(fǎng)問(wèn)策略　243
9．10　配置ASA將流量重定向給
CX模塊　246
9．11　監(jiān)測(cè)ASA CX　248
9．11．1　面板報(bào)告　248
9．11．2　連接與系統(tǒng)事件　249
9．11．3　捕獲數(shù)據(jù)包　250
總結(jié)　253
第10章　網(wǎng)絡(luò)地址轉(zhuǎn)換　254
10．1　地址轉(zhuǎn)換的類(lèi)型　254
10．1．1　網(wǎng)絡(luò)地址轉(zhuǎn)換　254
10．1．2　端口地址轉(zhuǎn)換　255
10．2　配置地址轉(zhuǎn)換　257
10．2．1　靜態(tài)NAT/PAT　257
10．2．2　動(dòng)態(tài)NAT/PAT　258
10．2．3　策略NAT/PAT　259
10．2．4　Identity NAT　259
10．3　地址轉(zhuǎn)換中的安全保護(hù)機(jī)制　259
10．3．1　隨機(jī)生成序列號(hào)　259
10．3．2　TCP攔截（TCP Intercept）　260
10．4　理解地址轉(zhuǎn)換行為　260
10．4．1　8．3版之前的地址轉(zhuǎn)換行為　261
10．4．2　重新設(shè)計(jì)地址轉(zhuǎn)換
（8．3及后續(xù)版本）　262
10．5　配置地址轉(zhuǎn)換　264
10．5．1　自動(dòng)NAT的配置　264
10．5．2　手動(dòng)NAT的配置　268
10．5．3　集成ACL和NAT　270
10．5．4　配置用例　272
10．6　DNS刮除（DNS Doctoring）　279
10．7　監(jiān)測(cè)地址轉(zhuǎn)換　281
總結(jié)　283
第11章　IPv6支持　284
11．1　IPv6　284
11．1．1　IPv6頭部　284
11．1．2　支持的IPv6地址類(lèi)型　286
11．2　配置IPv6　286
11．2．1　IP地址分配　287
11．2．2　IPv6 DHCP中繼　288
11．2．3　IPv6可選參數(shù)　288
11．2．4　設(shè)置IPv6 ACL　289
11．2．5　IPv6地址轉(zhuǎn)換　291
總結(jié)　292
第12章　IP路由　293
12．1　配置靜態(tài)路由　293
12．1．1　靜態(tài)路由監(jiān)測(cè)　296
12．1．2　顯示路由表信息　298
12．2　RIP　299
12．2．1　配置RIP　300
12．2．2　RIP認(rèn)證　302
12．2．3　RIP路由過(guò)濾　304
12．2．4　配置RIP重分布　306
12．2．5　RIP排錯(cuò)　306
12．3　OSPF　308
12．3．1　配置OSPF　310
12．3．2　OSPF虛鏈路　314
12．3．3　配置OSPF認(rèn)證　316
12．3．4　配置OSPF重分布　319
12．3．5　末節(jié)區(qū)域與NSSA　320
12．3．6　OSPF類(lèi)型3 LSA過(guò)濾　321
12．3．7　OSPF neighbor命令及跨越
VPN的動(dòng)態(tài)路由　322
12．3．8　OSPFv3　324
12．3．9　OSPF排錯(cuò)　324
12．4　EIGRP　329
12．4．1　配置EIGRP　330
12．4．2　EIGRP排錯(cuò)　339
總結(jié)　346
第13章　應(yīng)用監(jiān)控　347
13．1　啟用應(yīng)用監(jiān)控　349
13．2　選擇性監(jiān)控　350
13．3　CTIQBE監(jiān)控　353
13．4　DCERPC監(jiān)控　355
13．5　DNS監(jiān)控　355
13．6　ESMTP監(jiān)控　359
13．7　FTP　361
13．8　GPRS隧道協(xié)議　363
13．8．1　GTPv0　364
13．8．2　GTPv1　365
13．8．3　配置GTP監(jiān)控　366
13．9　H．323　367
13．9．1　H．323協(xié)議族　368
13．9．2　H．323版本兼容性　369
13．9．3　啟用H．323監(jiān)控　370
13．9．4　DCS和GKPCS　372
13．9．5　T．38　372
13．10　Cisco統(tǒng)一通信高級(jí)特性　372
13．10．1　電話(huà)代理　373
13．10．2　TLS代理　376
13．10．3　移動(dòng)性代理　377
13．10．4　Presence Federation代理　378
