思科网络技术学院教程

思科网络技术学院项目是思科公司在全球范围内推出的一个主要面向初级网络工程技术人员的培训项目，旨在让更多的年轻人学习先进的网络技术知识，为互联网时代做好准备。

《思科网络技术学院教程（第7版）：企业网络 安全 自动化》是思科网络技术学院全新版本的配套书面教材，主要内容包括单区域OSPFv2概念、单区域OSPFv2配置、网络安全概念、ACL概念、IPv4 ACL的配置、IPv4的NAT、WAN概念、VPN和IPSec概念、QoS概念、网络管理、网络设计、排除网络故障、网络虚拟化、网络自动化。本书每章末尾还提供了复习题，并在附录中给出了答案和注释，以检验读者对每章知识的掌握情况。

《思科网络技术学院教程（第7版）：企业网络 安全 自动化》适合准备参加CCNA认证考试的读者以及各类网络技术初学人员参考阅读。

第 1章　单区域OSPFv2概念 1

学习目标 1

1.1 OSPF的功能和特点 1

1.1.1 OSPF简介 1

1.1.2 OSPF的组件 2

1.1.3 链路状态的工作原理 3

1.1.4 单区域和多区域OSPF 6

1.1.5 多区域OSPF 6

1.1.6 OSPFv3 7

1.2 OSPF数据包 8

1.2.1 OSPF数据包类型 8

1.2.2 链路状态更新 9

1.2.3 Hello数据包 10

1.3 OSPF的工作方式 11

1.3.1 OSPF运行状态 11

1.3.2 建立邻接关系 12

1.3.3 同步OSPF数据库 13

1.3.4 对于DR的需求 15

1.3.5 DR的LSA泛洪 16

1.4 总结 17

复习题 19

第 2章　单区域OSPFv2配置 21

学习目标 21

2.1 OSPF路由器ID 21

2.1.1 OSPF参考拓扑 21

2.1.2 OSPF的路由器配置模式 22

2.1.3 路由器ID 22

2.1.4 路由器ID的优先顺序 23

2.1.5 将环回接口配置为路由器ID 23

2.1.6 显式配置路由器ID 24

2.1.7 修改路由器ID 25

2.2 点对点OSPF网络 26

2.2.1 network命令语法 26

2.2.2 通配符掩码 26

2.2.3 使用network命令配置OSPF 27

2.2.4 使用 ip ospf命令配置OSPF 28

2.2.5 被动接口 28

2.2.6 配置被动接口 29

2.2.7 OSPF点对点网络 30

2.2.8 环回和点对点网络 31

2.3 多路访问OSPF网络 32

2.3.1 OSPF网络类型 32

2.3.2 OSPF指定路由器 32

2.3.3 OSPF多路访问参考拓扑 33

2.3.4 验证OSPF路由器的角色 34

2.3.5 验证DR/BDR的邻接关系 36

2.3.6 默认的DR/BDR选举过程 37

2.3.7 DR的故障和恢复 38

2.3.8 ip ospf priority命令 41

2.3.9 配置OSPF优先级 41

2.4 修改单区域OSPFv2 42

2.4.1 思科OSPF开销度量 42

2.4.2 调整参考带宽 43

2.4.3 OSPF累计开销 44

2.4.4 手动设置OSPF开销值 45

2.4.5 测试备份路由的故障切换 47

2.4.6 Hello数据包间隔 47

2.4.7 验证Hello间隔和Dead间隔 48

2.4.8 修改OSPFv2间隔 49

2.5 默认路由的传播 50

2.5.1 在OSPFv2中传播默认静态路由 50

2.5.2 验证默认路由的传播 51

2.6 验证单区域OSPFv2 52

2.6.1 验证OSPF邻居 53

2.6.2 验证OSPF协议设置 54

2.6.3 验证OSPF进程信息 55

2.6.4 验证OSPF接口设置 56

2.7 总结 57

复习题 59

第3章　网络安全概念 62

学习目标 62

3.1 网络安全的现状 62

3.1.1 当前的网络安全形势 62

3.1.2 网络攻击的向量 63

3.1.3 数据丢失 64

3.2 威胁发起者 64

3.2.1 黑客 64

3.2.2 黑客的演变 65

