Gregg Schudel，CCIE No．959l（Security）于2000年作为咨询系统工程师加入Cisco Systems，其职责是为美国的网络服务提供商组织提供支持。Gregg关注针对长途交换电信运营商、网络服务提供商及移动服务提供商的IP核心网络和服务安全性体系结构和技术。
　　此外，Gregg还是Corporate and Field资源小组的成员，该小组的工作重点在于推动Cisco服务提供商安全性策略。在加入Cisco Systems之前，Gregg在BBN Technologies公司工作了多年，他负责支持与DARPA及联邦政府其他机构共同进行的涉及到安全性方面的网络安全性研究和开发。
　　Gregg拥有乔治华盛顿大学的工程学硕士学位和获得佛罗里达理工学院的工程学学士学位。
　　David J．Smith，CCIE No．1 986（Routing and Switching）于1995年作为咨询工程师加入Cisco Systems，其职责是为美国的网络服务提供商组织提供支持。David从1999年开始关注服务提供商IP核心和边缘网络技术，包括IP路由、MPLS技术、QoS、架构安全性及网络遥测。在1995-1999年，David负责为企业用户在设计园区WAN和全球WAN方面提供支持。在加入Cisco Systems之前，David在Bellcore公司工作，负责开发系统软件以及开通ATM交换机试验局。
　　David在卡内基·梅隆大学获得信息网络硕士学位，在里海大学获得计算机工程学士学位。

　　《路由器安全策略》的目标在于使读者熟悉对IP网络流量平面进行分隔和安全保护所需的概念、效益以及实施细节。全书分4个部分。第1部分提供了IP协议、IP网络运行及路由器和路由硬件以及软件运行的基本概述。第2部分提供了深入、详细的内容以供网络专家实现IP流量平面分隔和保护策略，还针对经验不足的网络技术人员提供了详细的IP路由器运行描述。第3部分提供了针对两种不同网络类型——企业网络和服务提供商网络的案例研究。这些案例研究用于进一步说明在第2部分中介绍的策略如何集成为一个完整的IP网络流量平面分隔和保护规划。第4部分则对《路由器安全策略》正文部分所讨论的内容进行了补充，提供了一些不仅在阅读《路由器安全策略》过程中有用，而且在日常工作中也很有帮助的参考内容。
　　《路由器安全策略》适合组织机构中负责部署和维护IP及IP/MPLS网络的网络工程师，以及网络运营和网络安全性人员阅读。

　　第1部分
　　第1章　互联网协议操作基础
　　1.5　IP路由器包处理概念
　　本章最后要讨论的一个议题是路由器的软件和硬件体系结构。这个议题可以与前面所有的概念结合在一起，共同说明IP流量平面的分离与控制，对于IP网络的稳定、性能和运行的重要性。
　　路由器的作用是转发数据包。无论是来自数据平面还是服务平面的数据包，路由器都必须尽可能高效地对其进行处理。同时，这些路由器还必须通过控制平面和管理平面来建立和维护网络。IP流量平面的概念是一个“逻辑的”概念，它为制定和执行具体的安全需求提出了一个框架。正如图1—5（略）所示的，IP流量平面的安全概念，既可以从互联网的角度来解读，也可以从单独的路由器的角度来解读。流量从何处来，又到何处去？网络的边界在哪里，什么样的流量可以穿过边界？在不同的路由协议中，应包含哪些IP地址？这些问题，以及许多其他方面的问题，都将在后续章节中进行讨论和解答。
　　正如图1一5（略）中的透视图所示，在这一过程中最重要的部分是，那些在网络中独立的路由器处理真实的数据包。日复一日，这些设备只能以一种自治的方式，协调自身的硬件、软件和配置进行工作。了解一个独立的路由器是如何处理每一个从接口处接收到的数据包类型，以及路由器在处理这些数据包时必须调用的资源，是IP流量平面安全的关键概念。
　　虽然本节的描述特别侧重于思科路由器，但是，这些概念并非仅适用于思科的平台。每一个“接触”到数据包的网络设备，都具有一个硬件和软件的体系结构，设计这些体系结构的目的是处理数据包，确定对数据包进行的操作，并对数据包应用某些策略。在这里，术语“策略”意味着任何被应用于数据包的操作，一般包括转发／丢弃、整形邝艮制速率、重新着色、复制和隧道/封装。
　　路由器的主要目的是将包从一个网络接口转发到另一个接口。每个网络接口，或者代表一个直连网段，包含主机和服务器，或者代表在沿着数据包最终目的地址的下游路径中，指向下一跳路由设备的连接。从最根本的意义上说，IP路由器的第3层决策过程包括以下几个步骤。

