- One mobilszolgáltatások
- iPhone topik
- Olcsó Galaxyk telepíthetik a One UI 7-et
- Milyen GPS-t vegyek?
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Samsung Galaxy A56 - megbízható középszerűség
- Samsung Galaxy S22 Ultra - na, kinél van toll?
- Google Pixel topik
- Amazfit Balance - ár-érték egyensúly
- Ford SYNC 3 infotainment rendszer teszt
-
Mobilarena
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
#2092
zsolti.22
senior tag
sunyijanika
#2091
zsolti.22
senior tag
válasz
sunyijanika
#2091
üzenetére
Az lehet, de némi toldalék azért nem ártott volna!
-
sunyijanika
tag
válasz
zsolti.22
#2090
üzenetére
semmi gond. szóval, NSSA-t minden bizonnyal egy ABR és ASBR közé fogsz tenni. ahogy nálad is látható (R3 -R7). LSA7 csak azok a routeok fognak kapni amiket az ASBR-n redistributolsz (external IGP, connected,static pl. , de nálad az ábrán nincs ilyen) - lényeg, hogy egy stub area is tudjon tanulni external routeokat ezért van az LSA7, mert LSA5-t elutasítják mint köztudott.R7(lsa7)--->(ls7)R3(lsa5)---->R4
de te pont fordítva gondoltad az egészet! R3 csak LSA5-t fog látni az eigrp-ről mivel az egy sima external és ezt nem fogja LSA7 alakítani mert az NSSA csak egyszerűen eldobja (nincs LSA5).
R5(lsa5)----->all
Szerintem logikusan levezettem, erősítsetek meg
-
#2090
zsolti.22
senior tag
sunyijanika
#2089
zsolti.22
senior tag
válasz
sunyijanika
#2089
üzenetére
Na ebből még nehezebb kibogozni.
De annyit leszűrtem, hogy az NSSA-t az external IGP és egy normál area KÖZÉ kell tenni. -
sunyijanika
tag
válasz
zsolti.22
#2088
üzenetére
Igen itt az iránnyal lesz gond ahogy crok is mondta. mivel az eigrp-t R3-m LSA5 fogja látni! (amit persze R7 - nssa miatt sose fog megkapni, omits LSA5) R3 area0 -ból kapja az eigrp útvonalat nem az R7-t felől. (R3 - ABR) Azonban, ha az ASBR-n (R7) redistributolsz (connected, static.. etc) az már LSA7 lesz amit R3 LSA5 továbbít majd. Remélem most már kicsit világosabb lett.
-
crok
Topikgazda
válasz
zsolti.22
#2086
üzenetére
Nem voltam elég pontos, elnézést
R7 LSDB-ben benne kell lennie, ha van egyáltalán olyan út, ami LSA7,
de ahhoz R7-nek lennie kell külső útjának (static vagy connected redist.).
Szóval ne az EIGRP utat keresd az R7-en, mert az area 2 az stub, az a
külső EIGRP út meg LSA5, amit stub nem kaphat meg.LSA7 csak az NSSA-ban van. R3 ezt majd LSA5-re alakítja.
Azt hiszem az LSA-k mozgásának iránya az, ami megkavart. -
crok
Topikgazda
válasz
zsolti.22
#2084
üzenetére
Na várjál.. Azt hiszem megvan. LSA7 az az út lenne az R3-on R7-től az
R4 felé, amit R7 hirdet, mint külső utat az R3 felé (mondjuk egy loopback
hirdetve a redistribute connected-el). Nem R7-en lesznek LSA7 utak./--! Jobb oldalt van NSSA és az LSA7 hogy honnan hová hogyan halad.
-
zsolti.22
senior tag
Értetlenkednék egy kicsit.
Adott a lenti topológia. Az ISATAP rendesen működik (OSPF is), az EIGRP injektálva van, így elméletileg minden routeren, ami normál area, rajta kell lennie. Az area 1-ben lévő router stub router, így neki nyilván nem lesz benne a külső útvonal az LSDB-jében, csak a 0.0.0.0/0, amit az ő ABR-je hirdetett neki. Csináltam egy NSSA areát is, amibe az R7 tartozik bele. Köztudott, hogy ezen a routeren LSA7-ként kellene előfordulnia az external útvonalnak az LSDB-ben, de nincsen benne, ezért a RIB-ben is hiába keresem az O N1 jelzőt. Nem értem, hogy miért nincsen a külső útvonalról LSA7 bejegyzés egy normál NSSA areában
Ha totally NSSA-ra változtatom az areát, akkor természetesen működik a 0.0.0.0/0 miatt, de nem ez a megoldás.Nektek mi a véleményetek?
