CCIE Security 實驗指南—Cisco職業(yè)認(rèn)證培訓(xùn)系列

第一部分　CCIE計劃與你的實驗室環(huán)境
第1章　CCIE安全認(rèn)證計劃　3
1.1　Cisco CCIE計劃　3
1.2　CCIE安全認(rèn)證考試　4
1.2.1　資格考試　4
1.2.2　實驗室考試　6
1.3　小結(jié)　7
第2章　培養(yǎng)CCIE觀念　9
2.1　如何成為CCIE　9
2.2　培養(yǎng)良好的學(xué)習(xí)習(xí)慣　10
2.2.1　好的學(xué)習(xí)習(xí)慣　10
2.2.2　常見的學(xué)習(xí)誤區(qū)　11
2.3　實驗室經(jīng)驗與現(xiàn)實世界的經(jīng)驗　13
2.4　小結(jié)　13
第3章　建立測試實驗室　17
3.1　在實驗室的學(xué)習(xí)時間　17
3.1.1　工作場所的學(xué)習(xí)實驗室　18
3.1.2　家中的學(xué)習(xí)實驗室　18
3.1.3　遠(yuǎn)程實驗室　18
3.2　規(guī)劃你的家庭實驗室　19
3.2.1　獲得實驗室設(shè)備　19
3.2.2　基于Windows和UNIX的產(chǎn)品　21
3.3　為本書設(shè)計你的操作實驗室　21
3.4　小結(jié)　22
第二部分　網(wǎng)絡(luò)連接
第4章　第2層和第3層交換與局域網(wǎng)連接　27
4.1　Catalyst操作系統(tǒng)　27
4.2　交換概述　28
4.2.1　交換技術(shù)　28
4.2.2　透明橋接　29
4.3　生成樹概述　30
4.3.1　網(wǎng)橋協(xié)議數(shù)據(jù)單元　30
4.3.2　選舉過程　31
4.3.3　生成樹接口狀態(tài)　32
4.3.4　生成樹地址管理　33
4.3.5　STP與IEEE 802.1q中繼(trunk)　34
4.3.6　VLAN-網(wǎng)橋STP　34
4.3.7　STP與冗余連接　34
4.3.8　加速老化以保持連通　34
4.3.9　RSTP與MSTP　35
4.4　第3層交換概述　35
4.5　虛擬局域網(wǎng)概述　35
4.5.1　分配或修改VLAN　37
4.5.2　刪除VLAN　37
4.5.3　配置擴(kuò)展范圍的VLAN　38
4.6　VLAN中繼協(xié)議概述　38
4.6.1　VTP域　38
4.6.2　VTP模式　38
4.6.3　VTP密碼　39
4.6.4　VTP通告　39
4.6.5　VTP版本2　39
4.6.6　VTP修剪　40
4.6.7　VTP配置準(zhǔn)則　41
4.6.8　顯示VTP　41
4.7　交換機(jī)接口概述　41
4.7.1　接入端口　42
4.7.2　中繼端口　42
4.7.3　路由端口　43
4.8　EtherChannel概述　44
4.8.1　端口-信道接口　44
4.8.2　理解端口聚合協(xié)議　44
4.8.3　EtherChannel負(fù)載平衡與轉(zhuǎn)發(fā)方法　45
4.8.4　EtherChannel配置準(zhǔn)則　45
4.8.5　創(chuàng)建第2層EtherChannel　46
4.9　可選配置項　47
4.9.1　BPDU防護(hù)　47
4.9.2　BPDU過濾　47
4.9.3　UplinkFast　48
4.9.4　BackboneFast　48
4.9.5　環(huán)路防護(hù)(Loop Guard)　48
4.10　交換端口分析儀概述　49
4.10.1　SPAN會話　49
4.10.2　配置SPAN　49
4.11　基本Catalyst 3550交換機(jī)配置　51
4.11.1　案例分析4-1：基本網(wǎng)絡(luò)連接　51
4.11.2　案例分析4-2：配置接口　56
4.11.3　案例分析4-3：配置PortFast　58
4.11.4　案例分析4-4：創(chuàng)建第2層EtherChannel　58
4.11.5　案例分析4-5：創(chuàng)建中繼　60
4.11.6　案例分析4-6：配置第3層EtherChannel　60
4.11.7　案例分析4-7：EtherChannel負(fù)載平衡　62
4.11.8　案例分析4-8：配置路由端口　63
4.11.9　案例分析4-9：配置SPAN　64
4.12　小結(jié)　65
4.13　復(fù)習(xí)題　65
4.14　常見問題解答　65
第5章　幀中繼連接　69
5.1　幀中繼概述　69
5.2　幀中繼設(shè)備　70
5.3　幀中繼拓?fù)洹?1
5.3.1　星型拓?fù)洹?1
5.3.2　全網(wǎng)狀拓?fù)洹?2
5.3.3　部分網(wǎng)狀拓?fù)洹?2
5.3.4　幀中繼子接口　73
5.4　幀中繼虛電路　73
5.4.1　交換虛電路　74
5.4.2　永久虛電路　74
5.5　幀中繼信令　75
5.5.1　LMI幀格式　76
5.5.2　LMI計時器　76
5.5.3　LMI自動感知　77
5.6　網(wǎng)絡(luò)到網(wǎng)絡(luò)接口　78
5.7　用戶-網(wǎng)絡(luò)接口　78
5.8　擁塞控制機(jī)制　78
5.8.1　幀中繼的可丟棄指示位　80
5.8.2　DLCI優(yōu)先級　80
5.8.3　幀中繼錯誤檢查　81
5.8.4　幀中繼前視　81
5.8.5　幀中繼擁塞通知方法　81
5.8.6　幀中繼端到端keepalive　81
5.9　配置幀中繼　83
5.9.1　案例分析5-1：配置幀中繼　83
5.9.2　案例分析5-2：配置幀中繼SVC　88
5.9.3　案例分析5-3：幀中繼流量整形　92
5.10　為接口創(chuàng)建廣播隊列　96
5.11　透明橋接與幀中繼　97
5.12　配置子接口的備份接口　97
5.13　TCP/IP頭部壓縮　97
5.13.1　配置單個IP映射的TCP/IP頭部壓縮　98
5.13.2　配置接口的TCP/IP頭部壓縮　98
5.13.3　禁止TCP/IP頭部壓縮　98
5.14　排除幀中繼連通性故障　98
5.14.1　show frame-relay lmi命令　98
5.14.2　show frame-relay pvc命令　99
5.14.3　show frame-relay map命令　100
5.14.4　debug frame-relay lmi命令　101
5.15　小結(jié)　101
5.16　復(fù)習(xí)題　102
5.17　常見問題解答　102
第6章　ISDN連接　105
6.1　ISDN概述　105
6.1.1　ISDN標(biāo)準(zhǔn)支持　105
6.1.2　ISDN數(shù)字信道　106
6.1.3　ISDN終端設(shè)備和網(wǎng)絡(luò)端接設(shè)備　106
6.1.4　參考點(diǎn)　106
6.1.5　ISDN層次和呼叫階段　107
6.2　點(diǎn)到點(diǎn)協(xié)議(PPP)概述　110
6.2.1　鏈路控制協(xié)議(LCP)　110
6.2.2　網(wǎng)絡(luò)控制協(xié)議(NCP)　110
6.3　按需撥號路由選擇(DDR)概述　111
6.4　配置ISDN　112
6.4.1　課程6-1開始ISDN配置　112
6.4.2　課程6-2：配置DDR　113
6.4.3　課程6-3：ISDN上的路由選擇　117
6.4.4　課程6-4：配置接口和備份接口　124
6.4.5　課程6-5：配置PPP選項　126
6.4.6　課程6-6：配置高級選項　126
6.4.7　課程6-7：監(jiān)視和排除ISDN故障　132
6.5　小結(jié)　140
6.6　復(fù)習(xí)題　140
6.7　常見問題解答　141
第7章　ATM連接　143
7.1　ATM概述　143
7.2　配置ATM　144
7.2.1　課程7-1：RFC2684：AAL5上的多協(xié)議封裝　145
7.2.2　課程7-2：RFC 2225：ATM上的傳統(tǒng)IP與ARP　150
7.3　小結(jié)　153
7.4　復(fù)習(xí)題　153
7.5　常見問題解答　153
第三部分　IP路由選擇
第8章　RIP　159
8.1　RIP結(jié)構(gòu)　159
8.1.1　路由選擇更新和定時器　159
8.1.2　路由選擇度量　160
8.1.3　水平分割問題　160
8.1.4　RIP和默認(rèn)路由　161
8.1.5　RIPv1與RIPv2對比　161
8.2　配置RIP　161
8.2.1　案例分析8-1：RIP基本配置　161
8.2.2　案例分析8-2：RIPv1運(yùn)行在路由器和PIX 5.2的連接上　175
8.2.3　案例分析8-3：帶驗證的RIPv2運(yùn)行在路由器和PIX6.2的連接上　179
8.2.4　課程8-1：RIP高級配置　185
8.3　小結(jié)　187
8.4　復(fù)習(xí)題　187
8.5　常見問題解答　187
第9章　EIGRP　191
9.1　EIGRP概述　192
9.2　配置EIGRP　192
9.3　EIGRP構(gòu)件　194
9.3.1　包格式　194
9.3.2　EIGRP表　195
9.3.3　可用后繼者　199
9.3.4　路由狀態(tài)　200
9.3.5　路由標(biāo)記　200
9.3.6　IGRP和EIGRP的互操作性　201
9.3.7　DUAL運(yùn)轉(zhuǎn)的一個例　201
9.4　配置EIGRP的選項　202
9.4.1　課程9-2：添加一個WAN連接　202
9.4.2　課程9-3：記錄鄰居的鄰接變化　204
9.4.3　課程9-4：禁用路由匯總　204
9.4.4　課程9-5：配置手工路由匯總　206
9.4.5　課程9-6：配置默認(rèn)路由　207
9.4.6　課程9-7：控制EIGRP路由　209
9.4.7　課程9-8：帶路由控制的EIGRP重分布　210
9.4.8　課程9-9：配置EIGRP路由驗證　210
9.4.9　課程9-10：配置EIGRP末端路由選擇　211
9.4.10　課程9-11：在GRE隧道上配置EIGRP　212
9.4.11　課程9-12：關(guān)閉EIGRP水平分割　215
9.5　EIGRP故障診斷　215
9.6　總結(jié)　217
9.7　復(fù)習(xí)題　217
9.8　常見問題解答　218
第10章　OSPF　221
10.1　配置OSPF　222
10.1.1　案例分析10-1：OSPF基本配置　222
10.1.2　案例分析10-2：OSPF以及路由匯總　243
10.1.3　案例分析10-3：OSPF過濾　246
10.1.4　案例分析10-4：GRE上的OSPF以及非IP數(shù)據(jù)流　248
10.2　OSPF的監(jiān)視和維護(hù)　251
10.2.1　驗證OSPF ABR類型3的LSA 的過濾　252
10.2.2　顯示OSPF更新包步調(diào)　252
10.3　小結(jié)　253
10.4　復(fù)習(xí)題　253
10.5　常見問題解答　253
第11章　IS-IS　257
11.1　集成IS-IS概覽　257
11.2　配置IS-IS　258
11.3　IS-IS構(gòu)件　263
11.4　IS-IS狀態(tài)機(jī)　264
11.4.1　接收進(jìn)程　265
11.4.2　更新進(jìn)程　265
11.4.3　判定進(jìn)程　265
11.4.4　轉(zhuǎn)發(fā)進(jìn)程　265
11.5　偽節(jié)點(diǎn)　265
11.6　IS-IS編址　266
11.6.1　NSAP簡化格式　267
11.6.2　編址要求　268
11.7　限制LSP泛洪　268
11.7.1　在特定接口上阻止泛洪　269
11.7.2　配置網(wǎng)孔組　269
11.8　生成默認(rèn)路由　270
11.9　路由重分布　271
11.10　設(shè)置IS-IS可選參數(shù)　271
11.10.1　設(shè)置Hello的通告間隔　272
11.10.2　設(shè)置CSNP通告間隔　272
11.10.3　設(shè)置重傳間隔　272
11.10.4　設(shè)置LSP傳輸間隔　272
11.11　配置IS-IS驗證　272
11.11.1　案例分析11-2：IS-IS驗證　273
11.11.2　驗證問題　277
11.12　使用show和debug命令　277
11.12.1　監(jiān)視IS-IS　278
11.12.2　調(diào)試IS-IS　278
11.13　小結(jié)　279
11.14　復(fù)習(xí)題　279
11.15　常見問題解答　280
第12章　BGP　283
12.1　理解BGP概念　283
12.1.1　自治系統(tǒng)　283
12.1.2　BGP功能性　284
12.1.3　EBGP和IBGP　284
12.1.4　BGP更新　285
12.2　配置BGP　285
12.2.1　案例分析12-1：單宿主自治系統(tǒng)設(shè)置　285
12.2.2　案例分析12-2：傳輸自治系統(tǒng)的建立　293
12.2.3　案例分析12-3：BGP聯(lián)盟　300
12.2.4　案例分析12-4：跨過防火墻的私有自治系統(tǒng)的BGP　304
12.2.5　案例分析12-5：穿過防火墻帶前置(prepend)的BGP　311
12.3　小結(jié)　318
12.4　復(fù)習(xí)題　318
12.5　常見問題解答　318
第13章　重分布　321
13.1　度量　321
13.2　管理距離　322
13.3　有類和無類特性　322
13.4　避免重分布帶來的問題　322
13.5　配置路由選擇信息的重分布　323
13.5.1　重分布直連網(wǎng)絡(luò)到OSPF　325
13.5.2　課程13-1：重分布OSPF到BGP中　325
13.5.3　課程13-2：重分布OSPF Not-So-Stubby Area外部路由到BGP　328
13.5.4　課程13-3：在OSPF和RIP版本1之間重分布路由　329
13.5.5　課程13-4：在兩個EIGRP自治系統(tǒng)之間的重分布　330
13.5.6　課程13-5：在兩個不同的自治系統(tǒng)中進(jìn)行EIGRP和IGRP之間的路由重分布　331
13.5.7　課程13-6：同一個自治系統(tǒng)中的EIGRP和IGRP之間的路由重分布　332
13.5.8　EIGRP和其他協(xié)議的進(jìn)出重分布　333
13.5.9　課程13-7：重分布靜態(tài)路由到EIGRP接口　333
13.5.10　課程13-8：重分布直連網(wǎng)絡(luò)　334
13.5.11　課程13-9：過濾路由選擇信息　336
13.6　小結(jié)　340
13.7　復(fù)習(xí)題　340
13.8　常見問題　341
第四部分　安全實踐
第14章　安全入門　345
14.1　重要的安全縮略詞　346
14.2　白帽子與黑帽子　349
14.3　Cisco的安全實現(xiàn)　349
14.3.1　Cisco IOS安全概述　349
14.3.2　CatalystOS安全概述　350
14.4　VPN概述　351
14.5　AAA概述　352
14.6　IDS基礎(chǔ)　352
14.7　小結(jié)　353
14.8　復(fù)習(xí)題　353
14.9　常見問題解答　353
第15章　Cisco IOS軟件與Catalyst 3550系列的基本安全　357
15.1　Cisco IOS軟件安全　357
15.1.1　網(wǎng)絡(luò)時間協(xié)議安全　358
15.1.2　HTTP服務(wù)器安全　358
15.1.3　密碼管理　358
15.1.4　訪問列表　359
15.1.5　Secure Shell　359
15.2　基本IOS安全配置　359
15.2.1　課程15-1：配置密碼、特權(quán)和登錄　359
15.2.2　課程15-2：關(guān)閉服務(wù)　365
15.2.3　課程15-3：建立一個安全的HTTP服務(wù)器　369
15.2.4　案例分析15-1：安全NTP配置　371
