Mike Valentine已在IT领域工作12年，重点是网络设计和实现。他目前是Skyline高级技术服务公司的一名Cisco培训师，专门教Cisco统一通信以及CCNA和CCNP课程。2002年开始从教以来，他的平易近人、幽默和有效的教学风格已经使cisco对数百学生非神秘化。Mike有加拿大英属哥伦比亚大学（UBC）的文学士学位并且现在持有MCSE：安全、CCDA、CCNP、CCVP、CTP、Convergence+和CEH证书。除了流行的本书外，Mike作为Cisco出版社的技术编辑出版了题为（（CCNP ONT官方考试认证指南》和CCNA闪存卡，现在在新的Ciseo UCAD（统一通信体系结构和设计）课程的课件开发组。
　　Andrew Whitaker（M．Sc、CISSP、CCVP、CCNP、CCSP、CCNA、CCDA、MCSE、MCTS、CNE、CEI、CEH、ECSA、Security、Network、C0nvegence、CTP）是InfoSec和网络公司的主任，Training Camp公司的高级培训讲师。Training Camp是一家国际培训公司，通过它独一无二的加速学习模式，它每年帮助数千IT专业人员通过认证。为Training Camp的专家教学已被华尔街杂志、Philadelphia调查者、证书杂志和商业周刊收集。除了合著本书之外，Andrew还合著了Cisco出版社题为《渗透考试和网络防线》一书，并合著了关于Ciseo认证的文章CertiffcationZone。An—drew目前正对其他图书进行著作和技术编辑。

　　本书是一本CCNA应试必要的学习指南，由Cisco技术的知名培训师编写。CCNA考试的内容已几度变化，本书编写的考试目标是最新的考试内容。本书针对新的考试目标帮助应试者全面复习、掌握新的考试内容。除了讲解应掌握的内容外，几乎每章都有考试准备题。书前有一个考试精要，上面有考前记忆的要点。附带的光碟上有新CCNA考试（640-802）的大量准备工具和资料。为了有助于准备Cisco模拟考试，光碟上包含CCNA考试目标、正确和不正确答案的解释和多种模式的考试。最后还有PC机、便携机和Palm手持机的电子闪存卡以及本书的电子版。相信通过本书的学习，应试者定能顺利地通过这一考试。

　　与其他技术的发展一样，不同的产品开发商都渴望自己的产品能够占有市场并开始获利，因此在标准没有被推出之前，一些非标准化的安全系统就已经开始出现，而这一切最终会导致一个可以被大多数产品开发商支持的、公平一致的，并且具有可靠安全性的标准推出。一个众所周知的道理是，如果你不在系统中配置安全，它就是不安全的!
　　WIAN的安全标准
　　在下面的内容中，将介绍四个为通过考试需要了解的安全标准。
　　有线等效保密(WEP)标准是作为802．11的一部分被引入的。WEP是一个使用预共享密钥的系统，它要求所有的AP和所有的客户必须配置有相同的密钥串，并使用这一密钥串来进行认证和传送加密的数据。这样做令管理者头痛的问题是密钥的更换，也就是说所配置的密钥不能实现经常的更换，这是一个很大的问题。此外，wEP所使用的加密算法也相对脆弱。由于所有的客户都在不断地使用着相同的密钥，而其加密又是这样的一个脆弱算法，所有这些问题，使得黑客在截获了大量的认证数据后，他就可以破解这个加密方案，进而读取到所传输的数据，并在需要时连接进被保护的网络。
　　某些生产商通过一些附加的功能(注意，不是标准中的组成内容)来弥补WEP存在的缺陷。许多AP可以设置不广播SSID，这样那些等待连接的客户就必须要事先知道网络使用的SSID。但这也阻碍不了真正的黑客，他仍然有办法通过捕获WI。AN的流量来获取使用中的SSID。另一个辅助安全的功能是通过过滤媒体访问控制(MAC)地址(即客户方无线网卡上的地址)，来限定对AP的连接。实现这一功能的前提假设是，不存在两个相同的MAC地址，这样只需在AP上附加一个用于过滤的简短的MAC地址列表，在这个列表中包含有被授权访问的MAC地址。遗憾的是，使用软件来修改源MAC地址并不是件难事，当我们了解了被授权主机的MAC地址后，我们就可以假冒这些MAC。
　　由于WEP的安全功能只能防范那些正直的人们，因此在当前的wLAN的部署中它不能被视为一种可行安全方案。
　　Cisco的过渡解决方案
　　证方Cisco针对WEP所存在的问题设计出一整套过渡性解决方案。通过与Wi—Fi联盟的合作，Cisco通过引入IEEE 802．1x中的认证协议，并将它与自己的扩展认证协议(EAP)相结合，从而显著地增加了wLAN的安全性能。下面是Cisco的解决方案所提供的三个关键性的改进： 动态的密钥交换——该方案采用了一流的密码学方法来解决密钥的配置问题。在预共享密钥方案中，所有的设备都必须进行手工的配置(这也是很少密钥被改动的原因)，而在动态密钥方案中，密钥配置可以在不同的设备上私下秘密地进行，不需要对这一过程进行统一的管理约束。Cisco使用了一种专用的
　　方法来完成动态密钥图由此AP接入网络，并获得免费的Internet访问。在我家附近的12个AP中，有四个是根本没有使用任何安全防护的，我可以连接到它们，使用它们所提供的In一·ternet服务，并且如果我愿意，还可以访问这些邻居的家庭网络。黑客——黑客们通常会需要得到更多免费的对Inter’net的访问；
　　他们总是在寻找他们所感兴趣和对他们有用的信息，如信用卡号码或其他被保护的数据，或者他们也会出于恶意或无聊而粗暴地破坏某些人的网络。他们也可能会通过中断Yahoo在一小时内的服务，来表明自己有自夸的权力，或者通过直接将他们的前雇主踢下线，来实施报复。
　　内部攻击——这些攻击是因公司内部雇员恶意或错误的操作而形成的。一个典型的示例是，某个雇员购买了一个小型的AP，并将它连人到了他们办公室的网络中。这个新买的AP在默认时是没有任何安全配置的，
　　这时黑客就可以轻易地连接到这个办公网络中，并偷偷地进入，盗取公司的信息。黑客甚至不需要四处搜取信息，只需要简单地截获那些未加密的流量，就有可能得到有用的或私密的信息。FBI的评估表明，有超过75％的网络攻击是来自网络内部的公司职员。骗子．AP——这些AP是未经许可就被放置在WIAN内部的AP。通常，黑客会花一些时间使用一些简单易用的软件工具来截获已投入使用的AP和客户间的通信。即使配置了安全措施，只要花足够的时间，认证和加密的弱点就可以被攻克。在黑客掌握了所需要的信息后，他就可以使用正确的SSID和认证密钥建立一个骗子．AP。然后网络中的客户们会与这个设备建立关联，此时这个黑客就可以直接访问通过这个AP的所有信息。
