Cisco CCSP 的学习和考试经验分享
首先,介绍一下吧,
Cisco CCSP及时 Cisco Certified Security Professional,是Cisco Career认证的较新的一种。和较常见的CCNP CCDP属于同一个级别。
获得 CCSP 的完全需求如下
1. CCNA
2. Cisco Secure PIX Firewall Advanced (9E0-111) or Cisco Secure PIX Firewall Advanced (9E0-571) or Cisco Secure PIX Firewall Advanced (642-521)
3. Managing Cisco Network Security (640-100) or Managing Cisco Network Security (640-442) or SECUR (642-501)
4. Cisco Secure Virtual Private Networks (9E0-121) or Cisco Secure Virtual Private Networks (9E0-570) or Cisco Secure Virtual Private Networks (642-511)
5. CSIDS (9E0-100) or Intrusion Detection System with Policy Manager (9E0-572)
6. CSI (642-541) or CSI (9E0-131)
7. CQS- Cisco Security Specialist 1
8. CSI (9E0-131)
也就是有你必须完全满足以上条件。1,7,8必须完全满足,其余的选择该条件的一门就可以。
所以在9月30号以前理想路线就是
考
Cisco Secure PIX Firewall Advanced (9E0-111)
Managing Cisco Network Security (640-100)
Cisco Secure Virtual Private Networks (9E0-121)
CSIDS Intrusion Detection System (9E0-100)
CSI Safe Implementation (9E0-131)
这5门,当然你必须已经是CCNA
比较有趣的是由于以上组合满足一些Cisco特殊证书的条件,所以实际你考了
这5门,将获得5个证书(奶奶的,这叫一个多 )分别是:
- CCSP(5门)
- INFOSEC(Information Systems Security Professional) (640-100,9E0-100, 9E0-111, 9E0-121)
- PIX Specialist (640-100, 9E0-111)
- VPN specialist (640-100, 9E0-121)
- IDS speicalist (640-100, 9E0-100)
当然,如果你问这证书值多少,我只能说,没有考的时候,每门值125USD$,考完了,值多少,就像任何其他证书一样,要看个人了。
二、Managing Cisco Network Security (640-100)实战篇
内容:这门考试的内容只要涉及Cisco Router的防火墙功能,外加对PIX firewall地初步了解
考试时间:90minutes
考题数目:61+
通过分数:800 (86%)
满分:1000
考试资料:
Sybex - CCSP Securing Cisco IOS Networks Study Guide (642-501)
Sygress -- CISCO network security对考试内容有部分涉猎
CISCO MNCS 培训Presentation
Testking 5.1
这里面,当然Sybex的书,因为是专门针对这个问题的,所以是最好的。这本书写得很简练,读一遍所以花不了很多时间。课后题我没有看,不过应该不错。所以推荐。
Sygress的这本书是非常泛泛的安全书,不是针对考试的,但是对CCSP考试的一些内容分别有所涉猎。看这玩吧
Cisco MNCS,我只有比较旧的一个版本,而且不全。由于不是书,所以非常简练。不是很好的资料,不过聊胜于无。而且主要内容和步骤还是比较清楚的。
Testking 5.1,覆盖率还是有的。感觉有50-60%,不过正确率就不好说,认为不少答案都值得推敲。
临门一脚:
两个实验题,testking覆盖了一个,但答案是完全错误的,那个答案是在PIX上用的,而不是router上的写法。
我还有另外一个实验题,是要求配置Tacacs+的服务器地址和密码的。虽然没做过,但如果读过书,有一点印象,还是简单的。Cisco的考试模拟软件里可以使用?看语法。而且,不能看语法的命令当然是用不着的命令了, 呵呵。
由于看书少了,粗读一篇。所以很多命令有印象,但是语法就不确定,考试中有不少4选一的这样的语法题。所以有一些,实在不知道,只有瞎蒙了。建议把Sybex的书上的例子好好看看。
总的来说,这门CISCO 的考试时间较短,题目较多,又有实验模拟,通过分数又高(86%),所以建议稍微下点功夫。毕竟,IT认证不过,浪费125刀挺亏的。
建议搞清楚地考点:
1. 请根据以下Cisco 路由器的配置判断当连接vty的时候什么Cisco 路由器用户认证方式被执行了。
!
aaa new-model
aaa authentication login default line
aaa authentication login nologin none
!
line con 0
exec-timeout 0
login authentication admin
password 7 06160020474307
line aux 0
password 7 02160B57000B01
line vty 0 4
exec-timeout 0 0
password 7 14071D07070924
login authentication nologin
!