15.2.5　案例分析15-2：配置SSH　374
15.3　Catalyst 3550安全　377
15.4　小結(jié)　381
15.5　復(fù)習(xí)題　382
15.6　常見問題解答　382
第16章　訪問控制列表　385
16.1　訪問控制列表概述　385
16.1.1　在什么地方配置ACL　386
16.1.2　什么時候配置ACL　387
16.2　在IOS路由器和Catalyst 3550交換機(jī)上的ACL　387
16.2.1　基本ACL　387
16.2.2　高級ACL　389
16.3　時刻ACL　390
16.4　鎖與密鑰ACL　390
16.4.1　為什么要用Lock-and-key　391
16.4.2　什么時候使用Lock-and-key　391
16.4.3　源地址欺詐和Lock-and-key　391
16.4.4　Lock-and-key配置技巧　392
16.4.5　驗證Lock-and-key配置　393
16.4.6　維護(hù)Lock-and-key　393
16.4.7　手工刪除動態(tài)列表條目　393
16.5　反身ACL　393
16.5.1　反身ACL的好處與限制　394
16.5.2　反身ACL的設(shè)計考慮　395
16.6　路由器ACL　395
16.7　端口ACL　395
16.7.1　VLAN映射　396
16.7.2　和路由器ACL一起使用VLAN映射　396
16.7.3　分段和未分段流　397
16.8　記錄ACL　398
16.9　定義ACL　399
16.9.1　隱含的“拒絕所有流”的ACE語句　399
16.9.2　ACE條目順序　399
16.9.3　應(yīng)用ACL到接口　400
16.9.4　課程16-1：配置ACL　401
16.9.5　課程16-2：建立一個已編號的標(biāo)準(zhǔn)IP ACL　404
16.9.6　課程16-3：配置一個已編號的擴(kuò)展IP ACL　405
16.9.7　課程16-4：創(chuàng)建一個已命名的標(biāo)準(zhǔn)IP ACL　405
16.9.8　課程16-5：創(chuàng)建一個已命名的擴(kuò)展IP ACL　406
16.9.9　課程16-6：時刻ACL的實現(xiàn)　406
16.9.10　課程16-7：配置Lock-and-key　408
16.9.11　課程16-8：配置反身ACL　409
16.9.12　課程16-9：記錄ACL　412
16.9.13　課程16-10：配置一個已命名的MAC擴(kuò)展ACL　413
16.9.14　創(chuàng)建一個VLAN映射　413
16.9.15　課程16-11：與VLAN映射一起使用ACL　414
16.10　維護(hù)ACL　414
16.10.1　顯示ACL資源占用　415
16.10.2　排除配置問題故障　416
16.10.3　ACL配置大小　417
16.11　Catalyst 3550交換機(jī)上不支持的特征　418
16.12　小結(jié)　418
16.13　復(fù)習(xí)題　418
16.14　常見問題解答　419
第17章　IP服務(wù)　423
17.1　管理IP連接　423
17.1.1　ICMP不可達(dá)消息　424
17.1.2　ICMP重定向消息　424
17.1.3　ICMP掩碼回應(yīng)消息　424
17.1.4　IP路徑MTU發(fā)現(xiàn)　425
17.2　MTU包大小　425
17.2.1　IP源路由選擇　426
17.2.2　單向以太網(wǎng)接口　426
17.2.3　DRP服務(wù)器代理　426
17.3　使用訪問列表來過濾IP包　427
17.4　熱備份路由器協(xié)議概述　427
17.5　IP記賬概述　428
17.5.1　IP MAC記賬　429
17.5.2　IP優(yōu)先級(precedence)記賬　429
17.6　配置TCP性能參數(shù)　429
17.6.1　壓縮TCP報頭　430
17.6.2　設(shè)置TCP連接的嘗試時間　431
