- Bemutatkozott a Poco X7 és X7 Pro
- Yettel topik
- Magyarított Android alkalmazások
- Hónap végén érkezik a Xiaomi Band 10, ára is van
- iPhone topik
- Nothing Phone (3a) és (3a) Pro - az ügyes meg sasszemű
- Google Pixel topik
- Milyen okostelefont vegyek?
- Fotók, videók mobillal
- Samsung Galaxy Watch (Tizen és Wear OS) ingyenes számlapok, kupon kódok
-
Mobilarena
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
denko
senior tag
válasz
FecoGee
#9192
üzenetére
Köszön a LINK-et.
Eltettem kedvencekbe egyenlőre.
Egyenlőre Discovery-t kezdtet el. Nem szeretném félbe hagyni.
Azon kivül szedtem sok érdekes cuccot:CBT nuggets
Udemy -nak is van vagy 5 online kurzúsa CISCO-val kapcsolatban.
THE BRYANT ADVANTAGE
Lynda
Ezeknek mind van oktató kurzusaik.
Exploration-t is sikerült találni.Igazából már túl sok anyag van és probálom megérteni melyikből van értelme tanulni/ nézni, mivel ezek szerintem összetesznek 1000 órát. Nyilván sose végeznék vele.
Úgyhogy probálom kiigazódni rajtuk -
-
aor
tag
Sziasztok!
Lehet, nem a legjobb helyre írom, de hátha....
Szakdogámhoz keresek anyagot a cisco stack technológiáról....kicsit bővebben, minthogy összedugok max. 8 switchet és egy menedzsment felületről konfigurálom az összeset.
Ha van ötlete vkinek, kérem, ossza meg velem. A cisco oldalakon nem sokat találtam.Előre is köszi
Zolio -
#9186
tusi_
addikt
Cyber_Bird
#9185
tusi_
addikt
válasz
Cyber_Bird
#9185
üzenetére
Vagy a fönököd mondta a szemelyzetisnek: Finish him!!
-
#9185
Cyber_Bird
senior tag
Cyber_Bird
senior tag
5 kulonbozo eszkoz kulonbozo change-e egy ejszaka, majd reggel idoben felkelni, hogy odaerjek a 9-es meetingre? Flawless victory!
-
denko
senior tag
sziasztok!
Kérdeznék okosoktól, akinek van elérése, tudna küldeni linket valami online recourse-ra CCNA Discovery ?
Megint nekifutok CCNA-nak.Amit neten találtam (CCNA Discovery 4.1 ) az mind offline, és sajnos rengeteg probléma merül fel, nagyon lelassik, hogy nem tanulással, hanem troubleshootinggal foglalkozom.
Nem tudok elinditani a kész P Tracer fileket, probáltam kikeresni öket, de hiába, mivel nincsenek lecke szerint rendezni.
Illetve lépegetni is csak manuálisan lehet chapterek közt.
Nagyon bosszantó.Nagyon megköszönném ha valaki privátban megosztozna valami forrással.
Köszönöm
-
tusi_
addikt
Nekem kituztek az idopontot. Ha 30.11 ig leteszem, akkor 150%-ot kapok az eves bevetel mittomen milyen reszebol. Ha 31.12. akkor 100%, ha 31.01.16 akkor 0%.
AnyConnect kivetelevel mindig cli-ben tshootolok. Francba a CCP-vel. Gyerek koromban a CCCP hozta ram a fraszt, most egy C vel kevesebb, de a hatas ugyanaz
-
-
tusi_
addikt
Imadom ezt a rohadt CCP. Osszehoztam vele egy s2s tunnelt, aztan fel oraig tshootoltam, hogy miert nem megy a phase2. Asa kuld csomagot, de nem kap, router kap csomagot, de nem kuld. Routeok rendben vannak, ACL stimmt, Nat "rendben" (latszolag)
Aztan latom az asa logban, hogy a remote_vpn IP natolva jon az asara es azt persze dobalja..
