思科网络技术学院项目(Cisco Networking Academy Program)是Cisco公司在全球范围推出的一个主要面向初级网络工程技术人员的培训项目。作为它的课程之一,《思科网络技术学院教程网络**》介绍了如何在Cisco的网络设备中实施IP网络的**。
《思科网络技术学院教程网络**》包括两个学期的课程内容。**学期课程内容侧重于网络中的总体**进程,并特别关注以下领域的实际操作技巧:**策略设计和管理,**技术、产品、解决方案,防火墙和**路由器设计、安装、配置、维护,使用路由器和防火墙实现AAA,在OSI模型的第二层和第三层保护网络等。第二学期课程内容侧重于**策略设计和管理,**技术、产品、解决方案,防火墙和**路由器设计、安装、配置、维护,使用路由器和防火墙实现入侵预防系统(IPS),使用路由器和防火墙实现虚拟专用网(VPN)等。
《思科网络技术学院教程网络**》作为思科网络技术学院网络**的指定教材,适合具备CCNA水平的读者学习。另外,将要参加思科公司的CCSP认证考试的人员也可以把《思科网络技术学院教程网络**》作为考试指南。

思科网络学院课程设计用来使你进入计算机网络领域,在这个领域工作或继续接受更多的教育和培训。网络**课程分为两个学期。**学期课程侧重于网络中的总体**进程,并特别关注以下领域的实际操作技巧:**策略设计和管理;**技术、产品、解决方案;防火墙和**路由器设计、安装、配置、维护;使用路由器和防火墙实现AAA;在OSI模型的第二层和第三层保护网络。第二学期课程侧重于网络中的总体**进程,并特别关注以下领域的实际操作技巧:**策略设计和管理;**技术、产品、解决方案;防火墙和**路由器设计、安装、配置、维护;使用路由器和防火墙实现入侵预防系统(Intrusion prevention system,IPS);使用路由器和防火墙实现虚拟专用网(Virttlal private network,VPN)。 本书被设计作为一门课程材料的便捷桌面参考,可以随时随地使用。本书对课程中的内容进行强化,帮助你关注**概念、为考试合理安排学习时间。本书的目标 本书的目标是基于**策略设计和管理教授全部**过程。**是**技术、产品、解决方案,以及防火墙和**路由器设计、安装、配置、维护。本书的**学期课程内容介绍了使用路由器和防火墙实现认证、授权、计费(authentication,authorization,and accounting,AAA),以及在OSI模型的第二层和第三层进行网络保护。
本书的第二学期课程内容介绍了使用路由器和防火墙实现入侵预防系统(intrusion prevention system,Ips),以及使用路由器和防火墙实现虚拟专用网(Virtual private network,VPN)。本书设计用来与思科网络学院课程一起使用,也可以作为独立的参考书。本书的读者
本书是为所有希望学习网络**以及整体**处理的读者编写的。主要目标读者是网络学院及四年制大学的学生。在教学环境中,本书可以作为在教室里使用的参考书。本书适合具有ccNA证书或具备同等知识的读者阅读。读者应掌握TCP/IP和基本的网络概念。
本书的第二类目标读者是专业培训机构的人员。为了使公司和学术机构能够使用有效的**措施,必须对个人进行**技术、产品以及解决方案的设计和实现方面培训。第三类目标读者是普通用户。本书适宜用户阅读,对那些不喜欢阅读传统技术手册的读者也很有吸引力。

第1章弱点、威胁、攻击2
1.1关键术语2
1.2网络**简介3
1.2.1网络**需求3
1.2.2识别网络**的潜在风险5
1.2.3开放的与封闭的**模型5
1.2.4网络**的发展趋势9
1.2.5信息**组织11
1.3弱点、威胁和攻击介绍12
1.3.1弱点13
1.3.2威胁14
1.3.3攻击15
1.4攻击事例16
1.4.1侦查攻击17
1.4.2访问攻击18
1.4.3拒绝服务(DoS)攻击21
1.4.4假冒/IP欺骗攻击22
1.4.5分布式拒绝服务攻击23
1.4.6恶意代码25
1.5弱点分析27
1.5.1政策定位27
1.5.2网络分析27
1.5.3主机分析30
1.5.4分析工具31
1.6总结31
1.7检查你的理解32

