CCIE Security认证考试指南PDF电子书下载

第1章 利用本书准备CCIE网络安全认证笔试 3

目录 3

1.1 CCIE网络安全认证考试 4

1.2 CCIE网络安全认证笔试考点 4

1.3 如何利用本书准备CCIE网络安全认证笔试 6

第2章 常用网络概念 9

2.1 “我已经知道这些了吗？” 10

2.2 网络基本概念——OSI参考模型 17

2.2.1 第1层：物理层 17

2.2.2 第2层：数据链路层 17

2.2.3 第3层：网络层 18

2.2.4 第4层：传输层 19

2.2.5 第5层：会话层 19

2.2.6 第6层：表示层 19

2.2.7 第7层：应用层 19

2.2.9 对等体与对等体通信实例 20

2.2.8 TCP／IP模型与OSI模型的比较 20

2.3 以太网概述 21

2.3.1 交换与桥接 22

2.3.2 网桥端口工作状态 24

2.3.3 快速以太通道 25

2.4 Internet协议（IP） 26

2.5 可变长度子网掩码（VLSM） 29

2.6 无类域间路由选择 30

2.7 传输控制协议（TCP） 31

2.7.1 TCP机制 31

2.8 TCP／IP服务 34

2.8.1 地址解析协议（ARP） 35

2.8.2 反向ARP 36

2.8.3 动态主机配置协议（DHCP） 36

2.8.4 热备用路由器协议（HSRP） 37

2.8.5 Internet控制消息协议（ICMP） 40

2.8.6 Telnet 41

2.8.7 文件传输协议（FTP）和简易文件传输协议（TFTP） 41

2.9 路由选择协议 41

2.9.1 路由选择信息协议（RIP） 44

2.9.2 EIGRP 47

2.9.3 OSPF 51

2.9.4 边界网关协议（BGP） 57

2.10 ISDN 60

2.10.1 基本速率和基群速率接口 60

2.10.2 ISDN数据帧和数据帧格式 60

2.10.3 ISDN的第2层协议 61

2.10.4 Cisco IOS的ISDN命令 62

2.11 IP多播技术 63

2.12 异步通信和访问设备 63

2.13 基础知识总结 65

2.14 快速以太通道的要求 67

2.15 Q A 68

2.16 实践练习2-1：Cisco路由器上的IP路由选择 73

2.17 实践练习2-1答案：Cisco路由器的IP路由选择 74

第3章 应用协议 77

3.1 “我已经知道这些了吗？” 77

3.2 域名系统（DNS） 82

3.3 简易文件传输协议（TFTP） 84

3.4 文件传输协议（FTP） 86

3.4.1 主动FTP 86

3.4.2 被动FTP 87

3.5 超文本传输协议（HTTP） 88

3.6 安全套接字层（SSL） 90

3.7 简单网络管理协议（SNMP） 90

3.7.1 SNMP通知 91

3.7.2 SNMP应用实例 94

3.8 简单邮件传输协议（SMTP） 94

3.9 网络时间协议（NTP） 95

3.10 安全命令行解释（SSH） 98

3.11 基础知识总结 100

3.12 Q A 101

3.13 实践练习3-1：DNS、TFTP、NTP和SNMP的配置 105

3.14 实践练习3-1答案 106

第4章 Cisco IOS的细节问题以及网络安全性 109

4.1 “我已经知道这些了吗？” 109

4.2 Cisco硬件设施 113

4.2.1 随机存取存储器（RAM） 113

4.2.2 非易失性随机存取存储器（NVRAM） 114

4.2.3 系统Flash 114

4.2.4 中央处理器（CPU） 114

4.2.5 只读存储器（ROM） 115

4.2.6 配置寄存器 116

4.2.7 Cisco接口 118

4.2.8 文件的保存和加载 119

4.3 show和debug命令 120

4.3.1 路由器命令行接口（CLI） 120

4.3.2 Show命令 120

4.3.3 Cisco路由器的调试 128

4.4 密码恢复 133

4.5 Cisco路由器的基本安全特性 136

4.6 IP访问控制列表 139

4.6.1 Cisco路由器上的访问控制列表 139

4.6.2 扩展访问控制列表 143

4.7 基础知识总结 145

4.8 Q A 146

4.9 实践练习4-1：Cisco路由器上密码和访问控制列表的配置 148

4.10 实践练习4-1答案 149