17.6.3　使用TCP路徑MTU發(fā)現(xiàn)　431
17.6.4　使用TCP選擇性確認(rèn)　431
17.6.5　使用TCP時間戳　432
17.6.6　設(shè)置TCP最大讀取大小　432
17.6.7　設(shè)置TCP窗口大小　432
17.6.8　設(shè)置TCP輸出隊列大小　432
17.7　配置多節(jié)點(diǎn)負(fù)載均衡轉(zhuǎn)發(fā)代理　432
17.8　網(wǎng)絡(luò)地址翻譯概述　434
17.9　配置IP服務(wù)　436
17.9.1　課程17-1：配置ICMP重定向　436
17.9.2　課程17-2：配置DRP服務(wù)器代理　436
17.9.3　課程17-3：配置HSRP　438
17.9.4　課程17-4：配置IP記賬　443
17.9.5　課程17-5：配置NAT　444
17.10　監(jiān)視和維護(hù)IP服務(wù)　449
17.10.1　驗證HSRP對MPLS VPN的支持　449
17.10.2　顯示系統(tǒng)和網(wǎng)絡(luò)的統(tǒng)計　450
17.10.3　清除緩存、表和數(shù)據(jù)庫　450
17.10.4　監(jiān)視和維護(hù)DRP服務(wù)器代理　451
17.10.5　清除訪問列表計數(shù)器　451
17.10.6　監(jiān)視NMLB的轉(zhuǎn)發(fā)代理　451
17.10.7　監(jiān)視和維護(hù)支持ICMP重定向消息的HSRP　451
17.10.8　監(jiān)視和維護(hù)NAT　452
17.11　小結(jié)　452
17.12　復(fù)習(xí)題　452
17.13　常見問題解答　453
第五部分　認(rèn)證與虛擬專網(wǎng)
第18章　AAA服務(wù)　459
18.1　TACACS+與RADIUS　459
18.1.1　底層協(xié)議　459
18.1.2　數(shù)據(jù)包加密　460
18.1.3　認(rèn)證、授權(quán)和記賬過程　460
18.1.4　路由器管理　460
18.1.5　互操作性　460
18.1.6　數(shù)據(jù)流　461
18.2　配置AAA　461
18.2.1　案例分析18-1：使用RADIUS以簡化AAA的配置　461
18.2.2　案例分析18-2：在PIX防火墻上配置AAA　470
18.2.3　案例分析18-3：配置VPN客戶端遠(yuǎn)程訪問　479
18.2.4　案例分析18-4：TACACS+的認(rèn)證代理　492
18.2.5　案例分析18-5：TACACS+下的特權(quán)級別　497
18.2.6　案例分析18-6：配置TACACS+下的PPP回?fù)堋?00
18.3　小結(jié)　504
18.4　復(fù)習(xí)題　505
18.5　常見問題解答　505
第19章　虛擬專網(wǎng)　507
19.1　VPN概述　507
19.1.1　節(jié)點(diǎn)到節(jié)點(diǎn)VPN　508
19.1.2　遠(yuǎn)程訪問VPN　508
19.2　IPSec概述　509
19.2.1　驗證報頭(AH)　509
19.2.2　封裝安全有效載荷(ESP)　510
19.2.3　IPSec協(xié)議套　511
19.3　隧道和傳輸模式　514
19.4　IPSec的運(yùn)作　514
19.4.1　定義感興趣的數(shù)據(jù)流　515
19.4.2　IKE階段1　515
19.4.3　IKE階段2　516
19.4.4　IPSec加密隧道　516
19.4.5　隧道終止　517
19.5　在Cisco IOS軟件和PIX防火墻中配置IPSec　517
19.5.1　案例分析19-1：配置一個基本的IOS到IOS的IPSec VPN　517
19.5.2　案例分析19-2：配置一個基本的PIX到PIX的IPSec VPN　537
19.6　CA支持　556
19.6.1　配置CA　556