第2章**计划与策略34
2.1关键术语34
2.2关于网络**及Cisco34
2.2.1**轮(Security Wheel)35
2.2.2网络**策略37
2.3端点保护和管理39
2.3.1基于主机和服务器的**组件和技术39
2.3.2PC管理41
2.4网络保护和管理42
2.4.1基于网络的**组件和技术42
2.4.2网络**管理47
2.5**体系50
2.5.1**体系SAFE50
2.5.2Cisco自防卫网络51
2.5.3保护连通性(secure connectivity)51
2.5.4威胁防范(Threat Defense)52
2.5.5Cisco集成**54
2.5.6计划、设计、实施、运行、优化模型(PDIOO、Plan、Design、Implement、Operate、Optimize)55
2.6基本的路由器**57
2.6.1控制对网络设备的访问57
2.6.2使用SSH进行远程配置59
2.6.3路由器口令60
2.6.4路由器优先级和账户62
2.6.5Cisco IOS网络服务63
2.6.6路由、代理ARP、ICMP68
2.6.7路由协议认证和升级过滤70
2.6.8NTP、SNMP、路由器名、DNS72
2.7总结74
2.8检查你的理解74

第3章**设备76
3.1可选设备76
3.1.1Cisco防火墙特性集77
3.1.2创建用户的防火墙78
3.1.3PIX**设备78
3.1.4自适应**设备79
3.1.5Finesse操作系统81
3.1.6自适应**算法81
3.1.7防火墙服务模块81
3.2使用**设备管理器82
3.2.1使用SDM启动向导83
3.2.2SDM用户界面84
3.2.3SDM向导85
3.2.4用SDM配置WAN85
3.2.5使用恢复出厂配置向导86
3.2.6监控模式86
3.3Cisco**设备家族介绍88
3.3.1PIX501**设备88
3.3.2PIX506E**设备88
3.3.3PIX515E**设备88
3.3.4PIX525**设备88
3.3.5PIX535**设备89
3.3.6自适应**设备模块89
3.3.7PIX**设备许可证91
3.3.8PIX VPN 加密许可91
3.3.9**上下文92
3.3.10PIX**设备上下文许可证92
3.3.11ASA**设备许可证92
3.3.12扩展PIX515E特性93
3.3.13扩展PIX525特性93
3.3.14扩展PIX535特性93
3.3.15扩展自适应**设备家族的特性94
3.4开始配置PIX**设备94
3.4.1配置PIX **设备95
3.4.2帮助命令96
3.4.3**级别96
3.4.4基本PIX**设备的配置命令97
3.4.5其他PIX**设备的配置命令100
3.4.6检查PIX**设备的状态105
3.4.7时间设置和NTP支持108
3.4.8日志(syslog)配置109
3.5**设备的转换和连接111
3.5.1传输协议111
3.5.2NAT112
3.5.3动态内部NAT114
3.5.4两个接口的NAT114
3.5.53个接口的NAT115
3.5.6PAT116
3.5.7增加PAT的全局地址池118
3.5.8static命令118
3.5.9nat 0命令120
3.5.10连接和转换121
3.6用自适应**设备管理器管理PIX127
3.6.1ASDM运行需求127
3.6.2ASDM的准备129
3.6.3使用ASDM配置PIX**设备130
3.7PIX**设备的路由功能131
3.7.1虚拟LAN131
3.7.2静态和RIP路由135
3.7.3OSPF137
3.7.4多播路由140
3.8防火墙服务模块的运行143
3.8.1FWSM的运行要求144
3.8.2开始使用FWSM144
3.8.3校验FWSM的安装145
3.8.4配置FWSM的访问列表146
3.8.5在FWSM上使用PDM147
3.8.6重置和重启FWSM147
3.9总结148
3.10检查你的理解148

第4章信任和身份技术150
4.1关键术语150
4.2AAA150
4.2.1TACACS151
4.2.2RADIUS151
4.2.3TACACS+和RADIUS的比较153
4.3验证技术154
4.3.1静态口令154
4.3.2一次性口令154
4.3.3令牌卡155
4.3.4令牌卡和服务器方法155
4.3.5数字证书156
4.3.6生物测定学157
4.4基于身份网络服务(IBNS)158
4.5有线的和无线的执行160
4.6网络准入控制(NAC)161
4.6.1NAC组成161
4.6.2NAC阶段162
4.6.3NAC运行163
4.6.4NAC厂商的参与164
4.7总结165
4.8检查你的理解165

