CCIE Security認(rèn)證考試指南

第1章利用本書(shū)準(zhǔn)備CCIE網(wǎng)絡(luò)安全認(rèn)證筆試...........3
1.1 CCIE網(wǎng)絡(luò)安全認(rèn)證考試..................4
1.2 CCIE網(wǎng)絡(luò)安全認(rèn)證筆試考點(diǎn)................4
1.3 如何利用本書(shū)準(zhǔn)備CCIE網(wǎng)絡(luò)安全認(rèn)證筆試..........6
第2章常用網(wǎng)絡(luò)概念......................9
2.1 “我已經(jīng)知道這些了嗎？” ................10
2.2 網(wǎng)絡(luò)基本概念—OSI參考模型..............17
2.2.1 第1層：物理層...................17
2.2.2 第2層：數(shù)據(jù)鏈路層.................17
2.2.3 第3層：網(wǎng)絡(luò)層...................18
2.2.4 第4層：傳輸層...................19
2.2.5 第5層：會(huì)話(huà)層...................19
2.2.6 第6層：表示層...................19
2.2.7 第7層：應(yīng)用層...................19
2.2.8 TCP/IP模型與OSI模型的比較.............20
2.2.9 對(duì)等體與對(duì)等體通信實(shí)例...............20
2.3 以太網(wǎng)概述.......................21
2.3.1 交換與橋接.....................22
2.3.2 網(wǎng)橋端口工作狀態(tài)..................24
2.3.3 快速以太通道....................25
2.4 Internet協(xié)議（IP）....................26
2.5 可變長(zhǎng)度子網(wǎng)掩碼（VLSM） ...............29
2.6 無(wú)類(lèi)域間路由選擇....................30
2.7 傳輸控制協(xié)議（TCP） ..................31
2.7.1 TCP機(jī)制......................31
2.8 TCP/IP服務(wù).......................34
2.8.1 地址解析協(xié)議（ARP） ................35
2.8.2 反向ARP ......................36
2.8.3 動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）.....................36
2.8.4 熱備用路由器協(xié)議（HSRP）.....................37
2.8.5 Internet控制消息協(xié)議（ICMP）....................40
2.8.6 Telnet ..............................41
2.8.7 文件傳輸協(xié)議（FTP）和簡(jiǎn)易文件傳輸協(xié)議（TFTP） ..........41
2.9 路由選擇協(xié)議.............................41
2.9.1 路由選擇信息協(xié)議（RIP）......................44
2.9.2 EIGRP ..............................47
2.9.3 OSPF ..............................51
2.9.4 邊界網(wǎng)關(guān)協(xié)議（BGP） .......................57
2.10 ISDN ................................60
2.10.1 基本速率和基群速率接口.....................60
2.10.2 ISDN數(shù)據(jù)幀和數(shù)據(jù)幀格式.....................60
2.10.3 ISDN的第2層協(xié)議........................61
2.10.4 Cisco IOS的ISDN命令.......................62
2.11 IP多播技術(shù).............................63
2.12 異步通信和訪問(wèn)設(shè)備.........................63
2.13 基礎(chǔ)知識(shí)總結(jié)............................65
2.14 快速以太通道的要求.........................67
2.15 Q&A ................................68
2.16 實(shí)踐練習(xí)2-1：Cisco路由器上的IP路由選擇................73
2.17 實(shí)踐練習(xí)2-1答案：Cisco路由器的IP路由選擇...............74
第3章應(yīng)用協(xié)議..............................77
3.1 “我已經(jīng)知道這些了嗎？” .......................77
3.2 域名系統(tǒng)（DNS） ...........................82
3.3 簡(jiǎn)易文件傳輸協(xié)議（TFTP）.......................84
3.4 文件傳輸協(xié)議（FTP） .........................86
3.4.1 主動(dòng)FTP .............................86
3.4.2 被動(dòng)FTP .............................87
3.5 超文本傳輸協(xié)議（HTTP）........................88
3.6 安全套接字層（SSL） .........................90
3.7 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP） ......................90
3.7.1 SNMP通知............................91
3.7.2 SNMP應(yīng)用實(shí)例..........................94
3.8 簡(jiǎn)單郵件傳輸協(xié)議（SMTP）.......................94
3.9 網(wǎng)絡(luò)時(shí)間協(xié)議（NTP） .........................95
3.10 安全命令行解釋(SSH) .........................98
3.11 基礎(chǔ)知識(shí)總結(jié)............................100
CCIE_Security_認(rèn)證考試指南2
3.12 Q&A ...............................101
3.13 實(shí)踐練習(xí)3-1：DNS、TFTP、NTP和SNMP的配置............105
3.14 實(shí)踐練習(xí)3-1答案..........................106
第4章Cisco_IOS的細(xì)節(jié)問(wèn)題以及網(wǎng)絡(luò)安全性.................109
4.1 “我已經(jīng)知道這些了嗎？”.......................109
4.2 Cisco硬件設(shè)施............................113
4.2.1 隨機(jī)存取存儲(chǔ)器（RAM）......................113
4.2.2 非易失性隨機(jī)存取存儲(chǔ)器（NVRAM） ................114
4.2.3 系統(tǒng)Flash ............................114
4.2.4 中央處理器（CPU）........................114
4.2.5 只讀存儲(chǔ)器（ROM）........................115
4.2.6 配置寄存器...........................116
4.2.7 Cisco接口............................118
4.2.8 文件的保存和加載........................119
4.3 show和debug命令...........................120
4.3.1 路由器命令行接口（CLI） .....................120
4.3.2 Show命令............................120
4.3.3 Cisco路由器的調(diào)試........................128
4.4 密碼恢復(fù)..............................133
4.5 Cisco路由器的基本安全特性......................136
4.6 IP訪問(wèn)控制列表...........................139
4.6.1 Cisco路由器上的訪問(wèn)控制列表...................139
4.6.2 擴(kuò)展訪問(wèn)控制列表........................143
4.7 基礎(chǔ)知識(shí)總結(jié)............................145
4.8 Q&A ................................146
4.9 實(shí)踐練習(xí)4-1：Cisco路由器上密碼和訪問(wèn)控制列表的配置.........148
4.10 實(shí)踐練習(xí)4-1答案..........................149
第5章網(wǎng)絡(luò)安全協(xié)議............................153
5.1 “我已經(jīng)知道這些了嗎？”.......................153
5.2 驗(yàn)證、授權(quán)和記賬（AAA） ......................160
5.2.1 驗(yàn)證..............................161
5.2.2 授權(quán)..............................162
5.2.3 記賬..............................162
5.3 遠(yuǎn)程驗(yàn)證撥入用戶(hù)服務(wù)（RADIUS）...................163
5.3.1 RADIUS的配置..........................165
5.4 終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)+（TACACS+）...............167
5.4.1 TACACS+的配置.........................169
目錄3
5.4.2 TACACS+與RADIUS的比較....................172
5.5 Kerberos ..............................173
5.5.1 Kerberos的配置..........................175
5.6 虛擬撥號(hào)專(zhuān)用網(wǎng)絡(luò)（VPDN）......................176
5.6.1 VPDN的配置...........................178
5.7 加密技術(shù)概述............................180
5.7.1 數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）和三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)（3DES）..........181
5.7.2 數(shù)字簽名標(biāo)準(zhǔn)（DSS）.......................182
5.7.3 消息摘要算法5（MD5）和安全散列算法（SHA） ...........183
5.7.4 Diffie-Hellman協(xié)議........................184
5.7.5 IP安全I(xiàn)PSec ...........................185
5.8 Internet密鑰交換（IKE）........................188
5.8.1 IKE階段I（包括類(lèi)型1-6的消息） ..................188
