CCIE Security实验指南

.3.2.2　基于windows和unix的产品　21
3.3　为本书设计你的操作实验室　21
3.4　小结　22
第二部分　网络连接
第4章　第2层和第3层交换与局域网连接　27
4.1　catalyst操作系统　27
4.2　交换概述　28
4.2.1　交换技术　28
4.2.2　透明桥接　29
4.3　生成树概述　30
4.3.1　网桥协议数据单元　30
4.3.2　选举过程　31
4.3.3　生成树接口状态　32
4.3.4　生成树地址管理　33
4.3.5　stp与ieee 802.1q中继(trunk)　34
4.3.6　vlan-网桥stp　34
4.3.7　stp与冗余连接　34
4.3.8　加速老化以保持连通　34
4.3.9　rstp与mstp　35
4.4　第3层交换概述　35
4.5　虚拟局域网概述　35
4.5.1　分配或修改vlan　37
4.5.2　删除vlan　37
4.5.3　配置扩展范围的vlan　38
4.6　vlan中继协议概述　38
4.6.1　vtp域　38
4.6.2　vtp模式　38
4.6.3　vtp密码　39
4.6.4　vtp通告　39
4.6.5　vtp版本2　39
4.6.6　vtp修剪　40
4.6.7　vtp配置准则　41
4.6.8　显示vtp　41
4.7　交换机接口概述　41
4.7.1　接入端口　42
4.7.2　中继端口　42
4.7.3　路由端口　43
4.8　etherchannel概述　44
4.8.1　端口-信道接口　44
4.8.2　理解端口聚合协议　44
4.8.3　etherchannel负载平衡与转发方法　45
4.8.4　etherchannel配置准则　45
4.8.5　创建第2层etherchannel　46
4.9　可选配置项　47
4.9.1　bpdu防护　47
4.9.2　bpdu过滤　47
4.9.3　uplinkfast　48
4.9.4　backbonefast　48
4.9.5　环路防护(loop guard)　48
4.10　交换端口分析仪概述　49
4.10.1　span会话　49
4.10.2　配置span　49
4.11　基本catalyst 3550交换机配置　51
4.11.1　案例分析4-1：基本网络连接　51
4.11.2　案例分析4-2：配置接口　56
4.11.3　案例分析4-3：配置portfast　58
4.11.4　案例分析4-4：创建第2层etherchannel　58
4.11.5　案例分析4-5：创建中继　60
4.11.6　案例分析4-6：配置第3层etherchannel　60
4.11.7　案例分析4-7：etherchannel负载平衡　62
4.11.8　案例分析4-8：配置路由端口　63
4.11.9　案例分析4-9：配置span　64
4.12　小结　65
4.13　复习题　65
4.14　常见问题解答　65
第5章　帧中继连接　69
5.1　帧中继概述　69
5.2　帧中继设备　70
5.3　帧中继拓扑　71
5.3.1　星型拓扑　71
5.3.2　全网状拓扑　72
5.3.3　部分网状拓扑　72
5.3.4　帧中继子接口　73
5.4　帧中继虚电路　73
5.4.1　交换虚电路　74
5.4.2　永久虚电路　74
5.5　帧中继信令　75
5.5.1　lmi帧格式　76
5.5.2　lmi计时器　76
5.5.3　lmi自动感知　77
5.6　网络到网络接口　78
5.7　用户-网络接口　78
5.8　拥塞控制机制　78
5.8.1　帧中继的可丢弃指示位　80
5.8.2　dlci优先级　80
5.8.3　帧中继错误检查　81
5.8.4　帧中继前视　81
5.8.5　帧中继拥塞通知方法　81
5.8.6　帧中继端到端keepalive　81
5.9　配置帧中继　83
5.9.1　案例分析5-1：配置帧中继　83
5.9.2　案例分析5-2：配置帧中继svc　88
5.9.3　案例分析5-3：帧中继流量整形　92
5.10　为接口创建广播队列　96
5.11　透明桥接与帧中继　97
5.12　配置子接口的备份接口　97
5.13　tcp/ip头部压缩　97
5.13.1　配置单个ip映射的tcp/ip头部压缩　98
5.13.2　配置接口的tcp/ip头部压缩　98
5.13.3　禁止tcp/ip头部压缩　98
5.14　排除帧中继连通性故障　98
5.14.1　show frame-relay lmi命令　98
5.14.2　show frame-relay pvc命令　99