第5章 网络安全协议 153

5.1 “我已经知道这些了吗？” 153

5.2 验证、授权和记账（AAA） 160

5.2.1 验证 161

5.2.2 授权 162

5.2.3 记账 162

5.3 远程验证拨入用户服务（RADIUS） 163

5.3.1 RADIUS的配置 165

5.4 终端访问控制器访问控制系统+（TACACS+） 167

5.4.1 TACACS+的配置 169

5.4.2 TACACS+与RADIUS的比较 172

5.5 Kerberos 173

5.5.1 Kerberos的配置 175

5.6 虚拟拨号专用网络（VPDN） 176

5.6.1 VPDN的配置 178

5.7 加密技术概述 180

5.7.1 数据加密标准（DES）和三重数据加密标准（3DES） 181

5.7.2 数字签名标准（DSS） 182

5.7.3 消息摘要算法5（MD5）和安全散列算法（SHA） 183

5.7.4 Diffie-Hellman协议 184

5.7.5 IP安全IPSec 185

5.8 Internet密钥交换（IKE） 188

5.8.1 IKE阶段Ⅰ（包括类型1-6的消息） 188

5.8.2 IKE阶段Ⅱ（包括类型1-3的消息） 189

5.8.3 Cisco IOS路由器IPSec的配置 192

5.9 证书登记协议（CEP） 198

5.10 基础知识总结 198

5.11 Q A 200

5.12 实践练习5-1：Cisco路由器的IPSec配置 206

5.13 实践练习5-1答案 209

第6章 操作系统与Cisco安全应用程序 213

6.1 “我已经知道这些了吗？” 213

6.2 UNIX 217

6.2.1 UNIX的命令结构 218

6.2.2 UNIX的权限 219

6.7 Cisco安全入侵检测系统和Cisco安全扫描程序 220

6.2.3 UNIX的文件系统 221

6.3 Microsoft的NT系统 221

6.3.1 浏览与Windows名称解析 222

6.3.2 Windows NT的网络扩展问题 223

6.3.3 登录与权限 223

6.3.4 Windows NT的用户和工作组 224

6.3.5 Windows NT域的信任关系 225

6.4 常用的Windows DOS操作指令 225

6.5 Windows与UNIX版本的Cisco安全服务程序 227

6.6 Cisco安全策略管理器（CSPM） 229

6.7.1 NetRanger（Cisco安全入侵检测系统） 229

6.7.2 NetSonar（Cisco安全扫描程序） 231

6.8 Cisco安全转轮 232

6.9 基础知识总结 233

6.10 Q A 234

6.13 实践练习6-1答案 237

6.14 实践练习6-2答案 237

6.12 实践练习6-2：UNIX的文件访问权限 237

6.11 实践练习6-1：NT的文件访问权限 237

第7章 网络安全技术 239

7.1 “我已经知道这些了吗？” 239

7.2 高级网络安全概念 243

7.3 网络地址转换（NAT）和端口地址转换（PAT） 246

7.3.1 Cisco路由器上NAT的工作情况 247

7.4 Cisco专用Internet交换机（PIX） 249

7.4.1 PIX防火墙的配置 252

7.4.2 Cisco PIX防火墙软件特性 258

7.5 Cisco IOS防火墙安全特性集 260

7.5.1 CBAC的配置 261

7.6 公钥基础结构（PKI） 262

7.7 虚拟专网（VPN） 263

7.8 基础知识总结 265

7.9 Q A 267

7.10 实践练习7-1：Cisco PIX的NAT配置 270

7.11 实践练习7-1答案 271

第8章 网络安全策略、漏洞及保护措施 273

8.1 “我已经知道这些了吗？” 273

8.2 网络安全策略 276

8.3 标准组织和事件响应组 277

8.3.1 事件响应组 278

8.3.2 互联网新闻组 278

8.4 安全漏洞、攻击方式以及常见的漏洞利用 279

8.5 入侵检测系统（IDS） 282

8.6 保护Cisco IOS免受侵害 283

8.7 基础知识总结 288

8.8 Q A 289

8.9 实践练习8-1：通过IOS配置对DoS攻击进行实时监控 292

8.10 实践练习8-1答案 292