Ez a kotsog CCP egy route-mapos nat szabalyt vett fel, aminek mukodnie kellene, de megse nem. Toroltem a Route-mapot es felvettem sima source listre es megy egybol...
Hogy a pek rakja tele ezt a CCP-t.
Ja es minden frissites gomb megnyomasa utan 5 percig keresei az eszkozoket. Nem csoda, hogy kivettek ez uj vizsgabol... -
quby
őstag
válasz
stfreddy
#9176
üzenetére
Én csak L2-L3 IOU image-ket, qemu-s ASA-t meg dynamips- 7200-as image-t használok, de nekem is megy mint a szél.....mármint a unetlab. Fut egy VM otthn elérem bármikor bárhonnan, egy tabletröl is....nagyonjóó. Eddig a legdurvább bug-ját is megoldotta egy ujrainditás.
Jó kis lab...ebbin is van minden...
-
#9174
Hedgehanter
őstag
Cyber_Bird
#9171
Hedgehanter
őstag
válasz
Cyber_Bird
#9171
üzenetére
Ezzel akartak kinozni engem is hogy D-Link spf module-t hasznaljak Cisco-val de nekunk fel sem eledt a port vele..
Kiprobalom ezt a parancsot..
Van valakinek egy mukodo ADSL2+ configja Cisco-hoz? Talaltam 1-2-t de nem megy..
-
#9173
Cyber_Bird
senior tag
crok
#9172
-
#9172
crok
Topikgazda
Cyber_Bird
#9171
crok
Topikgazda
válasz
Cyber_Bird
#9171
üzenetére
Őszinte leszek: ez szánalmas.. nem tudok rá mit mondani.
-
#9171
Cyber_Bird
senior tag
crok
#9169
Cyber_Bird
senior tag
Koszi
A
service unsupported-transceiver
no errdisable detect cause gbic-invalidki van adva, a hasznalathoz termeszetesen
Mukodik is egy darabig, aztan random modon megall.Egyebkent most pont ez lett elmondva nekik, mondtak, hogy akkor most vesznek nem ciscobol masik felet es kiprobaljak azzal. Hatjokoszi...
Elmondtuk, hogy erre igy nem tudunk vallalni erdemi supportot, illetve azt is, ahogy irtad, hogy TAC case-re ne is szamitsanak
Egyelore remenykednek, hogy a masik fele nem cisco sfp megoldja a problemajukat.
-
crok
Topikgazda
Ja igen, meg még ez kellhet:
no errdisable detect cause gbic-invalid[Szerk:] De jó arc ám a Cisco, itt a link, megtaláltam,
"hoztam is ajándékot meg nem is": engedem de nem supportálom:Q. Do the Cisco Catalyst 3750 Series Switches interoperate with SFPs from other vendors?
A. Yes, starting from 12.2(25)SE release, the user has the option via CLI to turn on the support for 3rd party SFPs. However, the Cisco TAC will not support such 3rd party SFPs. In the event of any link error involving such 3rd party SFPs the customer will have to replace 3rd party SFPs with Cisco SFPs before any troubleshooting can be done by TAC.
-
#9169
crok
Topikgazda
Cyber_Bird
#9167
crok
Topikgazda
válasz
Cyber_Bird
#9167
üzenetére
Szegény ember vízzel főz..
3rd party SFP-re én ezt próbálnám meg:
#service unsupported-transceiver
Nálam bejött, sokfajta problémát generálhat a
3rd party SFP (inkompatibilityás) mint pl. fals
alacsony jelszint riasztás, fals link-down ,miatt
lent maradó interface (ez a legmókásabb, mert
sok SFP azt mondja magáról hogy force-up,
vagyis nem megy le, de lemegy, csak nem írja
az IOS se sh int desc-ben, de sh int-ben, sehol.