3.2.3 网络犯罪分子 65

3.2.4 激进黑客 66

3.3 威胁发起者工具 66

3.3.1 攻击工具简介 66

3.3.2 安全工具的演变 67

3.3.3 攻击类型 68

3.4 恶意软件 69

3.4.1 恶意软件概述 69

3.4.2 病毒和木马 70

3.4.3 其他类型的恶意软件 71

3.5 常见的网络攻击 71

3.5.1 网络攻击概述 71

3.5.2 侦查攻击 72

3.5.3 访问攻击 72

3.5.4 社交工程攻击 75

3.5.5 DoS和DDoS攻击 76

3.6 IP漏洞和威胁 77

3.6.1 IPv4和IPv6 77

3.6.2 ICMP攻击 78

3.6.3 放大和反射攻击 78

3.6.4 地址欺骗攻击 79

3.7 TCP和UDP漏洞 80

3.7.1 TCP分段报头 80

3.7.2 TCP服务 81

3.7.3 TCP攻击 82

3.7.4 UDP分段报头和操作 83

3.7.5 UDP攻击 84

3.8 IP 服务 84

3.8.1 ARP漏洞 84

3.8.2 ARP缓存毒化 85

3.8.3 DNS攻击 87

3.8.4 DHCP 88

3.8.5 DHCP攻击 89

3.9 网络安全最佳做法 92

3.9.1 机密性、完整性和可用性 92

3.9.2 纵深防御方法 92

3.9.3 防火墙 93

3.9.4 IPS 93

3.9.5 内容安全设备 94

3.10 密码学 96

3.10.1 保护通信安全 96

3.10.2 数据完整性 96

3.10.3 散列函数 97

3.10.4 来源验证 98

3.10.5 数据机密性 100

3.10.6 对称加密 101

3.10.7 非对称加密 102

3.10.8 Diffie-Hellman 103

3.11 总结 104

复习题 106

第4章　ACL概念 108

学习目标 108

4.1 ACL的用途 108

4.1.1 什么是ACL 108

4.1.2 数据包过滤 109

4.1.3 ACL的运行 110

4.2 ACL中的通配符掩码 110

4.2.1 通配符掩码概述 111

4.2.2 通配符掩码的类型 111

4.2.3 通配符掩码计算方法 112

4.2.4 通配符掩码关键字 114

4.3 ACL创建原则 114

4.3.1 限制每个接口上的ACL数量 114

4.3.2 ACL最佳做法 115

4.4 IPv4 ACL的类型 116

4.4.1 标准ACL和扩展ACL 116

4.4.2 编号ACL和命名ACL 117

4.4.3 ACL的放置位置 117

4.4.4 标准ACL应用位置示例 118

4.4.5 扩展ACL应用位置示例 119

4.5 总结 120

复习题 121

第5章　IPv4 ACL的配置 124

学习目标 124

5.1 配置标准IPv4 ACL 124

5.1.1 创建ACL 124

5.1.2 编号的标准IPv4 ACL语法 124

5.1.3 命名的标准IPv4 ACL语法 125

5.1.4 应用标准IPv4 ACL 126

5.1.5 编号的标准IPv4 ACL示例 126

5.1.6 命名的标准IPv4 ACL示例 128

5.2 修改 IPv4 ACL 129

5.2.1 修改ACL的两种方法 130

5.2.2 文本编辑器方法 130

5.2.3 序列号方法 130

5.2.4 修改命名ACL的示例 131

5.2.5 ACL统计信息 132

5.3 使用标准IPv4 ACL保护VTY 端口 132

5.3.1 access-class命令 132

5.3.2 保护VTY访问的示例 133

5.3.3 验证VTY端口的安全性 134

5.4 配置扩展IPv4 ACL 135

5.4.1 扩展ACL 135

5.4.2 编号的扩展IPv4 ACL语法 136

5.4.3 协议和端口 137

5.4.4 协议和端口号配置示例 139

5.4.5 应用编号的扩展IPv4 ACL 139

5.4.6 使用TCP established关键字的扩展ACL 140

