思科网络技术学院教程(第7版企业网络+安全+自动化) (加)鲍勃·瓦钦//(美)艾伦·约翰逊 著 思科系统公司 译

第 1章  单区域OSPFv2概念 1 学习目标 1 1.1 OSPF的功能和特点 1 1.1.1 OSPF简介 1 1.1.2 OSPF的组件 2 1.1.3 链路状态的工作原理 3 1.1.4 单区域和多区域OSPF 6 1.1.5 多区域OSPF 6 1.1.6 OSPFv3 7 1.2 OSPF数据包 8 1.2.1 OSPF数据包类型 8 1.2.2 链路状态更新 9 1.2.3 Hello数据包 10 1.3 OSPF的工作方式 11 1.3.1 OSPF运行状态 11 1.3.2 建立邻接关系 12 1.3.3 同步OSPF数据库 13 1.3.4 对于DR的需求 15 1.3.5 DR的LSA泛洪 16 1.4 总结 17 复习题 19 第 2章  单区域OSPFv2配置 21 学习目标 21 2.1 OSPF路由器ID 21 2.1.1 OSPF参考拓扑 21 2.1.2 OSPF的路由器配置模式 22 2.1.3 路由器ID 22 2.1.4 路由器ID的优先顺序 23 2.1.5 将环回接口配置为路由器ID 23 2.1.6 显式配置路由器ID 24 2.1.7 修改路由器ID 25 2.2 点对点OSPF网络 26 2.2.1 network命令语法 26 2.2.2 通配符掩码 26 2.2.3 使用network命令配置OSPF 27 2.2.4 使用 ip ospf命令配置OSPF 28 2.2.5 被动接口 28 2.2.6 配置被动接口 29 2.2.7 OSPF点对点网络 30 2.2.8 环回和点对点网络 31 2.3 多路访问OSPF网络 32 2.3.1 OSPF网络类型 32 2.3.2 OSPF指定路由器 32 2.3.3 OSPF多路访问参考拓扑 33 2.3.4 验证OSPF路由器的角色 34 2.3.5 验证DR/BDR的邻接关系 36 2.3.6 默认的DR/BDR选举过程 37 2.3.7 DR的故障和恢复 38 2.3.8 ip ospf priority命令 41 2.3.9 配置OSPF优先级 41 2.4 修改单区域OSPFv2 42 2.4.1 思科OSPF开销度量 42 2.4.2 调整参考带宽 43 2.4.3 OSPF累计开销 44 2.4.4 手动设置OSPF开销值 45 2.4.5 测试备份路由的故障切换 47 2.4.6 Hello数据包间隔 47 2.4.7 验证Hello间隔和Dead间隔 48 2.4.8 修改OSPFv2间隔 49 2.5 默认路由的传播 50 2.5.1 在OSPFv2中传播默认静态路由 50 2.5.2 验证默认路由的传播 51 2.6 验证单区域OSPFv2 52 2.6.1 验证OSPF邻居 53 2.6.2 验证OSPF协议设置 54 2.6.3 验证OSPF进程信息 55 2.6.4 验证OSPF接口设置 56 2.7 总结 57 复习题 59 第3章  网络安全概念 62 学习目标 62 3.1 网络安全的现状 62 3.1.1 当前的网络安全形势 62 3.1.2 网络攻击的向量 63 3.1.3 数据丢失 64 3.2 威胁发起者 64 3.2.1 黑客 64 3.2.2 黑客的演变 65 3.2.3 网络犯罪分子 65 3.2.4 激进黑客 66 3.3 威胁发起者工具 66 3.3.1 攻击工具简介 66 3.3.2 安全工具的演变 67 3.3.3 攻击类型 68 3.4 恶意软件 69 3.4.1 恶意软件概述 69 3.4.2 病毒和木马 70 3.4.3 其他类型的恶意软件 71 3.5 常见的网络攻击 71 3.5.1 网络攻击概述 71 3.5.2 侦查攻击 72 3.5.3 访问攻击 72 3.5.4 社交工程攻击 75 3.5.5 DoS和DDoS攻击 76 3.6 IP漏洞和威胁 77 3.6.1 IPv4和IPv6 77 3.6.2 ICMP攻击 78 3.6.3 放大和反射攻击 78 3.6.4 地址欺骗攻击 79 3.7 TCP和UDP漏洞 80 3.7.1 TCP分段报头 80 3.7.2 TCP服务 81 3.7.3 TCP攻击 82 3.7.4 UDP分段报头和操作 83 3.7.5 UDP攻击 84 3.8 IP 服务 84 3.8.1 ARP漏洞 84 3.8.2 ARP缓存毒化 85 3.8.3 DNS攻击 87 3.8.4 DHCP 88 3.8.5 DHCP攻击 89 3.9 网络安全很好做法 92 3.9.1 机密性、完整性和可用性 92 3.9.2 纵深防御方法 92 3.9.3 防火墙 93 3.9.4 IPS 93 3.9.5 内容安全设备 94 3.10 密码学 96 3.10.1 保护通信安全 96 3.10.2 数据完整性 96 3.10.3 散列函数 97 3.10.4 来源验证 98 3.10.5 数据机密性 100 3.10.6 对称加密 101 3.10.7 非对称加密 102 3.10.8 Diffie-Hellman 103 3.11 总结 104 复习题 106 第4章  ACL概念 108 学习目标 108 4.1 ACL的用途 108 4.1.1 什么是ACL 108 4.1.2 数据包过滤 109 4.1.3 ACL的运行 110 4.2 ACL中的通配符掩码 110 4.2.1 通配符掩码概述 111 4.2.2 通配符掩码的类型 111 4.2.3 通配符掩码计算方法 112 4.2.4 通配符掩码关键字 114 4.3 ACL创建原则 114 4.3.1 每个接口上的ACL数量 114 4.3.2 ACL很好做法 115 4.4 IPv4 ACL的类型 116 4.4.1 标准ACL和扩展ACL 116 4.4.2 编号ACL和命名ACL 117 4.4.3 ACL的放置位置 117 4.4.4 标准ACL应用位置示例 118 4.4.5 扩展ACL应用位置示例 119 4.5 总结 120 复习题 121 第5章  IPv4 ACL的配置 124 学习目标 124 5.1 配置标准IPv4 ACL 124 5.1.1 创建ACL 124 5.1.2 编号的标准IPv4 ACL语法 124 5.1.3 命名的标准IPv4 ACL语法 125 5.1.4 应用标准IPv4 ACL 126 5.1.5 编号的标准IPv4 ACL示例 126 5.1.6 命名的标准IPv4 ACL示例 128 5.2 修改 IPv4 ACL 129 5.2.1 修改ACL的两种方法 130 5.2.2 文本编辑器方法 130 5.2.3 序列号方法 130 5.2.4 修改命名ACL的示例 131 5.2.5 ACL统计信息 132 5.3 使用标准IPv4 ACL保护VTY 端口 132 5.3.1 access-class命令 132 5.3.2 保护VTY访问的示例 133 5.3.3 验证VTY端口的安全性 134 5.4 配置扩展IPv4 ACL 135 5.4.1 扩展ACL 135 5.4.2 编号的扩展IPv4 ACL语法 136 5.4.3 协议和端口 137 5.4.4 协议和端口号配置示例 139 5.4.5 应用编号的扩展IPv4 ACL 139 5.4.6 使用TCP established关键字的扩展ACL 140 5.4.7 命名的扩展IPv4 ACL语法 141 5.4.8 命名的扩展IPv4 ACL示例 141 5.4.9 编辑扩展ACL 142 5.4.10 另一个命名的扩展IPv4 ACL 示例 143 5.4.11 验证扩展ACL 144 5.5 总结 146 复习题 147 第6章  IPv4的NAT 150 学习目标 150 6.1 NAT的特征 150 6.1.1 IPv4私有地址空间 150 6.1.2 什么是NAT 151 6.1.3 NAT的工作原理 152 6.1.4 NAT术语 152 6.2 NAT的类型 154 6.2.1 静态NAT 154 6.2.2 动态NAT 155 6.2.3 端口地址转换 155 6.2.4 下一个可用端口 156 6.2.5 NAT和PAT比较 157 6.2.6 没有第4层数据段的数据包 158 6.3 NAT的优点和缺点 158 6.3.1 NAT的优点 158 6.3.2 NAT的缺点 159 6.4 静态NAT 159 6.4.1 静态NAT的场景 159 6.4.2 配置静态NAT 160 6.4.3 静态NAT的分析 160 6.4.4 验证静态NAT 161 6.5 动态 NAT 162 6.5.1 动态NAT场景 163 6.5.2 配置动态 NAT 163 6.5.3 动态NAT的分析：从内部到外部 164 6.5.4 动态NAT的分析：从外部到内部 165 6.5.5 验证动态NAT 166 6.6 PAT 167 6.6.1 PAT的应用场景 168 6.6.2 使用单个IPv4地址配置PAT 168 6.6.3 使用地址池配置PAT 168 6.6.4 PAT分析：从PC到服务器 169 6.6.5 PAT分析：从服务器到PC 170 6.6.6 验证PAT 171 6.7 NAT64 172 6.7.1 用于IPv6的NAT 172 6.7.2 NAT64 172 6.8 总结 173 复习题 175 第7章  WAN概念 178 学习目标 178 7.1 WAN的用途 178 7.1.1 LAN和WAN 178 7.1.2 专用WAN和公共WAN 179 7.1.3 WAN拓扑 179 7.1.4 电信运营商连接 182 7.1.5 不断演进的网络 183 7.2 WAN的运行方式 186 7.2.1 WAN标准 186 7.2.2 OSI模型中的WAN 186 7.2.3 常见的WAN术语 187 7.2.4 WAN设备 188 7.2.5 串行通信 190 7.2.6 电路交换通信 190 7.2.7 分组交换通信 191 7.2.8 SDH、SONET和DWDM 191 7.3 传统的WAN连接 192 7.3.1 传统的WAN连接选项 192 7.3.2 常见的WAN术语 193 7.3.3 电路交换选项 194 7.3.4 分组交换选项 194 7.4 现代的WAN连接 195 7.4.1 现代WAN 195 7.4.2 现代的WAN连接选项 196 7.4.3 以太网WAN 197 7.4.4 MPLS 198 7.5 基于互联网的连接 198 7.5.1 基于互联网的连接选项 198 7.5.2 DSL技术 199 7.5.3 DSL连接 200 7.5.4 DSL和PPP 200 7.5.5 电缆技术 201 7.5.6 光纤 202 7.5.7 基于无线互联网的宽带 202 7.5.8 VPN技术 203 7.5.9 ISP连接选项 204 7.5.10 宽带解决方案的对比 205 7.6 总结 206 复习题 208 第8章  VPN和IPSec概念 210 学习目标 210 8.1 VPN技术 210 8.1.1 虚拟专用网络 210 8.1.2 VPN的优势 211 8.1.3 站点到站点VPN和远程访问VPN 211 8.1.4 企业VPN和运营商VPN 212 8.2 VPN的类型 213 8.2.1 远程访问VPN 213 8.2.2 SSL VPN 214 8.2.3 站点到站点IPSec VPN 214 8.2.4 基于IPSec的GRE 215 8.2.5 动态多点VPN 216 8.2.6 IPSec虚拟隧道接口 217 8.2.7 服务提供商MPLS VPN 218 8.3 IPSec 219 8.3.1 IPSec技术 219 8.3.2 IPSec协议封装 220 8.3.3 机密性 221 8.3.4 完整性 222 8.3.5 验证 223 8.3.6 使用DH算法进行安全密钥交换 225 8.4 总结 226 复习题 227 第9章  QoS概念 230 学习目标 230 9.1 网络传输质量 230 9.1.1 确定流量优先级 230 9.1.2 带宽、拥塞、延迟和抖动 231 9.1.3 丢包 232 9.2 流量特征 233 9.2.1 网络流量趋势 233 9.2.2 语音 233 9.2.3 视频 234 9.2.4 数据 235 9.3 排队算法 236 9.3.1 排队概述 236 9.3.2 优选先出 236 9.3.3 加权公平排队 237 9.3.4 基于类别的加权公平排队 238 9.3.5 低延迟排队 238 9.4 QoS模型 239 9.4.1 选择一个合适的QoS策略模型 239 9.4.2 尽力而为模型 240 9.4.3 集成服务 240 9.4.4 差分服务 241 9.5 QoS实施技术 242 9.5.1 避免丢包 242 9.5.2 QoS工具 243 9.5.3 分类和标记 244 9.5.4 在第 2层进行标记 244 9.5.5 在第3层进行标记 245 9.5.6 服务类型和流量类别字段 246 9.5.7 DSCP值 246 9.5.8 类别选择器位 247 9.5.9 信任边界 248 9.5.10 拥塞避免 249 9.5.11 整形和管制 249 9.5.12 QoS策略指南 250 9.6 总结 250 复习题 252 第 10章  网络管理 254 学习目标 254 10.1 使用CDP发现设备 254 10.1.1 CDP概述 254 10.1.2 配置和验证CDP 255 10.1.3 使用CDP发现设备 256 10.2 LLDP 259 10.2.1 LLDP概述 259 10.2.2 配置并验证LLDP 259 10.2.3 使用LLDP发现设备 260 10.3 NTP 261 10.3.1 时间和日历服务 261 10.3.2 NTP的运行 262 10.3.3 配置并验证NTP 263 10.4 SNMP 265 10.4.1 SNMP简介 265 10.4.2 SNMP的运行方式 266 10.4.3 SNMP代理trap 266 10.4.4 SNMP版本 268 10.4.5 团体字符串 269 10.4.6 MIB对象ID 271 10.4.7 SNMP轮询场景 272 10.4.8 SNMP对象导航器 273 10.5 系统日志 274 10.5.1 系统日志简介 274 10.5.2 syslog的运行方式 275 10.5.3 syslog消息格式 275 10.5.4 syslog组件 276 10.5.5 配置syslog时间戳 277 10.6 路由器和交换机文件维护 277 10.6.1 路由器文件系统 277 10.6.2 交换机文件系统 279 10.6.3 使用文本文件备份配置 280 10.6.4 使用文本文件恢复配置 281 10.6.5 使用TFTP备份和恢复 配置 281 10.6.6 思科路由器上的USB端口 282 10.6.7 使用USB备份和恢复配置 282 10.6.8 密码恢复流程 284 10.6.9 密码恢复示例 285 10.7 IOS镜像管理 287 10.7.1 TFTP服务器作为备份位置 287 10.7.2 把IOS镜像备份到TFTP服务器的示例 287 10.7.3 把IOS镜像复制到设备的示例 288 10.7.4 boot system命令 290 10.8 总结 291 复习题 293 第 11章  网络设计 296 学习目标 296 11.1 分层网络 296 11.1.1 扩展网络的需求 296 11.1.2 无边界交换网络 298 11.1.3 无边界交换网络的层次结构 299 11.1.4 接入层、分布层和核心层的功能 301 11.1.5 三层示例和两层示例 301 11.1.6 交换网络的角色 303 11.2 可扩展的网络 303 11.2.1 可扩展性设计 303 11.2.2 冗余规划 306 11.2.3 降低故障域的大小 306 11.2.4 增加带宽 309 11.2.5 扩展接入层 310 11.2.6 调整路由协议 311 11.3 交换机硬件 311 11.3.1 交换机平台 311 11.3.2 交换机的外形因素 313 11.3.3 端口密度 315 11.3.4 转发速率 316 11.3.5 以太网供电 316 11.3.6 多层交换 318 11.3.7 交换机选择上的业务考量 318 11.4 路由器硬件 319 11.4.1 路由器需求 319 11.4.2 思科路由器 319 11.4.3 路由器的外形因素 321 11.5 总结 323 复习题 324 第 12章  排除网络故障 327 学习目标 327 12.1 网络文档 327 12.1.1 文档概述 327 12.1.2 网络拓扑图 327 12.1.3 网络设备文档 330 12.1.4 建立网络基线 331 12.1.5 第 1步：确定要收集的数据类型 331 12.1.6 第 2步：确定感兴趣的设备和端口 331 12.1.7 第3步：确定基线的持续时间 332 12.1.8 数据测量 333 12.2 故障排除流程 334 12.2.1 通用的故障排除步骤 334 12.2.2 七步骤故障排除流程 335 12.2.3 询问终端用户 336 12.2.4 收集信息 337 12.2.5 使用分层模型进行故障排除 338 12.2.6 结构化的故障排除方法 338 12.2.7 故障排除法的选择准则 341 12.3 故障排除工具 342 12.3.1 软件故障排除工具 342 12.3.2 协议分析器 343 12.3.3 硬件故障排除工具 343 12.3.4 syslog服务器作为故障排除工具 346 12.4 网络问题的症状和原因 347 12.4.1 物理层故障排除 347 12.4.2 数据链路层故障排除 349 12.4.3 网络层故障排除 350 12.4.4 传输层故障排除：ACL 352 12.4.5 传输层故障排除：IPv4 NAT 353 12.4.6 应用层故障排除 354 12.5 排除IP连接故障 356 12.5.1 端到端连接故障排除的步骤 356 12.5.2 端到端的连接问题引发故障排除 357 12.5.3 步骤1：验证物理层 359 12.5.4 步骤2：检查双工不匹配 360 12.5.5 步骤3：验证本地网络上的编址 361 12.5.6 VLAN分配的故障排除示例 363 12.5.7 步骤4：验证默认网关 365 12.5.8 IPv6默认网关故障排除示例 366 12.5.9 步骤5：验证路径是否正确 368 12.5.10 步骤6：验证传输层 370 12.5.11 步骤7：验证ACL 371 12.5.12 步骤8：验证DNS 373 12.6 总结 374 复习题 376 第 13章  网络虚拟化 378 学习目标 378 13.1 云计算 378 13.1.1 云概述 378 13.1.2 云服务 378 13.1.3 云类型 379 13.1.4 云计算与数据中心 379 13.2 虚拟化 380 13.2.1 云计算和虚拟化 380 13.2.2 专用服务器 380 13.2.3 服务器虚拟化 381 13.2.4 虚拟化的优势 382 13.2.5 抽象层 383 13.2.6 第 2类虚拟机监控程序 384 13.3 虚拟网络基础设施 384 13.3.1 第 1类虚拟机监控程序 384 13.3.2 在虚拟机监控程序中安装虚拟机 385 13.3.3 网络虚拟化的复杂性 386 13.4 软件定义网络 387 13.4.1 控制平面和数据平面 387 13.4.2 网络虚拟化技术 389 13.4.3 传统架构和SDN架构 390 13.5 控制器 391 13.5.1 SDN控制器和操作 391 13.5.2 ACI的核心组件 392 13.5.3 主干—枝叶拓扑 393 13.5.4 SDN类型 393 13.5.5 APIC-EM功能 395 13.5.6 APIC-EM路径跟踪 396 13.6 总结 396 复习题 398 第 14章  网络自动化 400 学习目标 400 14.1 自动化概述 400 14.1.1 自动化的增长 400 14.1.2 会思考的设备 401 14.2 数据格式 401 14.2.1 数据格式的概念 401 14.2.2 数据格式的规则 402 14.2.3 数据格式的对比 402 14.2.4 JSON数据格式 403 14.2.5 JSON的语法规则 404 14.2.6 YAML的数据格式 405 14.2.7 XML的数据格式 406 14.3 API 406 14.3.1 API的概念 407 14.3.2 API示例 407 14.3.3 开放API、内部API和合作伙伴API 408 14.3.4 Web服务API的类型 409 14.4 REST 409 14.4.1 REST和RESTful API 410 14.4.2 RESTful的实现 410 14.4.3 URI、URN和URL 411 14.4.4 RESTful请求的解析 411 14.4.5 RESTful API应用 413 14.5 配置管理工具 414 14.5.1 传统的网络配置 414 14.5.2 网络自动化 415 14.5.3 配置管理工具 416 14.5.4 比较Ansible、Chef、Puppet和SaltStack 416 14.6 IBN和思科DNA Center 417 14.6.1 IBN概述 417 14.6.2 网络基础设施即矩阵 417 14.6.3 思科数字网络架构（DNA） 419 14.6.4 思科DNA Center 420 14.7 总结 421 复习题 422 附录A  复习题答案 425