Így ott ülsz, up/up, mégse megy.. I <3 Cisco..De tudj róla, hogyha TAC-et nyitsz és kér a TAC
sh tech-et és látja a configot akkor kvázi azonnal
mondja hogy ezt szépen most leveszed és teszel
bele Cisco SFP-t mert addig nem foglalkozik a
jegyeddel.. mert nem, mert unsupported.[Szerk]: a "nem akarunk erre költenire" a legjobb
válasz az "akkor nem fogjuk supportálni".. főleg
nem SLA-ra.. Egy nagyobbacska kiesés után
mikor kötbérről esik szó mert valaki mondjuk
pont nem tudott elküldeni egy pár igen fontos
megrendelést vagy számlát majd igencsak el
fognak gondolkodni hogy az a pár SFP bizony
megérte volna..... -
#25583896
törölt tag
Tapasztalat az mostanában biztosan nem lesz, mert aki teheti, még a régi vizsgát fogja letenni december közepéig (hiszen eddig arra készült, és ahhoz van tananyag), a többiek pedig valószínűleg megvárják, amíg kijön az új cert guide (dec. vége) és azt még át is kell nézni és meg kell tanulni. Csak ezt követően várható, hogy az emberek megpróbálkoznak az új vizsgával.
-
#9167
Cyber_Bird
senior tag
Cyber_Bird
senior tag
Sziasztok!
Kollegam futott bele, es egyelore nem is tudtam tesztelni, de talalkoztatok mar ilyen hibajelenseggel?
Hardware/software:
ME-3400-24FS-A 12.2(60)EZ3 ME340x-METROIPACCESSK9-MA jelenseg az alabbi:
3rd party sfp-ket hasznalva(tudom sikeresek nem lehetunk, ciscoval meg nem lett tesztelve) nehany naponta megszunik random porton az adatforgalom. Jon be ra csomag, de kuldeni nem kuld ki csomagot, hanem drop.
Total output drops: 645730Logban ennyi latszik csak, ami relevans lehet, de nem erzem, hogy ez lenne az oka, persze tevedhetek.
%SFF8472-5-THRESHOLD_VIOLATION: Fa0/1: Rx power high alarm; Operating value: -3.9 dBm, Threshold value: -4.0 dBm.
Interface shut/no shut-ra nem javul.
Kollega az alabbi varazs-kombinaciot talalta, amire viszont javul:interface:
shut
reload
interface:
no shut(Elvileg sima reload-ra vagy sima shut-noshutra nem javult csak erre a kombora...)
Mar ott jarnak, hogy scriptet irnak ami megcsinalja ezt a szekvenciat es az ugyfelnek kivezetik gombra, de amikor ezt meghallottam ugy gondoltam, hogy inkabb en is belefolyok mielott taknyolunk
Szoval, hatha ti talalkoztatok ilyesmivel.
(Tobb eszkozon is jelentkezik es random portokon, tehat en nagyon az sfp-re gyanakodnek, csak az ugyfelnek mikor eloadtuk, hogy vegyenek vagy 20 darab cisco sfp-t, akkor a valasz az volt, hogy "Uhh, ennyit nem akarunk erre kolteni") -
Helló, van valami tapasztalat, mi a különbség a 640-722 és 200-355 vizsgák között?
-
kmisi99
addikt
Heló, olyan gondom lenne, hogy ccna ocg kezd már kicsit durvulni konfigurálás terén, szóval ideje nekem is komolyabban laborozni. Az volna a gondom, hogy ismerem az ajánlottabb labgyakos weblapokat, de azok inkább előrehaladottabb stádiumban lesznek jók. Olyan érdekelne, ahol magyaráz inkább. Vannak valahol ilyen jellegű laborgyakorlatok? Anno packet tracerhez voltak az iskolában ilyenek, ahol leírta, hogy írd be ez meg az, és akkor ez fog történni stb,
-
quby
őstag
válasz
FecoGee
#9158
üzenetére
Ez mekkora...