-
FecoGee
Topikgazda
-
FecoGee
Topikgazda
-
Tsory
tag
válasz
robesz87
#2024
üzenetére
Alapból a host routing során megvizsgálásra kerül, hogy a célállomás IP címe azonos hálózaton van-e forrás IP-vel. Ha igen, akkor ethernet esetében ARP requesttel megszerezzük a layer2 címet, és megindul a kommunikáció. Ha nem, akkor a csomag a host routing táblája szerinti next hop addresshez lesz továbbítva (itt is ARP-vel szerezzük meg a next hop layer2 címét).
Ha a host azt hiszi, hogy a célcím vele azonos hálózaton van, de ez mégsincs így, akkor az ARP request kérésre nem fog válasz érkezni, így nem is fog menni a kommunikáció (kivéve, ha ...)
Nézzük az alábbi topológiát:
PC1 (192.168.1.1/24, gw: 192.168.1.126) - (192.168.1.126/25) R1 (192.168.1.254/25) - (192.168.1.129/25 gw: 192.168.1.254) PC2
Látszik, hogy PC1 netmaskja el van rontva. Ebben az esetben ha PC1 pingetné PC2-t, akkor mit várnánk el? Elvileg nem kellene működnie, hiszen PC1 azt hiszi, hogy egy subnetben van PC2-vel, így egy ARP requesttel kezd, amire nem szabadna válasznak érkeznie. Van azonban egy proxy arp szolgáltatás az IOS-ben, ami azt csinálja, hogy elkapja PC1 arp request kérését, és behazudja a saját MAC adressét, mintha ő lenne a PC2. Így PC1 úgy látja, hogy PC2 a saját subnetjében van és minden további nélkül kommunikál vele. A proxy arp sokáig alapértelmezetten be volt kapcsolva az IOS-ben, ezért érdemes számolni vele. A fenti topológia a packet tracerben is működik.
-
sunyijanika
tag
válasz
robesz87
#2073
üzenetére
ip inspect name "name" icmp (protocol amit szeretnél, hogy vissza jöjjön)
ha többet akarsz, többször írod le a sort:
ip inspect name -name- http
ip inspect name -name- stbinterfacen pedig pl out irányba engedélyezed.de úgy hogy közben befele tiltasz bizonyos forgalmat a (pl a 11-t).
de az "establish" kulcsszó is tökéletesen működik!
-
robesz87
tag
válasz
robesz87
#2065
üzenetére
Valaki lenne szíves kódot is szolgáltatni, mert az establisheddel próbálkoztam tegnap egész nap, de nem sikerült megfelelő működésre bírnom. :S
IP inspect kódot is szívesen fogadok, igaz azt még nem ismerem, de hát azért járok ebbe a fórumba, hogy tanuljak.
Köszi előre is annak, aki veszi a fáradtságot. -
f_sanyee
senior tag
válasz
robesz87
#2065
üzenetére
ahogy mar korabban is emlitette valaki, establisheddel lehet jatszani, nem kell itt tulbonyolitani.
22,33,44-nek kifele engedsz mindent, befele pedig 11-esbol es a kivalasztott hostrol mindent + minden mashonnan established
11esnek mindent engedsz
1esnek ki minden, befelele csak established, igy a 11esbol sem erik el. -
sunyijanika
tag
válasz
robesz87
#2065
üzenetére
Látom szereted bonyolítani a dolgokat
Egyes kérdések ellentmondanak a másiknak. pl 3 - 4, A 11 ne lássa az 1-t, de fordítva igen? vagy a 11 ne lássa az 1-t,de az 1 láthat mindenkit kivétel 11-t? nem egyértelmű számomra. mert akkor már itt nem elég az ACL, kell ip inspect is vagy ehhez hasonló firewall, De én azt mondom, kis átalakítással már Private Vlan-t kellene használni amivel szétosztod a vlanokat felesleges acl bonyolítás nélkül.
-
-
robesz87
tag
Feladvány
(Packet Tracer)192.168.11.0 /29 ---- Switch1
...................................|
192.168.22.0 /27 ---- Switch2
...................................|
192.168.33.0 /27 ---- Switch3
...................................|
192.168.44.0 /27 ---- Switch4
...................................|
...............................fa0/1
192.168.1.100 - fa0/0 R1s0/0 ---- InternetMindegyik hálózat külön VLAN-ban van és ugye mindegyik külön subinterfacen az fa0/1-en.
(Vlan 99-en a natív és mgt)
Hogyan configoljam az ACL-t, hogy :1) mindenkinek legyen teljes-internet-hozzáférése
2) 22,33,44 alhálózatok csak külön-külön magukat lássák
3) 11 alhálózat lásson mindenkit, kivéve az 1 alhálózatot
4) 192.168.1.100 (egyedüli gép az 1 alhálózaton) lásson mindenkitSok mindennel próbálkoztam már, bizonyára rosszul.
Segítségeteket előre is köszi. -
tusi_
addikt
válasz
zsolti.22
#2057
üzenetére
Vagy egy SPI/CBAC ip inspect-el.
Itt az ip inspect.... parancs, mehet a belső interfészre in és a külsőre is out irányban, mig a külsőre egy deny ip any any in irányban. Persze az ip spoofing miatt ki kell zárni az összes privát ip-t befele és a saját ip-t source forrásból meg a loopbackokat......
-
#2056
crok
Topikgazda
sunyijanika
#2055
crok
Topikgazda
válasz
sunyijanika
#2055
üzenetére
Az már nem annyira triviális
-
crok
Topikgazda
válasz
robesz87
#2052
üzenetére
A megoldás az IP Inspection vagy esetleg ACL established opcióval.
Ezekkel tudsz olyat csinálni, amit el akarsz érni: egyik hálóból menjenek
csomagok a másikba és legyen válasz is, de a másik háló ne tudjon
kezdeményezni kapcsolatot visszafelé (megintcsak: SOHO routerek
Internetmegosztása és SPI tűzfal: bentről ki és vissza mindent, kintről
befelé semmit a világon nem engedünk ). -
robesz87
tag
válasz
sunyijanika
#2051
üzenetére
Inkább leegyszerűsítem, mert az alapprobléma, amibe ütköztem, így is jól modellezhető.
192.168.1.0 /24 lássa 192.168.2.0 /24 -t, de fordítva nem.
ip access-list extended BLIND
deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip any anyAmikor pingelném a 192.168.1.3-ról (például) 192.168.2.156-ot, akkor a ping eléri a hostot, de visszafelé a router tiltja, mert visszafelé a ping source addresse a kettes networkbe tartozik, ami tiltott.
Mi a megoldás? A wildcard-al variálni vagy kivételt megadni?
-
robesz87
tag
Kérnék egy kis segítséget ACL-el kapcsolatban.
A 22,33,44 ne lássák egymást és a 1,11-et, de az 1,11 viszont lássa egymást és a 22,33,44-et.
ip access-list extended CLASS_A_BLIND
deny ip 192.168.22.0 0.0.0.31 192.168.1.0 0.0.0.255
deny ip 192.168.22.0 0.0.0.31 192.168.11.0 0.0.0.255
deny ip 192.168.22.0 0.0.0.31 192.168.33.0 0.0.0.255
deny ip 192.168.22.0 0.0.0.31 192.168.44.0 0.0.0.255
permit ip any any
ip access-list extended CLASS_B_BLIND
deny ip 192.168.33.0 0.0.0.31 192.168.1.0 0.0.0.255
deny ip 192.168.33.0 0.0.0.31 192.168.11.0 0.0.0.255
deny ip 192.168.33.0 0.0.0.31 192.168.22.0 0.0.0.255
deny ip 192.168.33.0 0.0.0.31 192.168.44.0 0.0.0.255
permit ip any any
ip access-list extended CLASS_C_BLIND
deny ip 192.168.44.0 0.0.0.31 192.168.1.0 0.0.0.255
deny ip 192.168.44.0 0.0.0.31 192.168.11.0 0.0.0.255
deny ip 192.168.44.0 0.0.0.31 192.168.22.0 0.0.0.255
deny ip 192.168.44.0 0.0.0.31 192.168.33.0 0.0.0.255
permit ip any anyA probléma az, ha a 1,11-ről pingelem pl a 44-est, akkor célba és a ping, de vissza már nem érkezik az ACL miatt, ami a gatewayt is tiltja. (.11.1 , .1.1 )
Hogyan változtassak a configon, hogy működjön, de emellett a hálózat is elérhetetlen maradjon?
-
tusi_
addikt
válasz
zsolti.22
#2042
üzenetére
"Szerk: Érteni is kell nyilván, a bemagolás sokra nem vezet. Ahogy alaposabban megnéztem, még azt sem írja nálad, hogy 2-t válassz, nálam pedig már az is fel van tüntetve. Mik lehetnék még a hiányosságok
Mindenképpen zavaró az elírás, csak nehogy rosszul tanuld meg!Szerk2: Neem, nem arra gondoltam, hogy könyvből tanulj; akkor inkább már egy frissebb pdf-ből!"
Az lenne a legjobb, ha ki tudnám laborozni, akkor nem is tettem volna fel a kérdést, de a gépem már el van csomagolva. Laptopon meg nincs fenn most gns3, de felrakom esküszöm.
-
zsolti.22
senior tag
Nem piszkálni akarlak. De az emlékeztetőnél arra gondoltam, hogy más, netről szedett dolgokkal már nekem is és neked is volt baja; ezt csak akkor vedd fel, ha ez az ebook is olyan. Az előnye, hogy neked 42000-rel több maradt a zsebedben
Szerk: Érteni is kell nyilván, a bemagolás sokra nem vezet. Ahogy alaposabban megnéztem, még azt sem írja nálad, hogy 2-t válassz, nálam pedig már az is fel van tüntetve. Mik lehetnék még a hiányosságok
Mindenképpen zavaró az elírás, csak nehogy rosszul tanuld meg!Szerk2: Neem, nem arra gondoltam, hogy könyvből tanulj; akkor inkább már egy frissebb pdf-ből!
-
tusi_
addikt
válasz
zsolti.22
#2040
üzenetére
Sógorom hozta, ezekből vizsgázott az Ő rg-juk. Hogy Ő honnan szedte, azt nem tudom.
Biztos igaza van a könyv irónak, nem vitatom, de szeretném megérteni. Számomra nem csak a vizsga fontos, szeretném érteni is, mert zavar van az erőben, ha valamit nem értek
Persze, hogy emléxem. (engem rá nem vennél, hogy könyvből tanuljak, nekem ez a legjobb megoldás. Esetleg egy E-book olvasót elfogadnék a forditás miatt)
-
zsolti.22
senior tag
Az én könyvem (nem e-book) 4. kiadás, ez akkor nyilván nem az. Nekem 10.10.32.0 szerepel már benne. Errata-kat nem is nézed?
Emlékszel még arra, amit korábban mondtam? Nehogy megtanuld a hibásat! Ezért is jobb szerintem a könyv fizikailag.
Tied gondolom netről szedett, nem a ciscopress.com-ről származó ebook -
zsolti.22
senior tag
válasz
zsolti.22
#2036
üzenetére
Belekukkantottam a könyvbe: 10.10.32.0 szerepel benne, nem 10.100, ahogy írtad és írja is, hogy Choose two answers, és mivel a 2 válasz kapásból meg van, szerintem nem kell rágódni, hogy az A miért jó. Vizsgán ezzel rengeteg időd menne a levesbe.
Szerintem azért, mert egy részét lefedi az ACL. A másik kettő, D és E-nek meg abszolút nem fedi le. Más magyarázat nem lehet.
-
tusi_
addikt
Kérdés
1. Router R1 has been configured for EIGRP. The configuration also includes an ACL
with one line–access-list 1 permit 10.100.32.0 0.0.15.255–and the EIGRP configu-
ration includes the distribute-list 1 in command. Which of the following routes could
not be displayed in the output of the show ip eigrp topology command as a result?
a. 10.10.32.0/19
b. 10.10.44.0/22
c. 10.10.40.96/27
d. 10.10.48.0/23
e. 10.10.60.0/30Answer : D and E. The two listed commands correctly configure EIGRP route filtering such
that prefixes matched by the ACL’s permit clause will be allowed. All other prefixes
will be filtered due to the implied deny all at the end of the ACL. The ACL permits
numbers in the range 10.10.32.0–10.10.47.255, which leaves 10.10.48.0 and 10.10.60.0
unmatched by the permit clause.Itt az a. hálózat nem tartozik bele teljesen az ACL-be. Az egy 10.10.32.1 - 10.10.63 254 es háló, mig a szűrt az egy 10.10.32.0–10.10.47.255-s. Az egy dolog, hogy percekig számolgattam, mig gondolkodtam, hogy miért 100-a a szűrt IP 2. oktettje - elb..ás - de itt nem értem a válaszokból az a-ra miért matchel.
-
crok
Topikgazda
válasz
robesz87
#2032
üzenetére
Ez nem egészen van így.. szóval olyat lehet csinálni, hogy kívülről elérni
egy belső gép pontos portját - hiszen így tudsz NAT router mögött "aktív"
módon torrentezni.. jól néznénk ki ha a SOHO routerek tudnák a Cisco-k
meg nem Szóval a lényeg csak annyi, hogy a NAT táblában legyen már
a kommunikációkor bejegyzés. Ha a kommunikációt a NAT inside-ról a
host kezdeményezte kifelé (és dinamikus a NAT) akkor az első kimenő
csomag már kreál NAT bejegyzést a kapcsolatkoz. Kívülről befelé ilyen
nem lesz.. hacsak kézzel meg nem adod Pont mint a SOHO routereknél.
Ez a "static port forwarding". -
-
robesz87
tag
A network:
access-list 1 permit 192.168.0.0 0.0.255.255
ip nat inside source list 1 interface s0/0/0 overloadB network (itt csak egy server van):
ip nat inside source static 192.168.1.254 200.10.10.2Így működik.
Tegyük fel, egy bizonyos gépet akarok elérni a A hálózatban, akkor oda már PAT kellene ugye? ( Sajnos, ahhoz még nem értek.
) -
crok
Topikgazda
válasz
robesz87
#2027
üzenetére
Ha a NAT-ot jól csinálod, akkor igen
Egyébként egy jó kis megoldás: adott xy site, el kell majdegymást érniük,
de nem akarsz sok melót a konfigokkal. Mindenhol Cisco routert szeretnél
használni (mondjuk DMVPN vagy csak VPN koncentrálással..). Megoldás:
csinálsz egy standard konfigot és nyugodt szívvel osztasz minden LAN-
nak egységes IP címeket ám mindenhol NAT-olsz egy site-specifik loop-
back IP-re! Így a konfigokon nem kell sokat változtatni, csak annyi, hogy
minden site-ra kiküldött routeren a loopback cím lesz más, meg mondjuk
az Internet/szolgáltató elérésének konfigja. Persze jól kell megtervezni. -
robesz87
tag
Valamint lenne gyorsan még egy kérdésem is.
192.168.1.2-192.168.1.1ROUTER10.0.0.1-10.0.0.2 ROUTER192.168.1.1-192.168.1.254
( ip route 0.0.0.0 0.0.0.0 s0/0/0 mindkét oldalon beállítva )
A 2 host nem látja egymást. Azt értem, hogy azért, mert azonos a subnet és a sajátjában keresné a hostot, de erre nincs valami megoldás,pl. ha nem találja kiküldi a 0.0.0.0-án?
-
-
efem
tag
udv mindenki, csak gondoltam megosztom e szamomra uj dolgot
Configuring a Backup Sorry Server for the Cisco CSS
De annyit leszűrtem, hogy az NSSA-t az external IGP és egy normál area KÖZÉ kell tenni.
Mindenképpen zavaró az elírás, csak nehogy rosszul tanuld meg!
Új hozzászólás Aktív témák
Hirdetés
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Linux Mint
- Milyen légkondit a lakásba?
- Milyen egeret válasszak?
- Kerékpárosok, bringások ide!
- HiFi műszaki szemmel - sztereó hangrendszerek
- Autós topik
- Sony MILC fényképezőgépcsalád
- NVIDIA GeForce RTX 5070 / 5070 Ti (GB205 / 203)
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- One mobilszolgáltatások
- További aktív témák...
- AKCIÓ! Gigabyte H510M i5 10400F 16GB DDR4 512GB SSD GTX 1070 8GB Rampage SHIVA Zalman 600W
- AKCIÓ! Gigabyte H610M i5 12400F 32GB DDR4 512GB SSD RTX 3060Ti 8GB Rampage SHIVA Be Quiet! 730W
- Samsung Galaxy A15, 128GB, Kártyafüggetlen, 1 Év Garanciával
- ÁRGARANCIA!Épített KomPhone i5 14600KF 32/64GB DDR5 RTX 4070Ti Super GAMER PC termékbeszámítással
- AKCIÓ! ASUS PRO WS W790E-SAGE SE alaplap garanciával hibátlan működéssel
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged