第1章 互联网协议操作基础 3
1.1 IP网络概念 3
1.1.1企业网络 5
1.1.2服务提供商网络 6
1.2 IP协议操作 8
1.3 IP流量概念 13
1.3.1过境IP包 14
1.3.2接收一邻接IP包 15
1.3.3异常IP和非IP包 15
1.4 IP流量平面 17
1.4.1数据平面 18
1.4.2控制平面 19
1.4.3管理平面 21
1.4.4服务平面 22
1.5 IP路由器包处理概念 24
1.5.1进程交换 26
1.5.2快速交换 29
1.5.3思科特快转发 33
1.6常见的IP路由器体系结构类型 37
1.6.1集中式的基于CPU的体系结构 37
1.6.2集中式的基于ASIC的体系结构 39
1.6.3分布式的基于CPU的体系结构 40
1.6.4分布式的基于ASIC的体系结构 42
1.7小结 46
1.8复习题 46
1.9延伸阅读 46
第2章IP网络的威胁方式 49
2.1对于IP网络基础设施的威胁 49
2.1.1资源消耗攻击 50
2.1.2欺骗攻击 57
2.1.3传输协议攻击 58
2.1.4路由协议威胁 62
2.1.5其他IP控制平面威胁 63
2.1.6未经授权的接入攻击 65
2.1.7软件漏洞 65
2.1.8恶意网络监测 66
2.2针对第2层网络基础设施的威胁 67
2.2.1 CAM表溢出攻击 68
2.2.2 MAC欺骗攻击 68
2.2.3 VLAN的跳跃攻击(VLANHopping Aacks) 69
2.2.4专用VLAN攻击 71
2.2.5 STP攻击 72
2.2.6 VTP攻击 72
2.3针对IP VPN网络基础设施的威胁 72
2.3.1 MPLS VPN威胁模式 73
2.3.2针对用户边缘的威胁 74
2.3.3针对运营商边缘的威胁 75
2.3.4针对运营商核心的威胁 77
2.3.5针对跨运营商边缘的威胁 78
2.3.6 IPSec VPN的威胁模式 82
2.4小结 84
2.5复习题 84
2.6延伸阅读 85
第3章IP网络流量平面安全概念 89
3.1全方位防御的原则 89
3.1.1理解全方位的防御概念 90
3.1.2 IP网络流量平面:全方位的防御 94
3.1.3网络接口类型 96
3.2网络边缘安全概念 101
3.2.1互联网边缘 101
3.2.2 MPLS VPN边缘 103
3.3网络核心安全概念 105
3.3.1 IP核心 105
3.3.2 MPLS VPN核心 106
3.4小结 107
3.5复习题 107
3.6延伸阅读 108
第4章IP数据平面安全性 113
4.1接口ACL技术 113
4.2单播RPF技术 120
4.2.1严格uRPF 120
4.2.2松散uRPF 123
4.2.3 VRF模式uRPF 125
4.2.4可行性uRPF 127
4.3灵活的数据包匹配 128
4.4 QoS技术 130
4.4.1排队 130
4.4.2 IP QoS数据包着色(标记) 131
4.4.3速率限制 132
4.5 IP选项技术 133
4.5.1禁用IP源路由 134
4.5.2 IP选项选择性丢弃 134
4.5.3用于过滤IP选项的ACL支持 135
4.5.4控制平面管辖 136
4.6 ICMP数据平面减缓技术 136
4.7禁用IP直接广播 138
4.8 IP健康检查 139
4.9使用QPPB的BGP策略增强 140
4.10 IP路由技术 143
4.10.1 IP网络核心基础结构隐藏 143
4.10.2 IP网络边缘外部链接保护 144
4.10.3远程触发黑洞过滤 148
4.11 IP传输和应用层技术 153
4.11.1 TCP截取 153
4.11.2网络地址转换 154
4.11.3 IOS防火墙 156
4.11.4 IOS入侵预防系统 157
4.11.5通信清洗 158
4.11.6深度数据包检查 158
4.12第2层以太网安全技术 159
4.12.1端口安全性 159
4.12.2基于MAC地址的通信阻塞 160
4.12.3禁用自动主干 160
4.12.4 VLAN ACL 161
4.12.5 IP来源守卫 162
4.12.6专用VLAN 162
4.12.7通信风暴控制 163
4.12.8未知单播流阻塞 163
4.13小结 163
4.14复习题 164
4.15 延伸阅读 164
第5章IP控制平面安全性 169
5.1禁用未使用的控制平面服务 169
5.2 ICMP技术 170
5.3选择性数据包丢弃 171
5.3.1 SPD状态检查 172
5.3.2 SPD输入队列检查 174
5.3.3 SP监视和优化 175
5.4 IP接收ACL 177
5.5控制平面管辖 185
5.5.1 CoPP配置指导原则 187
