- Bemutatkozott a Poco X7 és X7 Pro
- Yettel topik
- Magyarított Android alkalmazások
- Hónap végén érkezik a Xiaomi Band 10, ára is van
- iPhone topik
- Nothing Phone (3a) és (3a) Pro - az ügyes meg sasszemű
- Google Pixel topik
- Milyen okostelefont vegyek?
- Fotók, videók mobillal
- Samsung Galaxy Watch (Tizen és Wear OS) ingyenes számlapok, kupon kódok
-
Mobilarena
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
Immy
őstag
válasz
zsolti.22
#8297
üzenetére
Amiből készültem: 640-554 OCG+CBT nuggets+official netacad anyag flashben.
Hogy milyen volt a vizsga?
Nehezebb mint egy CCNA wireless, de könnyebb mint a CCNA routing&switching.
Az elméleti részbe betekintést nyertem (Tacacs/radius, ike v1-v2, port security, vlan hopping stb...) témákba, de úgy érzem, hogy még mindig nagyon kis szeletét érintettük a security-ban. CBT nuggets-es videók nagyon tetszettek, kiváltképp a konfigurációs videók voltak eltalálva nagyon.Ahol hiányérzetem van: túlságosan erőltetik a CCP-s vonalat és a CLI-s konfiguráció nagyon háttérbe szorult. Manapság már minden (magára valamit adó) gyártó, security-hoz kapcsolódó tananyagot biztosít, amiből lehet vizsgázni. Mivel nálam a security nem csak a hálózati részlegnél áll meg, ezért én egy kicsit kevésnek éreztem a tananyagot. Egy hálózati switch vagy asa konfigurációs elemzése vagy hardenelése során jól jön a megszerzett tudás, de úgy érzem, hogy a CCNA Sec nagyon a felszínt kaparja és az offensive security vizsgákkal szemben, kevésnek érzem.
-
RogerP
csendes tag
Üdv mindenkinek!
Remélem nem trollkodom szét a topicot a témámmal.
Egy cégnek szállítunk be és tartunk karban különböző számítógépes rendszereket, amik tipikusan 4-6 gépből állnak, most kitalálták, hogy virtualizáljuk őket, és kb a felénél. Eddig ezek szigetüzemben voltak elszórva a cég telephelyén.
A virtuális szerverek egy központi irodaépületbe vannak tervezve, míg a maradék gép meg a vékony kliensek maradnának ugyanott, a kettő köti távolság meg akár néhány km is lehet.
Szerencsére az ügyfélnek van egy kiépített hálózata, így arra szeretnénk valamilyen módon rácsatlakozni.A tervezett elrendezés kb így néz ki:
Az ügyfél hálózatát egy felhőként kezeltem, mert nem tudunk róla semmit. A virtális szerverek esetén Cisco Catalys 2960-S switcheket gondoltam, amiket stackelnék, a másik oldalon a meglévő különböző 2960-as switchek maradnának.
Az egyes végpontokig kb 10-100 Mbit/sec sávszélesség kéne, és nincsen végpont-végpont kommunikáció szerencsére.Ami kérdésem lenne, hogy egy ilyen rendszer mennyire tűnik életképesnek?
A 2960S segítségével el lehet osztani az egyes linkek között a forgalmat? -
-
Gesztiboy
tag
Szerintem sokat jelent az, hogy a cég ilyen formában is segíti a dolgozóit. Sajna dolgoztam olyan helyen, ahol adni nem igazán akartak, de azért elvárás meg b@sztatás volt
tusi_: Az ilyen lehetőséggel élni kell. Ha a másikat ütni kell, hogy megcsinálja, akkor magára vessen.