end
A. Line password.
B. No access permitted.
C. No authentication required.
D. Default authentication used.
我认为是A,因为password 7 14071D07070924在login authentication nologin的前面。
2.Which the following configuration statement:
NAS(config)# aaa accounting network wait-start radius
Which three statements are true? (Choose three)
A. Start accounting records for network service requests are sent to the local database
B. The request server can not start service until the acknowledgement received form the
C. The accounting records are stored on a remote access dial-in user server.
D. The request server must start service immediately.
E. Stop accounting records for network service requests are sent to radius server.
由于C,D明显不对,又要选三个,答案就是A, B, E
但是我认为A实际上也不太对,accouting info应该是发到radius服务器。类似的题考试中有出现。我想根据这个题目看来,CISCO的正确答案应该是认定A这种说法是正确的。
三、Cisco Secure PIX Firewall Advanced (CSPFA 9E0-111)实战篇
内容:这门考试的全面覆盖Cisco PIX的防火墙功能,***注意*** 包括一些对7000系列交换机的防火墙模块也需要有一些了解。
考试时间:90minutes
考题数目:70
通过分数:820
满分:1000
考试资料:
Cisco的官方培训资料
Cisco Press - CCSP Cisco Secure PIX Firewall Advanced Exam Certification Guide
Syngress - Cisco Security Specialist Guide to PIX Firewall
Cisco Press - Secure PIX Firewall Training
Testking
最好的资料当然是Cisco的官方培训资料,但是我得到的太晚,没看。
论坛里starocean朋友提供了,
http://ror.cn/perl/ut/topic_show.cgi?id=180675&h=1&bpg=2&age=20。 建议没有PIX环境的朋友打印出来,好好看看。
Cisco还出了这本 Cisco Press - CCSP Cisco Secure PIX Firewall Advanced Exam Certification Guide,比较简明扼要,要点有了,我拿这本书当复习材料看了。
Syngress - Cisco Security Specialist Guide to PIX Firewall, 我看这本书的时候,前两本书还没出呢,但是,我个人主要是看这本书,我认为这本书还是不错的,对PIX覆盖的比较全面,很多实例,是一本实用的好书,不单单对考试而言。
最后就是Testking, 覆盖率还是有的,大概50-60%,正确率就不能保证,所以还是建议把PIX的内容搞清楚。 由于我有PIX的环境,重点的考点都在工作中实际作过,所以这门考试我觉得不是特别难。但是,我想对于没有做过的朋友,也许就不一样了。
临门一脚:
有几点我觉得是比较实际的:
1。 考试有几道关于7000系列Switch的firewall模块的题,是我考试前完全没有看过的。***Testking***也完全没有覆盖这一块。 我记得有一道是问Firewall模块可以装到7200的那个Slot上。我考试以后查过资料,大概是any slot,最多可以加4块,但是,我并不确定,建议考试的朋友自己核实一下。
2。 考到了Cisoworks的AUS(Auto Update Server)和PIX的操作,这一块也是我以前毫无准备的,我考试的时候都不知道AUS是什么,最后蒙的。
3。再次强调,PIX和配置和Router IOS的配置有相似处,但同样的功能,命令的语法是不一样的,刚考过MCNS的朋友要注意。
4。Testking的实验题,没有经验的朋友要好好背过
四. Cisco Secure VPN Exam (CSVPN 9E0-121)实战篇
内容:重点在VPN3000 Concentrator, VPN3002 hardware client, Cisco VPN Client 3.6
考试时间:90minutes
考题数目:70
通过分数:790
满分:1000
考试资料:
Cisco的官方培训资料
Cisco Press - CCSP Cisco Secure VPN Exam Certification Guide
Testking 2.1
Cisco的官方培训资料还是最好的!
强烈推荐,
论坛里starocean朋友提供了,http://ror.cn/perl/ut/topic_show.cgi?id=180675&h=1&bpg=2&age=20。 建议没有Concentrator环境的朋友打印出来,好好看看。我下载了,立刻打印出来,678页,但的确物有所值。
相比之下Cisco Press - CCSP Cisco Secure VPN Exam Certification Guide就不是特别好,好面的要点不是特别清楚。考点不全。不过我这本书看了两遍,原因是以前这是唯一的书。打印Cisco的官方培训资料之后,读了一边,感觉把以前看 CCSP Cisco Secure VPN Exam Certification Guide的东西连贯了起来。
Testking 2.1是我找到的版本,别看有350多题,但很多是以前的陈旧内容,覆盖率30%?
临门一脚:
这门考试难在很少有人有环境,而且考试的题目和答案的说法都故意很“搞”,感觉考的偏又擦边,不过也不可怕。
1。 Cisco Press - CCSP Cisco Secure VPN Exam Certification Guide上有一个全的VPN 3000菜单表,这个我建议大家背下来,因为我没有环境,但是考试很多关于某个菜单选项上有什么这类烂问题。所以不但三个主要菜单Configuration, Administration, Monitoring下面有什么要清楚的知道。更要背过。当然,其中的内容还是有主次的,考完后我认为:
2。 VPN3000的quick configuration mode,在Remote Access配置时有6页,要全部搞清楚背过。VPN3002 Client的quick configuration mode有10页搞清楚。
3。重中之重
- VPN3000 groups, 对Identity, General, IPsec, Mode Config, Client FW, HW client 页面上的每个选项都要非常清楚。
- Remote Access Configuration
- How IKE pharseI and II work
- How Software Update work, both for VPN software client and hardware client (Both Global and groupe mode)
- VPN software client rules
- Client RRI and Extend RRI
- LAN to LAN NAT(Many questions here)
- VPN3002 Client and Network Expension Mode
- VPN3002 how to enable Network expension mode.