Bejelentem a kocsit szerelőhöz:
Én: Nezze már meg legyen szives a biztonsági tanúsítványomat, hamarosan lejár. Meg a múltkor szolt a rendőr is hogy hamarosan lejár az egyik security patch-em is. Ha nem cserélem le bevonják a Cert-emet...
Szerelő: Ok hagyd itt a kocsi IP-jét, meg az SSH kulcsát...
-
#9156
Cyber_Bird
senior tag
Bandib0y
#9155
Cyber_Bird
senior tag
válasz
Bandib0y
#9155
üzenetére
"All English-speaking IT students graduating in the academic year 2015/16 (or earlier) with either Bachelor’s or Master’s degree that currently participate or graduated CCNA course are encouraged to apply here to be invited for the qualification to Cisco Engineer Incubator program."
En angolra tippelnek, mar csak amiatt is hogy full angol a teljes kiiras.
Sajnos 1 evvel lecsusztam a diplomalimitrol, mert 2013-ban vegeztem, pedig jo poen lenne.
-
zsolti.22
senior tag
Jól van, felfogtam. Együtt iratkoztunk be ide szerintem
Én se vagyok máshogy az egésszel. Amíg még új volt és olyan volt a munkahelyem, hogy 8 órában nem csináltam semmit, addig tök jó volt az újat tanulni és labozgatni. Most meg már annyira nem érdekel, mert örülök, ha a sok idióta után le tudok pihenni és csöndben lenni.
A Security viszont érdekel, nálam egyfajta fétis ez a titkosítsunk be mindent A P secet is el fogom kezdeni és biztos is, hogy azt kezdem először, ami a VPN-ekkel foglalkozik. Emlékszem, hogy még a P ROUTE-ban lett említve az IPSec résznél, hogy van GET VPN, DMVPN, meg még másik kettő...és ez a 4 összesen pont az egyik P Sec-es anyag (SIMOS talán).
Mostanában én is csak összerakok egy-egy VPN-t, de szintén nem érdekel a CCP, de azért ha fegyvert fognának rám, akkor én inkább CCP-vel csinálnám Tegnap 2 ASÁ-t melegítettem össze egymással, és most meg azzal a nat-os konfiggal ment, amit te írtál, azelőtt meg azzal nem 
Aztán ahogy nem mentek a pingek, úgy jöttem rá, hogy ja, ACL-l kéne, mert low-to-high átjárás nincs. Aztán még azelőtt valamiért azonos sec-level volt az internet és az inside, azért nem ment De végül szépen összebarátkoztak.
De utána már mindjárt izzítottam is a játékot kikapcsolódás céljából.
Az IPS nem akkora gáz IOS-en, volna is min tesztelni, de nem visz rá a lélek, inkább elolvasom könyvből, és bólogatok, hogy igen, ez csak ennyi, király.
Az appliance IPS már más tészta, azzal előrébb nem lettem, hogy GNS-ban tudom kezelni IDM-enNa de mindenki vissza dolgozni, még csak 10:07
-
tusi_
addikt
válasz
FecoGee
#9152
üzenetére
2 darab szmajli is van, szerintem egyértelmű. En nem bántanám meg Zsoltit, egyike a "kemény magnak" ami itt kialakult. De tényleg beletud kötni minden magyarázatba
(Ezek a szmaljlik)Tanulas. Nagyon szívesen tanulom a securytit , nekem ez a profilom, nem a network. De annak is vannak olyan részei, amitől zöldet tudnak h...ni. IPS/IDS, CCP azok a dolgok, amikre géppityuval nem tudnának kényszeríteni.
Amióta megvettem az autómat, azóta nagyon visszaesett a tanulási morál. Bujom a neten a fórumokat, youtube videókat nézek. Aztan tanulok egy kicsit és arra ébredek, hogy kocsis videókat nézek a neten, nem asa-sat.
Néha elkap a hév, amikor egy hétig tolom éjjel nappal, aztán megint lazujka van
Ha meglesz a CCNA Secu, akkor biztos nagyobb elvezettel tanulok majd. A CCNA Secu nem kőt le, csomó minden mar ismétlés, vagy alap dolgok, mint a s2s tunnel..... Nem köt le, de tanulni KELL és ezt nem szeretem, ha valamit meg KELL tanulnom. A CCNP-t 89,6, 98,9 es 100% al teljesitettem, de az ITILt pl csak 75-el, ippeg hogy átmentem. Olyan nehéz? A francokat. Unalmas.... És az nekem nem megy..
-
FecoGee
Topikgazda
válasz
zsolti.22
#9150
üzenetére
Szerintem tusi_ ezt inkabb poenbol irta, nem rosszbol
.
Tusi_, most nekem is megtort a lendulet, eddig a written konyv olyan volt hogy "jajajaja blabla bla ezt tudom oke ugorjunk". Meg frissek az elmenyek. De most elertem IS-IS-hez es mivel eletemben nem volt vele dolgom es tok idegen szamomra ez a protokoll kicsit megtort a lendulet -
zsolti.22
senior tag
Én nem akarok neked semmi rosszat, nem tudtam, hogy ez nálad kötekedésnek számít, ha kijavítalak.
(crok-ba is "belekötnék", ha lenne rajta fogás, de az nem vetne jó fényt a ccnp-sw PDF lektorálására).Én nem néztem eléggé át, mit írtál, mert ha egymás után írod a parancsokat prompttal, akkor abból ki lehet következtetni, hogy nem a ciscoasa(config)# promptból kell kiadni a nat parancsot (mert ugye nem csak ott lehet kiadni és ez azért nem mindegy), de elírtad, erre irányult a rá következő hozzászólásom, és én a hsz-ed után csak a sima (config)#-beli nat-ot néztem és azzal is oldottam meg végül, nem pedig az object akármi-beli nattal.
Na ebben mit talasz korrigalni valot?
Nem is keresek
Helyesírásba mindig bele lehet kötni, mindig. De az már csak partra vetett hal esete (ha már nincs mivel visszavágni, de csak hogy a másik fél ne érezze olyan jól magát, akkor jól meg lehet neki mondani, hogy írni meg tanulj meg, de az lásd második mondat ebben a bekezdésben).SAJNÁLOM, ELNÉZÉST!
-
#9149
tusi_
addikt
Cyber_Bird
#9139
tusi_
addikt
válasz
Cyber_Bird
#9139
üzenetére
Mostanaban nekem sem megy ugy, mint azelott. Elvezettel ultem le tanulni, vagytam a tudasra. Most a munkambol kifolyolag latom, hogy nincs erre szukseg, csak nagyon sok nyugalomra/turelemre az ugyfelekhez.
Azinkivul mindig kocsi vasarlassal vagyok elfoglalva es inkabb azokat nezegetem
Le kell tennem a CCNA Secut, de egyszereun nincs turelmem hozza.
-
tusi_
addikt
válasz
zsolti.22
#9132
üzenetére
Apam Te mindenbe bele tudsz kötni. Neked segiteni egy elvezet
Network Object egy subnet, vagy egy host.
Object group sok network object gyujtemenye. Csinalsz 5 network objectet, hozol rajuk kulon-kulon szabalyt, aztan tudod oket ezenkivul egy object groupba behajitani, ha valami egyuttes szabaly is kell.
Na ebben mit talasz korrigalni valot?
-
#9142
Methionyl
senior tag
Cyber_Bird
#9139
Methionyl
senior tag
válasz
Cyber_Bird
#9139
üzenetére
Nálam is ez a helyzet
Mikor megjött a könyv akkor éjjel nappal azt bújtam, de így lassan 2+ hónap elteltével nálam is kezd alábhagyni a motiváció -
#9141
FecoGee
Topikgazda
Cyber_Bird
#9139
FecoGee
Topikgazda
válasz
Cyber_Bird
#9139
üzenetére
Jol ismerem az erzest... Ki kell hagyni 1-2 hetet. Hobbik, stb. Aztan ujult erovel... En is hanyszor nekifutottam anno a lab tanulasnak...
-
#9140
Rambovits
senior tag
Cyber_Bird
#9139
Rambovits
senior tag
válasz
Cyber_Bird
#9139
üzenetére
Ez engem is érdekelne
Pénteken megyek vizsgázni, de most is a rohadt netet bújom -
#9139
Cyber_Bird
senior tag
Cyber_Bird
senior tag
Kicsit teljesen off-topic, de:
Ti hogyan motivaljatok magatokat tanulasra, mikor mar meguntatok?
Akar vizsgara keszuleskor, akar csak mikor egy uj eszkoz vagy feature doksijanak az atnezesekor.(pl olyan esetben mikor tudod hogy evente egyszer fogod csak hasznalni az adott tudast)
Mik a trukkok altalanossagban ahhoz, hogy ne az legyen a tanulo-idobol, hogy : "Na jo, csak meg egy reszt megnezek a sorozatbol
" -
#9138
zsolti.22
senior tag
Hedgehanter
#9137
zsolti.22
senior tag
válasz
Hedgehanter
#9137
üzenetére
Hát erre rá nem jönni
-
olloczky
senior tag
Sziasztok!
Beléptem én is a cisco világába
mármint komolyabb szinten. elkezdtem a felkészülést a CCNA-ra a ciscopressről rendelt Wendell Odom féle könyvből. Tavalyi tanévben elvégeztem a rendszergazda okj képzést de az egyik óracsoport a ciscoról szólt igazából, így egész sokáig eljutottunk (vlan, trunk, ospf, eigrp [na nyílván alap szinten]). Így remélem nem fog gondot okozni a felkészülés. Egy olyan kérdésem viszont lenne, hogy majd a továbbiakban ha a CCNP-t is meg szeretném csinálni, akkor ajánlott elmenni egy kézpésre ami kb két hét és 1 millió forint környékén van, vagy elég azt is könyvből megtanulni? Mert én már hónapok óta ezen agyalok hogy azt hogy fogom összehozni, és most bele-belenézegettem a fórumba (innen tudom, hogy A-ra elég a packet tracer is ) és láttam, hogy többen írták hogy CCNA-ra nem fognak elmenni tanfolyamra mert nem éri meg; ugyanez a helyzet P-vel is? Előre is köszönöm!üdv: olloczky
-
zsolti.22
senior tag
Ez esetben helytelen a promptod:
Ez lenne a nyerő, persze, hogy megkavarodok!
ciscoasa(config-network-object)#
Még jó, hogy itt is, ott is lehet natolni...
Mi a különbség az object network és az object-group network között?
Hogy ne kelljen ilyeneket kérdeznem, mit olvassak el? -
zsolti.22
senior tag
válasz
zsolti.22
#9128
üzenetére
Ez lett a helyes:
interface GigabitEthernet0
nameif inside
security-level 100
ip address 172.16.0.1 255.255.0.0
!
interface GigabitEthernet1
nameif internet
security-level 0
ip address 50.0.0.1 255.255.255.252
!
object network S
subnet 172.16.0.0 255.255.0.0
object network D
subnet 172.17.0.0 255.255.0.0
!
nat (inside,internet) source static S S destination static D D
nat (inside,internet) source dynamic any interfaceÍgy azt csinálja, amit akartam, igaz, hogy csak másodjára.
-
zsolti.22
senior tag
Azért van a NAT interface a végén, mert ez a nyomorult úgy fogadja el:
ciscoasa(config)# nat (inside,internet) source dynamic ?
configure mode commands/options:
WORD Specify object or object-group name for real source
any Abbreviation for source address and mask of 0.0.0.0Szopat a GNS3, vagy te
-
tusi_
addikt
válasz
zsolti.22
#9125
üzenetére
Hogyne kene, de azt mar irtad, hogy van. Vagy en olvastam felre?
Internet nevo intf nem lattam a konfigban. Vagy ez mar egy masik?
Amugy nem ertem a ....."NAT interface" parancsot a vegen.A NAT azt jelenti, hogy van egy NAT nevo objected es arra kell forditani minden belso gepet.
Az interface egy altalanos MAPPED ip address.Tehat:
obj net NAT
host 10.0.0.2int g0/0
nameif internet
ip add 10.0.0.1 255........
sec 0es a nat vagy:
obj net local_lan
subnet 0 0
nat (inside,internet) sou dyn interface >>> a 10.0.0.1 re lesz patolva
vagy
nat (inside,internet) sou dyn NAT>>>>> a 10.0.0.2es NAT objectre lesz patolvaVagy lehet a NAT egy nat-pool mondjuk 10 ip cimmel. Ha elfogyott a 10 cim, akkor a tobbi az interfacera lesz patolva
-
crok
Topikgazda
válasz
Wolfy999
#9104
üzenetére
Az 1000Base-T SFP tud 10/100/1000 auto negotiation-t és Auto MDI/MDIX-et.
http://www.cisco.com/c/en/us/products/collateral/interfaces-modules/gigabit-ethernet-gbic-sfp-modules/product_data_sheet0900aecd8033f885.html
Ellenben az 1000Base-T GBIC nem tud:
http://www.cisco.com/c/en/us/products/collateral/interfaces-modules/gigabit-ethernet-gbic-sfp-modules/product_data_sheet09186a008014cb5e.html
https://supportforums.cisco.com/document/16696/how-hardcode-speed-gigabit-interface-converter-gbic-and-small-form-factor-pluggable
Szerinem keverted.
Kis kiegészítés/érdekesség a GBIC mellé:
http://www.microstar.pl/docs/finisar/an-2032.pdf -
crok
Topikgazda
válasz
dzsambo
#9118
üzenetére
Ezt hogy érted? Explicit megadod mi legyen engedve (és kihagyod nyilván a VLAN 1-et) a trönkön vagy allow all után explicit kiveszed remove-al a VLAN 1-et. Attól függ mi az alapfelállás és mi a cél: minden engedve van csak VLAN 1-et akarod tiltani (mert akkor egyszerűbb az allow all után egy remove 1) vagy eleve csak meghatározott forgalmat akarsz engedni (mert akkor meg megadod mi menjen allow-al, felsorolva, "sz't sanyi").
-
crok
Topikgazda
Elég lesz, főleg ha nem lesz QoS. De mivel a sima C2960 architektúrája igen limitált (24 portot szolgál ki egy ASIC 2MB pufferrel) így nagyon sokat azért ne várj, kis csomagokból nem forgat magán át majd ennyit valamint ha burst-ös a forgalom az 2MB puffer kevés is lehet (egész ASIC-ra ennyi.. mert ez egy access layer switch..). De "normál forgalom" (IMIX) mellet tökéletesen elég kell legyen portról portra 50Mbps átforgatására. Egyébként sima 2960, E vagy esetleg X vagy XR? Mert pl. az X-ben már 4MB puffer van..
Olvasnivaló - eléggé el vagyok mélyülve QoS-ben meg architektúrában : D
C2950 Miercom teszt, összehasonlítás több gyártó hasonló eszközével:
http://www.cisco.com/c/dam/en/us/products/collateral/switches/catalyst-2960-series-switches/miercom_report_cisco_catalyst_2960_3750_switches_qos.pdf
C2960 architektúra:
http://d2zmdbbm9feqrf.cloudfront.net/2012/usa/pdf/BRKARC-3437.pdf
https://clnv.s3.amazonaws.com/2015/usa/pdf/BRKARC-1009.pdf
C2960 architektúra és platformspec. hibakeresés:
http://monsterdark.com/wp-content/uploads/Troubleshooting-Cisco-Catalyst-2960-3560-and-3750-Series-Switches.pdf -
tusi_
addikt
-
-
#9112
tusi_
addikt
Hedgehanter
#9108
tusi_
addikt
válasz
Hedgehanter
#9108
üzenetére
"A jobb oldal titkosít, de nem decryptel, a bal decryptel, de nem titkosít..."
