Cisco ASA設備使用指南（第3版）

第1章　安全技術介紹 1
1．1　防火墻　1
1．1．1　網(wǎng)絡防火墻　2
1．1．2　非軍事化區(qū)域（DMZ）　5
1．1．3　深度數(shù)據(jù)包監(jiān)控　6
1．1．4　可感知環(huán)境的下一代防火墻　6
1．1．5　個人防火墻　7
1．2　入侵檢測系統(tǒng)（IDS）與入侵防御
系統(tǒng)（IPS）　7
1．2．1　模式匹配及狀態(tài)化模式匹配
識別　8
1．2．2　協(xié)議分析　9
1．2．3　基于啟發(fā)的分析　9
1．2．4　基于異常的分析　9
1．2．5　全球威脅關聯(lián)功能　10
1．3　虛擬專用網(wǎng)絡　11
1．3．1　IPSec技術概述　12
1．3．2　SSL VPN　17
1．4　Cisco AnyConnect Secure Mobility　18
1．5　云和虛擬化安全　19
總結　20
第2章　Cisco ASA產品及解決方案概述　21
2．1　Cisco ASA各型號概述　21
2．2　Cisco ASA 5505型　22
2．3　Cisco ASA 5510型　26
2．4　Cisco ASA 5512-X型　27
2．5　Cisco ASA 5515-X型　29
2．6　Cisco ASA 5520型　30
2．7　Cisco ASA 5525-X型　31
2．8　Cisco ASA 5540型　31
2．9　Cisco ASA 5545-X型　32
2．10　Cisco ASA 5550型　32
2．11　Cisco ASA 5555-X型　33
2．12　Cisco ASA 5585系列　34
2．13　Cisco Catalyst 6500系列ASA
服務模塊　37
2．14　Cisco ASA 1000V云防火墻　37
2．15　Cisco ASA下一代防火墻服務
（前身為Cisco ASA CX）　38
2．16　Cisco ASA AIP-SSM模塊　38
2．16．1　Cisco ASA AIP-SSM-10　38
2．16．2　Cisco ASA AIP-SSM-20　39
2．16．3　Cisco ASA AIP-SSM-40　39
2．17　Cisco ASA吉比特以太網(wǎng)模塊　39
2．17．1　Cisco ASA SSM -4GE　40
2．17．2　Cisco ASA 5580擴展卡　40
2．17．3　Cisco ASA 5500-X系列6端口
GE接口卡　41
總結　41
第3章　許可證　42
3．1　ASA上的許可證授權特性　42
3．1．1　基本平臺功能　43
3．1．2　高級安全特性　45
3．1．3　分層功能特性　46
3．1．4　顯示許可證信息　48
3．2　通過激活密鑰管理許可證　49
3．2．1　永久激活密鑰和臨時激活
密鑰　49
3．2．2　使用激活密鑰　51
3．3　故障倒換和集群的組合許可證　52
3．3．1　許可證匯聚規(guī)則　53
3．3．2　匯聚的臨時許可證倒計時　54
3．4　共享的Premium VPN許可證　55
3．4．1　共享服務器與參與方　55
3．4．2　配置共享許可證　56
總結　58
第4章　初始設置　59
4．1　訪問Cisco ASA設備　59
4．1．1　建立Console連接　59
4．1．2　命令行界面　62
4．2　管理許可證　63
4．3　初始設置　65
4．3．1　通過CLI進行初始設置　65
4．3．2　ASDM的初始化設置　67
4．4　配置設備　73
4．4．1　設置設備名和密碼　74
4．4．2　配置接口　75
4．4．3　DHCP服務　82
4．5　設置系統(tǒng)時鐘　83
4．5．1　手動調整系統(tǒng)時鐘　84
4．5．2　使用網(wǎng)絡時間協(xié)議自動
調整時鐘　85
總結　86
第5章　系統(tǒng)維護　87
5．1　配置管理　87
5．1．1　運行配置　87
5．1．2　啟動配置　90
5．1．3　刪除設備配置文件　91
5．2　遠程系統(tǒng)管理　92
5．2．1　Telnet　92