　　这些问题会使商业网络的管理员非常担忧。但好在，WAN在商业领域并没有被全面展开，因为他们知道WI。AN的主要问题就是缺乏安全性能。
　　保障WLAN安全的方法
　　WT．AN卜的安全保障主要有三种方式：
　　认证——要求所有要连接到AP的客户机提供某些被称为密钥的(但愿是安全的)信息，来证明它们是被授权因而是可以连接的。在理想状态下，我们希望使用双向的相互认证，这里的AP也需要向客户机证明它是合法的(而不是骗子)AP。有强度的密码系统允许只对正确密钥的检验进行交换，而不需要实际去发送密钥；通过这样的数学处理，黑客将无法截获到密钥，进而使用它来获取有授权的访问。加密——是指对原始数据应用一个数学公式和一个密钥，将它加密为不可读懂的数据流，只有那些使用了正确密钥和解密公式的设备才能进行解密。即使黑客截获了被加密的数据，没有密钥他们也不能解密这一数据。这里要排除那些使用弱密码的方案，对于这样的一些方案进行快速地破解也是完全有可能的。而对于高强度的密码方案，
　　要破解它们可能需要花费几年的时间，而在那时，大部分被加密的数据已经不再具有保密的价值了。入侵检测／入侵防护——这些系统是防止对WI。AN进行未授权使用而设计的。这些系统通常是作为轻量级基础设施的一部分来运行的。其中，我最喜欢的一个系统，是可以发现系统中新加入的AP，然后讯问它，并在认定它是一个骗子AP时强的建立和交换。
　　使用802．1x来完成用户的认证——在这个部分中引入了现行的IEEE的认证设计，它要求客户在尝试连接时提供一个用户名／口令包。这为可能出现的入侵行为增加了一层复杂度，因为要通过有效的认证黑客必须要先获得用户名和相应的口令。要绕过正确配置的802．1x认证是相当困难的，但是要建立这样的一个正确的配置也是相当复杂的。
　　每包一密钥——使用动态密钥方案，每个被发送的数据包其加密的密钥都将不同，这样即使黑客计算出了这个密钥，他所能读取的也只是这一个数据包。这种操作会极大地增加数据包处理的开销，但是随着设备计算能力的不断提高和设备成本的不断降低，这样做的好处还是要大于它所带来的问题。
　　WPA由于IEEE标准的批准过程总是要慢于市场的需求，因此，Cisco率先推出了一个将专用协议和标准协议相融合的协议组合，来解决WLAN中的安全问题。当Cisco在自己的产品上进行这些改造时，Wi—Fi联盟则
　　在保持关注IEEE的动向，当IEEE的标准没有推出之前，他们并没有走得太远，只是发布了一个WLAN行业级标准(与IEEE的标准相对应的)的安全方案，被称为Wi—Fi网络安全访问(WPA)。
　　wPA设定了与Cisco方案基本相同的目标，但却采用了不同的实现方式。动态密钥采用了暂时密钥集成协议(TKIP)标准。而WAP的设备认证可以采用简单的预共享密钥，或802．1x的认证。对于普通消费者和商业应用，这一方式得到了认可，因为典型的普通消费者不需要去建立一个802．1x的认证系统，而对于多数的商业应用来说，他们可以建立这样的系统并希望拥有更高的安全保护。、wi—Fi联盟的拥护者，为使用WPA方案提供了一个附加的优势，wi—Fi的认证程序可以为所有经Wi-Fi认
　　证的设备在互联操作时的可靠性提供保证。在2005年，IEEE发布了它的802．1li安全标准，其中包含了使用动态密钥的功能，并且通过采用高级加密标准(AES)算法极大地增强了它的安全性。这虽然与Cisco和wPA的系统在功能上很相似，但802．11i
　　却与它们不相兼容，因为它提供了更强的加密性能。wi—Fi联盟为了保持与802．1li标准的一致，它推出了被称为WPA2的设备认证标准。这样做保持了WPA在客户和IT经理头脑中一贯的成功印象，但这对WPA和WPA2是否是两个不同标准的认识造成了一定的混淆。但实际上，它们不是。
　　WLAN配置的基本步骤安装一个WLAN是相对简单的过程，你只需要记住下面的操作步骤，这样既方便你的生活又可了解Cisco在CCNA中需要你掌握的内容。

