CCIE Security Written考试心得

noel0217

下午刚过了CCIE Security Written（350-018）。  　　
　　350-018总共有100道题，考试时间2个钟头，通过分数线70%（我考了77%）。考试涉及的面比较广，从传统的路由交换到安全原理、安全协议、操作系统安全、网络故障排错等都有。
　　本来以为去年过了CSS1，再考CCIE安全笔试问题应该不大。但才做第一道题就让我有点发懵，一个实际案例题，考你对debug ip packet及fast switching/process switching的理解，题目有点绕，又要不停地在题目和图示之间切换，不习惯。类似这样的案例题估计出了有六、七道，涉及到了用debug ip packet进行故障检测、IPSec crypto map的对端匹配及与NAT的配合（这种类型的题有好几道），还有一些涉及基本路由原理的实例题。
　　最绕人的是里面还出了好几道考Windows安全和Unix安全的题目，Windows安全主要集中在用户/文件权限上，Unix安全有用户/文件权限的题目，还有Kerberos在Unix上的实现这样的题目。
　　所以需要掌握的安全协议有：IPSec（IKE、AH、ESP、Transport/Tunnel Mode）、L2TP、GRE/PPTP（不多，但还是有考到）、Kerberos（我基本没看Kerberos协议的东西，但考到了二三题）、SSH、SSL。还有CA的东西，路由器上配置CA的常见命令，RA/CRL是干什么的，几种认证方式：Preshared key/Encrypted Nonce/Digital Signature的区别是一定要弄清的。
　　AAA部分考到的也不少，其中还有一些绕人的案例题，比如各种aaa authentication/aaa authorization组合在一起，再加一些privilege exec level命令，问你最后的有效privilege命令是哪些。此外radius和tacacs+协议所用的端口号及AAA Server与AAA Client交互时用到哪些message packet类型，及两种协议中Attribte value Pairs的格式也要熟悉。
此外就是要注意IOS中的CBAC和Auth-Proxy会有考到，ACL的应用也会有实际的案例题出现。
　　当然IDS也不会缺，虽然考得不深，但IDS Sensor/IDS Director中各种configd、managed等daemon各个是干什么的也要弄清楚。另外一定要记住的是常见attack类型每种的大致工作原理，象Ping of Death/Land.c/Smurf/SYN Flood几种攻击之间的区别要分清。
　　此外要提醒大家的就是，要考这个考试是一定要背的——背端口号。各种安全协议用到的端口号、各种常见网络服务的端口号一定要记，因为它是一定会考的  
　　P.S. 我的备考书籍：
《Network Security Principles and Practices》
http://www.blogcn.com/images/aurl.gifhttp://www.amazon.com/exec/obidos/tg/detail/-/1587050250/qid=1061388004/sr=1-2/ref=sr_1_2/104-9390413-2181523?v=glance&s=books  
好书，Amazon上的五星书籍，强烈推荐。作者本身也是CCIE Security Written/LAB的出题小组成员之一。我推荐以下和考试关系稍密切些的章节：IPSec、Intrusion Detection（整章）、AAA（整章）、Using Access Control Lists Effectively（比较有实用价值的一节）、Troubleshooting（整章。此章一定要认真看，我也考过CCIE R&S Written，比较起来CCIE Security Written的特点是案例/排错题较多，有实际工程经验当然好，没有的话一定要把IPSec和AAA部分的案例逐一试验。附带说一句，Security的考试中路由协议部分没有IS-IS，BGP的我没遇到，此外VPN3000的内容也没有）。
　　《Enhanced IP Services For Cisco Networks》
http://www.blogcn.com/images/aurl.gifhttp://www.amazon.com/exec/obidos/tg/detail/-/1578701066/qid=1061388045/sr=1-1/ref=sr_1_1/104-9390413-2181523?v=glance&s=books  
另一本好书，尽管是99年出的书了，但现在仍保持着4.9颗星。看看读者对它的评价就知道这本书写得如何了：
There are other classics (such as Routing TCP/IP 1 and 2 by Jeff Doyle), but the author of this book explains things so clearly and with a minimum of complexity that you wish he had authored ALL the Cisco Press books.