第5章Cisco**访问控制服务器167
5.1关键术语167
5.2Cisco**访问控制服务器产品概述167
5.2.1验证和用户数据库169
5.2.2Cisco**ACS用户数据库169
5.2.3保持数据库稳定170
5.2.4基于Windows的Cisco**ACS体系架构171
5.2.5Cisco**ACS如何验证用户172
5.2.6用户可更改的口令174
5.3使用Cisco**ACS配置TACACS+和RADIUS175
5.3.1安装步骤175
5.3.2管理基于Windows的Cisco**ACS176
5.3.3排错177
5.3.4启用TACACS+178
5.4检验TACACS+180
5.4.1失败180
5.4.2通过181
5.5配置RADIUS183
5.6总结183
5.7检查你的理解184

第6章在三层配置信任和身份186
6.1关键术语186
6.2Cisco IOS防火墙认证代理186
6.2.1认证代理的运行186
6.2.2支持的AAA服务器187
6.2.3AAA服务器配置188
6.2.4AAA配置188
6.2.5允许AAA流量到路由器190
6.2.6认证代理配置191
6.2.7测试和验证认证代理192
6.3介绍PIX**器件AAA特性193
6.3.1PIX**器件认证193
6.3.2PIX**器件授权194
6.3.3PIX**器件计费195
6.3.4AAA服务器支持195
6.4在PIX**器件上配置AAA196
6.4.1PIX**器件访问认证196
6.4.2交互式用户认证196
6.4.3本地用户数据库198
6.4.4认证提示和超时199
6.4.5直通代理认证200
6.4.6认证非Telnet、FTP、HTTP或HTTPS流量201
6.4.7隧道用户认证203
6.4.8授权配置204
6.4.9可下载的ACL205
6.4.10计费配置207
6.4.11控制台会话计费208
6.4.12命令计费209
6.4.13AAA配置故障处理209
6.5总结212
6.6检查你的理解212

第7章在二层配置信任和身份214
7.1关键术语214
7.2基于身份的网络服务(IBNS)214
7.2.1特点及好处214
7.2.2IEEE 802.1x215
7.2.3选择正确的EAP219
7.2.4Cisco LEAP220
7.2.5IBNS和Cisco**ACS221
7.2.6部署ACS的考虑223
7.2.7Cisco**ACS RADIUS配置224
7.3配置802.1x基于端口的认证225
7.3.1使能802.1x认证227
7.3.2配置交换机到RADIUS服务器的通信227
7.3.3使能周期性重认证228
7.3.4手工重认证连接到端口的客户229
7.3.5使能多主机229
7.3.6将802.1x配置重设为默认值229
7.3.7查看802.1x统计信息和状态229
7.4总结230
7.5检查你的理解230

第8章在路由器上配置过滤232
8.1关键术语232
8.2过滤和访问列表232
8.2.1数据包过滤233
8.2.2状态过滤233
8.2.3URL过滤235
8.3Cisco IOS防火墙基于上下文的访问控制235
8.3.1CBAC数据包236
8.3.2Cisco IOS ACL236
8.3.3CBAC如何运行236
8.3.4CBAC所支持的协议238
8.4配置Cisco IOS防火墙基于上下文的访问控制239
8.4.1CBAC配置任务239
8.4.2准备CBAC239
8.4.3设置审计跟踪和警告240
8.4.4设置全局超时时间241
8.4.5设置全局阈值242
8.4.6主机限制的半开连接243
8.4.7系统定义的端口与应用映射243
8.4.8用户定义的PAM244
8.4.9设定应用的检测规则245
8.4.10为IP分片定义检测规则246
8.4.11定义ICMP检测规则247
8.4.12将检测规则和ACL应用于接口248
8.5测试与校验CBAC251
用SDM配置Cisco IOS防火墙252
8.6总结253
8.7检查你的理解253