- VPN 3000 Split channel configuration (The mode tag of groups)
- VPN 3002 Backup Server feature
- VPN 3002 PAT and IPsec
- Load Banlancing of VPN 30000
4. Testking上的***没有答案的***实验(part1-91)是必考的,要选“Only tunnel network in the list"和"Coporation Network" 参考Cisco的官方培训资料5-33页
5. Testking上所用关于PIX和Router的题都可以不看。
############################
第一部分,MCNS 3.0
CCSP之MCNS 3.0考试经验
大家好,刚考完Cisco MCNS 3.0 (新版),给大家提供些信息。
1。60道题,是自适应的,也就是说,不能Mark,不能回头。要掌握好时间。
2。75分钟,时间肯定够,只是要支配好。
3。有一个实验。(配crypto isakmp参数)。路由界面做的不错,tab不工作,但?工作。相对简单。
4。860分及格。
我看过的材料:
1。MCNS 2.0 人邮中文版。
有几个要提醒要考试的同学:
1) 2.0版的书和3.0考试有较大差别。到不是在知识的覆盖,而是考试里有大量的知识性的考题,比如用那个文件安装,用什么设置,看了书就会,不看就猜不出来。我就是因为没看到新书,差点没过。教训。
2) 如果能买到影印版的,建议看英文。人邮这本书翻译的相当好了,我可以说,没有印刷错误,词汇,术语翻译的都很准确,要学习,没问题。考试,尤其是安全方面,很多单词咱们平时很少用,在考题里如果是关键词,就麻烦点。
2。LearnKey MCNS 2.0
12万分感谢Shareunion提供的LearnKey系列教学材料,简直是太好了。内容丰富,方法合适,是辅助学习的好材料。同样要注意,这是2。0版。
3。Boson 4.89
要没Boson我就完蛋了。考试里有4-5道基本相同的题,而且书(一定样升级书)上没有。幸亏有Boson。
4。实验
我有过Cisco IOS Firewall, PIX的经验,不然,看书考试都会很费劲。
学习方法建议:
1。实验。
没有实验,学安全会学的一脑袋浆子。边界路由设置,CBAC,IDS,CET,IPSec。。。书和考试里有大量的命令和debug/show考试,所以一定要有实践基础。
2。看书。
3。听LearnKey。与书交叉,就能懂很多。
4。Boson,还是要做的。
5。Cisco网站。
考试提示:
1。IDS, CBAC, Auth-proxy, EasyVPN的概念性的东西。有将近1/3的题是考你看没看到那段书。
2。记命令,记show和debug的一些内容。(至少书上提到的要记清)
IamWind
Mar. 15. 2003.
*************** 注 ***********************
上面是一个多月前我刚考完时写的。到现在,又考过几门,对CCSP系列的理解也更深入了。下面补充几点。
从总体来看,新版CCSP考试还是有难度的。方式上,不能回头对考生的影响是很大的。因为你要在最短的时间内做出决定,不能反悔。如果头脑发热或概念不清,就很容易出问题。再者,Cisco考试面很宽。你认为不是重点的,Cisco认为是重点,这样的考点集中为几个字:新。最新版的新功能。不要因为“书” 上没有就不看。要看最新的Cisco.com的产品和技术介绍。全。请不要自己认定不考这部分或那部分。否则上考场会后悔。细。小产品,细节,要注意到。那么复习这部分是难点,因为重点不突出,看书/资料时,就要繁简适度。重点要多看,非重点要看过,脑子里至少要有印象,在几个选项里能挑出脸熟的。当然,看的越多越好。知识是自己的,付出是有价值的。
[变化]
如果考试变成70道题,应该是正常的。Cisco在不断扩充题库。
如果看到没听说过的技术,应该是正常的。因为你没看最新的Cisco网站。(这点上,Cisco做的有些无礼,但没办法,咱们是去参加人家的考试)
如果问你安装一个什么你没听说过的软件,用的是哪几个辅助文件,应该是正常的,因为你觉得那东西没用,不看。
[资料]
如果同学们找不到3.0的书,可以参考下面的连接,for IDS。
文章前半部分的讲述,和后半部分的命令,多次出现在题目里。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/ftrafwl/scfids.htm
这篇是Auth-Proxy,写的很不错。
CBAC。是考试的重点。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/ftrafwl/scfcbac.htm
其实,这体现了Cisco考试的一贯方式。考试内容都在其站点上,甚至CCIE考试的命令就是很多Example上的,可以copy/paste的。
可是,多数时候,我们告诉自己没时间,不用看,或其他什么原因,而抱怨考的不好或问题解决不了。我觉得是心态问题。首先,我自己做检讨。在以后的考试中,争取不再犯类似的错误,以扎实的技术获得自己和他人的认可。
Cisco IOS 12.2 Security Document
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/index.htm
[实验]
我多次强调经验的重要性,其实这个思路一直贯穿与Cisco的所有考试中。如果同学有够权限的CCO帐户,应该到Cisco的E-Learning去,那里针对MCNS有十几个实验,可以把相关实验都做一下。
没有CCO的同学,就请仔细研读Cisco Example,相信对学习和理解会有很大的帮助。
[收获]
MCNS是CCSP开章第一门,是很重要的。学习付出越多的努力,收获就越大。我自己的感受是这样的:
1。覆盖内容。
MCNS介绍了安全的概念,攻击种类与防范防范。这些内容是大家深入学习安全知识的入门课,必修课。这些概念和方法,会在今后的理论实践中给你带来很大的帮助。
2。提供思路
Cisco提出的安全轮(安全实施的四步:安全,监测,测试,提高) 以及核心:安全策略,和其他相关的在安全方面工作的思路,是非常重要的。这些思路不仅贯穿本考试始终,也是CCSP几门考试的潜在红线,同样,应该是你将来工作的很好的指导思想。Cisco在其产品技术的基础上,教授的基础概念和基本工作方法,是很科学的。这一点,我想资深的朋友会有很多体会。所以,在学习产品技术的同时,在考试的同时,领会其中的科学思想和工作方法,是我们的进一步的追求。
3。涉及技术
MCNS中,考察路由器在安全方面的4个主要工作:边界路由,防火墙,VPN和IDS。那么后面三项,分别是后面3门考试的重点。也就是说,现在学习路由器的各种功能和配置,是后面几门可的基础。所以请一定多花时间,把基础打牢,事半功倍。
4。实现飞越
我想,很多朋友都是Cisco的高手了。在路由和交换上有了相当多的经验。但你想没想过,安全现在这么热,我们怎么才能以最小的投资,换来最高的安全度?MCNS就告诉你如何做。我认为这是最大的收获,也就是把学到的知识用到实际工作中去,创造最大的社会价值,并实现自我飞越。如果一门课,一张证书做不到这点,那通过5门课,几个月的辛苦努力,就一定能做到的。
我个人来讲,CCSP考试过半,已经感受到技术和能力的提高,希望大家也能学习和奋斗中感受生命的价值。
感谢ShareUnion提供的学习资料,祝大家工作顺利,学习愉快!
IamWind
Apr. 25. 2003.
--------------------------------------------------------------------------
第二部分:CSPFA 3.0
CCSP之CSPFA 3.0考试经验
大家好,
今天过了CSPFA 3.0,向CCSP又迈近了一步。下面是一些考试感受和建议。
60题,105分钟,1000分,825过。题目是自适应的,不能Mark,不能回头。
有一道实验题,很简单,设置PIX端口和IP。
所看资料:
1。CSPFA 1.01版 HTLM教程
我不知道应叫什么更确切,就是旧版参考书的HTML版。我记得是在根本FTP上down下来的。
这个教材太好了,比书好,甚至比LearnKey好。
首先,文字版的东西 阅读好掌握
其次,命令,道理和解释简明清晰
最棒的莫过于有Flash实验,学完了可以简单拍一下命令,巩固记忆。
但切记,这可能甚至是1。版的,连2版的都不是,缺少大量内容,有的知识要更新。要学习可以,考试和差的太远。
2。LearnKey CD版
好处是听CD,帮助学习。
缺点一样,这是2。0版的,有IOS Firewall的部分是不考的,而大量要考的是没有的。
切记。
3。PIX 6.2 Document
http://www.cisco.com/univercd/cc/td...onfig/index.htm
请一定要看这6。2版的Document,里面有6。2的新功能,是考试的内容。其实说实话,除了考试,这Docu也应该好好看看,如果你想用PIX的话,因为6。2加了不少不错的功能。比如Turbo Access-list, Downloadable Access-list, Object Grouping, PPPoP, Outside NAT, LAN Failover, Activation key。。。知道这些,对你的工作也会很有用处。
4。PDM Document
http://www.cisco.com/univercd/cc/td.../v_21/index.htm
不好意思,我本人没有好好学习PDM Document,一是因为这东西写的实在不好,不是教课书,而是命令(菜单)集,二来Cisco把大量文档做成PDF Only,500多页,打印是不想的,可在屏幕上显示的不清楚,看着累。我仗这自己有过经验,没怎么看,就尝到了苦果,PDM这部分才对了40%。希望大家不要学我,争取找到好的Document,至少要把PDM里关于VPN的部分看仔细。(你没看到过,答案是根本猜不出来的。6个选3个,哪个都不认识。。。)
5。Command Reference
http://www.cisco.com/univercd/cc/td...mdref/index.htm
这实在是找不到书的办法。因为在前面提到的6。2 Document里也没有覆盖全部的考试内容。所以用这个补充是唯一的办法。请参考CSPFA考试大纲,一定要把考点看到。
大纲:
http://www.cisco.com/warp/public/10...ms/9E0-111.html
那么如果你有时间,我建议把命令扫一遍,能记住多少算多少(看好了前面几项的基础下),因为我觉得有几个命令甚至不在考试大纲里。
6。实验。
再强调一次,我要是没有实际经验,就又挂一次。
考试感觉。
这门考试的难度还是不高的。就题目的深度来讲,以我看过的topic,是很容易的。问题不tricky,答案也相对明显,是Cisco一贯的考试风格。之所以考分还不高,是因为看的不够全,不够细。如果把6.2 Docu和Command Reference都看过,对付这考试是小菜。
换句话说,如果只为了考试,我觉得考完了脑子里空空如也,没学到什么。只有真正了解那些命令或说法的深刻含义及使用环境,才符合“真正”要求。而这考试本身不能说明什么问题。
所以,如果只是为了对付考试,我甚至认为是对学习有害,对自己有害。觉得我考过了,我成PIX专家了。。。满不是那么回事。话说的不好听,但还是建议大家听一听。
仔细看书,多做做实验,细心领会技术与技巧,才是有意义的。
距离CCSP还有3门,经验更丰富了:那就是看所有能在Cisco找到的资料。
由於我对VPN Concentrator和IDS基本没有经验,所以就不敢贸然前进了。
但过了MCNS和PIX还是很爽,一是至少有张证书了(应该是PIX Specialist,如果我没理解错了),二是这两门课程涉及到的是网络安全的核心内容,命令和技巧能很快用到实际case当中。那么IDS肯定会是很Hot的,可用到Cisco IDS的机会与业界其他厂家的比例,恐怕就没有要求设置边界路由器和PIX防火墙的机会多。所以,有志做安全的同学,可以抽时间看看着两门课,还是比较有意思的。
好,祝大家学习顺利,工作愉快
IamWind
Mar. 24. 2003.
************************* 注 *****************************
上面是一个月前写的,我想做一些注解和补充。
首先,我必须说明,我考CSPFA是相对轻松的。一共用了10天的时间,成绩还可以,考试时也没遇到太大的麻烦,但并不等於考试本身简单。因为每个人的条件不同。所以如果要准备考试,请认真对待。我在MCNS和CSVPN考试经验里已经多次强调,Document CD的重要性,考试内容的新和广。
[资料]
考完了这门试,我才发现原来HTLM版学习资料有新版的。封面写的是2.0。我只看了一下标题,发现有PDM。我相信,这个材料对学习PDM和考试会有很大的帮助的。
我有比较多的实践经验,用PDM也很多次,可PDM考试才答对了40%。我想这就是复习的重要性,要针对考试进行强化。实践中能“找” 到的东西,考试里不仅能“背” 住,而且能绝不含糊。所以要通过考试,就一定不能侥幸,要把知识点砸扎实。
我不认为我对PDM的掌握只有40%,但通过学习,我知道我在PIX的其他方面有很多不足,比如新知识不了解,深入的功能不知道,会做的东西但理解的不透彻,含糊的概念。。。等等。通过复习强化,收获很大。所以,应该可以说,我考试前对PDM的理解程度确实比Cisco要求的低,确实应该很好地补足。
举一个自己的例子,希望大家能理解。
[实践]
有CCO的同学,请到Cisco E-Learning,那里有虚拟实验室,是个PIX 515,三个网卡,连3台主机。PIX 6.2(2) ,PDM 2.0。版本还是可以的,通过这个做实验,一定会有很大帮助。
没有实验条件的朋友,请多多参考Doc CD,Example。
[收获]
PIX作为防火墙,是安全总体结构中最重要的一部分,也是Cisco很看中的产品。通过对PIX的学习,我们可以成为PIX专家,并逐步成为防火墙的专家。我想,这是最重要的。
PIX包含的技术,有防火墙,VPN和IDS。那么后两者,是CCSP后面两门课的重点。大家可以看出,MCNS包含了后三门课的重点,而PIX也不示弱,包含了后两门课。所以,对于很多知识,有承前启后的作用。
对於个人来讲,通过PIX的学习,就能构架一个很好的安全前端。(边界路由器,防火墙,DMZ,VPN,IDS等等) ,这对於企业实际需求是很重要的。也是我们提升自我价值的重要步骤。
感谢ShareUnion提供的学习资料,祝大家工作顺利,学习愉快。
IamWind
Apr. 25. 2003.
-----------------------------------------------------------------------------
第三部分:CSVPN 3.0
CCSP之CSVPN 3.0考试经验
大家好!
今天通过了CCSP CSVPN 3.0考试。谈一谈学习考试经验,希望对大家有用。
总体来说,考试还是有难度的。难不是在技术上的深,而是内容上的广和细。另外,由於缺乏产品经验,对操作的掌握需要一段时间。
CSVPN 3.0
70题,790分通过,如果选英语为第二语言,时间是2小时。
考试内容请参考Cisco考试大纲。
http://www.cisco.com/warp/public/10/wwtraining/certprog/testing/current_exams/9E0-121.html
等等,考试大纲上不是说55-65道题吗?
对了。我考MCNS和CSPFA时(2003年3月),还是60道题,4月考CSVPN,就变成70题了。我想这是因为Cisco在逐步改进他的CCSP考试系统。题目数的变化并不恐怖,恐怖的是,考试大纲上明明说考的是3。5版的软件,但考试里有相当多的内容是3。6的。而且这些内容的考法,是你如果没看书的话,根本猜不出来的。所以,如果准备这门考试,请参考我下面列出的学习资料和学习方法。
[考试内容]
我看考试内容能分四个大部分
1。VPN基础
VPN的基础知识,内容比较广,IKE和IPSec是核心,也加入了大量的CA的内容。这部分知识,如果你是从MCNS和CSPFA过来的,应该问题不大。但请注意,CA在本课程中的份量相当大,要注意掌握理论知识和配置细节。
2。VPN 3000 Concentrator ver 3.6 and later
考试重点。包括VPN 3000的所有内容,机型,配置,支持用户数,性能,如何配置,如何监测。。。几乎所有方面和细节,都涉及到了。
3。VPN 3002 Hardware Client ver 3.6 and later
同样,性能和配置/维护方法。
4。VPN Client ver 3.6 and later
安装,配置和维护方法。
请大家注意,如果你手头有CSVPN 2.x的书或考试资料,请参考3.0的考试大纲,因为考试内容发生很大的变化。2.x的考试核心是VPN,主要包括VPN技术,VPN 3000/Router/PIX的VPN搭建。而3.0版的考试核心是VPN 3000及相关产品。主要内容是以VPN 3000和两种Client (VPN 3002和VPN 3000 Client) ,所以,学习复习时,2.x的教材只能保证上面说的第一部分的一些内容,而对其他部分基本没有帮助。请一定注意这一点。另外,我猜想,以前VPN 3000比起router和PIX,在VPN方面新功能不多,所以不是考试重点。而现在,Cisco已经推出3.5, 3.6甚至4.0版本软件,并推出一系列新功能。因此,这些新功能将成为考试重点,而且越新,份量越重。有时,一两篇纸的内容,能考好几道题,所以,不能守着大纲做圣旨,一定要看过最新产品的Release Notes。
[学习材料]
通过上面对考试重点的分析,我们可以看出,如果没有最新的3。0的书 (如果这书没印出来,我们自然买不到。但如果这书印出来了,呵呵,很可惜,书已经过时了。因为Cisco已经把三个产品的主流版本升级到3.6 (4.0),并把新功能做为考试的重要部分。所以,不能靠书了!!) 我们需要很多材料才能复习和考试。下面是我对我用过的材料的小节,完全是我个人的观点,请只作为参考,根据自己的实际情况增减。
一。CSVPN HTML版学习材料
覆盖律:30%
感谢共享联盟提供的资料,这是CSS1的学习材料,软件第一页写的是VPN 1.01,里面每一页写的是VPN 3.0。可惜其真正的版本号不会超过这两个平均数,也就是说,这是旧版的教材。
该教材好处是,可以进一步复习VPN基础知识,尤其是CA的工作方法,里面介绍的很详细,对学习很有帮助。在VPN 3000的设置和管理方面,内容差的太远,基本不可取,请仅仅做为参考,为自学最新版本打一个基础。
二。LearnKey VPN (2 CD)
覆盖律:10%
LearnKey的其他两款产品 (MCNS和CSPFA) 虽然也是旧版,但还是很不错的。可惜到VPN这科不行了。本来就只有两张牒,第一张95%是讲VPN,如果你看过MCNS和CSPFA,你应该能比Mike Storm(讲师) 讲的好才对。然后有5分钟的时间介绍了一下VPN 3000的产品。完全不够用。第二张碟,重点是PIX和路由器的VPN操作,VPN 3000的只是蜻蜓点水地讲了一下,要是照着这个考试,哈哈,绝对没戏。所以, LearnKey这次只能做小小的参考。
三。Cisco Document CD
覆盖律:75%
理论上将,Cisco Document CD是唯一的最全面的教材和参考手册。我之所以说覆盖律75%,是因为如果从头开始学习,光看这个是不够的。因为产品说明是按产品讲的,是分离的,你要学会如何操作,来完成一个项目或配置,是需要另一种思路串起来的。所以,将近2,000页的产品手册,不足以应付这门考试。这是本门学习和考试的难度之一。
要看的内容有三大部分:
1。VPN 3000
http://www.cisco.com/univercd/cc/td/doc/product/vpn/vpn3000/index.htm
我以3。6版为主,附带4。0版的内容。
以3。6为例,下面子目录里的四大项,Quick Start, Config, Admin/Monitor和Release Note,下面的所有内容。我都熟读了几遍,重要的部分打印,仔细研读过了。
2。VPN 3002 Hardware Client
http://www.cisco.com/univercd/cc/td/doc/product/vpn/vpn3002/index.htm
同样,以3。6版为主,4。0附带看一下。所有内容,都要读过,重点要看仔细。
3。VPN Client
http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/index.htm
4。0版为主,3。6版要看。所有内容。
写到这,你可能要跟我急:“这么多东西,让人怎么看?!” 对不起,我学之前对VPN 3000系列产品一点都不了解,知识水平和悟性都有限,所以只能用笨办法,把能找到的都看了,还没算下面要说的。如果问我花这么多时间获得了什么价值,请提出,我再发贴说明。如果想通过考试,多花些时间没错。
四。Example
覆盖律:10%
从知识的角度来讲,上面说的Doc CD应该基本覆盖上了。但对於人学习的特点,要刨掉看不懂和懂了理论,不知道怎么操作的那一部分。而最好的补充,就是Cisco Example了。玩Cisco多的同学都知道, Example里覆盖了很多热点问题,更重要的,它们告诉你如何操作,如何解决问题。那么在VPN 的三个Example集里,很多不错的例子,能很好地帮助你学习和理解,并在一些关键知识点上,清晰地阐明“可以” 或“不可以” 。让人看完后又畅快淋漓的感觉。
VPN 3000 Example:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/prod_configuration_examples_list.html
VPN 3002和Client的主要Example包含在VPN 3000里了,当然,如果展开看看更好。
学会使用Example,是我们学习Cisco并以Cisco为工作重点的一门必修课和利器。
五。Date sheet,Q&A等
覆盖律:8%
考试大纲中提到的考点有产品的性能和一些最低版本要求等,这些只有在Date sheet上有。要看。 Q&A可以以问答的方式帮你复习和理清思路,很值得看。
VPN 3000:
产品根目录:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/index.html
Datesheet, Q&A
http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/prod_literature.html
VPN 3002:
产品根目录:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2286/index.html
Datesheet, Q&A
http://www.cisco.com/en/US/products/hw/vpndevc/ps2286/prod_literature.html
VPN Client
产品根目录:
http://www.cisco.com/en/US/products/sw/secursw/ps2308/index.html
Datesheet, Q&A
http://www.cisco.com/en/US/products/sw/secursw/ps2308/prod_literature.html
当然,Document CD里的内容,从产品目录下去,也能找到。只不过界面不太一样而已。
六。实验室操作
覆盖律:5%-15% (帮助学习,同时也因版本太低,限制学习。仅做参考)
VPN 3000系列是个全新界面(对比IOS CLI) ,完全没有头绪。如果没有一定的操作基础,学习起来很痛苦。而且,除了VPN Client大家能下载安装,我估计没有机会碰VPN 3000和3002硬件。幸好在Cisco e-Learning上有一个远程lab,可以登陆玩玩一个低版本的3005。注意因为版本太低(3。2) ,千万别以那个做标准。
如果你有够权限的CCO帐户,可以登陆到Cisco E-Learning上操作一下,还是很不错的。
好了,列了这么多东西,是不是觉得很累。说实话,我自己是觉得很累,我光打印的文档就有600多页,还不算N多的在屏幕上看的。而且考的也一般,因为毕竟只是考试,掌握知识是最重要的。
那么,考下来还是很爽的。
一来这是CCSP路上一个里程碑。
二来对VPN概念又有了更深的认识。
三来对VPN的新技术有了了解,比如反向路由插入(RRI) ,IPSec over TCP/UDP,Client mode/Network Extension Mode等等,很多是router/PIX做不到的。
四来也对获取知识有了一个很好的实践过程。
五来虽然考的不好,但敢拍胸脯说VPN 3000的所有问题都难不倒我,彻底摆脱了以前的恐惧症。因为这么多内容看下来,有点“专项IE”的感觉(在该产品和技术上,靠近了IE的要求。呵呵)
六。。。
获得的很多,还是比付出的多。如果大家感兴趣,我们可以进一步探讨和交流。
感谢共享联盟提供的资料,希望大家工作顺利,学习愉快!
IamWind
Apr. 24. 2003.
------------------------------------------------------------------------------
第四部分:CSIDS 3.0
大家好!
今天通过了CCSP CSIDS 3.0考试。谈一谈学习考试经验,希望对大家有用。
CSIDS 3.0
60题,825分通过,如果选英语为第二语言,时间105分钟。
考试内容可参考考试大纲:
http://www.cisco.com/warp/public/10/wwtraining/certprog/testing/current_exams/9E0-100.html
[考试内容]
如果把考试大纲的线条划粗些,可以说,考试主要着重在以下几个方面:
1。攻击与安全的基本知识。
2。IDS Sensor和Module的安装与配置。
3。IDS管理,监控与报告。
4。Sensor和签名的管理
5。IDS维护和内部结构。
与其他考试一样,CSIDS3。0的考试内容与2。x版相差很大,一定要注意书和学习资料与考试大纲相符。考试大纲那两页纸,应该打印出来钉在床头才对。呵呵。
[学习材料]
1。旧版书 (覆盖律 40%)
我买了本CSIDS by Earl Carter,觉得还是很值得的。书很系统地讲解了攻击与防范初步介绍,Cisco安全轮,IDS概念和网络上的配置等等。在基础知识这部分,书写的很好,没有一点过时的东西(很策略性的) ,并且,把IDS原理讲的很清楚。所以,这书还是值得收藏的。现在国内人邮出了中文版,我不知道翻译的效果怎么样,80块人民币也不是什么大数目,大家如果想考IDS,还是应该看这本书的。(当然,有新教材的另说。有新教材的朋友,就不必看我写的东西了,直接去考试就行了。呵呵)
那么书里不必看的是CSPM和Director部分。相应换成了IDS Device Manager和Event Viewer,以及Management/Monitoring Center。下面有介绍。另外,书里很大一部分是各种Signature的介绍,理解意思就可以,不用钻的太深,如果你想考试而不是先当黑客的话。
2。Cisco Document CD或网页
覆盖率:70%
上面说了,大纲里的IDS Device Management,Event Viewer,Cisco Works MC都是旧版书里没有的,要看网页才行。
IDS Network Sensor 3.1
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids8/13872_01.htm
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids8/13870_01.htm
IDS Device Management:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids8/13876_01.htm
Event Viewer:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids8/13877_01.htm
Signature Engine
