Category Archives: 走向CCIE之路-Security

10年CCIE纪念,反思及展望

CCIE 10 years
CCIE #17564 Kang Liu

前几天考完了CCIE的笔试做重认证,今天登陆CCIE portal看到可以使用这个可以给“老人”用的新的logo了。是啊,已经10年了……

又读了一遍10多年前写的那一系列文章:

从2005年开始定了目标,2006-2007年一共考了2个笔试,4次lab,最终拿到了2个CCIE认证。那时候除了每天的日常工作和网络改造项目可以作为实践准备之外,又花了上千小时的时间去学习和做实验。

看着那些文章,回忆起来10年前的那一段学习和考试的经历就好像一段梦一样,那时候可以很专注的学习、练习,即使中途遇到了失败和挫折也能很快爬起来继续努力。

拿到CCIE认证只是努力之后结果,10年之后再回忆起来,我真的很享受那个学习和准备的过程,有谁不愿意能专注的去完成好一件自己喜欢去做的而且自己又觉得有意思的事情呢?

10年之后的我,工作和10年前几乎完全不同了。现在的工作是产品经理,产品经理更多的要解决的是人的问题。相对于人的问题,技术问题通常更容易解决吧!不过不可否认,技术背景对我现在的工作还是非常有帮助的——能理解客户和研发讲的那些技术术语,能更清楚的了解并沟通客户的需求(只要时间足够并且目标已经达到了,想谈产品就谈产品,想谈技术就谈技术,我才不绕圈呢),甚至偶尔还可以给研发讲讲某个技术到底是怎么回事(其实除了“老技术”之外,很多新技术我也是被问到了才现学的,但是有了之前的知识储备,我理解的就能比你快,而且也有信心给你讲明白,嘿嘿)。

嘚瑟和纪念的话就写这么多,再写下一些反思和展望。

以前在准备CCIE的时候,曾经在NetPro论坛上看到过这样的一段话,也写下了 Be a real CCIE这个帖子

In most situations, when someone obtain a CCIE, it tells me that person is willing to go through the pain and sacrifice to obtain this achievement and therefore, deserve a lot of my respect

10年前的我,也许没有完全理解这段话,或多或少的只关注到了那些技术和所谓pain and sacrifice。

现在再反思一下10年前的那段经历,除去学习知识之外,更多的是自己主动的走出了所谓的”舒适区/comfort zone”,去挑战自我并创造了更多更大的机会。

10年之前的我想不到10年之后现在自己做的这份工作。再过10年的我呢? CCIE 10年只是个开始,写篇文章小小的记录和庆祝一下,再出发吧!

解决了一个困扰已久的CBAC的问题

虽然以前在生产网上就用过CBAC,但是对于inspect http和inspect ftp某些具体的行为还是有些不清楚,夜里下定决心一定要做实验弄明白。
实验前提:inspect http或者inspect ftp如果用在边界路由器连接ISP的接口出向,并且同时有访问控制列表用在该接口的入向,并且该acl不包含明确允许返回流量的条目(如:permit tcp any any或者permit ip any any)
在netlab上实验的结果得到下面2个结论:
1. inspect http和inspect ftp等使用时不需要与inspect tcp同时使用:既一旦使用了inspect http或者inspect ftp,那么对应的协议的返回流量会自动被允许。当然,需要是标准的服务端口,如果不是的话,需要手动设置PAM映射。
2. inspect http后面的java-list如果不使用的话,则所有内部访问外部的流量中的java applet都会被过滤,但是同一个页面中的其他内容(文字、图片等)不会受到影响。
之前看到很多文档都没有明确说明这点,有些文档甚至说不写java-list就不会过滤java applet。我做实验的结论是如果只写ip inspect name 并且应用到接口的话,所有的java applet都会被过滤!
*使用debug ip inspect http和debug ip inspect ftp可以看到等详细的连接检查过程。
据说CBAC这种IOS防火墙的功能是靠纯软件完成的,开启了之后会影响设备的性能。我曾经在某个Cisco高端设备上尝试CBAC功能,流量在几百兆的时候CPU基本上被占满了,设备几乎不响应。因此上述实验不推荐在任何生产设备上做!

Still on the way

penguin-writing.jpg9-11那天去考了安全的lab,感觉题目内容有些地方比较变态,但是整体看来还算是合理。

晚上得到的结果是76分,没能通过,虽然只需要再对一个题目就能pass。不过有些部分的得分低于我的预期了。也许确实是有些知识上的缺陷,也许我做的答案和所谓的标准答案有区别。深夜的时候提交了reread,我觉得自己对题目的理解和作答都是合理的,至于考官会怎么理解我的答案那就不知道了……据说整个reread过程需要3周,等3周之后再看了。

不论怎样对技术的学习和追求将一直继续下去。