Az viszont még jobb, hogy azt kell megtanulni, levizsgázni belőle, amit szeretsz. -
#8294
zsolti.22
senior tag
Hedgehanter
#8292
zsolti.22
senior tag
válasz
Hedgehanter
#8292
üzenetére
+1
-
#8293
tusi_
addikt
Hedgehanter
#8292
tusi_
addikt
válasz
Hedgehanter
#8292
üzenetére
-
#8292
Hedgehanter
őstag
Cyber_Bird
#8291
Hedgehanter
őstag
válasz
Cyber_Bird
#8291
üzenetére
Fiatalon a masodik hogy fejlodj meg ugye a penz sem kell
Idosen a masodik ahol sok penz van keves munkaval es tanulni sem kell.
En kozepen vagyok..
-
#8291
Cyber_Bird
senior tag
FecoGee
#8288
Cyber_Bird
senior tag
válasz
FecoGee
#8288
üzenetére
Normal esetben igen.
Nem tudom nalatok hogy van, en akiket infosokat ismerek, azok altalaban ugy szoktak, hogy ev kozben 1-1 napot kivesznek, altalaban a hosszu hetvegek/ munkanap cserek idejere, aztan ev vegen vagy ev elejen egyben kiveszik az osszes fennmarado napot, es akkor pihenik ki az egesz eves faradalmat.
Ebben ugye az a gond, hogy ilyenkor szinte mindenki rokont latogat.Az hogy 1 munkanapot minden heten visszavasarolsz, az meg lehetoseget ad arra, hogy olyankor elmenjetek kirandulni, vagy csak setalgatni, esetleg valami szervezett programra. Akar szimplan csak moziba beulni, vagy otthon maradni, es lustalkodni, vagy jatszani a gyerekkel. Tehat mas az ha minden heten van +1 ilyen nap. Legalabbis szerintem, de lehet csak en erzem igy
Mas:
Ha mar ilyen temak is szoba kerultek, ti mit ereztek fontosabbnak?Egy munkahely, ahol atlagon felul keresel, laza a munkarend, viszont szakmailag csak akkor tudsz fejlodni, ha megteremted magadnak a lehetoseget, (self-study), Nagy eles halozaton gyakorlatot szerezni pedig csak ugy tudsz, ha te mesz utana a projectnek es rakod ossze nullarol, es adod el az otletet a vevoknek.
Vagy, egy olyan hely, ahol szakmailag nagyon tudsz fejlodni, remek lehetosegek vannak, sok nagy halozattal talalkozol, viszont a fizetes eppencsak atlagos, a munkared pedig erosen kotott?
Ki melyiket valasztana (valasztotta?), es miert?
-
#8288
FecoGee
Topikgazda
Cyber_Bird
#8283
FecoGee
Topikgazda
válasz
Cyber_Bird
#8283
üzenetére
Erre lenne a szabadsag, nem?
-
-
#8286
Hedgehanter
őstag
Hedgehanter
őstag
Valaki foglalkozik IT security auditing consultancy-val itt? Elindulnek abba az iranyba kivancsi vagyok mi a tapasztalat.
A CISA gondoltam leteszem hozza.
-
-
#8283
Cyber_Bird
senior tag
FecoGee
#8282
Cyber_Bird
senior tag
válasz
FecoGee
#8282
üzenetére
Egyebkent, bar teljesen offtopic, de ha mar szobajott:
Mostanaban azon kapom magam, hogy nekem is tobbet jelent az hogy szakmailag fejlodhessek, illetve hogy legyen szabadidom, most amig meg relative fiatal vagyok, es tudok is mit kezdeni vele (most az mas kerdes, hogy tanulassal toltom, de akkoris 
)Multkor lattam egy TED talkot arrol, hogy van egy ceg ahol a fizud 10%-aert visszavasarolhatsz heti egy munkanapot a cegtol, es abban azt csinalhatsz amit akarsz termeszetesen. Csaladdal kirandulhatsz, vagy olvashatsz, pihenhetsz, barmit. Teljesen megfogott, nagyon erdekes kezdemenyezes.