第1部分
第1章　互联网协议操作基础
1.1　IP网络概念
1.1.1　企业网络
1.1.2　服务提供商网络
1.2　IP协议操作
1.3　IP流量概念
1.3.1　过境IP包
1.3.2　接收-邻接IP包
1.3.3　异常IP和非IP包
1.4　IP流量平面
1.4.1　数据平面
1.4.2　控制平面
1.4.3　管理平面
1.4.4　服务平面
1.5　IP路由器包处理概念
1.5.1　进程交换
1.5.2　快速交换
1.5.3　思科特快转发
1.6　常见的IP路由器体系结构类型
1.6.1　集中式的基于CPU的体系结构
1.6.2　集中式的基于ASIC的体系结构
1.6.3　分布式的基于CPU的体系结构
1.6.4　分布式的基于ASIC的体系结构
1.7　小结
1.8　复习题
1.9　延伸阅读

第2章　IP网络的威胁方式
2.1　对于IP网络基础设施的威胁
2.1.1　资源消耗攻击
2.1.2　欺骗攻击
2.1.3　传输协议攻击
2.1.4　路由协议威胁
2.1.5　其他IP控制平面威胁
2.1.6　未经授权的接入攻击
2.1.7　软件漏洞
2.1.8　恶意网络监测
2.2　针对第2层网络基础设施的威胁
2.2.1　CAM表溢出攻击
2.2.2　MAC欺骗攻击
2.2.3　VLAN的跳跃攻击(VLAN Hopping Attacks)
2.2.4　专用VLAN攻击
2.2.5　STP攻击
2.2.6　VTP攻击
2.3　针对IP VPN网络基础设施的威胁
2.3.1　MPLS VPN威胁模式
2.3.2　针对用户边缘的威胁
2.3.3　针对运营商边缘的威胁
2.3.4　针对运营商核心的威胁
2.3.5　针对跨运营商边缘的威胁
2.3.6　IPSec VPN的威胁模式
2.4　小结
2.5　复习题
2.6　延伸阅读

第3章　IP网络流量平面安全概念
3.1　全方位防御的原则
3.1.1　理解全方位的防御概念
3.1.2　IP网络流量平面：全方位的防御
3.1.3　网络接口类型
3.2　网络边缘安全概念
3.2.1　互联网边缘
3.2.2　MPLS VPN边缘
3.3　网络核心安全概念
3.3.1　IP核心
3.3.2　MPLS VPN核心
3.4　小结
3.5　复习题
3.6　延伸阅读

第2部分
第4章　IP数据平面安全性
4.1　接口ACL技术
4.2　单播RPF技术
4.2.1　严格uRPF
4.2.2　松散uRPF
4.2.3　VRF模式uRPF
4.2.4　可行性uRPF
4.3　灵活的数据包匹配
4.4　QoS技术
4.4.1　排队
4.4.2　IP QoS数据包着色(标记)
4.4.3　速率限制
4.5　IP选项技术
4.5.1　禁用IP源路由
4.5.2　IP选项选择性丢弃
4.5.3　用于过滤IP选项的ACL支持
4.5.4　控制平面管辖
4.6　ICMP数据平面减缓技术
4.7　禁用IP直接广播
4.8　IP健康检查
4.9　使用QPPB的BGP策略增强
4.10　IP路由技术
4.10.1　IP网络核心基础结构隐藏
4.10.2　IP网络边缘外部链接保护
4.10.3　远程触发黑洞过滤
4.11　IP传输和应用层技术
4.11.1　TCP截取
4.11.2　网络地址转换
4.11.3　IOS防火墙
4.11.4　IOS入侵预防系统
4.11.5　通信清洗
4.11.6　深度数据包检查
4.12　第2层以太网安全技术
4.12.1　端口安全性
4.12.2　基于MAC地址的通信阻塞
4.12.3　禁用自动主干
4.12.4　VLAN ACL
4.12.5　IP来源守卫
4.12.6　专用VLAN
4.12.7　通信风暴控制
4.12.8　未知单播流阻塞
4.13　小结
4.14　复习题
4.15　延伸阅读