第9章在PIX**器件上配置过滤256
9.1关键术语256
9.2配置ACL和内容过滤256
9.2.1PIX**器件ACL257
9.2.2配置ACL258
9.2.3ACL行号259
9.2.4icmp命令259
9.2.5nat 0 ACL260
9.2.6Turbo ACL262
9.2.7使用ACL262
9.2.8恶意代码过滤265
9.2.9URL过滤266
9.3对象分组268
9.3.1开始使用对象分组269
9.3.2配置对象分组269
9.3.3嵌套对象分组271
9.3.4管理对象分组274
9.4配置**器件模块策略275
9.4.1配置一个类映射277
9.4.2配置一个策略映射277
9.4.3配置一个服务策略279
9.5配置**协议检查280
9.5.1默认流量检查和端口号280
9.5.2FTP检查283
9.5.3FTP深度报文检查285
9.5.4HTTP检查286
9.5.5协议应用程序检查287
9.5.6多媒体支持291
9.5.7实时流协议(Real-Time Streaming Protocol,RSTP)291
9.5.8支持IP电话所需要的协议293
9.5.9DNS检查295
9.6总结296
9.7检查你的理解297

第10章在交换机上配置过滤299
10.1关键术语299
10.2二层攻击简介299
10.3MAC地址、ARP和DHCP攻击300
10.3.1减少CAM表过载攻击301
10.3.2MAC欺骗:中间人攻击302
10.3.3ARP欺骗303
10.4DHCP侦听(DHCP Snooping)303
10.4.1动态ARP检测305
10.4.2DHCP耗尽攻击(DHCP Starvation Attacks)305
10.5VLAN攻击306
10.5.1VLAN跳跃攻击306
10.5.2私用VLAN攻击308
10.5.3私用VLAN防御308
10.6生成树协议攻击309
10.7总结310
10.8检查你的理解310

第二学期

第1章入侵检测和防御技术314
1.1关键术语314
1.2入侵检测和防御介绍314
1.2.1基于网络与基于主机315
1.2.2警报的类型315
1.3检测引擎317
1.3.1基于签名的探测317
1.3.2签名的类型317
1.3.3基于异常状态检测318
1.4Cisco的IDS和IPS设备319
1.4.1Cisco集成的解决方案319
1.4.2Cisco IPS 4200系列探测器320
1.5总结320
1.6检查你的理解321

第2章配置网络入侵检测和入侵防护322
2.1关键术语322
2.2Cisco IOS入侵防护系统(IPS)322
2.2.1Cisco IOS入侵防护系统的起源324
2.2.2路由器的性能324
2.2.3Cisco IOS入侵防护系统特征库324
2.2.4配置Cisco IOS入侵防护系统的过程325
2.3在PIX**设备上启用攻击防护功能(attack guards)329
2.3.1Mail Guard329
2.3.2DNS Guard329
2.3.3FragGuard和虚拟重组(Virtual Reassembly)330
2.3.4AAA泛洪防护331
2.3.5SYN泛洪保护332
2.3.6TCP intercept332
2.3.7SYN Cookies333
2.3.8连接限制333
2.4在PIX**设备上配置入侵防护334
2.4.1入侵检测和PIX**设备334
2.4.2配置入侵防护335
2.4.3配置IDS策略336
2.5在PIX**设备上配置阻断(shunning)337
2.6总结338
2.7检查你的理解339

第3章加密与VPN技术341
3.1关键术语341
3.2加密的基本方法341
3.2.1对称加密341
3.2.2不对称加密342
3.2.3Diffie-Hellman343
3.3完整性要素344
3.3.1散列345
3.3.2散列方法认证码HMAC345
3.3.3数字签名和证书346
3.4实现数字证书348
3.4.1认证**支持348
3.4.2简单证书注册协议SCEP349
3.4.3CA服务器349
3.4.4使用CA注册一台设备352
3.5VPN拓扑352
3.5.1站点到站点VPN353
3.5.2远程访问VPN353
3.6VPN技术354
3.6.1WebVPN355
3.6.2隧道协议356
3.6.3隧道接口358
3.6.4IPSec358
3.6.5认证头AH359
3.6.6封装**载荷ESP361
3.6.7隧道和传输模式361
3.6.8**关联363
3.6.9IPSec的5个步骤364
3.6.10因特网密钥交换IKE366
3.6.11IKE和IPSec367
3.6.12Cisco VPN解决方案368
3.7总结369
3.8检查你的理解369