5.14.3　show frame-relay map命令　100
5.14.4　debug frame-relay lmi命令　101
5.15　小结　101
5.16　复习题　102
5.17　常见问题解答　102
第6章　isdn连接　105
6.1　isdn概述　105
6.1.1　isdn标准支持　105
6.1.2　isdn数字信道　106
6.1.3　isdn终端设备和网络端接设备　106
6.1.4　参考点　106
6.1.5　isdn层次和呼叫阶段　107
6.2　点到点协议(ppp)概述　110
6.2.1　链路控制协议(lcp)　110
6.2.2　网络控制协议(ncp)　110
6.3　按需拨号路由选择(ddr)概述　111
6.4　配置isdn　112
6.4.1　课程6-1开始isdn配置　112
6.4.2　课程6-2：配置ddr　113
6.4.3　课程6-3：isdn上的路由选择　117
6.4.4　课程6-4：配置接口和备份接口　124
6.4.5　课程6-5：配置ppp选项　126
6.4.6　课程6-6：配置高级选项　126
6.4.7　课程6-7：监视和排除isdn故障　132
6.5　小结　140
6.6　复习题　140
6.7　常见问题解答　141
第7章　atm连接　143
7.1　atm概述　143
7.2　配置atm　144
7.2.1　课程7-1：rfc2684：aal5上的多协议封装　145
7.2.2　课程7-2：rfc 2225：atm上的传统ip与arp　150
7.3　小结　153
7.4　复习题　153
7.5　常见问题解答　153
第三部分　ip路由选择
第8章　rip　159
8.1　rip结构　159
8.1.1　路由选择更新和定时器　159
8.1.2　路由选择度量　160
8.1.3　水平分割问题　160
8.1.4　rip和默认路由　161
8.1.5　ripv1与ripv2对比　161
8.2　配置rip　161
8.2.1　案例分析8-1：rip基本配置　161
8.2.2　案例分析8-2：ripv1运行在路由器和pix 5.2的连接上　175
8.2.3　案例分析8-3：带验证的ripv2运行在路由器和pix6.2的连接上　179
8.2.4　课程8-1：rip高级配置　185
8.3　小结　187
8.4　复习题　187
8.5　常见问题解答　187
第9章　eigrp　191
9.1　eigrp概述　192
9.2　配置eigrp　192
9.3　eigrp构件　194
9.3.1　包格式　194
9.3.2　eigrp表　195
9.3.3　可用后继者　199
9.3.4　路由状态　200
9.3.5　路由标记　200
9.3.6　igrp和eigrp的互操作性　201
9.3.7　dual运转的一个例　201
9.4　配置eigrp的选项　202
9.4.1　课程9-2：添加一个wan连接　202
9.4.2　课程9-3：记录邻居的邻接变化　204
9.4.3　课程9-4：禁用路由汇总　204
9.4.4　课程9-5：配置手工路由汇总　206
9.4.5　课程9-6：配置默认路由　207
9.4.6　课程9-7：控制eigrp路由　209
9.4.7　课程9-8：带路由控制的eigrp重分布　210
9.4.8　课程9-9：配置eigrp路由验证　210
9.4.9　课程9-10：配置eigrp末端路由选择　211
9.4.10　课程9-11：在gre隧道上配置eigrp　212
9.4.11　课程9-12：关闭eigrp水平分割　215
9.5　eigrp故障诊断　215
9.6　总结　217
9.7　复习题　217
9.8　常见问题解答　218
第10章　ospf　221
10.1　配置ospf　222
10.1.1　案例分析10-1：ospf基本配置　222
10.1.2　案例分析10-2：ospf以及路由汇总　243
10.1.3　案例分析10-3：ospf过滤　246
10.1.4　案例分析10-4：gre上的ospf以及非ip数据流　248
10.2　ospf的监视和维护　251
10.2.1　验证ospf abr类型3的lsa 的过滤　252
10.2.2　显示ospf更新包步调　252
10.3　小结　253
10.4　复习题　253
10.5　常见问题解答　253
第11章　is-is　257
11.1　集成is-is概览　257
11.2　配置is-is　258
11.3　is-is构件　263
11.4　is-is状态机　264
11.4.1　接收进程　265
11.4.2　更新进程　265
11.4.3　判定进程　265
