CCIE Security Written考试心得

　　350-018总共有100道题，考试时间2个钟头，通过分数线70%（我考了77%）。考试涉及的面比较广，从传统的路由交换到安全原理、安全协议、操作系统安全、网络故障排错等都有。
　　
　　本来以为去年过了CSS1，再考CCIE安全笔试问题应该不大。但才做第一道题就让我有点发懵，一个实际案例题，考你对debug ip packet及fast switching/process switching的理解，题目有点绕，又要不停地在题目和图示之间切换，不习惯。类似这样的案例题估计出了有六、七道，涉及到了用debug ip packet进行故障检测、IPSec crypto map的对端匹配及与NAT的配合（这种类型的题有好几道），还有一些涉及基本路由原理的实例题。
　　
　　最绕人的是里面还出了好几道考Windows安全和Unix安全的题目，Windows安全主要集中在用户/文件权限上，Unix安全有用户/文件权限的题目，还有Kerberos在Unix上的实现这样的题目。
　　
　　所以需要掌握的安全协议有：IPSec（IKE、AH、ESP、Transport/Tunnel Mode）、L2TP、GRE/PPTP（不多，但还是有考到）、Kerberos（我基本没看Kerberos协议的东西，但考到了二三题）、SSH、SSL。还有CA的东西，路由器上配置CA的常见命令，RA/CRL是干什么的，几种认证方式：Preshared key/Encrypted Nonce/Digital Signature的区别是一定要弄清的。
　　
　　AAA部分考到的也不少，其中还有一些绕人的案例题，比如各种aaa authentication/aaa authorization组合在一起，再加一些privilege exec level命令，问你最后的有效privilege命令是哪些。此外radius和tacacs 协议所用的端口号及AAA Server与AAA Client交互时用到哪些message packet类型，及两种协议中Attribte value Pairs的格式也要熟悉。
　　此外就是要注意IOS中的CBAC和Auth-Proxy会有考到，ACL的应用也会有实际的案例题出现。
　　
　　当然IDS也不会缺，虽然考得不深，但IDS Sensor/IDS Director中各种configd、managed等daemon各个是干什么的也要弄清楚。另外一定要记住的是常见attack类型每种的大致工作原理，象Ping of Death/Land.c/Smurf/SYN Flood几种攻击之间的区别要分清。
　　
　　此外要提醒大家的就是，要考这个考试是一定要背的——背端口号。各种安全协议用到的端口号、各种常见网络服务的端口号一定要记，因为它是一定会考的
　　
　　P.S. 我的备考书籍：
　　《Network Security Principles and Practices》
　　http://www.amazon.com/exec/obidos/tg/detail/-/1587050250/qid=1061388004/sr=1-2/ref=sr_1_2/104-9390413-2181523?v=glance&s=books
　　好书，Amazon上的五星书籍，强烈推荐。作者本身也是CCIE Security Written/LAB的出题小组成员之一。我推荐以下和考试关系稍密切些的章节：IPSec、Intrusion Detection（整章）、AAA（整章）、Using Access Control Lists Effectively（比较有实用价值的一节）、Troubleshooting（整章。此章一定要认真看，我也考过CCIE R&S Written，比较起来CCIE Security Written的特点是案例/排错题较多，有实际工程经验当然好，没有的话一定要把IPSec和AAA部分的案例逐一试验。附带说一句，Security的考试中路由协议部分没有IS-IS，BGP的我没遇到，此外VPN3000的内容也没有）。
　　
　　《Enhanced IP Services For Cisco Networks》
　　http://www.amazon.com/exec/obidos/tg/detail/-/1578701066/qid=1061388045/sr=1-1/ref=sr_1_1/104-9390413-2181523?v=glance&s=books
　　另一本好书，尽管是99年出的书了，但现在仍保持着4.9颗星。看看读者对它的评价就知道这本书写得如何了：
　　There are other classics (such as Routing TCP/IP 1 and 2 by Jeff Doyle), but the author of this book explains things so clearly and with a minimum of complexity that you wish he had authored ALL the Cisco Press books.
　　呵呵，我也有这样的想法，可惜这作者好像除了这本书之外就没写过别的什么Cisco的书了。
　　
　　《CCIE Security Exam Certification Guide 》
　　http://www.amazon.com/exec/obidos/tg/detail/-/1587200651/qid=1061388004/sr=1-1/ref=sr_1_1/104-9390413-2181523?v=glance&s=books
　　这本书我就看了General Networking Topics这一章，还没看完。时间不够了。虽然有人对它评价并不太好，但从应对考试角度来讲，这本书和考试内容应该是贴合得最紧的，因为前述的两本书最大的问题就是既没提到WIN/UNIX操作系统安全，也没提到SSL/Kerberos/NTP这些东西，而这本书里全有。如果我看完了这本书，兴许考试的前半段时间也不会那么紧张（那时我以为自己会是挂掉了）。
　　
　　当然bible也要提一提，CCIE安全的bible少，我找到的有TestKing（3.1版）和ActualTests的，而ActualTests基本是在抄TK。TK的题目有两半部分，后半部分偏简单并且有不少来自Boson。前半部分不错，题目有解释，有些解释看得出来作者还是有水平的，但也不能全信，一些答案/解释是错的，前半部分的题目和真实题目较接近，但不会在真实题目中出现超过1/4以上，再加上错误答案，要靠背TK过关基本是不可能。Boson 1和实际考纲接近，但题目有些浅；Boson 2不错，技术深入理解可看Boson 2，但和实际考纲有偏差；Boson 3和实际考纲既不接近，题目也不难，我做了几题就放弃了。
　　
　　最后的一个忠告：不要轻敌。