呵呵，我也有这样的想法，可惜这作者好像除了这本书之外就没写过别的什么Cisco的书了。
　　《CCIE Security Exam Certification Guide 》
http://www.blogcn.com/images/aurl.gifhttp://www.amazon.com/exec/obidos/tg/detail/-/1587200651/qid=1061388004/sr=1-1/ref=sr_1_1/104-9390413-2181523?v=glance&s=books  
这本书我就看了General Networking Topics这一章，还没看完。时间不够了。虽然有人对它评价并不太好，但从应对考试角度来讲，这本书和考试内容应该是贴合得最紧的，因为前述的两本书最大的问题就是既没提到WIN/UNIX操作系统安全，也没提到SSL/Kerberos/NTP这些东西，而这本书里全有。如果我看完了这本书，兴许考试的前半段时间也不会那么紧张（那时我以为自己会是挂掉了）。
　　当然bible也要提一提，CCIE安全的bible少，我找到的有TestKing（3.1版）和ActualTests的，而ActualTests基本是在抄TK。TK的题目有两半部分，后半部分偏简单并且有不少来自Boson。前半部分不错，题目有解释，有些解释看得出来作者还是有水平的，但也不能全信，一些答案/解释是错的，前半部分的题目和真实题目较接近，但不会在真实题目中出现超过1/4以上，再加上错误答案，要靠背TK过关基本是不可能。Boson 1和实际考纲接近，但题目有些浅；Boson 2不错，技术深入理解可看Boson 2，但和实际考纲有偏差；Boson 3和实际考纲既不接近，题目也不难，我做了几题就放弃了。
　　最后的一个忠告：不要轻敌。
　　
###############################################
　　虽然从事CISCO的领域有3年多了，这里对我来说还是头一回：盖因自己E的程度不高，对社区活动参与不多，现在我认识到自己错了。。。希望在社区能认识到更多的朋友。。。文章是谈谈如何在一不靠TK，二不买书的情况下去准备和考IE security written 的。
　　我是今年1月6号过的考试，拿了79分。考该IE的动机源于Security 的那种挑战：所以过了NP后就直冲这个track来了，加上在公司近一年来搞的东西和security有关，再加上，R&S的实验室设备要求还挺高，要在我们公司偷偷玩，还是不大可能。。。于是。。。
　　前面说了，我对社区的参与不多，这造成了我的学习思维弱点：不够广博，虽然能将一些书本，理论，一杆子捅到底，但是信息还是不够畅通，如我很晚才知道TK是何物。。。虽然觉得TK的方式有些投机，但是300刀对我来说不是个小数目，，要是Fail了那可是要心疼很久辣，于是还是找了一些业界朋友，想弄个TK。但是由于这个Track还很少人考，一个多月了，朋友还是没有弄到，我干脆断了那门心思，董道直行吧。。
　　在去年11月的时候，我在别的网站上看了那《CCIE security 考试心得》，知道了一些信息，但是里面提到的很多书目我都没有，直到12月份才看到中文版的《security principal and practice》,译的一般，一开始我也很想把这些书弄齐了，增加保险系数，但是始终还是没找到，于是又放弃了。而且CISCO的一些书喔也看出名堂来了，里面东西基本上都不会超出他的网站里面的资料，各种书之间重复的东西也很多。于是书也不买了。
　　于是，在没有TK，没有书的情况下进入冲刺阶段（我以前没有打算考试时有过一些积累），有时候觉得也有点像大海捞针，范围太大了--关键是不知道该学的有多深！！！就算是一个很小的分支，如果要深究，文档也有数百页。。我的原则是至少必须充分理解，并且能够运用。CISCO的网站上，要想找到好像书本那样循循善诱的资料其实很少（要不CISCO press吃什么），但是能够借用的东西还是很多：White page(关于某些Topic的)、Configuration guide、Case study 等，我用的最多的是Configuration guide，既然是guide，还是有不少原理性，讲解性的东西，当然基于CISCO产品的配置运用更少不了啦。这样的资料，我认为是学、考CISCO的最好的东东！
　　也不是除了CISCO pubilishing 的就不看了。Security 的原理其实是普遍的，CISCO在这方面还是没有压倒性的优势，所以不象IP routing 方面那么多私有协议。象kerberos的原理就很绕，关于它的描述，没有比《computer networks(third edition)》更好的了。像RFC 也是一个宝库，很多topics我都只是到www.ietf.org寻找。看RFC的确很累，动耶100来页的英文文档，但是绝对有裨益--严谨、权威、全面、深入。有时候在别的地方找些介绍性的文档，讲的似是而非，又不深入，还不如索性看RFC呢：一次看国内一家"权威机构"办的网站的文章说：如果没有了RA，那么CA就不能运作，，，云云。后来看了RFC，知道了RA只不过是一个可选项。。。还有，如果你也从事标准、规则的制定，那么RFC真是不可不看。。。
　　既然是考试，那么目的性一定要很强，不可东插一杆，西插一腿。我把 blueprint 打印出来了，没充分掌握一个Topic，就在旁边打一个沟；隔一段时间在回顾一下，认为OK了就再打一个沟；这样，就象是在打仗，打上钩的Topic 就像一个被夺取了的堡垒：当看到沟沟很少时，很有紧迫感，沟沟多起来的时候，心中的信心就长起来了。在啃一个Topic的时候，我坚持做Note，既可以化繁为简，又可以充分利用时间：像几分钟的空当时间，干别的不行，就拿出来看几眼，很好！当所有的Topic 都打了两个沟沟的时候，我知道是时候了。
　　考试策略
前面谈到，在没有Tips的情况下，心里总是发毛，就是不知道会考的多审多浅。。就在这个时候，Beta 版出来了：我一看Blueprint,靠，足足多了20%的Topic出来，而且考试结果要10周后才能出来！不过我此时到有了Idea：先考Beta版，熟悉题型，2周后再考正式的考试。会不会有人说：你小子钱多了不是！！其实从经济的角度来说并不吃亏，如果能将正式考试的把握提高20%，那这50美元就不亏了。300X20%=60 ，对巴？事实证明，这50块钱花的值，否则我真的没有把握pass。
　　Beta 版
实话说我考的不理想（12月20号左右考的，现在结果还没有出来），首先，非英语国家的30分钟延长没有了，我最后2题来不及做；另外，还是有些细节事先疏忽了：如微软的RC4，Ipsec SA的重新生成的阀值，还有就是题型的不熟悉。从那里出来，我知道肯定要考正式版的了。
　　在2个星期里，我加强了Beta 版考试中晕菜的地方的训练，还有就是针对题型的特点对一些Topic 重新review 。
  1月6日， 考正式版，这次时间多了30分钟，是充裕了点，却让我放松了警惕，造成前松后紧，那些需要看图的题太消耗时间了。我在这里提出一个忠告就是：必须抓紧时间，当你做的轻松的时候一定不要松懈。我考NP的时候也有看图的题，但是比例远没有这么高；另外，就是靠common sense 就可以完成的送分题很少；还有就是陷阱不少，如果学的稍微粗放，就容易掉进去了。还有一些题的确刁钻，真的不会做，我就揣摩一下出题者想干什么吧。到最后时间紧的时候也在冒汗，幸好，成绩还算满意。
　　关于考试内容，《CCIE security 考试心得》写的很好。我倒是碰到了Keberos 的试题，还有AD的，SMTP协议等。
  最后我想说的是，无论准备的多么充分，总会有一两道题是很偏僻的（甚至不在blueprint里面），不过无所谓了，又不是要100%。实际上，我也没有Cover所有的TOPIC，我想90%的Topic 里面作对80%，就已经有72分了，10%里面能蒙个2-3分，总分也有74、75分了，够了。所以，该出手时就出手吧。