5.5.2特定于平台的CoPP实现细节 199
5.6邻居身份验证 206
5.6.1 MD5身份验证 207
5.6.2一般化的TTL安全机制 210
5.7特定于协议的ACL过滤器 212
5.8 BGP安全技术 214
5.8.1 BGP前缀过滤器 214
5.8.2 IP前缀限制 216
5.8.3 AS路径限制 216
5.8.4 BGP正常重启 217
5.9第二层以太网控制平面安全 218
5.9.1 VTP身份验证 218
5.9.2 DHCP偷窥 219
5.9.3动态ARP检查 221
5.9.4粘性ARP 223
5.9.5跨越树协议 223
5.10小结 224
5.11复习题 225
5.12延伸阅读 225
第6章IP管理平面安全性 229
6.1管理接口 230
6.2密码安全 232
6.3 SNMP安全 234
6.4远程终端访问安全 236
6.5禁用未使用的管理平面服务 238
6.6禁用空闲的用户会话 241
6.7系统标志 242
6.8安全的IOS文件系统 244
6.9基于角色的CLI访问 245
6.10管理平面保护 248
6.11身份验证、授权和计账 250
6.12自动安全 252
6.13网络遥测和安全 253
6.14针对MPLS VPN的VPN管理 256
6.15 小结 261
6.16复习题 261
6.17延伸阅读 262
第7章IP服务平面安全性 265
7.1服务平面概述 265
7.2服务质量 267
7.2.1 QoS机制 268
7.2.2保护QoS服务 275
7.3 MPLS VPN服务 277
7.3.1 MPLS VPN概述 277
7.3.2客户边缘安全性 278
7.3.3提供商边缘安全性 279
7.3.4提供商核心安全性 282
7.3.5提供商之间边缘安全性 284
7.4 IPsec VPN服务 287
7.4.1 IPsec VPN概述 287
7.4.2保护IPsec VPN服务 294
7.4.3其他IPsec安全相关特性 300
7.5其他服务 301
7.5.1 SSL VPN服务 301
7.5.2 VoIP服务 302
7.5.3视频服务 303
7.6小结 304
7.7复习题 304
7.8延伸阅读 305
第8章 企业网络案例研究 311
8.1案例研究1:IPSec VPN和互联网访问 312
8.1.1网络拓扑结构和要求 312
8.1.2路由器配置 315
8.2案例研究2: MPLS VPN 328
8.2.1网络拓扑结构和要求 328
8.2.2路由器配置 330
8.3小结 340
8.4延伸阅读 340
第9章 服务提供商网络案例研究 343
9.1案例研究1: IPSec VPN和互联网接入 344
9.1.1网络拓扑和需求 345
9.1.2路由器配置 347
9.2案例研究2: MPLS VPN 359
9.2.1网络拓扑和需求 359
9.2.2路由器配置 361
9.3小结 374
9.4延伸阅读 374
附录A复习题答案 379
附录B IP协议报头 387
B.1 IP版本4头 388
B.2 TCP头 392
B.3 UDP头 396
B.4 ICMP头 398
B.4.1 ICMP回应请求/回应回复查询消息头 400
B.4.2传输中的ICMP生存时间超过消息头 402
B.4.3 ICMP目的地不可到达、分段需要和设置不分段错误消息头 404
B.4.4其他ICMP目的不可到达错误消息头 407
B.5以太网/802.1 Q头 409
B.5.1 IEEE 802.3以太网帧头格式 409
B.5.2 IEEE 802.1 Q VLAN头格式 411
B.6 MPLS协议头 412
B.7延伸阅读 415
附录C Cisco IOS到XOS XR安全性过渡 417
C.1数据平面安全性命令 418
C.2控制平面安全性命令 420
C.3管理平面安全性命令 428
C.4服务平面安全性命令 435
C.5延伸阅读 436
附录D安全事故处理 439
D.1事故响应的6个阶段 439
D.1.1准备 440
D.1.2确定 441
D.1.3分类 442
D.1.4跟踪 442
D.1.5反应 442
D.1.6事后评估分析 442
D.2 Cisco产品安全 443
D.2.1 Cisco安全弱点策略 443
D.2.2 Cisco计算机和网络安全 443
D.2.3 Cisco安全 444
D.2.4 IPS签名包更新和归档 444
D.2.5 Cisco安全中心 444
D.2.6 Cisco IntelliShield警报管理器服务 444
D.2.7 Cisco软件中心 444
D.3行业安全组合 444
D.4域网络操作员组织 445
D.5延伸阅读 446