Az eloado beszelt arrol is, hogy arra szamitottak, hogy az idosebbek fognak elni a lehetoseggel, de foleg fiatalabbak vettek igenybe.
Es alapvetoen teljesen jogosan, ha mar keresel annyit, hogy a letfenntartas kenyelmesen megoldott, akkor hirtelen a penz mas prioritasi kategoriaba kerul, es fontosabb a szemelyes elegedettseg, csakhat sok cegvezeto nem erti ezt meg. -
tusi_
addikt
válasz
FecoGee
#8280
üzenetére
Nem akarok kockanak tunni, de en azert akarok ASA-zni, mert szeretem ezt a temat. Erdekel a Secu, mar nagyon regota es most lenne lehetoseg tovabb menni.
Ha en nem valasztok, akkor kituznek nekem valami mast, amit esetleg nem nagyon akarok, mint pl ez a Radware dolog most.
De igen a penz sem utolso dolog -
tusi_
addikt
válasz
zsolti.22
#8273
üzenetére
Igazad van, rosszul fogalmaztam.
Tehat. Bugyuta, mert az ittenieket utni kell, hogy tanuljanak. Van, aki itt van 7 eve es most tettek kotelezove neki, hogy elmenjen CCNA-ra es huzza a szajat. Az itteneik nem tanulnak ugy, mint itt TI a forumon. Csak kapkodom a fejem, hogy egymas utan teszik le a vizsgakat es egyre jobbak, pedig a lehetosegek igencsak korlatozottak.
A bugyuta kifejezes arra utal, hogy nem lesznek jobbak a kollegaim, mert lenyomjak valahogy a vizsgat, aztan nem foglalkoznak vele. Te tudod, hogy mennyit gyakoroltam a CCNP elott, pedig elmehettem volna mar korabban is, de nem akartam ugy oda allitani, hogy nem vagyok 100% biztos, hogy venni fogom az akadalyt.
Itt viszont sz..nak ra es engem zavar. A vezetoseg tesz egy pipat a beiskolazas melle, van meg egy ccna/p- sunk azt joccakat. Valahogy az igeny hianyzik itt az emberekbol, hogy jobbak legyenek.
De nem sirni akarok, csak furcsalom. -
zsolti.22
senior tag
Én is az NA Sec-et olvasgatom, bár még messze vagyok szerintem a vizsgától és még ASA-t se konfoltam soha
A könyvben kapásból a végével kezdtem, a VPN-nel, mert az érdekelt jobban, most majd elkezdem az elejét is.
Szerintem nem bugyutaság ez az ösztönző program; így legalább nyomon követhető a saját fejlődésed és ha még támogatnak is, akkor ez így szerintem teljesen korrekt. Inkább az a bugyuta, ha tesznek rád és hogy mit akarsz. -
tusi_
addikt
válasz
FecoGee
#8270
üzenetére
Mar tavaly elott felkeszultem a NA Secura, de nem volt penzem, azota meg a nyelvtanulasnak van prioritasa.
MOst viszont a cegnel vannak mindig "cel eleresek" lefektetve. Most Defense Probol kell vizsgaznom, aztan a kovetkezo felevben meg ki kell tuzni uj celt. Ilyen bugyuta osztonzo program
Inkabb en mondom meg, mit akarok, minthogy ok talaljanak ki nekem valamit. Feldobtam, hogy mennek secu vonalra, bolintottak es fizetik. Kell ennel tobb? -
pankers
csendes tag
Szia,
Köszi a helpet!
Lenne még pár kérdésem
* Melyik protokollt ajánlod VSS-hez PAgP vagy LACP?
Elsőre a cisco specifikus megoldás (protocol) lenne szimpatikus, mivel ott nincs szükség Direct Interlinkre a két 4500x között, hanem beágyazva a PAgP protocolba menne a dual Active Detection.
* Van tapasztalat az Easy VSS konfigurációs mód használatáról? vagy érdemes manuálisan elvégezni?
