前言

知行合一是幾百年前明朝思想家王陽(yáng)明首先提出的一種哲學(xué)思想，我認(rèn)為在我們學(xué)習(xí)網(wǎng)絡(luò)的時(shí)候，可以這樣來(lái)理解知行合一的思想，“知”也就是理論知識(shí)，是我們行動(dòng)的指導(dǎo)，沒(méi)有理論的支撐，我們的行動(dòng)會(huì)變得盲目，并且會(huì)走很多彎路。但是，“行”也很重要，對(duì)網(wǎng)絡(luò)技術(shù)的學(xué)習(xí)而言，“行”的本職就是做實(shí)驗(yàn)做項(xiàng)目。大量的實(shí)驗(yàn)與來(lái)自工程中的經(jīng)驗(yàn)，是對(duì)“知”也即理論知識(shí)的實(shí)踐。并且我們?cè)趯?shí)踐中得到的經(jīng)驗(yàn)，反過(guò)來(lái)會(huì)驗(yàn)證我們學(xué)習(xí)的理論知識(shí)，能夠?qū)ξ覀兊睦碚撈鹬A的作用。

現(xiàn)在學(xué)習(xí)網(wǎng)絡(luò)的學(xué)員或者朋友，主要分為兩類(lèi)，一類(lèi)是以實(shí)踐為主，每天忙于各種項(xiàng)目的實(shí)施，當(dāng)遇到問(wèn)題的時(shí)候才開(kāi)始看看書(shū)，或者看看視頻。對(duì)于理論知識(shí)不求甚解、得過(guò)且過(guò)，以能搞定項(xiàng)目為第一目標(biāo)。另一類(lèi)則是以理論為主，天天研究各種高深理論，在與同行進(jìn)行交流時(shí)，動(dòng)輒就是LSA的幾種類(lèi)型、BGP的各種選路原則，而且還動(dòng)不動(dòng)的對(duì)他人的理論水平評(píng)頭論足，但是，他們并不了解這些理論知識(shí)在實(shí)際工程中的應(yīng)用情況，甚至可以說(shuō)，他們都不知道自己學(xué)習(xí)的技術(shù)到底能做些什么！

上面這兩種方法雖然都是極端，但是在現(xiàn)實(shí)世界中卻切實(shí)存在。我以為這兩類(lèi)學(xué)習(xí)方法都不可取，我們應(yīng)該把知行合一的思想運(yùn)用到網(wǎng)絡(luò)學(xué)習(xí)中去。我們不僅僅要學(xué)習(xí)理論，更應(yīng)該知道如何將學(xué)到的理論靈活運(yùn)用到實(shí)際實(shí)施的項(xiàng)目中，并且知道這些理論到底解決了哪些實(shí)際問(wèn)題。讀者們?cè)趯W(xué)習(xí)網(wǎng)絡(luò)安全技術(shù)時(shí)，最能體會(huì)到這一點(diǎn)。有些讀者在做實(shí)驗(yàn)時(shí)，可能會(huì)熟練進(jìn)行相關(guān)配置，但是卻不知道這個(gè)實(shí)驗(yàn)的目的是什么，其中涉及的技術(shù)到底發(fā)揮了什么作用，它們又真正解決了客戶(hù)的哪些問(wèn)題。而真正的技術(shù)高手不但應(yīng)該知道如何配置相關(guān)實(shí)驗(yàn)，還應(yīng)該能夠?qū)?shí)驗(yàn)中所用到的技術(shù)應(yīng)用到實(shí)際的工程中，以解決來(lái)自現(xiàn)實(shí)世界（而非實(shí)驗(yàn)環(huán)境）中的問(wèn)題，而且他們還要基于客戶(hù)的要求選擇最適當(dāng)、最有效的技術(shù)，只有這樣，他們才稱(chēng)得上是對(duì)技術(shù)融會(huì)貫通，才真正稱(chēng)得上“高手”二字。

下面，我與讀者分享一下我的學(xué)習(xí)方法，以引導(dǎo)大家把知行合一的思想融合到網(wǎng)絡(luò)技術(shù)的學(xué)習(xí)中去。當(dāng)然，每個(gè)人都有最適合自己的學(xué)習(xí)方法，而且我的方法也不見(jiàn)得能夠適合所有人，但是仍然希望讀者能夠用來(lái)參考。我在學(xué)習(xí)時(shí)的一個(gè)最大特點(diǎn)就是，把學(xué)到的所有知識(shí)都實(shí)際運(yùn)用起來(lái)。我的技術(shù)專(zhuān)長(zhǎng)是網(wǎng)絡(luò)安全，以前也做過(guò)很多相關(guān)的工程，現(xiàn)在是以培訓(xùn)講師的身份在三尺講臺(tái)之上講授網(wǎng)絡(luò)安全知識(shí)，這在很多讀者看來(lái)，我已經(jīng)遠(yuǎn)離了“一線(xiàn)”工作，但實(shí)則不然，我仍然會(huì)注重將掌握的理論知識(shí)實(shí)施到Y(jié)esLab的內(nèi)部網(wǎng)絡(luò)中，也可以說(shuō)，YesLab的內(nèi)部網(wǎng)絡(luò)就是我的最前線(xiàn)。這樣，我學(xué)習(xí)過(guò)的所有安全技術(shù)都在這個(gè)內(nèi)部的網(wǎng)絡(luò)中得到了部署。通過(guò)這種部署應(yīng)用，我對(duì)安全技術(shù)理論知識(shí)的理解得到了進(jìn)一步提升。除了 Cisco 安全技術(shù)之外，我還在實(shí)踐中掌握了包括CheckPoint和Juniper廠商在內(nèi)的安全技術(shù)。而且通過(guò)橫向比較這些廠商的產(chǎn)品，我對(duì)它們的產(chǎn)品性能和優(yōu)缺點(diǎn)也了然于胸。

當(dāng)然，部署和維護(hù)這個(gè)內(nèi)部網(wǎng)絡(luò)并不輕松，網(wǎng)絡(luò)經(jīng)常被我搞得崩潰，而且每次都會(huì)讓我痛不欲生。但是每當(dāng)將網(wǎng)絡(luò)重新修復(fù)之后，這種痛苦就轉(zhuǎn)換為一種甘甜，如此往復(fù)，技術(shù)不斷得到升華。我在講課時(shí)經(jīng)常會(huì)提到，學(xué)員在幾分鐘之內(nèi)就輕松搞定的VPN，可能在當(dāng)初花費(fèi)了我兩天的時(shí)間。雖然我們的處理方式都是一樣的，但是我比他們知道更多錯(cuò)誤的處理方式。這些方式盡管不正確，但是他們讓我對(duì)錯(cuò)誤產(chǎn)生了比較敏銳的嗅覺(jué)。我可能無(wú)法馬上找到一種正確的處理方式，但是我肯定能迅速地發(fā)現(xiàn)一種錯(cuò)誤方式，而這就是行動(dòng)對(duì)知識(shí)的升華。而且在每一次錯(cuò)誤發(fā)生后，我都會(huì)從一個(gè)錯(cuò)誤的方面來(lái)驗(yàn)證理論知識(shí)的正確性。

當(dāng)然，在學(xué)習(xí)網(wǎng)絡(luò)時(shí)，僅有實(shí)踐也是不夠的，我們還需要理論知識(shí)的支撐，為此，我們需要閱讀大量的技術(shù)圖書(shū)（尤其推薦人民郵電出版社出版的Cisco系列的圖書(shū)），而不能僅依賴(lài)于只提供問(wèn)題解決方法的技術(shù)資料和視頻。而只有在圖書(shū)中，才會(huì)完整地包含作者對(duì)相關(guān)問(wèn)題的分析，以及解決問(wèn)題的思路。再就是，就某種技術(shù)而言，我們也不可能指望通閱讀一本書(shū)就將其掌握，以IPSec VPN 為例，我們至少要閱讀3~5本書(shū)才能真正理解該技術(shù)。畢竟，不同的作者看待問(wèn)題的方法和解決問(wèn)題的思路是不同的，只有當(dāng)從不同的角度學(xué)習(xí)、理解這個(gè)技術(shù)之后，才能對(duì)它有一個(gè)比較深刻的認(rèn)識(shí)。就像詩(shī)中說(shuō)的那樣“橫看成嶺側(cè)成峰，遠(yuǎn)近高低各不同”。

總之，無(wú)論是學(xué)習(xí)網(wǎng)絡(luò)安全技術(shù)，還是其他技術(shù)知識(shí)，都建議讀者能夠切實(shí)貫徹明朝思想家王陽(yáng)明先生的“知行合一”思想，將理論應(yīng)用于實(shí)踐，在實(shí)踐中提升對(duì)理論的認(rèn)識(shí)，如此循環(huán)往復(fù)，以扎實(shí)掌握技術(shù)。

本書(shū)主要內(nèi)容

本書(shū)總共分為 10章內(nèi)容，外加 1 個(gè)附錄。本書(shū)從加密學(xué)理論開(kāi)始，分別介紹了VPN 技術(shù)、GRE 技術(shù)與配置、IPSec 基本理論、站點(diǎn)到站點(diǎn)IPSec VPN、影響IPSec VPN的網(wǎng)絡(luò)問(wèn)題、IPSec VPN 的高可用性技術(shù)、動(dòng)態(tài)多點(diǎn) VPN（DMVPN）、組加密傳輸VPN（GETVPN）、Easy VPN、ASA 策略圖等知識(shí)。本書(shū)具有很強(qiáng)的實(shí)操性，書(shū)中所有的實(shí)驗(yàn)環(huán)境都能夠使用虛擬機(jī)來(lái)搭建。并且每一個(gè)實(shí)驗(yàn)給出了詳細(xì)的測(cè)試過(guò)程與結(jié)果，以幫助讀者徹底掌握與實(shí)驗(yàn)相關(guān)的理論知識(shí)和技術(shù)，真正做到“知行合一”。

第1章，“VPN技術(shù)簡(jiǎn)介”，主要講解VPN技術(shù)特點(diǎn)與分類(lèi)。

第2章，“GRE”，主要介紹傳統(tǒng)GRE VPN 技術(shù)。

第3章，“IPSec基本理論”，講解了IPSec的協(xié)議特點(diǎn)與工作原理。

第4章，“站點(diǎn)到站點(diǎn)IPSec VPN”，介紹了站點(diǎn)到站點(diǎn)IPSec VPN 的架設(shè)與配置細(xì)節(jié)。

第5章，“影響IPSec VPN 的網(wǎng)絡(luò)問(wèn)題”，討論了各種網(wǎng)絡(luò)技術(shù)對(duì)IPSec VPN 的影響及其解決方案。

第6章，“IPSec VPN 中的高可用性技術(shù)”，講解了IPSec VPN 相關(guān)的冗余技術(shù)。

第7章，“動(dòng)態(tài)多點(diǎn)VPN（DMVPN）”，介紹了Cisco最具特色的DMVPN技術(shù)。

第8章，“組加密傳輸VPN（GETVPN）”，講解了全新的廣域網(wǎng)加密技術(shù)GETVPN。

第9章，“Easy VPN”，講解了Cisco 私有的遠(yuǎn)程VPN 技術(shù)EzVPN。

第10章，“ASA策略圖”，介紹了ASA的策略繼承關(guān)系。

附錄A，“Cisco模擬器配置指南”，介紹了本書(shū)配套模擬器的配置與使用。

本書(shū)讀者對(duì)象

本書(shū)適合 Cisco 安全的初學(xué)者、希望解決實(shí)際問(wèn)題的工程實(shí)施人員，以及備考CCNP安全認(rèn)證的人員閱讀。