第4章使用预共享密钥配置站点到站点VPN371
4.1关键术语371
4.2使用预共享密钥的IPSec加密371
4.2.1规划IKE和IPSec策略373
4.2.2步骤1:确定ISAKMP(IKE阶段1)策略373
4.2.3步骤2:定义IPSec(IKE阶段2)策略375
4.2.4步骤3:检查当前配置375
4.2.5步骤4:确保网络在没有加密时也能工作376
4.2.6步骤5:确认ACL允许IPSec377
4.3使用预共享密钥在路由器上配置IKE378
4.3.1步骤1:启用或禁止IKE378
4.3.2步骤2:创建IKE策略378
4.3.3步骤3:配置预共享密钥381
4.3.4步骤4:验证IKE配置382
4.4使用预共享密钥为路由器配置IPSec382
4.4.1步骤1:配置变换集382
4.4.2步骤2:确定IPSec(IKE阶段2)策略384
4.4.3步骤3:创建加密ACL384
4.4.4步骤4:创建加密图386
4.4.5步骤5:将加密图应用到接口387
4.5测试和验证路由器的IPSec配置388
4.5.1查看配置的ISAKMP策略388
4.5.2显示配置的变换集389
4.5.3显示IPSec SA的当前状态389
4.5.4显示配置的加密图389
4.5.5打开IPSec事件的调试输出390
4.5.6打开ISAKMP事件的调试输出390
4.5.7使用SDM配置一个VPN391
4.6使用预共享密钥配置一个PIX**器件站点到站点VPN391
4.6.1任务1:准备配置VPN支持392
4.6.2任务2:配置IKE参数392
4.6.3任务3:配置IPSec参数394
4.6.4任务4:测试和验证IPSec配置397
4.7总结398
4.8检查你的理解398

第5章使用数字证书配置站点到站点VPN400
5.1关键术语400
5.2在路由器上配置CA支持400
5.2.1步骤1:管理NVRAM401
5.2.2步骤2:设置路由器的时间和日期402
5.2.3步骤3:在路由器主机表中加入CA服务器条目402
5.2.4步骤4:生成RSA密钥对403
5.2.5步骤5:声明一个CA405
5.2.6步骤6:认证CA406
5.2.7步骤7:为路由器申请一个证书407
5.2.8步骤8:保存配置407
5.2.9步骤9:监视和维护CA互操作性408
5.2.10步骤10:验证CA支持配置409
5.3使用数字证书配置Cisco IOS路由器站点到站点VPN410
5.3.1任务1:准备IKE和IPSec411
5.3.2任务2:配置CA支持411
5.3.3任务3:配置IKE412
5.3.4任务4:配置IPSec413
5.3.5任务5:测试和验证IPSec413
5.4使用数字证书配置PIX**设备站点到站点VPN413
5.5总结415
5.6检查你的理解415