13．11　HTTP　378
13．12　ICMP　384
13．13　ILS　385
13．14　即時(shí)消息（IM）　385
13．15　IPSec直通　386
13．16　MGCP　387
13．17　NetBIOS　388
13．18　PPTP　389
13．19　Sun RPC　389
13．20　RSH　390
13．21　RTSP　390
13．22　SIP　390
13．23　Skinny (SCCP)　391
13．24　SNMP　392
13．25　SQL*Net　393
13．26　TFTP　393
13．27　WAAS　393
13．28　XDMCP　394
總結(jié)　394
第14章　虛擬化　395
14．1　架構(gòu)概述　396
14．1．1　系統(tǒng)執(zhí)行空間　396
14．1．2　admin虛擬防火墻　397
14．1．3　用戶(hù)虛擬防火墻　398
14．1．4　數(shù)據(jù)包分類(lèi)　400
14．1．5　多模下的數(shù)據(jù)流　402
14．2　配置安全虛擬防火墻　404
14．2．1　步驟1：在全局啟用多安全
虛擬防火墻　405
14．2．2　步驟2：設(shè)置系統(tǒng)執(zhí)行空間　406
14．2．3　步驟3：分配接口　408
14．2．4　步驟4：指定配置文件URL　409
14．2．5　步驟5：配置admin虛擬
防火墻　410
14．2．6　步驟6：配置用戶(hù)虛擬
防火墻　411
14．2．7　步驟7：管理安全虛擬防火墻
（可選）　412
14．2．8　步驟8：資源管理（可選）　412
14．3　部署方案　415
14．3．1　不使用共享接口的虛擬
防火墻　416
14．3．2　使用了一個(gè)共享接口的虛擬
防火墻　426
14．4　安全虛擬防火墻的監(jiān)測(cè)與排錯(cuò)　435
14．4．1　監(jiān)測(cè)　436
14．4．2　排錯(cuò)　437
總結(jié)　439
第15章　透明防火墻　440
15．1　架構(gòu)概述　442
15．1．1　單模透明防火墻　442
15．1．2　多模透明防火墻　444
15．2　透明防火墻的限制　445
15．2．1　透明防火墻與VPN　445
15．2．2　透明防火墻與NAT　446
15．3　配置透明防火墻　447
15．3．1　配置指導(dǎo)方針　448
15．3．2　配置步驟　448
15．4　部署案例　459
15．4．1　部署SMTF　459
15．4．2　用安全虛擬防火墻部署
MMTF　464
15．5　透明防火墻的監(jiān)測(cè)與排錯(cuò)　473
15．5．1　監(jiān)測(cè)　473
15．5．2　排錯(cuò)　475
15．6　主機(jī)間無(wú)法通信　475
15．7　移動(dòng)了的主機(jī)無(wú)法實(shí)現(xiàn)通信　476
15．8　通用日志記錄　477
總結(jié)　477
第16章　高可用性　478
16．1　冗余接口　478
16．1．1　使用冗余接口　479
16．1．2　部署案例　480
16．1．3　配置與監(jiān)測(cè)　480
16．2　靜態(tài)路由追蹤　482
16．2．1　使用SLA監(jiān)測(cè)配置靜態(tài)路由　482
16．2．2　浮動(dòng)連接超時(shí)　483
16．2．3　備用ISP部署案例　484
16．3　故障倒換　486
16．3．1　故障倒換中的設(shè)備角色
與功能　486
16．3．2　狀態(tài)化故障倒換　487
16．3．3　主用/備用和主用/主用故障
倒換　488
16．3．4　故障倒換的硬件和軟件
需求　489
16．3．5　故障倒換接口　491
16．3．6　故障倒換健康監(jiān)測(cè)　495
16．3．7　狀態(tài)與角色的轉(zhuǎn)換　497
16．3．8　配置故障倒換　498
16．3．9　故障倒換的監(jiān)測(cè)與排錯(cuò)　506
16．3．10　主用/備用故障倒換部署
案例　509
16．4　集群　512
16．4．1　集群中的角色與功能　512
16．4．2　集群的硬件和軟件需求　514
16．4．3　控制與數(shù)據(jù)接口　516
16．4．4　集群健康監(jiān)測(cè)　522
16．4．5　網(wǎng)絡(luò)地址轉(zhuǎn)換　523
16．4．6　性能　524
16．4．7　數(shù)據(jù)流　525
16．4．8　狀態(tài)轉(zhuǎn)換　528
16．4．9　配置集群　528
16．4．10　集群的監(jiān)測(cè)與排錯(cuò)　537
16．4．11　Spanned EtherChannel集群