Buziság mert ez a feature csak a Cisco IOS XE 3.6.0E (IOS 15.2(2)E) release-től érhető el, a VSS maga meg a IOS XE 3.4.0SG-től..persze a beszállító a 03.03.02.SG vel hozta az eszközt, ami 2012-es release date..
Hogy érdemes nekifogni?
1, A két 4500x-en VSL-t konfigolni
2, Access switcheken etherchannelt konfigolniköszi!
-
Akiii
tag
válasz
pankers
#8256
üzenetére
http://www.cisco.com/c/en/us/td/docs/interfaces_modules/transceiver_modules/compatibility/matrix/10GE_Tx_Matrix.html
Itt körbe tudsz nezni melyik SFP jöhet szóba
VSLnek minimum rakjatok 2 darab 10G kapcsolatot osszeboundolva mivel ezen atvan extendalva a data plane
Dual activenak (ami a keepalive kb) annak elég a Giga
Plusz ne lepodj meg ha az elejen felorat bootol a switch mikor felall a VSS teljesen normalis
-
pankers
csendes tag
Sziasztok!
gyors help kéne
2 db 4500X VSS
Kettő közé VSL-nek 10G-s kapcsolatot írnak minimumnak.
Tehát két 10G-s szál kell etherchannelbe a két vas közé azaz 4 db SFP+ transceiver. (ha jól értelmeztem
Nincs messze a két eszköz max. 50 méter.
ez nekem jó lenne?
Cisco SFP-10G-SR
Eddig csak GLC-SX MMD-ket vettünk nincs benne tapasztalatom..
http://www.cisco.com/c/en/us/products/collateral/interfaces-modules/transceiver-modules/data_sheet_c78-455693.html
Köszi előre is!
-
_NCT
addikt
válasz
FecoGee
#8245
üzenetére
Azt olvastam hogy nagyjából fél év, csak nem tudtam hogy a 200-120 vagy külön-külön a 2 ICND vizsgára értendő. Én sem kapkodok, munkahelyen is tudok tanulni, olvasni 1 órát, meg otthon, nagyjából napi 2 órát szánok rá. Magamnak fizetem, munkahelyem nem támogatja, illetve munkahely váltáshoz sem árt egy cert, hálózatokból eléggé hiányosak az ismereteim. GNS3-at töltöttem le, az fogja adni a gyakorlatokhoz az alapot.
Amúgy elsőre megijedtem az OCG könyvtől, de látom hogy több száz oldal benne a függelék, kb 1000 oldal a tömény anyag, illetve az eleje a CCENT, a könyv 2. fele a 200-120 R/S.
-
FecoGee
Topikgazda
Ezt is megbeszeltuk mar parszor. Rajtad mulik. Penz es tapasztalat kerdese. En kulon csinaltam. Mert 0-rol indultam, es magamnak fizettem.
Nekem fel ev volt, de nem siettem. Ha sietsz es nyomas alatt vagy, akkor kevesebb. De nem latom ertelmet a kapkodasnak, mert akkor nem tudsz a tudasra epitkezni kesobb. -
FeRkE
őstag
válasz
FecoGee
#8240
üzenetére
Introducing Cisco Data Center Technologies Vol. 1-2-ből készültem a második vizsgára, ez sem volt vészes, ez már izgalmasabb anyag, áttekinti a Nexus portfóliót, MDS portfóliót, van egy kis vPC, FabricPath, OTV benne, meg virtualizációról dolgok. A második részben storage meg UCS-ről van szó.
-
FecoGee
Topikgazda
Ha hiszitek, ha nem, tudtam, hogy lecsapjatok
. Mar mikor irtam gondoltam, hogy magas labda . Persze hogy nincs harag 
Megcsinaltad a masodik vizsgat is? Ahhoz meg nincs kint az OCG. Ha igen, mibol keszultel? Az elso vizsga eleg lazanak tunik, ugy emlekszem, irtad is hogy konnyu volt. -
#8235
Cyber_Bird
senior tag
TMontana88
#8233
Cyber_Bird
senior tag
válasz
TMontana88
#8233
üzenetére
Alapvetoen, ahogy FecoGee mondta, de:
<hoborges>
Akiben nincs annyi onallosag, hogy hasznalja a forum keresot, az jobb, ha nem is kezd bele a cisco tanulasba.