11.4.4　转发进程　265
11.5　伪节点　265
11.6　is-is编址　266
11.6.1　nsap简化格式　267
11.6.2　编址要求　268
11.7　限制lsp泛洪　268
11.7.1　在特定接口上阻止泛洪　269
11.7.2　配置网孔组　269
11.8　生成默认路由　270
11.9　路由重分布　271
11.10　设置is-is可选参数　271
11.10.1　设置hello的通告间隔　272
11.10.2　设置csnp通告间隔　272
11.10.3　设置重传间隔　272
11.10.4　设置lsp传输间隔　272
11.11　配置is-is验证　272
11.11.1　案例分析11-2：is-is验证　273
11.11.2　验证问题　277
11.12　使用show和debug命令　277
11.12.1　监视is-is　278
11.12.2　调试is-is　278
11.13　小结　279
11.14　复习题　279
11.15　常见问题解答　280
第12章　bgp　283
12.1　理解bgp概念　283
12.1.1　自治系统　283
12.1.2　bgp功能性　284
12.1.3　ebgp和ibgp　284
12.1.4　bgp更新　285
12.2　配置bgp　285
12.2.1　案例分析12-1：单宿主自治系统设置　285
12.2.2　案例分析12-2：传输自治系统的建立　293
12.2.3　案例分析12-3：bgp联盟　300
12.2.4　案例分析12-4：跨过防火墙的私有自治系统的bgp　304
12.2.5　案例分析12-5：穿过防火墙带前置(prepend)的bgp　311
12.3　小结　318
12.4　复习题　318
12.5　常见问题解答　318
第13章　重分布　321
13.1　度量　321
13.2　管理距离　322
13.3　有类和无类特性　322
13.4　避免重分布带来的问题　322
13.5　配置路由选择信息的重分布　323
13.5.1　重分布直连网络到ospf　325
13.5.2　课程13-1：重分布ospf到bgp中　325
13.5.3　课程13-2：重分布ospf not-so-stubby area外部路由到bgp　328
13.5.4　课程13-3：在ospf和rip版本1之间重分布路由　329
13.5.5　课程13-4：在两个eigrp自治系统之间的重分布　330
13.5.6　课程13-5：在两个不同的自治系统中进行eigrp和igrp之间的路由重分布　331
13.5.7　课程13-6：同一个自治系统中的eigrp和igrp之间的路由重分布　332
13.5.8　eigrp和其他协议的进出重分布　333
13.5.9　课程13-7：重分布静态路由到eigrp接口　333
13.5.10　课程13-8：重分布直连网络　334
13.5.11　课程13-9：过滤路由选择信息　336
13.6　小结　340
13.7　复习题　340
13.8　常见问题　341
第四部分　安全实践
第14章　安全入门..　345
14.1　重要的安全缩略词　346
14.2　白帽子与黑帽子　349
14.3　cisco的安全实现　349
14.3.1　cisco ios安全概述　349
14.3.2　catalystos安全概述　350
14.4　vpn概述　351
14.5　aaa概述　352
14.6　ids基础　352
14.7　小结　353
14.8　复习题　353
14.9　常见问题解答　353
第15章　cisco ios软件与catalyst 3550系列的基本安全　357
15.1　cisco ios软件安全　357
15.1.1　网络时间协议安全　358
15.1.2　http服务器安全　358
15.1.3　密码管理　358
15.1.4　访问列表　359
15.1.5　secure shell　359
15.2　基本ios安全配置　359
15.2.1　课程15-1：配置密码、特权和登录　359
15.2.2　课程15-2：关闭服务　365
15.2.3　课程15-3：建立一个安全的http服务器　369
15.2.4　案例分析15-1：安全ntp配置　371
15.2.5　案例分析15-2：配置ssh　374
15.3　catalyst 3550安全　377
15.4　小结　381
15.5　复习题　382
15.6　常见问题解答　382
第16章　访问控制列表　385
16.1　访问控制列表概述　385
16.1.1　在什么地方配置acl　386
16.1.2　什么时候配置acl　387