5．2．2　SSH　94
5．3　系統(tǒng)維護　97
5．3．1　軟件安裝　97
5．3．2　密碼恢復流程　101
5．3．3　禁用密碼恢復流程　104
5．4　系統(tǒng)監(jiān)測　107
5．4．1　系統(tǒng)日志記錄　107
5．4．2　NetFlow安全事件記錄
（NSEL）　116
5．4．3　簡單網(wǎng)絡管理協(xié)議
（SNMP）　119
5．5　設備監(jiān)測及排錯　123
5．5．1　監(jiān)測CPU及內存　123
5．5．2　設備排錯　125
總結　129
第6章　Cisco ASA服務模塊　130
6．1　Cisco ASA服務模塊概述　130
6．1．1　硬件架構　131
6．1．2　機框集成　132
6．2　管理主機機框　132
6．2．1　分配VLAN接口　133
6．2．2　監(jiān)測數(shù)據(jù)流量　134
6．3　常用的部署方案　136
6．3．1　內部網(wǎng)段防火墻　136
6．3．2　邊緣保護　137
6．4　讓可靠流量通過策略路由
繞過模塊　138
6．4．1　數(shù)據(jù)流　139
6．4．2　PBR配置示例　140
總結　142
第7章　認證、授權、審計（AAA）　143
7．1　Cisco ASA支持的協(xié)議
與服務　143
7．2　定義認證服務器　148
7．3　配置管理會話的認證　152
7．3．1　認證Telnet連接　153
7．3．2　認證SSH連接　154
7．3．3　認證串行Console連接　155
7．3．4　認證Cisco ASDM連接　156
7．4　認證防火墻會話
（直通代理特性）　156
7．5　自定義認證提示　160
7．6　配置授權　160
7．6．1　命令授權　162
7．6．2　配置可下載ACL　162
7．7　配置審計　163
7．7．1　RADIUS審計　164
7．7．2　TACACS+審計　165
7．8　對去往Cisco ASA的管理
連接進行排錯　166
7．8．1　對防火墻會話（直通代理）
進行排錯　168
7．8．2　ASDM與CLI AAA測試
工具　168
總結　169
第8章　控制網(wǎng)絡訪問：傳統(tǒng)方式　170
8．1　數(shù)據(jù)包過濾　170
8．1．1　ACL的類型　173
8．1．2　ACL特性的比較　174
8．2　配置流量過濾　174
8．2．1　過濾穿越設備的流量　175
8．2．2　過濾去往設備的流量　178
8．3　高級ACL特性　180
8．3．1　對象分組　180
8．3．2　標準ACL　186
8．3．3　基于時間的ACL　187
8．3．4　可下載的ACL　190
8．3．5　ICMP過濾　190
8．4　流量過濾部署方案　191
8．5　監(jiān)測網(wǎng)絡訪問控制　195
總結　198
第9章　通過ASA CX實施下一代
防火墻服務　199
9．1　CX集成概述　199
9．1．1　邏輯架構　200
9．1．2　硬件模塊　201
9．1．3　軟件模塊　201
9．1．4　高可用性　202
9．2　ASA CX架構　203
9．2．1　數(shù)據(jù)平面　204
9．2．2　事件與報告　205
9．2．3　用戶身份　205
9．2．4　TLS解密代理　205
9．2．5　HTTP監(jiān)控引擎　205
9．2．6　應用監(jiān)控引擎　206
9．2．7　管理平面　206
9．2．8　控制平面　206
9．3　配置CX需要在ASA進行的
準備工作　206
9．4　使用PRSM管理ASA CX　210
9．4．1　使用PRSM　211
9．4．2　配置用戶賬戶　214
9．4．3　CX許可證　216
9．4．4　組件與軟件的更新　217
9．4．5　配置數(shù)據(jù)庫備份　219
9．5　定義CX策略元素　220
9．5．1　網(wǎng)絡組　221
9．5．2　身份對象　222
9．5．3　URL對象　223
9．5．4　用戶代理對象　224
9．5．5　應用對象　224
9．5．6　安全移動對象　225
9．5．7　接口角色　226