Nem ertem miert hiszik azt az emberek, hogy nekik dolgok csak ugy jarnak alanyi jogon, de elszomorit minden alkalommal.
</hoborges> -
#8234
FecoGee
Topikgazda
TMontana88
#8199
FecoGee
Topikgazda
válasz
TMontana88
#8199
üzenetére
Szia,
Mar tobbszor volt hasonlo kerdes, valaszoltak is tobben ra. Csinald otthon self study-ban, aztan menj el icnd1 es icnd2 vizsgara. Es megvan a CCNA.
-
#8233
TMontana88
csendes tag
TMontana88
#8199
TMontana88
csendes tag
válasz
TMontana88
#8199
üzenetére
Látom senkiben nem volt meg a segítő szándék, hogy válaszoljon a kérdésemre. Mindenesetre köszöntem a lehetőséget.
-
oleeg
tag
Szia!
A vrf-ek konfigja miatt:
ip vrf aaa
rd 1:30
route-target export 1:101
route-target import 1:101
!
ip vrf bbb
rd 1:101
route-target export 1:101
route-target import 1:101Az azonos route-target export és import miatt, plusz ehhez kell a BGP is.
Egy jó leírás a témáról:
http://packetlife.net/blog/2013/jun/10/route-distinguishers-and-route-targets/
Üdv:
o
-
_NCT
addikt
Sziasztok!
CCNA mennyi idő alatt teljesíthető? Abszolút 0-ról kezdeném, hálózati ismereteim egy openwrt-s router beállításában, és az alapok megértésében kimerül, Cisco router-t patchelni már tuti nem tudnék.
Napi 2 órát tudok nagyjából rászánni, Wendell féle OCG-t olvasgatom (200-120), de tuti 2x át kell olvasnom, hogy megértsem + labor guide (1700 oldal elsőre megijesztett). Nem tudom a Todd Lammle féle könyv jobb-e.
A vizsgát külön vagy egyszerre érdemes lenyomni? (itt most arra gondolok hogy 200-120-ra menjek kapásból, vagy érdemes szétszedni a 2db ICND-re, hogy tuti átmenjek?)
-
Akiii
tag
Az uj V5 OCG egyik reviewja
"Very horrible. I just spent months reading this book front to back, memorizing all the content that I hadn't previously known. I spent more time going through the practice tests that come with this book. I felt ready more than ever and took the 400-101 test ($400 by the way). I failed pretty bad. I got 644 with a passing score of 804. From the first question to the last, there was barely any question that was covered in this book, and if it was, not at all in the depth that the exam required. NetFlow is barely covered in this book (which was covered heavily on the exam) as well as other protocols that were on the exam. Very, very, very disappointed. Even if you knew this book word for word, you wouldn't be able to pass the exam with this book alone. I would not buy it. I wasted money on this book, $400, time I could have spent with family, and pride. I will not be studying this book to re-take the exam...waste of time."
-
crok
Topikgazda
Hát elég unortodox megoldás a problémára de igen, így (is) működhet amit el akart a tervező érni.
A BGP szerepe pontosan az, amit gondolsz: mivel mindkét VRF-nek van export és import konfigja egymás felé *és* a BGP konfig miatt a connected route-okat beteszed a VRF-ek routing tábláiba így azok valid BGP utak lesznek és az export/import így megindul.. vagyis így egyik VRF-ből a másikba és vica versa átteszi a router a VPNv4 prefixeket. Mivel oda-vissza meg van csinálva így oda-vissza menni is fognak a prefixek és így a forgalom is. Nem kellenek peerek, mert nincsenek használva, csak azt használja ki a konfig, hogy az export/import hogy működik. A red con helyett használhatnál pl. network parancsokat is.. de pl. ha olyat csinálsz, hogy static route úgy, hogy nincs next hop, csak az interface-t adod meg akkor is tökéletesen működni fog (tudom, mert ilyet is csináltam már, workaround volt..).
-
oleeg
tag
Szia!
Csak piszkálta a csőröm...
A BGP szerepét meg tudná valaki világítani számomra?.Inter vlan routing lenne az aaa és bbb vrf-ek összenyitására?
Szóval igen a cél, hogy a két vrf kommunikáljon egymással és ehhez BGP is kell.
Először azt gondoltam, hogy hiányos a BGP konfig, de nem. Hiába azonosak az import/export rt beállítások a két vrf-ben, nem fog látszódni az egyik a másikból:Egy routerben raktam össze a konfigot először BGP nélkül:
!
ip vrf aaa
rd 1:10
route-target export 1:101
route-target import 1:101
!
ip vrf bbb
rd 1:20
route-target export 1:101
route-target import 1:101
!
no ip domain lookup
ip cef
!
interface Loopback0
ip vrf forwarding aaa
ip address 192.168.1.1 255.255.255.255
!
interface Loopback1
ip vrf forwarding bbb
ip address 172.16.1.1 255.255.255.255
!és a két vrf routing táblája:
Router#sho ip route vrf aaa
Routing Table: aaa
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop overrideGateway of last resort is not set
192.168.1.0/32 is subnetted, 1 subnets
C 192.168.1.1 is directly connected, Loopback0Router#sho ip route vrf bbb
Routing Table: bbb
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop overrideGateway of last resort is not set
172.16.0.0/32 is subnetted, 1 subnets
C 172.16.1.1 is directly connected, Loopback1Router#
majd következett a BGP:
router bgp 65000
bgp log-neighbor-changes
!
address-family ipv4 vrf aaa
redistribute connected
exit-address-family
!
address-family ipv4 vrf bbb
redistribute connected
exit-address-familyÉs most már látszódnak a másik vrf-ben lévő prefixek:
Router#sho ip route vrf aaa
Routing Table: aaa
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop overrideGateway of last resort is not set
172.16.0.0/32 is subnetted, 1 subnets
B 172.16.1.1 is directly connected, 00:00:24, Loopback1
192.168.1.0/32 is subnetted, 1 subnets
C 192.168.1.1 is directly connected, Loopback0Router#sho ip route vrf bbb
Routing Table: bbb
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop overrideGateway of last resort is not set
172.16.0.0/32 is subnetted, 1 subnets
C 172.16.1.1 is directly connected, Loopback1
192.168.1.0/32 is subnetted, 1 subnets
B 192.168.1.1 is directly connected, 00:00:27, Loopback0Router#
-
Mr.csu
csendes tag
-
#8221
tusi_
addikt
Hedgehanter
#8220
tusi_
addikt
válasz
Hedgehanter
#8220
üzenetére
Pontosan, sorry elirtam. Innen van az info.
-
#8219
tusi_
addikt
Hedgehanter
#8217
tusi_
addikt
válasz
Hedgehanter
#8217
üzenetére
Igen ez eleg hulye igy, eloszor meg is tevesztett a publik ip, de azt mondta az ugyfel, hogy igy lett berendezve es nekik igy jo.
Megtanultam az itteniektol, hogy csak addig kell eljutni a Tshootban, ameddig a megbizas szol. Ha eszre veszel valami szart, akkor nagyon csondben kell maradni
Most ajanlottam egy parancsot:cry ipsec condition peer X.X.X.X. subnet X.X.X.X
Itt nezheti a csomagokat mik mennek.