9.1 如何使用本章的实验内容 297

第9章 CCIE网络安全认证自学实验 297

9.2 实验的目的 298

9.2.1 CCIE网络安全认证自学实验第Ⅰ部分的目标 298

9.2.2 CCIE网络安全认证自学实验第Ⅱ部分的目标 299

9.3 通用的实验规则和实验网络的创建 299

9.3.1 通信服务器 301

9.4 CCIE网络安全认证自学实验第Ⅰ部分：基本网络连接（4小时） 302

9.4.1 基本帧中继网络的建立 302

9.4.2 网络的物理连接 307

9.4.3 Catalyst以太网交换机配置步骤1 307

9.4.4 Catalyst以太网交换机配置步骤2 311

9.4.5 IP主机查询与DNS的禁用 316

9.4.6 PIX的配置 317

9.4.7 IGP路由选择 320

9.4.8 基本的ISDN配置 331

9.4.10 BGP路由选择的配置 337

9.4.9 DHCP的配置 337

9.5 CCIE网络安全认证自学实验第Ⅱ部分：高级网络安全设计（4小时） 340

9.5.1 IP访问控制列表 340

9.5.2 如何防御拒绝服务攻击 342

9.5.3 基于时间的访问控制列表 343

9.5.4 动态访问控制列表／锁定和开锁特性 345

9.5.5 R5上IOS防火墙的配置 347

9.5.6 IPSec的配置 348

9.5.7 高级PIX的配置 353

9.5.8 ACS的配置 355

9.6 最终的配置内容 363

9.7 结束语 378

附录A 练习题答案 381

第2章 “我已经知道这些了吗”测试答案 381

第2章 Q A练习题答案 383

第3章 “我已经知道这些了吗”测试答案 386

第3章 Q A练习题答案 388

第4章 “我已经知道这些了吗”测试答案 390

第4章 Q A练习题答案 391

第5章 “我已经知道这些了吗”测试答案 392

第5章 Q A练习题答案 394

第6章 “我已经知道这些了吗”测试答案 398

第6章 Q A练习题答案 398

第7章 “我已经知道这些了吗”测试答案 400

第7章 Q A练习题答案 401

第8章 “我已经知道这些了吗”测试答案 403

第8章 Q A练习题答案 404

附录B CCIE网络安全认证考试的学习技巧 407

B.1 获取CCIE安全认证证书的过程 408

B.2 CCIE网络安全认证笔试 408

B.2.1 攻克模糊性 409

B.2.3 参加CCIE笔试考试 411

B.2.2 CCIE笔试的准备 411

B.2.4 您通过了考试！ 412

B.2.5 您没有通过本次考试！ 412

B.2.6 CCIE网络安全认证笔试的常见问题解答（FAQ） 413

B.3 CCIE网络安全认证实验考试 413

B.3.1 CCIE网络安全认证实验考试常见问题解答（FAQ） 414

附录C CCIE路由与交换实验示例 419

C.1 基本的设置（1个小时） 421

C.1.1 通信服务器的配置（0.25小时） 421

C.1.2 物理连接（无时间） 421

C.1.3 Catalyst以太网交换机的配置Ⅰ（0.25小时） 422

C.1.4 Catalyst以太网交换机的配置Ⅱ（0.25小时） 422

C.1.5 Catalyst以太网MSFC的设置（0.25小时） 423

C.2 IP的配置以及IP寻址的设定（无时间） 424

C.3 帧中继的配置（0.5小时） 424

C.5.3 EIGRP的配置（0.5小时） 425

C.5.2 IS-IS的配置（0.5小时） 425

C.4 基本的ATM配置（0.5小时） 425

C.5.1 RIP的配置（0.5小时） 425

C.5 IGP路由选择的配置（3小时） 425

C.5.4 OSPF的配置（1.5小时） 426

C.6 基本的ISDN配置（0.5小时） 426

C.7 DLSw+的配置（0.75小时） 427

C.8 Flash的配置（0.2小时） 427

C.9 VTY的修改（0.2小时） 427

C.10 HTTP服务器的配置（0.2小时） 427

C.11 Catalyst 6509的密码恢复（0.2小时） 427

C.12 私有地址空间的分配（0.2小时） 428

C.13 BGP路由选择的配置（0.75小时） 428

C.13.1 基本的IBGP配置（0.5小时） 428

C.13.2 EBGP的配置（0.25小时） 428

C.14 结束语 429