CCIE Security認證考試指南

第1章利用本書準(zhǔn)備CCIE網(wǎng)絡(luò)安全認證筆試...........3
1.1 CCIE網(wǎng)絡(luò)安全認證考試..................4
1.2 CCIE網(wǎng)絡(luò)安全認證筆試考點................4
1.3 如何利用本書準(zhǔn)備CCIE網(wǎng)絡(luò)安全認證筆試..........6
第2章常用網(wǎng)絡(luò)概念......................9
2.1 “我已經(jīng)知道這些了嗎？” ................10
2.2 網(wǎng)絡(luò)基本概念—OSI參考模型..............17
2.2.1 第1層：物理層...................17
2.2.2 第2層：數(shù)據(jù)鏈路層.................17
2.2.3 第3層：網(wǎng)絡(luò)層...................18
2.2.4 第4層：傳輸層...................19
2.2.5 第5層：會話層...................19
2.2.6 第6層：表示層...................19
2.2.7 第7層：應(yīng)用層...................19
2.2.8 TCP/IP模型與OSI模型的比較.............20
2.2.9 對等體與對等體通信實例...............20
2.3 以太網(wǎng)概述.......................21
2.3.1 交換與橋接.....................22
2.3.2 網(wǎng)橋端口工作狀態(tài)..................24
2.3.3 快速以太通道....................25
2.4 Internet協(xié)議（IP）....................26
2.5 可變長度子網(wǎng)掩碼（VLSM） ...............29
2.6 無類域間路由選擇....................30
2.7 傳輸控制協(xié)議（TCP） ..................31
2.7.1 TCP機制......................31
2.8 TCP/IP服務(wù).......................34
2.8.1 地址解析協(xié)議（ARP） ................35
2.8.2 反向ARP ......................36
2.8.3 動態(tài)主機配置協(xié)議（DHCP）.....................36
2.8.4 熱備用路由器協(xié)議（HSRP）.....................37
2.8.5 Internet控制消息協(xié)議（ICMP）....................40
2.8.6 Telnet ..............................41
2.8.7 文件傳輸協(xié)議（FTP）和簡易文件傳輸協(xié)議（TFTP） ..........41
2.9 路由選擇協(xié)議.............................41
2.9.1 路由選擇信息協(xié)議（RIP）......................44
2.9.2 EIGRP ..............................47
2.9.3 OSPF ..............................51
2.9.4 邊界網(wǎng)關(guān)協(xié)議（BGP） .......................57
2.10 ISDN ................................60
2.10.1 基本速率和基群速率接口.....................60
2.10.2 ISDN數(shù)據(jù)幀和數(shù)據(jù)幀格式.....................60
2.10.3 ISDN的第2層協(xié)議........................61
2.10.4 Cisco IOS的ISDN命令.......................62
2.11 IP多播技術(shù).............................63
2.12 異步通信和訪問設(shè)備.........................63
2.13 基礎(chǔ)知識總結(jié)............................65
2.14 快速以太通道的要求.........................67
2.15 Q&A ................................68
2.16 實踐練習(xí)2-1：Cisco路由器上的IP路由選擇................73
2.17 實踐練習(xí)2-1答案：Cisco路由器的IP路由選擇...............74
第3章應(yīng)用協(xié)議..............................77
3.1 “我已經(jīng)知道這些了嗎？” .......................77
3.2 域名系統(tǒng)（DNS） ...........................82
3.3 簡易文件傳輸協(xié)議（TFTP）.......................84
3.4 文件傳輸協(xié)議（FTP） .........................86
3.4.1 主動FTP .............................86
3.4.2 被動FTP .............................87
3.5 超文本傳輸協(xié)議（HTTP）........................88
3.6 安全套接字層（SSL） .........................90
3.7 簡單網(wǎng)絡(luò)管理協(xié)議（SNMP） ......................90
3.7.1 SNMP通知............................91
3.7.2 SNMP應(yīng)用實例..........................94
3.8 簡單郵件傳輸協(xié)議（SMTP）.......................94
3.9 網(wǎng)絡(luò)時間協(xié)議（NTP） .........................95
3.10 安全命令行解釋(SSH) .........................98
3.11 基礎(chǔ)知識總結(jié)............................100
CCIE_Security_認證考試指南2
3.12 Q&A ...............................101
3.13 實踐練習(xí)3-1：DNS、TFTP、NTP和SNMP的配置............105
3.14 實踐練習(xí)3-1答案..........................106
第4章Cisco_IOS的細節(jié)問題以及網(wǎng)絡(luò)安全性.................109
4.1 “我已經(jīng)知道這些了嗎？”.......................109
4.2 Cisco硬件設(shè)施............................113
4.2.1 隨機存取存儲器（RAM）......................113
4.2.2 非易失性隨機存取存儲器（NVRAM） ................114
4.2.3 系統(tǒng)Flash ............................114
4.2.4 中央處理器（CPU）........................114
4.2.5 只讀存儲器（ROM）........................115
4.2.6 配置寄存器...........................116
4.2.7 Cisco接口............................118
4.2.8 文件的保存和加載........................119
4.3 show和debug命令...........................120
4.3.1 路由器命令行接口（CLI） .....................120
4.3.2 Show命令............................120
4.3.3 Cisco路由器的調(diào)試........................128
4.4 密碼恢復(fù)..............................133
4.5 Cisco路由器的基本安全特性......................136
4.6 IP訪問控制列表...........................139
4.6.1 Cisco路由器上的訪問控制列表...................139
4.6.2 擴展訪問控制列表........................143
4.7 基礎(chǔ)知識總結(jié)............................145
4.8 Q&A ................................146
4.9 實踐練習(xí)4-1：Cisco路由器上密碼和訪問控制列表的配置.........148
4.10 實踐練習(xí)4-1答案..........................149
第5章網(wǎng)絡(luò)安全協(xié)議............................153
5.1 “我已經(jīng)知道這些了嗎？”.......................153
5.2 驗證、授權(quán)和記賬（AAA） ......................160
5.2.1 驗證..............................161
5.2.2 授權(quán)..............................162
5.2.3 記賬..............................162
5.3 遠程驗證撥入用戶服務(wù)（RADIUS）...................163
5.3.1 RADIUS的配置..........................165
5.4 終端訪問控制器訪問控制系統(tǒng)+（TACACS+）...............167
5.4.1 TACACS+的配置.........................169
目錄3
5.4.2 TACACS+與RADIUS的比較....................172
5.5 Kerberos ..............................173
5.5.1 Kerberos的配置..........................175
5.6 虛擬撥號專用網(wǎng)絡(luò)（VPDN）......................176
5.6.1 VPDN的配置...........................178
5.7 加密技術(shù)概述............................180
5.7.1 數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）和三重數(shù)據(jù)加密標(biāo)準(zhǔn)（3DES）..........181
5.7.2 數(shù)字簽名標(biāo)準(zhǔn)（DSS）.......................182
5.7.3 消息摘要算法5（MD5）和安全散列算法（SHA） ...........183
5.7.4 Diffie-Hellman協(xié)議........................184
5.7.5 IP安全IPSec ...........................185
5.8 Internet密鑰交換（IKE）........................188
5.8.1 IKE階段I（包括類型1-6的消息） ..................188
5.8.2 IKE階段II（包括類型1-3的消息） ..................189
5.8.3 Cisco IOS路由器IPSec的配置....................192
5.9 證書登記協(xié)議（CEP）.........................198
5.10 基礎(chǔ)知識總結(jié)............................198
5.11 Q&A ...............................200
5.12 實踐練習(xí)5-1：Cisco路由器的IPSec配置.................206
5.13 實踐練習(xí)5-1答案..........................209
第6章操作系統(tǒng)與Cisco安全應(yīng)用程序....................213
6.1 “我已經(jīng)知道這些了嗎？”.......................213
6.2 UNIX ................................217
6.2.1 UNIX的命令結(jié)構(gòu).........................218
6.2.2 UNIX的權(quán)限...........................219
6.2.3 UNIX的文件系統(tǒng).........................221
6.3 Microsoft的NT系統(tǒng)..........................221
6.3.1 瀏覽與Windows名稱解析......................222
6.3.2 Windows NT的網(wǎng)絡(luò)擴展問題....................223
6.3.3 登錄與權(quán)限...........................223
6.3.4 Windows NT的用戶和工作組....................224
6.3.5 Windows NT域的信任關(guān)系.....................225
6.4 常用的Windows DOS操作指令.....................225
6.5 Windows與UNIX版本的Cisco安全服務(wù)程序...............227
6.6 Cisco安全策略管理器（CSPM）.....................229
6.7 Cisco安全入侵檢測系統(tǒng)和Cisco安全掃描程序..............229
6.7.1 NetRanger（Cisco安全入侵檢測系統(tǒng)）................229
6.7.2 NetSonar（Cisco安全掃描程序）...................231
CCIE_Security_認證考試指南4
6.8 Cisco安全轉(zhuǎn)輪............................232
6.9 基礎(chǔ)知識總結(jié)............................233
6.10 Q&A ...............................234
6.11 實踐練習(xí)6-1：NT的文件訪問權(quán)限...................237
6.12 實踐練習(xí)6-2：UNIX的文件訪問權(quán)限..................237
6.13 實踐練習(xí)6-1答案..........................237
6.14 實踐練習(xí)6-2答案..........................237
第7章網(wǎng)絡(luò)安全技術(shù)............................239
7.1 “我已經(jīng)知道這些了嗎？”.......................239
7.2 高級網(wǎng)絡(luò)安全概念..........................243
7.3 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和端口地址轉(zhuǎn)換（PAT）..............246
7.3.1 Cisco路由器上NAT的工作情況...................247
7.4 Cisco專用Internet交換機（PIX） ....................249
7.4.1 PIX防火墻的配置.........................252
7.4.2 Cisco PIX防火墻軟件特性.....................258
7.5 Cisco IOS防火墻安全特性集......................260
7.5.1 CBAC的配置...........................261
7.6 公鑰基礎(chǔ)結(jié)構(gòu)（PKI）.........................262
7.7 虛擬專網(wǎng)（VPN）...........................263
7.8 基礎(chǔ)知識總結(jié)............................265
7.9 Q&A ................................267
7.10 實踐練習(xí)7-1：Cisco PIX的NAT配置..................270
7.11 實踐練習(xí)7-1答案..........................271
第8章網(wǎng)絡(luò)安全策略、漏洞及保護措施....................273
8.1 “我已經(jīng)知道這些了嗎？”.......................273
8.2 網(wǎng)絡(luò)安全策略............................276
8.3 標(biāo)準(zhǔn)組織和事件響應(yīng)組........................277
8.3.1 事件響應(yīng)組...........................278
8.3.2 互聯(lián)網(wǎng)新聞組..........................278
8.4 安全漏洞、攻擊方式以及常見的漏洞利用................279
8.5 入侵檢測系統(tǒng)（IDS）.........................282
8.6 保護Cisco IOS免受侵害........................283
8.7 基礎(chǔ)知識總結(jié)............................288
8.8 Q&A ................................289
8.9 實踐練習(xí)8-1：通過IOS配置對DoS攻擊進行實時監(jiān)控...........292
8.10 實踐練習(xí)8-1答案..........................292
目錄5
第9章CCIE網(wǎng)絡(luò)安全認證自學(xué)實驗.....................297
9.1 如何使用本章的實驗內(nèi)容.......................297
9.2 實驗的目的.............................298
9.2.1 CCIE網(wǎng)絡(luò)安全認證自學(xué)實驗第I部分的目標(biāo)..............298
9.2.2 CCIE網(wǎng)絡(luò)安全認證自學(xué)實驗第II部分的目標(biāo).............299
9.3 通用的實驗規(guī)則和實驗網(wǎng)絡(luò)的創(chuàng)建...................299
9.3.1 通信服務(wù)器...........................301
9.4 CCIE網(wǎng)絡(luò)安全認證自學(xué)實驗第I部分：基本網(wǎng)絡(luò)連接（4小時） .......302
9.4.1 基本幀中繼網(wǎng)絡(luò)的建立......................302
9.4.2 網(wǎng)絡(luò)的物理連接.........................307
9.4.3 Catalyst以太網(wǎng)交換機配置步驟1 ..................307
9.4.4 Catalyst以太網(wǎng)交換機配置步驟2...................311
9.4.5 IP主機查詢與DNS的禁用.....................316
9.4.6 PIX的配置............................317
9.4.7 IGP路由選擇...........................320
9.4.8 基本的ISDN配置.........................331
9.4.9 DHCP的配置...........................337
9.4.10 BGP路由選擇的配置.......................337
9.5 CCIE網(wǎng)絡(luò)安全認證自學(xué)實驗第II部分：高級網(wǎng)絡(luò)安全設(shè)計（4小時） .....340
9.5.1 IP訪問控制列表.........................340
9.5.2 如何防御拒絕服務(wù)攻擊......................342
9.5.3 基于時間的訪問控制列表.....................343
9.5.4 動態(tài)訪問控制列表/鎖定和開鎖特性.................345
9.5.5 R5上IOS防火墻的配置.......................347
9.5.6 IPSec的配置...........................348
9.5.7 高級PIX的配置..........................353
9.5.8 ACS的配置...........................355
9.6 最終的配置內(nèi)容...........................363
9.7 結(jié)束語...............................378
附錄A 練習(xí)題答案.............................381
第2章“我已經(jīng)知道這些了嗎”測試答案..................381
第2章Q&A練習(xí)題答案..........................383
第3章“我已經(jīng)知道這些了嗎”測試答案..................386
第3章Q&A練習(xí)題答案..........................388
第4章“我已經(jīng)知道這些了嗎”測試答案..................390
第4章Q&A練習(xí)題答案..........................391
第5章“我已經(jīng)知道這些了嗎”測試答案...................392
CCIE_Security_認證考試指南6
第5章Q&A練習(xí)題答案..........................394
第6章“我已經(jīng)知道這些了嗎”測試答案...................398
第6章Q&A練習(xí)題答案..........................398
第7章“我已經(jīng)知道這些了嗎”測試答案..................400
第7章Q&A練習(xí)題答案..........................401
第8章“我已經(jīng)知道這些了嗎”測試答案..................403
第8章Q&A練習(xí)題答案..........................404
附錄B CCIE網(wǎng)絡(luò)安全認證考試的學(xué)習(xí)技巧..................407
B.1 獲取CCIE安全認證證書的過程.....................408
B.2 CCIE網(wǎng)絡(luò)安全認證筆試........................408
B.2.1 攻克模糊性....................