9．5．8　服務對象　226
9．5．9　應用服務對象　227
9．5．10　源對象組　228
9．5．11　目的對象組　228
9．5．12　文件過濾配置文件　229
9．5．13　Web名譽配置文件　230
9．5．14　下一代IPS配置文件　230
9．6　啟用用戶身份服務　231
9．6．1　配置目錄服務器　232
9．6．2　連接到AD代理或CDA　234
9．6．3　調試認證設置　234
9．6．4　定義用戶身份發(fā)現(xiàn)策略　235
9．7　啟用TLS解密　237
9．7．1　配置解密設置　239
9．7．2　定義解密策略　241
9．8　啟用NG IPS　242
9．9　定義可感知上下文的訪問策略　243
9．10　配置ASA將流量重定向給
CX模塊　246
9．11　監(jiān)測ASA CX　248
9．11．1　面板報告　248
9．11．2　連接與系統(tǒng)事件　249
9．11．3　捕獲數(shù)據(jù)包　250
總結　253
第10章　網(wǎng)絡地址轉換　254
10．1　地址轉換的類型　254
10．1．1　網(wǎng)絡地址轉換　254
10．1．2　端口地址轉換　255
10．2　配置地址轉換　257
10．2．1　靜態(tài)NAT/PAT　257
10．2．2　動態(tài)NAT/PAT　258
10．2．3　策略NAT/PAT　259
10．2．4　Identity NAT　259
10．3　地址轉換中的安全保護機制　259
10．3．1　隨機生成序列號　259
10．3．2　TCP攔截（TCP Intercept）　260
10．4　理解地址轉換行為　260
10．4．1　8．3版之前的地址轉換行為　261
10．4．2　重新設計地址轉換
（8．3及后續(xù)版本）　262
10．5　配置地址轉換　264
10．5．1　自動NAT的配置　264
10．5．2　手動NAT的配置　268
10．5．3　集成ACL和NAT　270
10．5．4　配置用例　272
10．6　DNS刮除（DNS Doctoring）　279
10．7　監(jiān)測地址轉換　281
總結　283
第11章　IPv6支持　284
11．1　IPv6　284
11．1．1　IPv6頭部　284
11．1．2　支持的IPv6地址類型　286
11．2　配置IPv6　286
11．2．1　IP地址分配　287
11．2．2　IPv6 DHCP中繼　288
11．2．3　IPv6可選參數(shù)　288
11．2．4　設置IPv6 ACL　289
11．2．5　IPv6地址轉換　291
總結　292
第12章　IP路由　293
12．1　配置靜態(tài)路由　293
12．1．1　靜態(tài)路由監(jiān)測　296
12．1．2　顯示路由表信息　298
12．2　RIP　299
12．2．1　配置RIP　300
12．2．2　RIP認證　302
12．2．3　RIP路由過濾　304
12．2．4　配置RIP重分布　306
12．2．5　RIP排錯　306
12．3　OSPF　308
12．3．1　配置OSPF　310
12．3．2　OSPF虛鏈路　314
12．3．3　配置OSPF認證　316
12．3．4　配置OSPF重分布　319
12．3．5　末節(jié)區(qū)域與NSSA　320
12．3．6　OSPF類型3 LSA過濾　321
12．3．7　OSPF neighbor命令及跨越
VPN的動態(tài)路由　322
12．3．8　OSPFv3　324
12．3．9　OSPF排錯　324
12．4　EIGRP　329
12．4．1　配置EIGRP　330
12．4．2　EIGRP排錯　339
總結　346
第13章　應用監(jiān)控　347
13．1　啟用應用監(jiān)控　349
13．2　選擇性監(jiān)控　350
13．3　CTIQBE監(jiān)控　353
13．4　DCERPC監(jiān)控　355
13．5　DNS監(jiān)控　355
13．6　ESMTP監(jiān)控　359
13．7　FTP　361