-
#8217
Hedgehanter
őstag
tusi_
#8214
Hedgehanter
őstag
Ha arra kivancsi kik jonnek meg mennek a VPN-en akkor tedd fel a PRTG-t, enable netflow az ASA-n, csinalj egy custom chart-ot ahol a source IP es protocol, destination IP es protocol van listazva es ott lehet latni ki mikor hova ment.
Bar ha a public IP van a VPN ACLben mint destination nem fogja bizonyitani hogy a VPN-en megy a forgalom vagy sem (ha az erdekli). Eleg hulye megoldas amugy public IP-t tenni oda, foleg ugy hogy gondolom elerheto a masik site-rol VPN nelkul is. Ha esetleg nem, deny access a masik site public IP-je es csak a VPN-enen keresztul mehet a forgalom.
-
Mr.csu
csendes tag
Tudtok segíteni egy rourter konfig értelmezésével kapcsolatban.
ip vrf aaa
rd 1:30
route-target export 1:101
route-target import 1:101
!
ip vrf bbb
rd 1:101
route-target export 1:101
route-target import 1:101
.
.
.
.
router eigrp 65200
!
address-family ipv4 vrf aaa
network 10.0.0.0
autonomous-system 65000
exit-address-family
!
address-family ipv4 vrf bbb
network 10.0.0.0
autonomous-system 65030
exit-address-family
network 10.0.0.0
!
router bgp 65000
bgp log-neighbor-changes
!
address-family ipv4 vrf aaa
redistribute connected
exit-address-family
!
address-family ipv4 vrf bbb
redistribute connected
exit-address-family
!A BGP szerepét meg tudná valaki világítani számomra?.Inter vlan routing lenne az aaa és bbb vrf-ek összenyitására?De akkor nem kellene a 65000 és a 65030-as eigrp-kbe redistriboutálni a bgp 65000-et???
-
#8214
tusi_
addikt
Hedgehanter
#8213
tusi_
addikt
válasz
Hedgehanter
#8213
üzenetére
Az a baj, hogy a crypto acl igy nez ki:
acc-list xxxxxx permit ip 10.0.0.0 255.0.0.0 host yyyyy (publik ipje van a szervernek, amire kapcsolodnak.)
Mivel a szervert nyomatjak ezerrel a tunnellen keresztul - ezert nem vehetem ki a vpn-bol - ezert ha ranyomok egy pinget, akkor az az 4 packet fel sem fog tunnni a sok 1000 tcp/udp per masodperc miatt.
De azt tudja a majom, hogy megy a tunnel, mert a cry ips sa kimenet mutatja, hogy novexik, de o tudni akarja hogy kik mennek ra, kik jonnek vissza.....
Kiemelt ugyfeleunk es nem lehet elkuldeni a sunyiba.
Koszi a segitseged.
Peerek kozott csinaltam egy
capture traf_out inter outside esp host xxx host xxxx
Az mutatja rendesen, hogy megy jon, de neki bizonyitek kell nem igeret
-
#8213
Hedgehanter
őstag
tusi_
#8212
Hedgehanter
őstag
-
#8212
tusi_
addikt
Hedgehanter
#8211
tusi_
addikt
válasz
Hedgehanter
#8211
üzenetére
Ha ezt eljatszanam mar mehetnek is a munkakonyvemert
Ha capturet allitok be a esp-re outsideon, akkor csak a peerek kozott meno forgalmat muatatja.
A sh cry ipsec sa kimenetben ha valami packet dobas van, akkor azt a szamlalo mutatja ugye?