第5章　IP控制平面安全性
5.1　禁用未使用的控制平面服务
5.2　ICMP技术
5.3　选择性数据包丢弃
5.3.1　SPD状态检查
5.3.2　SPD输入队列检查
5.3.3　SP监视和优化
5.4　IP接收ACL
5.5　控制平面管辖
5.5.1　CoPP配置指导原则
5.5.2　特定于平台的CoPP实现细节
5.6　邻居身份验证
5.6.1　MD5身份验证
5.6.2　一般化的TTL安全机制
5.7　特定于协议的ACL过滤器
5.8　BGP安全技术
5.8.1　BGP前缀过滤器
5.8.2　IP前缀限制
5.8.3　AS路径限制
5.8.4　BGP正常重启
5.9　第二层以太网控制平面安全
5.9.1　VTP身份验证
5.9.2　DHCP偷窥
5.9.3　动态ARP检查
5.9.4　粘性ARP
5.9.5　跨越树协议
5.10　小结
5.11　复习题
5.12　延伸阅读

第6章  IP管理平面安全性
6.1　管理接口
6.2　密码安全
6.3　SNMP安全
6.4　远程终端访问安全
6.5　禁用未使用的管理平面服务
6.6　禁用空闲的用户会话
6.7　系统标志
6.8　安全的IOS文件系统
6.9　基于角色的CLI访问
6.10　管理平面保护
6.11　身份验证、授权和计账
6.12　自动安全
6.13　网络遥测和安全
6.14　针对MPLS VPN的VPN管理
6.15　小结
6.16　复习题
6.17　延伸阅读

第7章  IP服务平面安全性
7.1　服务平面概述
7.2　服务质量
7.2.1　QoS机制
7.2.2　保护QoS服务
7.3　MPLS VPN服务
7.3.1　MPLS VPN概述
7.3.2　客户边缘安全性
7.3.3　提供商边缘安全性
7.3.4　提供商核心安全性
7.3.5　提供商之间边缘安全性
7.4　IPsec VPN服务
7.4.1　IPsec VPN概述
7.4.2　保护IPsec VPN服务
7.4.3　其他IPsec安全相关特性
7.5　其他服务
7.5.1　SSL VPN服务
7.5.2　VoIP服务
7.5.3　视频服务
7.6　小结
7.7　复习题
7.8　延伸阅读

第3部分
第8章  企业网络案例研究
8.1　案例研究1：IPSec VPN和互联网访问
8.1.1　网络拓扑结构和要求
8.1.2　路由器配置
8.2　案例研究2：MPLS VPN
8.2.1　网络拓扑结构和要求
8.2.2　路由器配置
8.3　小结
8.4　延伸阅读

第9章  服务提供商网络案例研究
9.1　案例研究1：IPSec VPN和互联网接入
9.1.1　网络拓扑和需求
9.1.2　路由器配置
9.2　案例研究2：MPLS VPN
9.2.1　网络拓扑和需求
9.2.2　路由器配置
9.3　小结
9.4　延伸阅读
第4部分

附录A　复习题答案
附录B　IP协议报头
B.1　IP版本4头
B.2　TCP头
B.3　UDP头
B.4　ICMP头
B.4.1　ICMP回应请求/回应回复查询消息头
B.4.2　传输中的ICMP生存时间超过消息头
B.4.3　ICMP目的地不可到达、分段需要和设置不分段错误消息头
B.4.4　其他ICMP目的不可到达错误消息头
B.5　以太网/802.1 Q头
B.5.1　IEEE 802.3以太网帧头格式
B.5.2　IEEE 802.1 Q VLAN头格式
B.6　MPLS协议头
B.7　延伸阅读

附录C　Cisco IOS到XOS XR安全性过渡
C.1  数据平面安全性命令
C.2  控制平面安全性命令
C.3  管理平面安全性命令
C.4  服务平面安全性命令
C.5  延伸阅读

附录D　安全事故处理
D.1  事故响应的6个阶段
D.1.1  准备
D.1.2  确定
D.1.3  分类
D.1.4  跟踪
D.1.5  反应
D.1.6  事后评估分析
D.2  Cisco产品安全
D.2.1  Cisco安全弱点策略
D.2.2  Cisco计算机和网络安全
D.2.3  Cisco安全
D.2.4  IPS签名包更新和归档
D.2.5  Cisco安全中心
D.2.6  Cisco IntelliShield警报管理器服务
D.2.7  Cisco软件中心
D.3  行业安全组合
D.4  域网络操作员组织
D.5  延伸阅读