部署方案　540
總結(jié)　549
第17章　實(shí)施Cisco ASA入侵
防御系統(tǒng)(IPS)　550
17．1　IPS集成概述　550
17．1．1　IPS邏輯架構(gòu)　551
17．1．2　IPS硬件模塊　551
17．1．3　IPS軟件模塊　552
17．1．4　在線(xiàn)模式與雜合模式　553
17．1．5　IPS高可用性　555
17．2　Cisco IPS軟件架構(gòu)　555
17．2．1　MainApp　556
17．2．2　SensorApp　558
17．2．3　CollaborationApp　558
17．2．4　EventStore　559
17．3　ASA IPS配置前的準(zhǔn)備工作　559
17．3．1　安裝CIPS鏡像或者重新安裝
一個(gè)現(xiàn)有的ASA IPS　559
17．3．2　從ASA CLI訪(fǎng)問(wèn)CIPS　561
17．3．3　配置基本管理設(shè)置　562
17．3．4　通過(guò)ASDM配置IPS管理　565
17．3．5　安裝CIPS許可證密鑰　565
17．4　在ASA IPS上配置CIPS軟件　566
17．4．1　自定義特征　567
17．4．2　遠(yuǎn)程阻塞　569
17．4．3　異常檢測(cè)　572
17．4．4　全球關(guān)聯(lián)　575
17．5　維護(hù)ASA IPS　576
17．5．1　用戶(hù)賬戶(hù)管理　576
17．5．2　顯示CIPS軟件和處理信息　578
17．5．3　升級(jí)CIPS軟件和特征　579
17．5．4　配置備份　582
17．5．5　顯示和刪除事件　583
17．6　配置ASA對(duì)IPS流量進(jìn)行
重定向　584
17．7　僵尸流量過(guò)濾（Botnet Traffic
Filter）　585
17．7．1　動(dòng)態(tài)和手動(dòng)定義黑名單
數(shù)據(jù)　586
17．7．2　DNS欺騙（DNS Snooping）　587
17．7．3　流量選擇　588
總結(jié)　590
第18章　IPS調(diào)試與監(jiān)測(cè)　591
18．1　IPS調(diào)整的過(guò)程　591
18．2　風(fēng)險(xiǎn)評(píng)估值　592
18．2．1　ASR　593
18．2．2　TVR　593
18．2．3　SFR　593
18．2．4　ARR　593
18．2．5　PD　593
18．2．6　WLR　594
18．3　禁用IPS特征　594
18．4　撤回IPS特征　594
18．5　用來(lái)進(jìn)行監(jiān)測(cè)及調(diào)整的工具　595
18．5．1　ASDM和IME　595
18．5．2　CSM事件管理器
（CSM Event Manager）　596
18．5．3　從事件表中移除誤報(bào)的
IPS事件　596
18．5．4　Splunk　596
18．5．5　RSA安全分析器（RSA
Security Analytics）　596
18．6　在Cisco ASA IPS中顯示和
清除統(tǒng)計(jì)信息　596
總結(jié)　600
第19章　站點(diǎn)到站點(diǎn)IPSec VPN　601
19．1　預(yù)配置清單　601
19．2　配置步驟　604
19．2．1　步驟1：?jiǎn)⒂肐SAKMP　605
19．2．2　步驟2：創(chuàng)建ISAKMP
策略　606
19．2．3　步驟3：建立隧道組　607
19．2．4　步驟4：定義IPSec策略　609
19．2．5　步驟5：創(chuàng)建加密映射集　610
19．2．6　步驟6：配置流量過(guò)濾器
（可選）　613
19．2．7　步驟7：繞過(guò)NAT（可選）　614
19．2．8　步驟8：?jiǎn)⒂肞FS（可選）　615
19．2．9　ASDM的配置方法　616
19．3　可選屬性與特性　618
19．3．1　通過(guò)IPSec發(fā)送OSPF更新　619
19．3．2　反向路由注入　620
19．3．3　NAT穿越　621
19．3．4　隧道默認(rèn)網(wǎng)關(guān)　622
19．3．5　管理訪(fǎng)問(wèn)　623
19．3．6　分片策略　623
19．4　部署場(chǎng)景　624
19．4．1　使用NAT-T、RRI和IKEv2
的單站點(diǎn)到站點(diǎn)隧道配置　624
19．4．2　使用安全虛擬防火墻的
星型拓?fù)洹?29
19．5　站點(diǎn)到站點(diǎn)VPN的監(jiān)測(cè)與排錯(cuò)　638