16.2　在ios路由器和catalyst 3550交换机上的acl　387
16.2.1　基本acl　387
16.2.2　高级acl　389
16.3　时刻acl　390
16.4　锁与密钥acl　390
16.4.1　为什么要用lock-and-key　391
16.4.2　什么时候使用lock-and-key　391
16.4.3　源地址欺诈和lock-and-key　391
16.4.4　lock-and-key配置技巧　392
16.4.5　验证lock-and-key配置　393
16.4.6　维护lock-and-key　393
16.4.7　手工删除动态列表条目　393
16.5　反身acl　393
16.5.1　反身acl的好处与限制　394
16.5.2　反身acl的设计考虑　395
16.6　路由器acl　395
16.7　端口acl　395
16.7.1　vlan映射　396
16.7.2　和路由器acl一起使用vlan映射　396
16.7.3　分段和未分段流　397
16.8　记录acl　398
16.9　定义acl　399
16.9.1　隐含的“拒绝所有流”的ace语句　399
16.9.2　ace条目顺序　399
16.9.3　应用acl到接口　400
16.9.4　课程16-1：配置acl　401
16.9.5　课程16-2：建立一个已编号的标准ip acl　404
16.9.6　课程16-3：配置一个已编号的扩展ip acl　405
16.9.7　课程16-4：创建一个已命名的标准ip acl　405
16.9.8　课程16-5：创建一个已命名的扩展ip acl　406
16.9.9　课程16-6：时刻acl的实现　406
16.9.10　课程16-7：配置lock-and-key　408
16.9.11　课程16-8：配置反身acl　409
16.9.12　课程16-9：记录acl　412
16.9.13　课程16-10：配置一个已命名的mac扩展acl　413
16.9.14　创建一个vlan映射　413
16.9.15　课程16-11：与vlan映射一起使用acl　414
16.10　维护acl　414
16.10.1　显示acl资源占用　415
16.10.2　排除配置问题故障　416
16.10.3　acl配置大小　417
16.11　catalyst 3550交换机上不支持的特征　418
16.12　小结　418
16.13　复习题　418
16.14　常见问题解答　419
第17章　ip服务　423
17.1　管理ip连接　423
17.1.1　icmp不可达消息　424
17.1.2　icmp重定向消息　424
17.1.3　icmp掩码回应消息　424
17.1.4　ip路径mtu发现　425
17.2　mtu包大小　425
17.2.1　ip源路由选择　426
17.2.2　单向以太网接口　426
17.2.3　drp服务器代理　426
17.3　使用访问列表来过滤ip包　427
17.4　热备份路由器协议概述　427
17.5　ip记账概述　428
17.5.1　ip mac记账　429
17.5.2　ip优先级(precedence)记账　429
17.6　配置tcp性能参数　429
17.6.1　压缩tcp报头　430
17.6.2　设置tcp连接的尝试时间　431
17.6.3　使用tcp路径mtu发现　431
17.6.4　使用tcp选择性确认　431
17.6.5　使用tcp时间戳　432
17.6.6　设置tcp最大读取大小　432
17.6.7　设置tcp窗口大小　432
17.6.8　设置tcp输出队列大小　432
17.7　配置多节点负载均衡转发代理　432
17.8　网络地址翻译概述　434
17.9　配置ip服务　436
17.9.1　课程17-1：配置icmp重定向　436
17.9.2　课程17-2：配置drp服务器代理　436
17.9.3　课程17-3：配置hsrp　438
17.9.4　课程17-4：配置ip记账　443
17.9.5　课程17-5：配置nat　444
17.10　监视和维护ip服务　449
17.10.1　验证hsrp对mpls vpn的支持　449
17.10.2　显示系统和网络的统计　450
17.10.3　清除缓存、表和数据库　450
17.10.4　监视和维护drp服务器代理　451
17.10.5　清除访问列表计数器　451
17.10.6　监视nmlb的转发代理　451
17.10.7　监视和维护支持icmp重定向消息的hsrp　451
17.10.8　监视和维护nat　452