5.8.2 IKE階段II（包括類(lèi)型1-3的消息） ..................189
5.8.3 Cisco IOS路由器IPSec的配置....................192
5.9 證書(shū)登記協(xié)議（CEP）.........................198
5.10 基礎(chǔ)知識(shí)總結(jié)............................198
5.11 Q&A ...............................200
5.12 實(shí)踐練習(xí)5-1：Cisco路由器的IPSec配置.................206
5.13 實(shí)踐練習(xí)5-1答案..........................209
第6章操作系統(tǒng)與Cisco安全應(yīng)用程序....................213
6.1 “我已經(jīng)知道這些了嗎？”.......................213
6.2 UNIX ................................217
6.2.1 UNIX的命令結(jié)構(gòu).........................218
6.2.2 UNIX的權(quán)限...........................219
6.2.3 UNIX的文件系統(tǒng).........................221
6.3 Microsoft的NT系統(tǒng)..........................221
6.3.1 瀏覽與Windows名稱(chēng)解析......................222
6.3.2 Windows NT的網(wǎng)絡(luò)擴(kuò)展問(wèn)題....................223
6.3.3 登錄與權(quán)限...........................223
6.3.4 Windows NT的用戶(hù)和工作組....................224
6.3.5 Windows NT域的信任關(guān)系.....................225
6.4 常用的Windows DOS操作指令.....................225
6.5 Windows與UNIX版本的Cisco安全服務(wù)程序...............227
6.6 Cisco安全策略管理器（CSPM）.....................229
6.7 Cisco安全入侵檢測(cè)系統(tǒng)和Cisco安全掃描程序..............229
6.7.1 NetRanger（Cisco安全入侵檢測(cè)系統(tǒng)）................229
6.7.2 NetSonar（Cisco安全掃描程序）...................231
CCIE_Security_認(rèn)證考試指南4
6.8 Cisco安全轉(zhuǎn)輪............................232
6.9 基礎(chǔ)知識(shí)總結(jié)............................233
6.10 Q&A ...............................234
6.11 實(shí)踐練習(xí)6-1：NT的文件訪問(wèn)權(quán)限...................237
6.12 實(shí)踐練習(xí)6-2：UNIX的文件訪問(wèn)權(quán)限..................237
6.13 實(shí)踐練習(xí)6-1答案..........................237
6.14 實(shí)踐練習(xí)6-2答案..........................237
第7章網(wǎng)絡(luò)安全技術(shù)............................239
7.1 “我已經(jīng)知道這些了嗎？”.......................239
7.2 高級(jí)網(wǎng)絡(luò)安全概念..........................243
7.3 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和端口地址轉(zhuǎn)換（PAT）..............246
7.3.1 Cisco路由器上NAT的工作情況...................247
7.4 Cisco專(zhuān)用Internet交換機(jī)（PIX） ....................249
7.4.1 PIX防火墻的配置.........................252
7.4.2 Cisco PIX防火墻軟件特性.....................258
7.5 Cisco IOS防火墻安全特性集......................260
7.5.1 CBAC的配置...........................261
7.6 公鑰基礎(chǔ)結(jié)構(gòu)（PKI）.........................262
7.7 虛擬專(zhuān)網(wǎng)（VPN）...........................263
7.8 基礎(chǔ)知識(shí)總結(jié)............................265
7.9 Q&A ................................267
7.10 實(shí)踐練習(xí)7-1：Cisco PIX的NAT配置..................270
7.11 實(shí)踐練習(xí)7-1答案..........................271
第8章網(wǎng)絡(luò)安全策略、漏洞及保護(hù)措施....................273
8.1 “我已經(jīng)知道這些了嗎？”.......................273
8.2 網(wǎng)絡(luò)安全策略............................276
8.3 標(biāo)準(zhǔn)組織和事件響應(yīng)組........................277
8.3.1 事件響應(yīng)組...........................278
8.3.2 互聯(lián)網(wǎng)新聞組..........................278
8.4 安全漏洞、攻擊方式以及常見(jiàn)的漏洞利用................279