19．5．1　站點(diǎn)到站點(diǎn)VPN的監(jiān)測(cè)　638
19．5．2　站點(diǎn)到站點(diǎn)VPN的排錯(cuò)　641
總結(jié)　645
第20章　IPSec遠(yuǎn)程訪(fǎng)問(wèn)VPN　646
20．1　Cisco IPSec遠(yuǎn)程訪(fǎng)問(wèn)VPN
解決方案　646
20．1．1　IPSec（IKEv1）遠(yuǎn)程訪(fǎng)問(wèn)
配置步驟　648
20．1．2　IPSec（IKEv2）遠(yuǎn)程訪(fǎng)問(wèn)
配置步驟　668
20．1．3　基于硬件的VPN客戶(hù)端　671
20．2　高級(jí)Cisco IPSec VPN特性　673
20．2．1　隧道默認(rèn)網(wǎng)關(guān)　673
20．2．2　透明隧道　674
20．2．3　IPSec折返流量　675
20．2．4　VPN負(fù)載分擔(dān)　677
20．2．5　客戶(hù)端防火墻　679
20．2．6　基于硬件的Easy VPN
客戶(hù)端特性　681
20．3　L2TP over IPSec遠(yuǎn)程訪(fǎng)問(wèn)VPN
解決方案　684
20．3．1　L2TP over IPSec遠(yuǎn)程訪(fǎng)問(wèn)
配置步驟　685
20．3．2　Windows L2TP over IPSec
客戶(hù)端配置　688
20．4　部署場(chǎng)景　688
20．5　Cisco遠(yuǎn)程訪(fǎng)問(wèn)VPN的監(jiān)測(cè)與
排錯(cuò)　693
20．5．1　Cisco遠(yuǎn)程訪(fǎng)問(wèn)IPSec VPN
的監(jiān)測(cè)　693
20．5．2　Cisco IPSec VPN客戶(hù)端
的排錯(cuò)　696
總結(jié)　698
第21章　PKI的配置與排錯(cuò)　699
21．1　PKI介紹　699
21．1．1　證書(shū)　700
21．1．2　證書(shū)管理機(jī)構(gòu)（CA）　700
21．1．3　證書(shū)撤銷(xiāo)列表　702
21．1．4　簡(jiǎn)單證書(shū)注冊(cè)協(xié)議　702
21．2　安裝證書(shū)　703
21．2．1　通過(guò)ASDM安裝證書(shū)　703
21．2．2　通過(guò)文件安裝實(shí)體證書(shū)　704
21．2．3　通過(guò)復(fù)制/粘貼的方式安裝
CA證書(shū)　704
21．2．4　通過(guò)SCEP安裝CA證書(shū)　705
21．2．5　通過(guò)SCEP安裝實(shí)體證書(shū)　708
21．2．6　通過(guò)CLI安裝證書(shū)　709
21．3　本地證書(shū)管理機(jī)構(gòu)　718
21．3．1　通過(guò)ASDM配置本地CA　719
21．3．2　通過(guò)CLI配置本地CA　720
21．3．3　通過(guò)ASDM注冊(cè)本地CA
用戶(hù)　722
21．3．4　通過(guò)CLI注冊(cè)本地CA用戶(hù)　724
21．4　使用證書(shū)配置IPSec站點(diǎn)到
站點(diǎn)隧道　725
21．5　使用證書(shū)配置Cisco ASA接受
遠(yuǎn)程訪(fǎng)問(wèn)IPSec VPN客戶(hù)端　728
21．6　PKI排錯(cuò)　729
21．6．1　時(shí)間和日期不匹配　729
21．6．2　SCEP注冊(cè)問(wèn)題　731
21．6．3　CRL檢索問(wèn)題　732
總結(jié)　733
第22章　無(wú)客戶(hù)端遠(yuǎn)程訪(fǎng)問(wèn)SSL VPN　734
22．1　SSL VPN設(shè)計(jì)考量　735
22．1．1　用戶(hù)連通性　735
22．1．2　ASA特性集　735
22．1．3　基礎(chǔ)設(shè)施規(guī)劃　735
22．1．4　實(shí)施范圍　736
22．2　SSL VPN前提條件　736
22．2．1　SSL VPN授權(quán)　736
22．2．2　客戶(hù)端操作系統(tǒng)和瀏覽器的
軟件需求　739
22．2．3　基礎(chǔ)設(shè)施需求　740
22．3　SSL VPN前期配置向?qū)А?40
22．3．1　注冊(cè)數(shù)字證書(shū)（推薦）　740
22．3．2　建立隧道和組策略　745
22．3．3　設(shè)置用戶(hù)認(rèn)證　749
22．4　無(wú)客戶(hù)端SSL VPN配置向?qū)А?52