17.11　小结　452
17.12　复习题　452
17.13　常见问题解答　453
第五部分　认证与虚拟专网
第18章　aaa服务　459
18.1　tacacs+与radius　459
18.1.1　底层协议　459
18.1.2　数据包加密　460
18.1.3　认证、授权和记账过程　460
18.1.4　路由器管理　460
18.1.5　互操作性　460
18.1.6　数据流　461
18.2　配置aaa　461
18.2.1　案例分析18-1：使用radius以简化aaa的配置　461
18.2.2　案例分析18-2：在pix防火墙上配置aaa　470
18.2.3　案例分析18-3：配置vpn客户端远程访问　479
18.2.4　案例分析18-4：tacacs+的认证代理　492
18.2.5　案例分析18-5：tacacs+下的特权级别　497
18.2.6　案例分析18-6：配置tacacs+下的ppp回拨　500
18.3　小结　504
18.4　复习题　505
18.5　常见问题解答　505
第19章　虚拟专网　507
19.1　vpn概述　507
19.1.1　节点到节点vpn　508
19.1.2　远程访问vpn　508
19.2　ipsec概述　509
19.2.1　验证报头(ah)　509
19.2.2　封装安全有效载荷(esp)　510
19.2.3　ipsec协议套　511
19.3　隧道和传输模式　514
19.4　ipsec的运作　514
19.4.1　定义感兴趣的数据流　515
19.4.2　ike阶段1　515
19.4.3　ike阶段2　516
19.4.4　ipsec加密隧道　516
19.4.5　隧道终止　517
19.5　在cisco ios软件和pix防火墙中配置ipsec　517
19.5.1　案例分析19-1：配置一个基本的ios到ios的ipsec vpn　517
19.5.2　案例分析19-2：配置一个基本的pix到pix的ipsec vpn　537
19.6　ca支持　556
19.6.1　配置ca　556
19.6.2　使用ca的ios到ios vpn　556
19.6.3　使用ca的pix到pix vpn　562
19.7　总结　567
19.8　复习题　567
19.9　常见问题解答　568
第20章　高级虚拟专网　571
20.1　传统ipsec vpn中的问题　571
20.1.1　用gre解决ipsec问题　572
20.1.2　用dmvpn解决ipsec问题　572
20.2　配置高级vpn　574
20.2.1　案例分析20-1：在ipsec保护的vpn上使用动态路由选择　574
20.2.2　案例分析20-2：配置dmvpn　585
20.3　小结　595
20.4　复习题　596
20.5　常见问题解答　596
第21章　虚拟私有拨号专网　599
21.1　l2f和l2tp概述　599
21.2　vpdn过程概述　600
21.3　pptp概述　601
21.4　配置vpdn　601
21.4.1　案例分析21-1：配置使用本地aaa工作的vpdn　602
21.4.2　案例分析21-2：配置用于vpdn的tacacs+验证和授权　609
21.4.3　案例21-3：配置pix防火墙使用pptp　612
21.4.4　课程21-1：配置默认的vpdn组模板(group template)　614
21.5　小结　615
21.6　复习题　615
21.7　常见问题解答　615
第六部分　防火墙
第22章　cisco ios防火墙　619
22.1　创建一台定制的防火墙　620
22.2　配置tcp拦截　620
22.3　cbac概览　624
22.3.1　数据流过滤　624
22.3.2　数据流检查　624
22.3.3　警报和审计跟踪　625
22.3.4　入侵检测　625
22.3.5　cbac的不足与局限　625
22.3.6　cbac操作　626
22.3.7　什么时候和什么地方配置cbac　630
22.3.8　cbac支持的协议　630
22.3.9　和ipsec一起使用cbac　631
22.3.10　课程22-2：配置cbac　631
22.3.11　监视和维护cbac　637
22.3.12　关闭cbac　639
22.3.13　案例分析22-1：在两个接口上配置cbac　640
22.4　pam(端口到应用程序的映射)　642
22.4.1　pam是如何工作的　643
22.4.2　什么时候使用pam　644
22.4.3　课程22-3：配置pam　644
22.4.4　监视和维护pam　645
22.5　小结　646
22.6　复习题　646
22.7　常见问题解答　646
第23章　cisco pix防火墙　649
23.1　安全级别和地址翻译　649
23.2　tcp和udp　650
23.3　配置cisco pix防火墙　650
23.3.1　课程23-1：pix防火墙配置基础　650
23.3.2　课程23-2：配置网络保护以及控制其访问与使用　657
23.3.3　课程23-3：支持特别的协议和应用程序　665
23.3.4　课程23-4：监视pix防火墙　668
23.3.5　课程23-5：利用pix防火墙作为dhcp服务器　672
23.3.6　课程23-6：pix防火墙版本6.2的新特性　673
23.4　小结　679
23.5　复习题　679
23.6　常见问题解答　679
第七部分　入侵检测
第24章　cisco pix防火墙和ios软件上的ids　683
24.1　cisco ios软件的入侵检测　683
24.2　cisco pix防火墙的入侵检测　684
24.3　cisco ios软件和pix的ids签名　684
24.4　配置cisco ids　687
24.4.1　案例分析24-1：配置cisco ios软件ids　688
24.4.2　案例分析24-2：配置ciscosecure pix防火墙的ids　690
24.5　小结　693
24.6　复习题　693
24.7　常见问题解答　693
第25章　internet服务提供商的安全服务　697
25.1　防止拒绝服务攻击　697
25.1.1　car(承诺访问速率)　697
25.1.2　反向路径转发(rpf)　698
25.2　第2层vpn(l2vpn)　698
25.2.1　802.1q　698
25.2.2　第2层协议隧道　699
25.3　配置isp服务　699
25.3.1　案例分析25-1：通过速率限制进行dos防范　699
25.3.2　案例分析25-2：通过rpf进行dos防范　702
25.3.3　案例分析25-3：配置l2vpn　703
25.4　小结　709
25.5　复习题　710
25.6　常见问题解答　710
第八部分　实验方案举例
第26章　实验方案举例　715
26.1　练习实验的格式　715
26.2　综合实验和ccie安全实验考试的对比情况　716
26.3　ccie练习实验1：构建第2层网络　717
26.3.1　设备清单　717
26.3.2　引导步骤：配置帧中继交换机　718
26.3.3　引导步骤：配置第一台骨干路由器：r9-bb1　718
26.3.4　引导步骤：配置第二台骨干路由器：r7-bb2　719
26.3.5　实验规则　721
26.3.6　计时部分　722
26.4　ccie练习实验2：路由选择　723
26.4.1　设备清单　723
26.4.2　实验规则　724
26.4.3　计时部分　724
26.5　ccie练习实验3：配置协议重分布和拨号备份　725
26.5.1　设备清单　725
26.5.2　实验规则　726
26.5.3　计时部分　727
26.6　ccie练习实验4：配置基础安全　727
26.6.1　设备清单　727
26.6.2　实验规则　728
26.6.3　计时部分　729
26.7　ccie练习实验5：拨号和应用安全　730
26.7.1　设备清单　730
26.7.2　实验规则　730
26.7.3　计时部分　731
26.8　ccie练习实验6：配置高级安全特性　733
26.8.1　设备清单　733
26.8.2　实验规则　734
26.8.3　计时部分　735
26.9　ccie练习实验7：服务提供商　737
26.9.1　设备清单　737
26.9.2　实验规则　738
26.9.3　计时部分　738
26.10　ccie实验练习8：概括全部内容的综合实验　739
26.10.1　设备清单　739
26.10.2　引导步骤：配置帧中继交换机　740
26.10.3　引导步骤：配置第一台骨干路由器：r7-bb1　741
26.10.4　引导步骤：配置第二台骨干路由器：r7-bb2　742
26.10.5　引导步骤：配置反向远程登录路由器　744
26.10.6　实验规则　745
26.10.7　计时部分　745
26.11　小结　753
第九部分　附录
附录a　基本的unix安全　757
附录b　windows的基本安全　767
附录c　isdn错误代码和调试参考　779
附录d　cisco ios、catalystos和pix上的密码恢复　787
附录e　安全相关的rfc和出版物　803
附录f　复习题答案...　815