8.5 入侵檢測(cè)系統(tǒng)（IDS）.........................282
8.6 保護(hù)Cisco IOS免受侵害........................283
8.7 基礎(chǔ)知識(shí)總結(jié)............................288
8.8 Q&A ................................289
8.9 實(shí)踐練習(xí)8-1：通過(guò)IOS配置對(duì)DoS攻擊進(jìn)行實(shí)時(shí)監(jiān)控...........292
8.10 實(shí)踐練習(xí)8-1答案..........................292
目錄5
第9章CCIE網(wǎng)絡(luò)安全認(rèn)證自學(xué)實(shí)驗(yàn).....................297
9.1 如何使用本章的實(shí)驗(yàn)內(nèi)容.......................297
9.2 實(shí)驗(yàn)的目的.............................298
9.2.1 CCIE網(wǎng)絡(luò)安全認(rèn)證自學(xué)實(shí)驗(yàn)第I部分的目標(biāo)..............298
9.2.2 CCIE網(wǎng)絡(luò)安全認(rèn)證自學(xué)實(shí)驗(yàn)第II部分的目標(biāo).............299
9.3 通用的實(shí)驗(yàn)規(guī)則和實(shí)驗(yàn)網(wǎng)絡(luò)的創(chuàng)建...................299
9.3.1 通信服務(wù)器...........................301
9.4 CCIE網(wǎng)絡(luò)安全認(rèn)證自學(xué)實(shí)驗(yàn)第I部分：基本網(wǎng)絡(luò)連接（4小時(shí)） .......302
9.4.1 基本幀中繼網(wǎng)絡(luò)的建立......................302
9.4.2 網(wǎng)絡(luò)的物理連接.........................307
9.4.3 Catalyst以太網(wǎng)交換機(jī)配置步驟1 ..................307
9.4.4 Catalyst以太網(wǎng)交換機(jī)配置步驟2...................311
9.4.5 IP主機(jī)查詢(xún)與DNS的禁用.....................316
9.4.6 PIX的配置............................317
9.4.7 IGP路由選擇...........................320
9.4.8 基本的ISDN配置.........................331
9.4.9 DHCP的配置...........................337
9.4.10 BGP路由選擇的配置.......................337
9.5 CCIE網(wǎng)絡(luò)安全認(rèn)證自學(xué)實(shí)驗(yàn)第II部分：高級(jí)網(wǎng)絡(luò)安全設(shè)計(jì)（4小時(shí)） .....340
9.5.1 IP訪問(wèn)控制列表.........................340
9.5.2 如何防御拒絕服務(wù)攻擊......................342
9.5.3 基于時(shí)間的訪問(wèn)控制列表.....................343
9.5.4 動(dòng)態(tài)訪問(wèn)控制列表/鎖定和開(kāi)鎖特性.................345
9.5.5 R5上IOS防火墻的配置.......................347
9.5.6 IPSec的配置...........................348
9.5.7 高級(jí)PIX的配置..........................353
9.5.8 ACS的配置...........................355
9.6 最終的配置內(nèi)容...........................363
9.7 結(jié)束語(yǔ)...............................378
附錄A 練習(xí)題答案.............................381
第2章“我已經(jīng)知道這些了嗎”測(cè)試答案..................381
第2章Q&A練習(xí)題答案..........................383
第3章“我已經(jīng)知道這些了嗎”測(cè)試答案..................386
第3章Q&A練習(xí)題答案..........................388
第4章“我已經(jīng)知道這些了嗎”測(cè)試答案..................390
第4章Q&A練習(xí)題答案..........................391
第5章“我已經(jīng)知道這些了嗎”測(cè)試答案...................392
CCIE_Security_認(rèn)證考試指南6
第5章Q&A練習(xí)題答案..........................394
第6章“我已經(jīng)知道這些了嗎”測(cè)試答案...................398
第6章Q&A練習(xí)題答案..........................398
第7章“我已經(jīng)知道這些了嗎”測(cè)試答案..................400
第7章Q&A練習(xí)題答案..........................401
第8章“我已經(jīng)知道這些了嗎”測(cè)試答案..................403
第8章Q&A練習(xí)題答案..........................404
附錄B CCIE網(wǎng)絡(luò)安全認(rèn)證考試的學(xué)習(xí)技巧..................407
B.1 獲取CCIE安全認(rèn)證證書(shū)的過(guò)程.....................408
B.2 CCIE網(wǎng)絡(luò)安全認(rèn)證筆試........................408
B.2.1 攻克模糊性....................