ASA1/pri/act(config)# sh cry ipse sa
interface: outside
Crypto map tag: CMAP, seq num: 1, local addr: 20.0.0.2access-list VPN_CRY extended permit ip 10.0.10.0 255.255.255.0 172.16.0.0 255.255.255.0
local ident (addr/mask/prot/port): (10.0.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.0.0/255.255.255.0/0/0)
current_peer: 200.0.0.2#pkts encaps: 81, #pkts encrypt: 81, #pkts digest: 81
#pkts decaps: 78, #pkts decrypt: 78, #pkts verify: 78
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 81, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0local crypto endpt.: 20.0.0.2/0, remote crypto endpt.: 200.0.0.2/0
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 15CF48A2
current inbound spi : 376E447Dinbound esp sas:
spi: 0x376E447D (929973373)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 4096, crypto-map: CMAP
sa timing: remaining key lifetime (kB/sec): (4373998/2397)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00001FFF
outbound esp sas:
spi: 0x15CF48A2 (365906082)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 4096, crypto-map: CMAP
sa timing: remaining key lifetime (kB/sec): (4373998/2397)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001ASA1/pri/act(config)#
-
#8210
tusi_
addikt
Hedgehanter
#8209
tusi_
addikt
válasz
Hedgehanter
#8209
üzenetére
Ja egy ....sz.
Talaltam egy modot, de ezzel le lehet rohasztani az ASA-t pillanatok alatt ugy, hogy a un all parancsot mar nem tudod kiadnidebug crypto ipsec 7.
Ha a debug crypto ipsec 255 na akkor asa restart.
-
#8209
Hedgehanter
őstag
tusi_
#8208
Hedgehanter
őstag
Packet capture ASA utolso bekezdes. Erdekes kliens...
-
tusi_
addikt
Eszkalalodik a dolog.
Az ugyfel azt szeretne ellenorizni, hogy a csomagok, amiknek egy meghatarozott cel fele kell menni a tunnelban, azok tenyleg arra mennek-e.
Mondtam, hogy ha az ACLben benne van, hogy hova kell menni, akkor az arra fog.
De megis szeretne tudni, hogy lehet ezeket a csomagokat megfigyelni, Van erre valami lehetoseg?
Google-on rengeteg packet capture leiras van, de mind csak a sima tcp-udp-..... pakettekre.Koszi
-
tusi_
addikt
Ott nem mutat semmit. (vagy lefagy)
Most csinaltam ugy is tesztet, hogy egy nem encrypted celra nyomtam ki a pakettet. Itt a natolt cimet adtam meg sourcekent es igy van capture icmp-re. Holnap tesztelek tovabb, de mivel mar nem erem al az asa-t asdmen keresztul, kikapcsoltam a GNS3-t.
Ilyenkor sosem tudom, hogy ez normalis viselkedes, vagy csak a gns3 szopat, mint mindig. Hetfon nyomom elesben is a benti asa-n.
)
A könyvben kapásból a végével kezdtem, a VPN-nel, mert az érdekelt jobban, most majd elkezdem az elejét is.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Megcsinaltad a masodik vizsgat is? Ahhoz meg nincs kint az OCG. Ha igen, mibol keszultel? Az elso vizsga eleg lazanak tunik, ugy emlekszem, irtad is hogy konnyu volt.
Bevallom az még mindig nem egészen világos számomra hogy ez így miért működőképes.Az egyik vrf routjai hogyan kerülnek a bgp táblából a másik vrf-be redistriboute nélkül?Crock ezt el tudnád még mondani.
Új hozzászólás Aktív témák
Hirdetés
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- AKCIÓ! AMD Ryzen 9 3900X 12 mag 24 szál processzor garanciával hibátlan működéssel
- VÉGKIÁRUSÍTÁS - REFURBISHED - Lenovo ThinkPad 40A9 docking station
- Lenovo ThinkPad dokkolók: USB-C 40A9/ 40AY/ 40AS/ Thunderbolt 3 40AC/ Hybrid USB-C DisplayLink 40AF
- ÁRGARANCIA!Épített KomPhone Ryzen 7 5800X 32/64GB RAM RX 7700 XT 12GB GAMER PC termékbeszámítással
- LG 27GS60QC-B - 27" Ívelt - 2560x1440 - 180Hz 1ms - AMD FreeSync - Bontatlan - 2 Év Gyári Garancia
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest