　　　　350-018总共有100道题，考试时间2个钟头，通过分数线70%（我考了77%）。考试涉及的面比较广，从传统的路由交换到安全原理、安全协议、操作系统安全、网络故障排错等都有。
　　
　　　　本来以为去年过了CSS1，再考CCIE安全笔试问题应该不大。但才做第一道题就让我有点发懵，一个实际案例题，考你对debug ip packet及fast switching/process switching的理解，题目有点绕，又要不停地在题目和图示之间切换，不习惯。类似这样的案例题估计出了有六、七道，涉及到了用debug ip packet进行故障检测、IPSec crypto map的对端匹配及与NAT的配合（这种类型的题有好几道），还有一些涉及基本路由原理的实例题。
　　
　　　　最绕人的是里面还出了好几道考Windows安全和Unix安全的题目，Windows安全主要集中在用户/文件权限上，Unix安全有用户/文件权限的题目，还有Kerberos在Unix上的实现这样的题目。
　　
　　　　所以需要掌握的安全协议有：IPSec（IKE、AH、ESP、Transport/Tunnel Mode）、L2TP、GRE/PPTP（不多，但还是有考到）、Kerberos（我基本没看Kerberos协议的东西，但考到了二三题）、SSH、SSL。还有CA的东西，路由器上配置CA的常见命令，RA/CRL是干什么的，几种认证方式：Preshared key/Encrypted Nonce/Digital Signature的区别是一定要弄清的。
　　
　　　　AAA部分考到的也不少，其中还有一些绕人的案例题，比如各种aaa authentication/aaa authorization组合在一起，再加一些privilege exec level命令，问你最后的有效privilege命令是哪些。此外radius和tacacs+协议所用的端口号及AAA Server与AAA Client交互时用到哪些message packet类型，及两种协议中Attribte value Pairs的格式也要熟悉。
　　　　此外就是要注意IOS中的CBAC和Auth-Proxy会有考到，ACL的应用也会有实际的案例题出现。
　　
　　　　当然IDS也不会缺，虽然考得不深，但IDS Sensor/IDS Director中各种configd、managed等daemon各个是干什么的也要弄清楚。另外一定要记住的是常见attack类型每种的大致工作原理，象Ping of Death/Land.c/Smurf/SYN Flood几种攻击之间的区别要分清。
　　
　　　　此外要提醒大家的就是，要考这个考试是一定要背的——背端口号。各种安全协议用到的端口号、各种常见网络服务的端口号一定要记，因为它是一定会考的
　　
　　P.S. 我的备考书籍：
　　《Network Security Principles and Practices》
　　http://www.amazon.com/exec/obidos/tg/detail/-/1587050250/qid=1061388004/sr=1-2/ref=sr_1_2/104-9390413-2181523?v=glance&s=books
　　　　好书，Amazon上的五星书籍，强烈推荐。作者本身也是CCIE Security Written/LAB的出题小组成员之一。我推荐以下和考试关系稍密切些的章节：IPSec、Intrusion Detection（整章）、AAA（整章）、Using Access Control Lists Effectively（比较有实用价值的一节）、Troubleshooting（整章。此章一定要认真看，我也考过CCIE R&S Written，比较起来CCIE Security Written的特点是案例/排错题较多，有实际工程经验当然好，没有的话一定要把IPSec和AAA部分的案例逐一试验。附带说一句，Security的考试中路由协议部分没有IS-IS，BGP的我没遇到，此外VPN3000的内容也没有）。
　　
　　《Enhanced IP Services For Cisco Networks》
　　http://www.amazon.com/exec/obidos/tg/detail/-/1578701066/qid=1061388045/sr=1-1/ref=sr_1_1/104-9390413-2181523?v=glance&s=books
　　　　另一本好书，尽管是99年出的书了，但现在仍保持着4.9颗星。

[1] [2] 下一页

上一篇:CCNA学习之“独孤九剑”

下一篇:最新CCNP 642-801考试心得