22．4．1　在接口上啟用無(wú)客戶(hù)端
SSL VPN　753
22．4．2　配置SSL VPN自定義門(mén)戶(hù)　753
22．4．3　配置書(shū)簽　766
22．4．4　配置Web類(lèi)型ACL　770
22．4．5　配置應(yīng)用訪(fǎng)問(wèn)　772
22．4．6　配置客戶(hù)端/服務(wù)器插件　776
22．5　Cisco安全桌面　777
22．5．1　CSD組件　778
22．5．2　CSD需求　779
22．5．3　CSD技術(shù)架構(gòu)　780
22．5．4　配置CSD　781
22．6　主機(jī)掃描　786
22．6．1　主機(jī)掃描模塊　786
22．6．2　配置主機(jī)掃描　787
22．7　動(dòng)態(tài)訪(fǎng)問(wèn)策略　791
22．7．1　DAP技術(shù)架構(gòu)　791
22．7．2　DAP事件順序　792
22．7．3　配置DAP　792
22．8　部署場(chǎng)景　801
22．8．1　步驟1：定義無(wú)客戶(hù)端連接　802
22．8．2　步驟2：配置DAP　803
22．9　SSL VPN的監(jiān)測(cè)與排錯(cuò)　804
22．9．1　SSL VPN監(jiān)測(cè)　804
22．9．2　SSL VPN排錯(cuò)　806
總結(jié)　808
第23章　基于客戶(hù)端的遠(yuǎn)程訪(fǎng)問(wèn)
SSL VPN　809
23．1　SSL VPN設(shè)計(jì)考量　809
23．1．1　Cisco AnyConnect Secure Mobility
客戶(hù)端的授權(quán)　810
23．1．2　Cisco ASA設(shè)計(jì)考量　810
23．2　SSL VPN前提條件　811
23．2．1　客戶(hù)端操作系統(tǒng)和瀏覽器的
軟件需求　811
23．2．2　基礎(chǔ)設(shè)施需求　812
23．3　SSL VPN前期配置向?qū)А?12
23．3．1　注冊(cè)數(shù)字證書(shū)（推薦）　813
23．3．2　建立隧道和組策略　813
23．3．3　設(shè)置用戶(hù)認(rèn)證　815
23．4　Cisco AnyConnect Secure Mobility
客戶(hù)端配置指南　817
23．4．1　加載Cisco AnyConnect Secure
Mobility Client VPN
打包文件　817
23．4．2　定義Cisco AnyConnect Secure
Mobility Client屬性　818
23．4．3　高級(jí)完全隧道特性　822
23．4．4　AnyConnect客戶(hù)端配置　827
23．5　AnyConnect客戶(hù)端的部署場(chǎng)景　829
23．5．1　步驟1：配置CSD進(jìn)行
注冊(cè)表檢查　831
23．5．2　步驟2：配置RADIUS進(jìn)行
用戶(hù)認(rèn)證　831
23．5．3　步驟3：配置AnyConnect SSL
VPN　831
23．5．4　步驟4：?jiǎn)⒂玫刂忿D(zhuǎn)換提供
Internet訪(fǎng)問(wèn)　832
23．6　AnyConnect SSL VPN的監(jiān)測(cè)
與排錯(cuò)　832
總結(jié)　834
第24章　IP組播路由　835
24．1　IGMP　835
24．2　PIM稀疏模式　836
24．3　配置組播路由　836
24．3．1　啟用組播路由　836
24．3．2　啟用PIM　838
24．4　IP組播路由排錯(cuò)　841
24．4．1　常用的show命令　841
24．4．2　常用的debug命令　842
總結(jié)　843
第25章　服務(wù)質(zhì)量　844
25．1　QoS類(lèi)型　845
25．1．1　流量?jī)?yōu)先級(jí)劃分　845
25．1．2　流量管制　846
25．1．3　流量整形　847
25．2　QoS架構(gòu)　847
25．2．1　數(shù)據(jù)包流的順序　847
25．2．2　數(shù)據(jù)包分類(lèi)　848
25．2．3　QoS與VPN隧道　852
25．3　配置QoS　852
25．3．1　通過(guò)ASDM配置QoS　853
25．3．2　通過(guò)CLI配置QoS　858
25．4　Qos部署方案　861
25．4．1　ASDM的配置步驟　862
25．4．2　CLI配置步驟　865
25．5　QoS的監(jiān)測(cè)　867
總結(jié)　868