思科網絡技術學院教程：企業網絡 + 安全 + 自動化, 7/e Enterprise Networking, Security, and Automation Companion Guide (CCNAv7)

Bob Vachon（鲍勃·瓦钦）是寒武纪学院（位于加拿大安大略省萨德伯里）和亚岗昆学院（位于加拿大安大略省渥太华）的教授。他在计算机网络和信息技术方面有30多年的教学经验。他还以团队负责人、主要作者和主题专家的身份参与了许多思科网络学院课程，包括CCNA、CCNA安全、CCNP和网络安全。Bob热爱家庭，喜欢交友，并且喜欢在户外围着篝火弹吉他。

 

Allan Johnson（艾伦·约翰逊）于1999年进入学术界，将所有的精力投入教学中。在此之前，他做了10年的企业主和运营人。他拥有MBA和职业培训与发展专业的教育硕士学位。他曾在高中教授过7年的CCNA课程，并且一直在得克萨斯州科帕斯市的Del Mar学院教授CCNA和CCNP课程。2003年，Allan开始将大部分时间和精力投入CCNA教学支持小组，为全球各地的网络学院的教师提供服务以及开发培训材料。当前，他在思科网络学院担任全职的课程负责人。

第 1章　單區域OSPFv2概念 1

學習目標 1

1.1 OSPF的功能和特點 1

1.1.1 OSPF簡介 1

1.1.2 OSPF的組件 2

1.1.3 鏈路狀態的工作原理 3

1.1.4 單區域和多區域OSPF 6

1.1.5 多區域OSPF 6

1.1.6 OSPFv3 7

1.2 OSPF數據包 8

1.2.1 OSPF數據包類型 8

1.2.2 鏈路狀態更新 9

1.2.3 Hello數據包 10

1.3 OSPF的工作方式 11

1.3.1 OSPF運行狀態 11

1.3.2 建立鄰接關系 12

1.3.3 同步OSPF數據庫 13

1.3.4 對於DR的需求 15

1.3.5 DR的LSA泛洪 16

1.4 總結 17

復習題 19

第 2章　單區域OSPFv2配置 21

學習目標 21

2.1 OSPF路由器ID 21

2.1.1 OSPF參考拓撲 21

2.1.2 OSPF的路由器配置模式 22

2.1.3 路由器ID 22

2.1.4 路由器ID的優先順序 23

2.1.5 將環回接口配置為路由器ID 23

2.1.6 顯式配置路由器ID 24

2.1.7 修改路由器ID 25

2.2 點對點OSPF網絡 26

2.2.1 network命令語法 26

2.2.2 通配符掩碼 26

2.2.3 使用network命令配置OSPF 27

2.2.4 使用 ip ospf命令配置OSPF 28

2.2.5 被動接口 28

2.2.6 配置被動接口 29

2.2.7 OSPF點對點網絡 30

2.2.8 環回和點對點網絡 31

2.3 多路訪問OSPF網絡 32

2.3.1 OSPF網絡類型 32

2.3.2 OSPF指定路由器 32

2.3.3 OSPF多路訪問參考拓撲 33

2.3.4 驗證OSPF路由器的角色 34

2.3.5 驗證DR/BDR的鄰接關系 36

2.3.6 默認的DR/BDR選舉過程 37

2.3.7 DR的故障和恢復 38

2.3.8 ip ospf priority命令 41

2.3.9 配置OSPF優先級 41

2.4 修改單區域OSPFv2 42

2.4.1 思科OSPF開銷度量 42

2.4.2 調整參考帶寬 43

2.4.3 OSPF累計開銷 44

2.4.4 手動設置OSPF開銷值 45

2.4.5 測試備份路由的故障切換 47

2.4.6 Hello數據包間隔 47

2.4.7 驗證Hello間隔和Dead間隔 48

2.4.8 修改OSPFv2間隔 49

2.5 默認路由的傳播 50

2.5.1 在OSPFv2中傳播默認靜態路由 50

2.5.2 驗證默認路由的傳播 51

2.6 驗證單區域OSPFv2 52

2.6.1 驗證OSPF鄰居 53

2.6.2 驗證OSPF協議設置 54

2.6.3 驗證OSPF進程信息 55

2.6.4 驗證OSPF接口設置 56

2.7 總結 57

復習題 59

第3章　網絡安全概念 62

學習目標 62

3.1 網絡安全的現狀 62

3.1.1 當前的網絡安全角勢 62

3.1.2 網絡攻擊的向量 63

3.1.3 數據丟失 64

3.2 威脅發起者 64

3.2.1 黑客 64

3.2.2 黑客的演變 65

3.2.3 網絡犯罪分子 65

3.2.4 激進黑客 66

3.3 威脅發起者工具 66

3.3.1 攻擊工具簡介 66

3.3.2 安全工具的演變 67

3.3.3 攻擊類型 68

3.4 惡意軟件 69

3.4.1 惡意軟件概述 69

3.4.2 病毒和木馬 70

3.4.3 其他類型的惡意軟件 71

3.5 常見的網絡攻擊 71

3.5.1 網絡攻擊概述 71

3.5.2 偵查攻擊 72

3.5.3 訪問攻擊 72

3.5.4 社交工程攻擊 75

3.5.5 DoS和DDoS攻擊 76

3.6 IP漏洞和威脅 77

3.6.1 IPv4和IPv6 77

3.6.2 ICMP攻擊 78

3.6.3 放大和反射攻擊 78

3.6.4 地址欺騙攻擊 79

3.7 TCP和UDP漏洞 80

3.7.1 TCP分段報頭 80

3.7.2 TCP服務 81

3.7.3 TCP攻擊 82

3.7.4 UDP分段報頭和操作 83

3.7.5 UDP攻擊 84

3.8 IP 服務 84

3.8.1 ARP漏洞 84

3.8.2 ARP緩存毒化 85

3.8.3 DNS攻擊 87

3.8.4 DHCP 88

3.8.5 DHCP攻擊 89

3.9 網絡安全最佳做法 92

3.9.1 機密性、完整性和可用性 92

3.9.2 縱深防禦方法 92

3.9.3 防火牆 93

3.9.4 IPS 93

3.9.5 內容安全設備 94

3.10 密碼學 96

3.10.1 保護通信安全 96

3.10.2 數據完整性 96

3.10.3 散列函數 97

3.10.4 來源驗證 98

3.10.5 數據機密性 100

3.10.6 對稱加密 101

3.10.7 非對稱加密 102

3.10.8 Diffie-Hellman 103

3.11 總結 104

復習題 106

第4章　ACL概念 108

學習目標 108

4.1 ACL的用途 108

4.1.1 什麽是ACL 108

4.1.2 數據包過濾 109

4.1.3 ACL的運行 110

4.2 ACL中的通配符掩碼 110

4.2.1 通配符掩碼概述 111

4.2.2 通配符掩碼的類型 111

4.2.3 通配符掩碼計算方法 112

4.2.4 通配符掩碼關鍵字 114

4.3 ACL創建原則 114

4.3.1 限制每個接口上的ACL數量 114

4.3.2 ACL最佳做法 115

4.4 IPv4 ACL的類型 116

4.4.1 標準ACL和擴展ACL 116

4.4.2 編號ACL和命名ACL 117

4.4.3 ACL的放置位置 117

4.4.4 標準ACL應用位置示例 118

4.4.5 擴展ACL應用位置示例 119

4.5 總結 120

復習題 121

第5章　IPv4 ACL的配置 124

學習目標 124

5.1 配置標準IPv4 ACL 124

5.1.1 創建ACL 124

5.1.2 編號的標準IPv4 ACL語法 124

5.1.3 命名的標準IPv4 ACL語法 125

5.1.4 應用標準IPv4 ACL 126

5.1.5 編號的標準IPv4 ACL示例 126

5.1.6 命名的標準IPv4 ACL示例 128

5.2 修改 IPv4 ACL 129

5.2.1 修改ACL的兩種方法 130

5.2.2 文本編輯器方法 130

5.2.3 序列號方法 130

5.2.4 修改命名ACL的示例 131

5.2.5 ACL統計信息 132

5.3 使用標準IPv4 ACL保護VTY 埠 132

5.3.1 access-class命令 132

5.3.2 保護VTY訪問的示例 133

5.3.3 驗證VTY埠的安全性 134

5.4 配置擴展IPv4 ACL 135

5.4.1 擴展ACL 135

5.4.2 編號的擴展IPv4 ACL語法 136

5.4.3 協議和埠 137

5.4.4 協議和埠號配置示例 139

5.4.5 應用編號的擴展IPv4 ACL 139

5.4.6 使用TCP established關鍵字的擴展ACL 140

5.4.7 命名的擴展IPv4 ACL語法 141

5.4.8 命名的擴展IPv4 ACL示例 141

5.4.9 編輯擴展ACL 142

5.4.10 另一個命名的擴展IPv4 ACL 示例 143

5.4.11 驗證擴展ACL 144

5.5 總結 146

復習題 147

第6章　IPv4的NAT 150

學習目標 150

6.1 NAT的特徵 150

6.1.1 IPv4私有地址空間 150

6.1.2 什麽是NAT 151

6.1.3 NAT的工作原理 152

6.1.4 NAT術語 152

6.2 NAT的類型 154

6.2.1 靜態NAT 154

6.2.2 動態NAT 155