第1章网络基础
引言
组件和术语
拓扑
LAN技术
以太网
WAN技术
专用租赁线连接
电路交换连接
包交换连接
信元交换连接
无线网络
其他网络技术
考试准备题
考试准备题答案

第2章网络模型
引言
Cisco分级模型
接人层
分配层
核心层
三层模型的优点
OSI模型
第7层：应用层
第6层：表示层
第5层：会话层
第4层：传输层
第3层：网络层
第2层：数据链路层
第1层：物理层
TCP／IP模型
考试准备题
考试准备题答案

第3章IP寻址的概念
引言
二进制
十六进制
在二进制十六进制和十进制间转换
十进制到十六进制的转换
十六进制到十进制的转换
IP地址的结构
地址类
默认子网掩码
网络字段
主机字段
非默认掩码
子网字段
子网划分
地址类和默认掩码
增量
主机数量
广播ID
子网数量
解决子网划分问题
子网划分图
考试准备题
考试准备题答案

第4章使用Cisco设备
引言
产品
外部连接
控制端
辅助端口
以太网端口
串行端口
其他连接
连接并配置Cisco设备
设备存储器的位置
IOS的启动过程
设置模式
配置寄存器
口令恢复
命令行模式
命令快捷方式
关联上下文的帮助
基本交换机配置
基本路由器配置
保护路由器和交换机
为路由器配置SSH访问
考试准备题
考试准备题答案

第5章管理路由器
引言
IOS的命名惯例
备份并恢复IOS
备份和恢复配置
排错与远程管理
安全壳(SSH)
考试准备题
考试准备题答案

第6章基本Catalyst交换机的操作与配置
引言
桥接与交换
网桥与交换机的功能
交换机与网桥的不同
交换模式
STP
考试准备题
考试准备题答案

第7章广域网简介
引言
封装类型
Cisco的HDLC
PPP
组成
配置
验证和排错
帧中继
概念和术语
水平分割问题
配置
验证和排错
网络地址转换
NAT术语
NAT的应用.优点和缺点
静态NAT
动态NAT
PAT
考试准备题
考试准备题答案

第8章无线局域网
引言
WLAN的标准
无需许可证无线电频段
802.11
802.11a
802.11b
802.11g
802.11n
WLAN操作模式
AdHoc模式
基础结构模式
基本服务集和扩展服务集
B5S
ESS
WLAN的安全
WLAN的安全威胁
保障WLAN安全的方法
WLAN的安全标准
WLAN配置的基本步骤
考试准备题
考试准备题答案

第9章基本网络安全
引言
安全需求
减轻威胁的步骤
侦查攻击
访问攻击
拒绝服务攻击
常见的安全应用
最佳的实践
考试准备题
考试准备题答案

第10章基本路由
引言
静态路由
默认路由
动态路由
RIP
RIP的特性
RIP的实施
RIP的验证及故障排除
考试准备题
考试准备题答案

第11章小型办公室连接到因特网
引言
使用Cisco路由器和安全设备管理器(SDM)进行基本的配置
设置主机名.域和登录证书
使用SDMExpress配置IP寻址
使用SDMExpress配置DHCP服务器
在SDMExpress中设置WAN接口
使用SDMExpress配置NAT
防火墙选项
安全配置复选框
SDMExpress配置小结
在SDM中配置默认路由
使用SDM界面测试连接性
使用CLI对交换机进行基本配置
保证交换机的安全
配置管理IP和默认网关
考试准备题
考试准备题答案

第12章Catalyst交换机的高级操作与配置
引言
生成树协议(STP)
选举根
STP用BPDU进行通信
端口类型
端口类型选择
收敛
RSTP增强版
VLAN的概念及应用
VLAN的定义
VLAN的好处
VLAN的实施
VLAN成员关系
中继
ISL
802.1Q
在交换机上配置中继
VTP
VTP交换机的模式
VTP通信
VTP修剪
VTP配置
VTP的验证及故障排除
VLAN之间的路由
独臂路由器
第3层交换
考试准备题
考试准备题答案

第13章IP访问表
引言
访问表的类型
标准型ACL
扩展型ACl
命名型ACL
配置与实施
配置标准型ACL
通配符掩码
配置扩展型ACL
过滤Telnet和SSH访问
高级选项
配置命名型ACL
使用SDM配置ACL
ACL配置的故障排除及验证
考试准备题
考试准备题答案

第14章路由
引言
EIGRP
EIGRP的特征
EIGRP的实施
EIGRP的验证及故障排除
OSPF
特性
OSPF的实施
OSPF的验证及故障排除
考试准备题
考试准备题答案

第15章广域网
引言
封装类型
CiscoHDLC
PPP
组件
配置
验证及故障排除
帧中继
概念与术语
水平分割问题
配置
验证及故障排除
VPN
IPSecVPN