13．8　GPRS隧道協(xié)議　363
13．8．1　GTPv0　364
13．8．2　GTPv1　365
13．8．3　配置GTP監(jiān)控　366
13．9　H．323　367
13．9．1　H．323協(xié)議族　368
13．9．2　H．323版本兼容性　369
13．9．3　啟用H．323監(jiān)控　370
13．9．4　DCS和GKPCS　372
13．9．5　T．38　372
13．10　Cisco統(tǒng)一通信高級特性　372
13．10．1　電話代理　373
13．10．2　TLS代理　376
13．10．3　移動性代理　377
13．10．4　Presence Federation代理　378
13．11　HTTP　378
13．12　ICMP　384
13．13　ILS　385
13．14　即時消息（IM）　385
13．15　IPSec直通　386
13．16　MGCP　387
13．17　NetBIOS　388
13．18　PPTP　389
13．19　Sun RPC　389
13．20　RSH　390
13．21　RTSP　390
13．22　SIP　390
13．23　Skinny (SCCP)　391
13．24　SNMP　392
13．25　SQL*Net　393
13．26　TFTP　393
13．27　WAAS　393
13．28　XDMCP　394
總結　394
第14章　虛擬化　395
14．1　架構概述　396
14．1．1　系統(tǒng)執(zhí)行空間　396
14．1．2　admin虛擬防火墻　397
14．1．3　用戶虛擬防火墻　398
14．1．4　數(shù)據(jù)包分類　400
14．1．5　多模下的數(shù)據(jù)流　402
14．2　配置安全虛擬防火墻　404
14．2．1　步驟1：在全局啟用多安全
虛擬防火墻　405
14．2．2　步驟2：設置系統(tǒng)執(zhí)行空間　406
14．2．3　步驟3：分配接口　408
14．2．4　步驟4：指定配置文件URL　409
14．2．5　步驟5：配置admin虛擬
防火墻　410
14．2．6　步驟6：配置用戶虛擬
防火墻　411
14．2．7　步驟7：管理安全虛擬防火墻
（可選）　412
14．2．8　步驟8：資源管理（可選）　412
14．3　部署方案　415
14．3．1　不使用共享接口的虛擬
防火墻　416
14．3．2　使用了一個共享接口的虛擬
防火墻　426
14．4　安全虛擬防火墻的監(jiān)測與排錯　435
14．4．1　監(jiān)測　436
14．4．2　排錯　437
總結　439
第15章　透明防火墻　440
15．1　架構概述　442
15．1．1　單模透明防火墻　442
15．1．2　多模透明防火墻　444
15．2　透明防火墻的限制　445
15．2．1　透明防火墻與VPN　445
15．2．2　透明防火墻與NAT　446
15．3　配置透明防火墻　447
15．3．1　配置指導方針　448
15．3．2　配置步驟　448
15．4　部署案例　459
15．4．1　部署SMTF　459
15．4．2　用安全虛擬防火墻部署
MMTF　464
15．5　透明防火墻的監(jiān)測與排錯　473
15．5．1　監(jiān)測　473
15．5．2　排錯　475
15．6　主機間無法通信　475
15．7　移動了的主機無法實現(xiàn)通信　476
15．8　通用日志記錄　477
總結　477
第16章　高可用性　478
16．1　冗余接口　478
16．1．1　使用冗余接口　479
16．1．2　部署案例　480
16．1．3　配置與監(jiān)測　480
16．2　靜態(tài)路由追蹤　482
16．2．1　使用SLA監(jiān)測配置靜態(tài)路由　482
16．2．2　浮動連接超時　483
16．2．3　備用ISP部署案例　484
16．3　故障倒換　486
16．3．1　故障倒換中的設備角色
與功能　486
16．3．2　狀態(tài)化故障倒換　487
16．3．3　主用/備用和主用/主用故障
倒換　488
16．3．4　故障倒換的硬件和軟件
需求　489
16．3．5　故障倒換接口　491
16．3．6　故障倒換健康監(jiān)測　495
16．3．7　狀態(tài)與角色的轉換　497
16．3．8　配置故障倒換　498
16．3．9　故障倒換的監(jiān)測與排錯　506
16．3．10　主用/備用故障倒換部署
案例　509
16．4　集群　512
16．4．1　集群中的角色與功能　512
16．4．2　集群的硬件和軟件需求　514
16．4．3　控制與數(shù)據(jù)接口　516
16．4．4　集群健康監(jiān)測　522
16．4．5　網(wǎng)絡地址轉換　523
16．4．6　性能　524
16．4．7　數(shù)據(jù)流　525
16．4．8　狀態(tài)轉換　528
16．4．9　配置集群　528
16．4．10　集群的監(jiān)測與排錯　537
16．4．11　Spanned EtherChannel集群
部署方案　540
總結　549
第17章　實施Cisco ASA入侵
防御系統(tǒng)(IPS)　550
17．1　IPS集成概述　550
17．1．1　IPS邏輯架構　551
17．1．2　IPS硬件模塊　551
17．1．3　IPS軟件模塊　552
17．1．4　在線模式與雜合模式　553
17．1．5　IPS高可用性　555
17．2　Cisco IPS軟件架構　555
17．2．1　MainApp　556
17．2．2　SensorApp　558
17．2．3　CollaborationApp　558
17．2．4　EventStore　559
17．3　ASA IPS配置前的準備工作　559
17．3．1　安裝CIPS鏡像或者重新安裝
一個現(xiàn)有的ASA IPS　559
17．3．2　從ASA CLI訪問CIPS　561
17．3．3　配置基本管理設置　562
17．3．4　通過ASDM配置IPS管理　565
17．3．5　安裝CIPS許可證密鑰　565
17．4　在ASA IPS上配置CIPS軟件　566
17．4．1　自定義特征　567
17．4．2　遠程阻塞　569
17．4．3　異常檢測　572
17．4．4　全球關聯(lián)　575
17．5　維護ASA IPS　576
17．5．1　用戶賬戶管理　576
17．5．2　顯示CIPS軟件和處理信息　578
17．5．3　升級CIPS軟件和特征　579
17．5．4　配置備份　582
17．5．5　顯示和刪除事件　583
17．6　配置ASA對IPS流量進行
重定向　584
17．7　僵尸流量過濾（Botnet Traffic
Filter）　585
17．7．1　動態(tài)和手動定義黑名單
數(shù)據(jù)　586
17．7．2　DNS欺騙（DNS Snooping）　587
17．7．3　流量選擇　588
總結　590
第18章　IPS調試與監(jiān)測　591
18．1　IPS調整的過程　591
18．2　風險評估值　592
18．2．1　ASR　593
18．2．2　TVR　593
18．2．3　SFR　593
18．2．4　ARR　593
18．2．5　PD　593
18．2．6　WLR　594
18．3　禁用IPS特征　594
18．4　撤回IPS特征　594
18．5　用來進行監(jiān)測及調整的工具　595
18．5．1　ASDM和IME　595
18．5．2　CSM事件管理器
（CSM Event Manager）　596
18．5．3　從事件表中移除誤報的
IPS事件　596
18．5．4　Splunk　596
18．5．5　RSA安全分析器（RSA
Security Analytics）　596
18．6　在Cisco ASA IPS中顯示和
清除統(tǒng)計信息　596
總結　600
第19章　站點到站點IPSec VPN　601
19．1　預配置清單　601
19．2　配置步驟　604
19．2．1　步驟1：啟用ISAKMP　605
19．2．2　步驟2：創(chuàng)建ISAKMP
策略　606
19．2．3　步驟3：建立隧道組　607
19．2．4　步驟4：定義IPSec策略　609
19．2．5　步驟5：創(chuàng)建加密映射集　610
19．2．6　步驟6：配置流量過濾器
（可選）　613
19．2．7　步驟7：繞過NAT（可選）　614
19．2．8　步驟8：啟用PFS（可選）　615
19．2．9　ASDM的配置方法　616
19．3　可選屬性與特性　618
19．3．1　通過IPSec發(fā)送OSPF更新　619
19．3．2　反向路由注入　620
19．3．3　NAT穿越　621
19．3．4　隧道默認網(wǎng)關　622
19．3．5　管理訪問　623
19．3．6　分片策略　623
19．4　部署場景　624
19．4．1　使用NAT-T、RRI和IKEv2
的單站點到站點隧道配置　624
19．4．2　使用安全虛擬防火墻的
星型拓撲　629
19．5　站點到站點VPN的監(jiān)測與排錯　638
19．5．1　站點到站點VPN的監(jiān)測　638
19．5．2　站點到站點VPN的排錯　641
總結　645
第20章　IPSec遠程訪問VPN　646
20．1　Cisco IPSec遠程訪問VPN
解決方案　646
20．1．1　IPSec（IKEv1）遠程訪問
配置步驟　648
20．1．2　IPSec（IKEv2）遠程訪問
配置步驟　668
20．1．3　基于硬件的VPN客戶端　671
20．2　高級Cisco IPSec VPN特性　673
20．2．1　隧道默認網(wǎng)關　673
20．2．2　透明隧道　674
20．2．3　IPSec折返流量　675
20．2．4　VPN負載分擔　677
20．2．5　客戶端防火墻　679
20．2．6　基于硬件的Easy VPN
客戶端特性　681
20．3　L2TP over IPSec遠程訪問VPN
解決方案　684
20．3．1　L2TP over IPSec遠程訪問
配置步驟　685
20．3．2　Windows L2TP over IPSec
客戶端配置　688
20．4　部署場景　688
20．5　Cisco遠程訪問VPN的監(jiān)測與
排錯　693
20．5．1　Cisco遠程訪問IPSec VPN
的監(jiān)測　693
20．5．2　Cisco IPSec VPN客戶端
的排錯　696
總結　698
第21章　PKI的配置與排錯　699
21．1　PKI介紹　699
21．1．1　證書　700
21．1．2　證書管理機構（CA）　700
21．1．3　證書撤銷列表　702
21．1．4　簡單證書注冊協(xié)議　702
21．2　安裝證書　703
21．2．1　通過ASDM安裝證書　703
21．2．2　通過文件安裝實體證書　704
21．2．3　通過復制/粘貼的方式安裝
CA證書　704
21．2．4　通過SCEP安裝CA證書　705
21．2．5　通過SCEP安裝實體證書　708
21．2．6　通過CLI安裝證書　709
21．3　本地證書管理機構　718
21．3．1　通過ASDM配置本地CA　719
21．3．2　通過CLI配置本地CA　720
21．3．3　通過ASDM注冊本地CA
用戶　722
21．3．4　通過CLI注冊本地CA用戶　724
21．4　使用證書配置IPSec站點到
站點隧道　725
21．5　使用證書配置Cisco ASA接受
遠程訪問IPSec VPN客戶端　728
21．6　PKI排錯　729
21．6．1　時間和日期不匹配　729
21．6．2　SCEP注冊問題　731
21．6．3　CRL檢索問題　732
總結　733
第22章　無客戶端遠程訪問SSL VPN　734
22．1　SSL VPN設計考量　735
22．1．1　用戶連通性　735
22．1．2　ASA特性集　735
22．1．3　基礎設施規(guī)劃　735
22．1．4　實施范圍　736
22．2　SSL VPN前提條件　736
22．2．1　SSL VPN授權　736
22．2．2　客戶端操作系統(tǒng)和瀏覽器的
軟件需求　739
22．2．3　基礎設施需求　740
22．3　SSL VPN前期配置向導　740
22．3．1　注冊數(shù)字證書（推薦）　740
22．3．2　建立隧道和組策略　745
22．3．3　設置用戶認證　749
22．4　無客戶端SSL VPN配置向導　752
22．4．1　在接口上啟用無客戶端
SSL VPN　753
22．4．2　配置SSL VPN自定義門戶　753
22．4．3　配置書簽　766
22．4．4　配置Web類型ACL　770
22．4．5　配置應用訪問　772
22．4．6　配置客戶端/服務器插件　776
22．5　Cisco安全桌面　777
22．5．1　CSD組件　778
22．5．2　CSD需求　779
22．5．3　CSD技術架構　780
22．5．4　配置CSD　781
22．6　主機掃描　786
22．6．1　主機掃描模塊　786
22．6．2　配置主機掃描　787
22．7　動態(tài)訪問策略　791
22．7．1　DAP技術架構　791
22．7．2　DAP事件順序　792
22．7．3　配置DAP　792
22．8　部署場景　801
22．8．1　步驟1：定義無客戶端連接　802
22．8．2　步驟2：配置DAP　803
22．9　SSL VPN的監(jiān)測與排錯　804
22．9．1　SSL VPN監(jiān)測　804
22．9．2　SSL VPN排錯　806
總結　808
第23章　基于客戶端的遠程訪問
SSL VPN　809
23．1　SSL VPN設計考量　809
23．1．1　Cisco AnyConnect Secure Mobility
客戶端的授權　810
23．1．2　Cisco ASA設計考量　810
23．2　SSL VPN前提條件　811
23．2．1　客戶端操作系統(tǒng)和瀏覽器的
軟件需求　811
23．2．2　基礎設施需求　812
23．3　SSL VPN前期配置向導　812
23．3．1　注冊數(shù)字證書（推薦）　813
23．3．2　建立隧道和組策略　813
23．3．3　設置用戶認證　815
23．4　Cisco AnyConnect Secure Mobility
客戶端配置指南　817
23．4．1　加載Cisco AnyConnect Secure
Mobility Client VPN
打包文件　817
23．4．2　定義Cisco AnyConnect Secure
Mobility Client屬性　818
23．4．3　高級完全隧道特性　822
23．4．4　AnyConnect客戶端配置　827
23．5　AnyConnect客戶端的部署場景　829
23．5．1　步驟1：配置CSD進行
注冊表檢查　831
23．5．2　步驟2：配置RADIUS進行
用戶認證　831
23．5．3　步驟3：配置AnyConnect SSL
VPN　831
23．5．4　步驟4：啟用地址轉換提供
Internet訪問　832
23．6　AnyConnect SSL VPN的監(jiān)測
與排錯　832
總結　834
第24章　IP組播路由　835
24．1　IGMP　835
24．2　PIM稀疏模式　836
24．3　配置組播路由　836
24．3．1　啟用組播路由　836
24．3．2　啟用PIM　838
24．4　IP組播路由排錯　841
24．4．1　常用的show命令　841
24．4．2　常用的debug命令　842
總結　843
第25章　服務質量　844
25．1　QoS類型　845
25．1．1　流量優(yōu)先級劃分　845
25．1．2　流量管制　846
25．1．3　流量整形　847
25．2　QoS架構　847
25．2．1　數(shù)據(jù)包流的順序　847
25．2．2　數(shù)據(jù)包分類　848
25．2．3　QoS與VPN隧道　852
25．3　配置QoS　852
25．3．1　通過ASDM配置QoS　853
25．3．2　通過CLI配置QoS　858
25．4　Qos部署方案　861
25．4．1　ASDM的配置步驟　862
25．4．2　CLI配置步驟　865
25．5　QoS的監(jiān)測　867
總結　868