19.6.2　使用CA的IOS到IOS VPN　556
19.6.3　使用CA的PIX到PIX VPN　562
19.7　總結(jié)　567
19.8　復(fù)習(xí)題　567
19.9　常見問題解答　568
第20章　高級虛擬專網(wǎng)　571
20.1　傳統(tǒng)IPSec VPN中的問題　571
20.1.1　用GRE解決IPSec問題　572
20.1.2　用DMVPN解決IPSec問題　572
20.2　配置高級VPN　574
20.2.1　案例分析20-1：在IPSec保護(hù)的VPN上使用動態(tài)路由選擇　574
20.2.2　案例分析20-2：配置DMVPN　585
20.3　小結(jié)　595
20.4　復(fù)習(xí)題　596
20.5　常見問題解答　596
第21章　虛擬私有撥號專網(wǎng)　599
21.1　L2F和L2TP概述　599
21.2　VPDN過程概述　600
21.3　PPTP概述　601
21.4　配置VPDN　601
21.4.1　案例分析21-1：配置使用本地AAA工作的VPDN　602
21.4.2　案例分析21-2：配置用于VPDN的TACACS+驗證和授權(quán)　609
21.4.3　案例21-3：配置PIX防火墻使用PPTP　612
21.4.4　課程21-1：配置默認(rèn)的VPDN組模板(group template)　614
21.5　小結(jié)　615
21.6　復(fù)習(xí)題　615
21.7　常見問題解答　615
第六部分　防火墻
第22章　Cisco IOS防火墻　619
22.1　創(chuàng)建一臺定制的防火墻　620
22.2　配置TCP攔截　620
22.3　CBAC概覽　624
22.3.1　數(shù)據(jù)流過濾　624
22.3.2　數(shù)據(jù)流檢查　624
22.3.3　警報和審計跟蹤　625
22.3.4　入侵檢測　625
22.3.5　CBAC的不足與局限　625
22.3.6　CBAC操作　626
22.3.7　什么時候和什么地方配置CBAC　630
22.3.8　CBAC支持的協(xié)議　630
22.3.9　和IPSec一起使用CBAC　631
22.3.10　課程22-2：配置CBAC　631
22.3.11　監(jiān)視和維護(hù)CBAC　637
22.3.12　關(guān)閉CBAC　639
22.3.13　案例分析22-1：在兩個接口上配置CBAC　640
22.4　PAM(端口到應(yīng)用程序的映射)　642
22.4.1　PAM是如何工作的　643
22.4.2　什么時候使用PAM　644
22.4.3　課程22-3：配置PAM　644
22.4.4　監(jiān)視和維護(hù)PAM　645
22.5　小結(jié)　646
22.6　復(fù)習(xí)題　646
22.7　常見問題解答　646
第23章　Cisco PIX防火墻　649
23.1　安全級別和地址翻譯　649
23.2　TCP和UDP　650
23.3　配置Cisco PIX防火墻　650
23.3.1　課程23-1：PIX防火墻配置基礎(chǔ)　650
23.3.2　課程23-2：配置網(wǎng)絡(luò)保護(hù)以及控制其訪問與使用　657
23.3.3　課程23-3：支持特別的協(xié)議和應(yīng)用程序　665
23.3.4　課程23-4：監(jiān)視PIX防火墻　668
23.3.5　課程23-5：利用PIX防火墻作為DHCP服務(wù)器　672
23.3.6　課程23-6：PIX防火墻版本6.2的新特性　673
23.4　小結(jié)　679
23.5　復(fù)習(xí)題　679
23.6　常見問題解答　679
第七部分　入侵檢測
第24章　Cisco PIX防火墻和IOS軟件上的IDS　683
24.1　Cisco IOS軟件的入侵檢測　683
24.2　Cisco PIX防火墻的入侵檢測　684
24.3　Cisco IOS軟件和PIX的IDS簽名　684
24.4　配置Cisco IDS　687