5.4.7 命名的扩展IPv4 ACL语法 141

5.4.8 命名的扩展IPv4 ACL示例 141

5.4.9 编辑扩展ACL 142

5.4.10 另一个命名的扩展IPv4 ACL 示例 143

5.4.11 验证扩展ACL 144

5.5 总结 146

复习题 147

第6章　IPv4的NAT 150

学习目标 150

6.1 NAT的特征 150

6.1.1 IPv4私有地址空间 150

6.1.2 什么是NAT 151

6.1.3 NAT的工作原理 152

6.1.4 NAT术语 152

6.2 NAT的类型 154

6.2.1 静态NAT 154

6.2.2 动态NAT 155

6.2.3 端口地址转换 155

6.2.4 下一个可用端口 156

6.2.5 NAT和PAT比较 157

6.2.6 没有第4层数据段的数据包 158

6.3 NAT的优点和缺点 158

6.3.1 NAT的优点 158

6.3.2 NAT的缺点 159

6.4 静态NAT 159

6.4.1 静态NAT的场景 159

6.4.2 配置静态NAT 160

6.4.3 静态NAT的分析 160

6.4.4 验证静态NAT 161

6.5 动态 NAT 162

6.5.1 动态NAT场景 163

6.5.2 配置动态 NAT 163

6.5.3 动态NAT的分析：从内部到外部 164

6.5.4 动态NAT的分析：从外部到内部 165

6.5.5 验证动态NAT 166

6.6 PAT 167

6.6.1 PAT的应用场景 168

6.6.2 使用单个IPv4地址配置PAT 168

6.6.3 使用地址池配置PAT 168

6.6.4 PAT分析：从PC到服务器 169

6.6.5 PAT分析：从服务器到PC 170

6.6.6 验证PAT 171

6.7 NAT64 172

6.7.1 用于IPv6的NAT 172

6.7.2 NAT64 172

6.8 总结 173

复习题 175

第7章　WAN概念 178

学习目标 178

7.1 WAN的用途 178

7.1.1 LAN和WAN 178

7.1.2 专用WAN和公共WAN 179

7.1.3 WAN拓扑 179

7.1.4 电信运营商连接 182

7.1.5 不断演进的网络 183

7.2 WAN的运行方式 186

7.2.1 WAN标准 186

7.2.2 OSI模型中的WAN 186

7.2.3 常见的WAN术语 187

7.2.4 WAN设备 188

7.2.5 串行通信 190

7.2.6 电路交换通信 190

7.2.7 分组交换通信 191

7.2.8 SDH、SONET和DWDM 191

7.3 传统的WAN连接 192

7.3.1 传统的WAN连接选项 192

7.3.2 常见的WAN术语 193

7.3.3 电路交换选项 194

7.3.4 分组交换选项 194

7.4 现代的WAN连接 195

7.4.1 现代WAN 195

7.4.2 现代的WAN连接选项 196

7.4.3 以太网WAN 197

7.4.4 MPLS 198

7.5 基于互联网的连接 198

7.5.1 基于互联网的连接选项 198

7.5.2 DSL技术 199

7.5.3 DSL连接 200

7.5.4 DSL和PPP 200

7.5.5 电缆技术 201

7.5.6 光纤 202

7.5.7 基于无线互联网的宽带 202

7.5.8 VPN技术 203

7.5.9 ISP连接选项 204

7.5.10 宽带解决方案的对比 205

7.6 总结 206

复习题 208

第8章　VPN和IPSec概念 210

学习目标 210

8.1 VPN技术 210

8.1.1 虚拟专用网络 210

8.1.2 VPN的优势 211

8.1.3 站点到站点VPN和远程访问VPN 211

8.1.4 企业VPN和运营商VPN 212

8.2 VPN的类型 213

8.2.1 远程访问VPN 213

8.2.2 SSL VPN 214