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids8/13869_01.htm
(以上都是在IDS 3。1目录下的,大家可以都看一看)
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids8/index.htm
那么Cat 6000上的IDS Module,书上有介绍,但版本不够,网页上有最新的: 3.0
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/idsm/idsm_2/index.htm
IDS内部体系结构,很重要
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/0866_02.htm
Cisco Works Management Center,介绍性地考了考,参考它的Datasheet, Q&A,和简单的介绍
http://www.cisco.com/en/US/products/sw/cscowork/ps3990/prod_literature.html
列的这些资料基本覆盖全了。内容就不算多了。考试考的很细,所以单看书是不行的,要把操作做熟,很熟,要对命令行,文件体系结构,两个GUI界面的所有菜单的所有选项都很熟。要做到这点,就要对着文档做实验。
[实验]
我反复强调实验的重要性,因为不仅考试有实验操作,而且大量的客观题是考你操作界面的属性,不做实验,实在是背不下来的。那么对於多数朋友,我想都缺乏IDS的操作经验,也缺少实验条件。最好的办法就是有CCO帐号,到Csico e-Learning上做实验。
e-Learning实验分3个部分:
1。VoD
有一个教学片,介绍了IDS 3.1,Device Manager,Event Viewer的安装和基本操作。一共一个小时不到,有条件一定要看,能省很多学习时间。强烈推荐。
连接在E-Learning-->Specialization-->Video on Demand -->VPN Security下,
CTU-NPI-IDS 3.1 Appliance
2。PEC提供的IDS实验。
这是“真” 的实验,不是Flash,连接到IDS 3.1的Console上,并有一台虚拟PC,可以做所有IDS 3。1的实验。包括命令行,目录和体系结构了解,IDS Device Manager,下载并安装Event Viewer。那么这三个界面占了考试的大部分内容。所以,有条件就要做上10遍8遍。强烈推荐。
3。KnowledgeNet,是Flash型的,一是不自由,二是旧版的,都是CSPM相关的实验,不推荐。
[其他]
TK还是要看的。呵呵。
[收获]
IDS考下来还是很爽的。
1。这门是黎明前的黑暗。考完后,就看到曙光了。
2。在技术上,没有IDS,就谈不上安全。但由於工作限制,IDS是我们最缺乏经验的。靠考试的方法补足,在技术上翻越了一座小山。说小山是因为只是在基本概念,操作和维护上有了解,对攻击深层理解还差的很远,对Cisco以外的产品理解还没有。但这是迈出的第一步,是很关键的一步。
3。在心理上,过了一关。
感谢共享联盟提供的资料,希望大家工作顺利,学习愉快!
IamWind
May.26.2003.
-----------------------------------------------------------------------------
第五部分:CSI 3.0
CCSP之CSI 3.0考试经验
大家好!
今天通过了Cisco CSI 3.0,CCSP了!
总体来讲,CSI是容易的,考试内容不多,考题选项相对简单明显,只要认真看资料(就一点点),对资料的指导思想有所把握,并有较好的安全基础(前4门课),通过是没有什么困难的。
[考试内容]
参考Cisco网页
http://www.cisco.com/warp/public/10/wwtraining/certprog/testing/current_exams/9E0-131.html
[复习资料]
考试核心是SAFE Extending the Security Blueprint to Small, Midsize, and Remote-User Networks。
这个Whitepaper写的相当不错,主要是针对中小企业和远程用户在安全设计上的考虑。如果你有比较好的售前基础,会发现whitepaper讲的道理充分,浅显异懂。另外,由於前4门艰苦付出,到这里,就有收获的感觉了。Whitepaper帮助你把前面的思路串起来,对中小用户安全设计,就有一个较完整的概念了。
这Whitepaper一共只有几十页,还包括了一大块配置例子。也够难为Cisco的,要在这几十页里做出60道题,可不容易。相比前几门,都是在上千页的Doc里挑考点,CSI考试简直是把Whitepaper每一句话都考到了。所以,这几十页东西一定要看熟,而且把前几门的一些知识点回忆一遍,会很有好处的。
Whitepaper中的例子非常好,一方面,有操作和部分客观题在里面,另一方面,这是你将来做配置的最好参考。例子包括了路由器,防火墙,交换机的典型配置,值得花时间好好学习。
考试内容不局限于Whitepaper,但题目相对也比较容易,只要前面功夫花到了,到这里就可以轻松一些。
[实验]
Cisco e-learning上有一套CSI的实验,可惜是KnowledgeNet基於Flash的LabWare。我稍微做了一下,内容很全,从很基础的开始,我是没耐心了,所以没都做。
路由器和PIX间的VPN是重点。
[收获]
考完CSI,收获还是很大的。
第一,CCSP!呵呵
第二,把前面的知识总结一下,并落到实处。
第三,Whitepaper中的设计思路和思考方法很科学,是将来工作的指导。
第四,可以找个理由出去玩,放松一下了。哈哈
感谢共享联盟的资料,祝大家工作顺利,学习愉快!
IamWind
Jun. 3. 2003.
#######################
考试题目不难。可是通过分数较高,除了MCNS 860外,都是820。
其实底分有300,所以不用对86%。
还有就是题目变得挺快的,testking新的话还是覆盖率较高的。
其实所有Cisco的testking都有很多题答案不对。
而且新的821-系列只是考试号不同,题目是差不多的,这个考试意义不大(除非是Cisco的partner)
建议考CCIE security
浙公网安备 33010602011771号