24.4.1　案例分析24-1：配置Cisco IOS軟件IDS　688
24.4.2　案例分析24-2：配置CiscoSecure PIX防火墻的IDS　690
24.5　小結(jié)　693
24.6　復(fù)習(xí)題　693
24.7　常見問題解答　693
第25章　Internet服務(wù)提供商的安全服務(wù)　697
25.1　防止拒絕服務(wù)攻擊　697
25.1.1　CAR(承諾訪問速率)　697
25.1.2　反向路徑轉(zhuǎn)發(fā)(RPF)　698
25.2　第2層VPN(L2VPN)　698
25.2.1　802.1Q　698
25.2.2　第2層協(xié)議隧道　699
25.3　配置ISP服務(wù)　699
25.3.1　案例分析25-1：通過速率限制進(jìn)行DoS防范　699
25.3.2　案例分析25-2：通過RPF進(jìn)行DoS防范　702
25.3.3　案例分析25-3：配置L2VPN　703
25.4　小結(jié)　709
25.5　復(fù)習(xí)題　710
25.6　常見問題解答　710
第八部分　實驗方案舉例
第26章　實驗方案舉例　715
26.1　練習(xí)實驗的格式　715
26.2　綜合實驗和CCIE安全實驗考試的對比情況　716
26.3　CCIE練習(xí)實驗1：構(gòu)建第2層網(wǎng)絡(luò)　717
26.3.1　設(shè)備清單　717
26.3.2　引導(dǎo)步驟：配置幀中繼交換機(jī)　718
26.3.3　引導(dǎo)步驟：配置第一臺骨干路由器：R9-BB1　718
26.3.4　引導(dǎo)步驟：配置第二臺骨干路由器：R7-BB2　719
26.3.5　實驗規(guī)則　721
26.3.6　計時部分　722
26.4　CCIE練習(xí)實驗2：路由選擇　723
26.4.1　設(shè)備清單　723
26.4.2　實驗規(guī)則　724
26.4.3　計時部分　724
26.5　CCIE練習(xí)實驗3：配置協(xié)議重分布和撥號備份　725
26.5.1　設(shè)備清單　725
26.5.2　實驗規(guī)則　726
26.5.3　計時部分　727
26.6　CCIE練習(xí)實驗4：配置基礎(chǔ)安全　727
26.6.1　設(shè)備清單　727
26.6.2　實驗規(guī)則　728
26.6.3　計時部分　729
26.7　CCIE練習(xí)實驗5：撥號和應(yīng)用安全　730
26.7.1　設(shè)備清單　730
26.7.2　實驗規(guī)則　730
26.7.3　計時部分　731
26.8　CCIE練習(xí)實驗6：配置高級安全特性　733
26.8.1　設(shè)備清單　733
26.8.2　實驗規(guī)則　734
26.8.3　計時部分　735
26.9　CCIE練習(xí)實驗7：服務(wù)提供商　737
26.9.1　設(shè)備清單　737
26.9.2　實驗規(guī)則　738
26.9.3　計時部分　738
26.10　CCIE實驗練習(xí)8：概括全部內(nèi)容的綜合實驗　739
26.10.1　設(shè)備清單　739
26.10.2　引導(dǎo)步驟：配置幀中繼交換機(jī)　740
26.10.3　引導(dǎo)步驟：配置第一臺骨干路由器：R7-BB1　741
26.10.4　引導(dǎo)步驟：配置第二臺骨干路由器：R7-BB2　742
26.10.5　引導(dǎo)步驟：配置反向遠(yuǎn)程登錄路由器　744
26.10.6　實驗規(guī)則　745
26.10.7　計時部分　745
26.11　小結(jié)　753
第九部分　附錄
附錄A　基本的UNIX安全　757
附錄B　Windows的基本安全　767
附錄C　ISDN錯誤代碼和調(diào)試參考　779
附錄D　Cisco IOS、CatalystOS和PIX上的密碼恢復(fù)　787
附錄E　安全相關(guān)的RFC和出版物　803
附錄F　復(fù)習(xí)題答案　815