6.2.3 埠地址轉換 155

6.2.4 下一個可用埠 156

6.2.5 NAT和PAT比較 157

6.2.6 沒有第4層數據段的數據包 158

6.3 NAT的優點和缺點 158

6.3.1 NAT的優點 158

6.3.2 NAT的缺點 159

6.4 靜態NAT 159

6.4.1 靜態NAT的場景 159

6.4.2 配置靜態NAT 160

6.4.3 靜態NAT的分析 160

6.4.4 驗證靜態NAT 161

6.5 動態 NAT 162

6.5.1 動態NAT場景 163

6.5.2 配置動態 NAT 163

6.5.3 動態NAT的分析：從內部到外部 164

6.5.4 動態NAT的分析：從外部到內部 165

6.5.5 驗證動態NAT 166

6.6 PAT 167

6.6.1 PAT的應用場景 168

6.6.2 使用單個IPv4地址配置PAT 168

6.6.3 使用地址池配置PAT 168

6.6.4 PAT分析：從PC到服務器 169

6.6.5 PAT分析：從服務器到PC 170

6.6.6 驗證PAT 171

6.7 NAT64 172

6.7.1 用於IPv6的NAT 172

6.7.2 NAT64 172

6.8 總結 173

復習題 175

第7章　WAN概念 178

學習目標 178

7.1 WAN的用途 178

7.1.1 LAN和WAN 178

7.1.2 專用WAN和公共WAN 179

7.1.3 WAN拓撲 179

7.1.4 電信運營商連接 182

7.1.5 不斷演進的網絡 183

7.2 WAN的運行方式 186

7.2.1 WAN標準 186

7.2.2 OSI模型中的WAN 186

7.2.3 常見的WAN術語 187

7.2.4 WAN設備 188

7.2.5 串行通信 190

7.2.6 電路交換通信 190

7.2.7 分組交換通信 191

7.2.8 SDH、SONET和DWDM 191

7.3 傳統的WAN連接 192

7.3.1 傳統的WAN連接選項 192

7.3.2 常見的WAN術語 193

7.3.3 電路交換選項 194

7.3.4 分組交換選項 194

7.4 現代的WAN連接 195

7.4.1 現代WAN 195

7.4.2 現代的WAN連接選項 196

7.4.3 以太網WAN 197

7.4.4 MPLS 198

7.5 基於互聯網的連接 198

7.5.1 基於互聯網的連接選項 198

7.5.2 DSL技術 199

7.5.3 DSL連接 200

7.5.4 DSL和PPP 200

7.5.5 電纜技術 201

7.5.6 光纖 202

7.5.7 基於無線互聯網的寬帶 202

7.5.8 VPN技術 203

7.5.9 ISP連接選項 204

7.5.10 寬帶解決方案的對比 205

7.6 總結 206

復習題 208

第8章　VPN和IPSec概念 210

學習目標 210

8.1 VPN技術 210

8.1.1 虛擬專用網絡 210

8.1.2 VPN的優勢 211

8.1.3 站點到站點VPN和遠程訪問VPN 211

8.1.4 企業VPN和運營商VPN 212

8.2 VPN的類型 213

8.2.1 遠程訪問VPN 213

8.2.2 SSL VPN 214

8.2.3 站點到站點IPSec VPN 214

8.2.4 基於IPSec的GRE 215

8.2.5 動態多點VPN 216

8.2.6 IPSec虛擬隧道接口 217

8.2.7 服務提供商MPLS VPN 218

8.3 IPSec 219

8.3.1 IPSec技術 219

8.3.2 IPSec協議封裝 220

8.3.3 機密性 221

8.3.4 完整性 222

8.3.5 驗證 223

8.3.6 使用DH算法進行安全密鑰交換 225

8.4 總結 226

復習題 227

第9章　QoS概念 230

學習目標 230

9.1 網絡傳輸質量 230

9.1.1 確定流量優先級 230

9.1.2 帶寬、擁塞、延遲和抖動 231

9.1.3 丟包 232

9.2 流量特徵 233

9.2.1 網絡流量趨勢 233

9.2.2 語音 233

9.2.3 視頻 234

9.2.4 數據 235

9.3 排隊算法 236

9.3.1 排隊概述 236

9.3.2 先進先出 236

9.3.3 加權公平排隊 237

9.3.4 基於類別的加權公平排隊 238

9.3.5 低延遲排隊 238

9.4 QoS模型 239

9.4.1 選擇一個合適的QoS策略模型 239

9.4.2 盡力而為模型 240

9.4.3 集成服務 240

9.4.4 差分服務 241

9.5 QoS實施技術 242

9.5.1 避免丟包 242

9.5.2 QoS工具 243

9.5.3 分類和標記 244

9.5.4 在第 2層進行標記 244

9.5.5 在第3層進行標記 245

9.5.6 服務類型和流量類別字段 246

9.5.7 DSCP值 246

9.5.8 類別選擇器位 247

9.5.9 信任邊界 248

9.5.10 擁塞避免 249

9.5.11 整形和管制 249

9.5.12 QoS策略指南 250

9.6 總結 250

復習題 252

第 10章　網絡管理 254

學習目標 254

10.1 使用CDP發現設備 254

10.1.1 CDP概述 254

10.1.2 配置和驗證CDP 255

10.1.3 使用CDP發現設備 256

10.2 LLDP 259

10.2.1 LLDP概述 259

10.2.2 配置並驗證LLDP 259

10.2.3 使用LLDP發現設備 260

10.3 NTP 261

10.3.1 時間和日歷服務 261

10.3.2 NTP的運行 262

10.3.3 配置並驗證NTP 263

10.4 SNMP 265

10.4.1 SNMP簡介 265

10.4.2 SNMP的運行方式 266

10.4.3 SNMP代理trap 266

10.4.4 SNMP版本 268

10.4.5 團體字符串 269

10.4.6 MIB對象ID 271

10.4.7 SNMP輪詢場景 272

10.4.8 SNMP對象導航器 273

10.5 系統日誌 274

10.5.1 系統日誌簡介 274

10.5.2 syslog的運行方式 275

10.5.3 syslog消息格式 275

10.5.4 syslog組件 276

10.5.5 配置syslog時間戳 277

10.6 路由器和交換機文件維護 277

10.6.1 路由器文件系統 277

10.6.2 交換機文件系統 279

10.6.3 使用文本文件備份配置 280

10.6.4 使用文本文件恢復配置 281

10.6.5 使用TFTP備份和恢復 配置 281

10.6.6 思科路由器上的USB埠 282

10.6.7 使用USB備份和恢復配置 282

10.6.8 密碼恢復流程 284

10.6.9 密碼恢復示例 285

10.7 IOS鏡像管理 287

10.7.1 TFTP服務器作為備份位置 287

10.7.2 把IOS鏡像備份到TFTP服務器的示例 287

10.7.3 把IOS鏡像復制到設備的示例 288

10.7.4 boot system命令 290

10.8 總結 291

復習題 293

第 11章　網絡設計 296

學習目標 296

11.1 分層網絡 296

11.1.1 擴展網絡的需求 296

11.1.2 無邊界交換網絡 298

11.1.3 無邊界交換網絡的層次結構 299

11.1.4 接入層、分佈層和核心層的功能 301

11.1.5 三層示例和兩層示例 301

11.1.6 交換網絡的角色 303

11.2 可擴展的網絡 303

11.2.1 可擴展性設計 303

11.2.2 冗餘規劃 306

11.2.3 降低故障域的大小 306

11.2.4 增加帶寬 309

11.2.5 擴展接入層 310

11.2.6 調整路由協議 311

11.3 交換機硬件 311

11.3.1 交換機平臺 311

11.3.2 交換機的外形因素 313

11.3.3 埠密度 315

11.3.4 轉發速率 316

11.3.5 以太網供電 316

11.3.6 多層交換 318

11.3.7 交換機選擇上的業務考量 318

11.4 路由器硬件 319

11.4.1 路由器需求 319

11.4.2 思科路由器 319

11.4.3 路由器的外形因素 321

11.5 總結 323

復習題 324

第 12章　排除網絡故障 327

學習目標 327

12.1 網絡文檔 327

12.1.1 文檔概述 327

12.1.2 網絡拓撲圖 327

12.1.3 網絡設備文檔 330

12.1.4 建立網絡基線 331

12.1.5 第 1步：確定要收集的數據類型 331

12.1.6 第 2步：確定感興趣的設備和埠 331

12.1.7 第3步：確定基線的持續時間 332

12.1.8 數據測量 333

12.2 故障排除流程 334

12.2.1 通用的故障排除步驟 334

12.2.2 七步驟故障排除流程 335

12.2.3 詢問終端用戶 336

12.2.4 收集信息 337

12.2.5 使用分層模型進行故障排除 338

12.2.6 結構化的故障排除方法 338

12.2.7 故障排除法的選擇準則 341

12.3 故障排除工具 342

12.3.1 軟件故障排除工具 342

12.3.2 協議分析器 343

12.3.3 硬件故障排除工具 343

12.3.4 syslog服務器作為故障排除工具 346

12.4 網絡問題的症狀和原因 347

12.4.1 物理層故障排除 347

12.4.2 數據鏈路層故障排除 349

12.4.3 網絡層故障排除 350

12.4.4 傳輸層故障排除：ACL 352

12.4.5 傳輸層故障排除：IPv4 NAT 353

12.4.6 應用層故障排除 354

12.5 排除IP連接故障 356

12.5.1 端到端連接故障排除的步驟 356

12.5.2 端到端的連接問題引發故障排除 357

12.5.3 步驟1：驗證物理層 359

12.5.4 步驟2：檢查雙工不匹配 360

12.5.5 步驟3：驗證本地網絡上的編址 361

12.5.6 VLAN分配的故障排除示例 363

12.5.7 步驟4：驗證默認網關 365

12.5.8 IPv6默認網關故障排除示例 366

12.5.9 步驟5：驗證路徑是否正確 368

12.5.10 步驟6：驗證傳輸層 370

12.5.11 步驟7：驗證ACL 371

12.5.12 步驟8：驗證DNS 373

12.6 總結 374

復習題 376

第 13章　網絡虛擬化 378

學習目標 378

13.1 雲計算 378

13.1.1 雲概述 378

13.1.2 雲服務 378

13.1.3 雲類型 379

13.1.4 雲計算與數據中心 379

13.2 虛擬化 380

13.2.1 雲計算和虛擬化 380

13.2.2 專用服務器 380

13.2.3 服務器虛擬化 381

13.2.4 虛擬化的優勢 382

13.2.5 抽象層 383

13.2.6 第 2類虛擬機監控程序 384

13.3 虛擬網絡基礎設施 384

13.3.1 第 1類虛擬機監控程序 384

13.3.2 在虛擬機監控程序中安裝虛擬機 385

13.3.3 網絡虛擬化的復雜性 386

13.4 軟件定義網絡 387

13.4.1 控制平面和數據平面 387

13.4.2 網絡虛擬化技術 389

13.4.3 傳統架構和SDN架構 390

13.5 控制器 391

13.5.1 SDN控制器和操作 391

13.5.2 ACI的核心組件 392

13.5.3 主乾—枝葉拓撲 393

13.5.4 SDN類型 393

13.5.5 APIC-EM功能 395

13.5.6 APIC-EM路徑跟蹤 396

13.6 總結 396

復習題 398

第 14章　網絡自動化 400

學習目標 400

14.1 自動化概述 400

14.1.1 自動化的增長 400

14.1.2 會思考的設備 401

14.2 數據格式 401

14.2.1 數據格式的概念 401

14.2.2 數據格式的規則 402

14.2.3 數據格式的對比 402

14.2.4 JSON數據格式 403

14.2.5 JSON的語法規則 404

14.2.6 YAML的數據格式 405

14.2.7 XML的數據格式 406

14.3 API 406

14.3.1 API的概念 407

14.3.2 API示例 407

14.3.3 開放API、內部API和合作夥伴API 408

14.3.4 Web服務API的類型 409

14.4 REST 409

14.4.1 REST和RESTful API 410

14.4.2 RESTful的實現 410

14.4.3 URI、URN和URL 411

14.4.4 RESTful請求的解析 411

14.4.5 RESTful API應用 413

14.5 配置管理工具 414

14.5.1 傳統的網絡配置 414

14.5.2 網絡自動化 415

14.5.3 配置管理工具 416

14.5.4 比較Ansible、Chef、Puppet和SaltStack 416

14.6 IBN和思科DNA Center 417

14.6.1 IBN概述 417

14.6.2 網絡基礎設施即矩陣 417

14.6.3 思科數字網絡架構（DNA） 419

14.6.4 思科DNA Center 420

14.7 總結 421

復習題 422

附錄A　復習題答案 425