第6章配置远程访问VPN417
6.1关键术语417
6.2Cisco Easy VPN介绍417
6.2.1Easy VPN服务器概览418
6.2.2Cisco Easy VPN Remote概览418
6.2.3Cisco Easy VPN如何工作419
6.3Cisco Easy VPN服务器配置任务421
6.3.1任务1:创建一个IP地址池422
6.3.2任务2:配置组策略查找422
6.3.3任务3:为远程VPN客户访问创建ISAKMP策略423
6.3.4任务4:为模式配置推送定义一个组策略423
6.3.5任务5:创建一个变换集424
6.3.6任务6:创建一个带RRI的加密图424
6.3.7任务7:将模式配置应用到动态加密图425
6.3.8任务8:将动态加密图应用到路由器接口上426
6.3.9任务9:使能IKE失效对等体检测426
6.3.10任务10:(可选)配置XAUTH427
6.3.11任务11:(可选)启用XAUTH保存口令特性427
6.4Cisco Easy VPN客户端4.x配置任务428
6.4.1任务1:在远程用户的PC上安装Cisco VPN客户端4.x428
6.4.2任务2:创建一个新的客户端连接条目429
6.4.3任务3:选择一个认证方法429
6.4.4任务4:配置透明隧道430
6.4.5任务5:启用并增加备份服务器432
6.4.6任务6:通过拨号网络配置一条到因特网的连接432
6.5为接入路由器配置Cisco Easy VPN Remote433
6.5.1Easy VPN Remote操作模式434
6.5.2接入路由器的Cisco Easy VPN Remote配置任务435
6.6配置PIX**器件作为Easy VPN服务器439
6.6.1任务1:为远程VPN客户端访问创建一个ISAKMP策略439
6.6.2任务2:创建一个IP地址池439
6.6.3任务3:为模式配置推送定义一个组策略440
6.6.4任务4:创建一个变换集442
6.6.5任务5至任务7:动态加密图442
6.6.6任务8:配置XAUTH443
6.6.7任务9:配置NAT和NAT 0443
6.6.8任务10:启用IKE DPD443
6.7配置PIX 501或506E作为Easy VPN客户端444
6.7.1PIX**器件Easy VPN Remote特性概览444
6.7.2Easy VPN Remote配置445
6.7.3Easy VPN客户端模式以及启用Easy VPN Remote客户端446
6.7.4Easy VPN Remote认证447
6.8配置适应性**器件支持WebVPN448
6.8.1WebVPN*终用户接口448
6.8.2配置WebVPN常用参数450
6.8.3配置WebVPN服务器和URL452
6.8.4配置WebVPN端口转发453
6.8.5配置WebVPN E-mail代理455
6.8.6配置WebVPN内容过滤器和ACL455
6.9总结456
6.10检查你的理解456

第7章**网络体系和管理458
7.1关键术语458
7.2影响二层消除技术的因素458
7.2.1单**区域、单用户组、单物理交换机459
7.2.2单**区域、单用户组、多物理交换机461
7.2 .3单**区域、多用户组、单物理交换机462
7.2.4单**区域、多用户组、多物理交换机462
7.2.5多**区域、单用户组、单物理交换机463
7.2.6多**区域、单用户组、多物理交换机464
7.2.7多**区域、多用户组、单物理交换机465
7.2.8多**区域、多用户组、多物理交换机466
7.2.9二层***佳实践467
7.3SDM**审计468
7.4路由器管理**470
7.4.1Hub-and-Spoke拓扑472
7.4.2VPN设置和策略472
7.4.3设备层级和继承472
7.4.4活动473
7.4.5工作473
7.4.6构建块473
7.4.7支持的隧道技术473
7.4.8安装Router MC474
7.4.9开始使用Router MC475
7.4.10Router MC界面476
7.4.11Router MC标签477
7.4.12基本工作流和任务480
7.5简单网络管理协议SNMP481
7.5.1SNMP介绍481
7.5.2SNMP**483
7.5.3SNMP版本3(SNMPv3)484
7.5.4SNMP管理应用程序485
7.5.5在Cisco IOS路由器上配置SNMP支持486
7.5.6在PIX**器件上配置SNMP支持489
7.6总结490
7.7检查你的理解490

第8章PIX**器件上下文、故障倒换和管理492
8.1关键术语492
8.2配置PIX**器件在多上下文模式中运行492
8.2.1启用多上下文模式495
8.2.2配置**上下文496
8.2.3管理**上下文497
8.3配置PIX**器件故障倒换497
8.3.1理解故障倒换497
8.3.2故障倒换的要求499
8.3.3基于串行电缆的故障倒换配置500
8.3.4基于LAN的活跃/备用故障倒换配置501
8.3.5活跃/活跃故障倒换502
8.3.6配置透明防火墙模式502
8.3.7透明防火墙模式概览503
8.3.8启用透明防火墙模式504
8.3.9监控和维护透明防火墙506
8.4PIX**器件管理507
8.4.1管理Telnet访问507
8.4.2管理SSH访问508
8.4.3命令授权509
8.4.4PIX**器件口令恢复511
8.4.5适应性**器件口令恢复512
8.4.6文件管理512
8.4.7映像升级和认证密钥514
8.5总结515
8.6检查你的理解516

附录A“检查你的理解”部分的答案518
术语表527

……