8.2.3 站点到站点IPSec VPN 214

8.2.4 基于IPSec的GRE 215

8.2.5 动态多点VPN 216

8.2.6 IPSec虚拟隧道接口 217

8.2.7 服务提供商MPLS VPN 218

8.3 IPSec 219

8.3.1 IPSec技术 219

8.3.2 IPSec协议封装 220

8.3.3 机密性 221

8.3.4 完整性 222

8.3.5 验证 223

8.3.6 使用DH算法进行安全密钥交换 225

8.4 总结 226

复习题 227

第9章　QoS概念 230

学习目标 230

9.1 网络传输质量 230

9.1.1 确定流量优先级 230

9.1.2 带宽、拥塞、延迟和抖动 231

9.1.3 丢包 232

9.2 流量特征 233

9.2.1 网络流量趋势 233

9.2.2 语音 233

9.2.3 视频 234

9.2.4 数据 235

9.3 排队算法 236

9.3.1 排队概述 236

9.3.2 先进先出 236

9.3.3 加权公平排队 237

9.3.4 基于类别的加权公平排队 238

9.3.5 低延迟排队 238

9.4 QoS模型 239

9.4.1 选择一个合适的QoS策略模型 239

9.4.2 尽力而为模型 240

9.4.3 集成服务 240

9.4.4 差分服务 241

9.5 QoS实施技术 242

9.5.1 避免丢包 242

9.5.2 QoS工具 243

9.5.3 分类和标记 244

9.5.4 在第 2层进行标记 244

9.5.5 在第3层进行标记 245

9.5.6 服务类型和流量类别字段 246

9.5.7 DSCP值 246

9.5.8 类别选择器位 247

9.5.9 信任边界 248

9.5.10 拥塞避免 249

9.5.11 整形和管制 249

9.5.12 QoS策略指南 250

9.6 总结 250

复习题 252

第 10章　网络管理 254

学习目标 254

10.1 使用CDP发现设备 254

10.1.1 CDP概述 254

10.1.2 配置和验证CDP 255

10.1.3 使用CDP发现设备 256

10.2 LLDP 259

10.2.1 LLDP概述 259

10.2.2 配置并验证LLDP 259

10.2.3 使用LLDP发现设备 260

10.3 NTP 261

10.3.1 时间和日历服务 261

10.3.2 NTP的运行 262

10.3.3 配置并验证NTP 263

10.4 SNMP 265

10.4.1 SNMP简介 265

10.4.2 SNMP的运行方式 266

10.4.3 SNMP代理trap 266

10.4.4 SNMP版本 268

10.4.5 团体字符串 269

10.4.6 MIB对象ID 271

10.4.7 SNMP轮询场景 272

10.4.8 SNMP对象导航器 273

10.5 系统日志 274

10.5.1 系统日志简介 274

10.5.2 syslog的运行方式 275

10.5.3 syslog消息格式 275

10.5.4 syslog组件 276

10.5.5 配置syslog时间戳 277

10.6 路由器和交换机文件维护 277

10.6.1 路由器文件系统 277

10.6.2 交换机文件系统 279

10.6.3 使用文本文件备份配置 280

10.6.4 使用文本文件恢复配置 281

10.6.5 使用TFTP备份和恢复 配置 281

10.6.6 思科路由器上的USB端口 282

10.6.7 使用USB备份和恢复配置 282

10.6.8 密码恢复流程 284

10.6.9 密码恢复示例 285

10.7 IOS镜像管理 287

10.7.1 TFTP服务器作为备份位置 287

10.7.2 把IOS镜像备份到TFTP服务器的示例 287

10.7.3 把IOS镜像复制到设备的示例 288

10.7.4 boot system命令 290

10.8 总结 291

复习题 293

第 11章　网络设计 296<