Job oldal kuldi a csomagot, bal megkapja kicsomi. De nem tud kuldeni, mert ASA nem tudja hova kell kuldeni, jobb oldal nem kap semmit...
-
tusi_
addikt
válasz
zsolti.22
#9109
üzenetére
Ez egy routing problema lesz asa oldalrol. Fingja sincs, hol van a peer (50.0.0.2) habar egy subon vannak. (Vagy csak megen GNS3 es nem megy a l2. Nekem volt mar ilyen)
route outsdie 0 0 50.0.0.2
"route outside 192.168.1.0 255.255.255.0 50.0.0.2 1"
Ez minek, benne van a crypto mapban..
zero nat nem kell, nincs altalanos nat lefektetve. Itt nincs default nat control, mint a 8.3 elottiekben....
-
Gesztiboy
tag
válasz
zsolti.22
#9109
üzenetére
"a bal decryptel, de nem titkosít..." - Az ASA NAT configját is meg tudod mutatni?
"de egyáltalán minek foglalkozni a NAT-tal" - Azért kell vele. Ha jól emlékszem, a NAT-ot hamarabb figyelembe veszi, mint a CRYPTO részt az ASA és ha van rá szabály, akkor elnatolja, vagyis nem a tunnelbe fog menni a cucc. Így látatlanban tippelve kelleni fog neked egy NAT exemption, amit valóban network-object-en keresztül meg lehet csinálni.
A pingre meg annyit, hogy használsz ACL-t az interface-en vagy csak a szimpla security-level? A Service-policy az jó kell legyen -
#9109
zsolti.22
senior tag
Hedgehanter
#9108
zsolti.22
senior tag
válasz
Hedgehanter
#9108
üzenetére
A bal subnet nem tudja pingelni az 50.0.0.2-t, a jobb viszont tudja az 50.0.0.1-et.
A jobb oldal titkosít, de nem decryptel, a bal decryptel, de nem titkosít...ASA:
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 5392, #pkts decrypt: 5392, #pkts verify: 5392R1:
#pkts encaps: 5478, #pkts encrypt: 5478, #pkts digest: 5478
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0Na majd holnap...most nincs agyam gondolkodni rajta
-
#9108
Hedgehanter
őstag
zsolti.22
#9107
-
zsolti.22
senior tag
Akkor kérdezek én is. ASA és router között akarok s2s VPN-t, de csak az ikev1 épül ki, a v2 már nem akar.
Host1=====[ASA]-------[R1]======Host2
[172.16.0.2/24]========<<[172.16.0.1/24],[50.0.0.1/30]>>-------<<[50.0.0.2/30],[192.168.1.1/24]>>----[192.168.1.2/24]
ASA:
interface GigabitEthernet0
nameif inside
security-level 100
ip address 172.16.0.1 255.255.255.0
!
interface GigabitEthernet1
nameif outside
security-level 0
ip address 50.0.0.1 255.255.255.252access-list CRYPTO_ACL extended permit ip 172.16.0.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list NONAT extended permit ip 172.16.0.0 255.255.255.0 192.168.1.0 255.255.255.0route outside 192.168.1.0 255.255.255.0 50.0.0.2 1
crypto ipsec ikev1 transform-set TR esp-aes esp-sha-hmac
crypto ipsec security-association lifetime seconds 1800
crypto map CM 1 match address CRYPTO_ACL
crypto map CM 1 set peer 50.0.0.2
crypto map CM 1 set ikev1 transform-set TR
crypto map CM interface outside
crypto ikev1 enable outside
crypto ikev1 policy 2
authentication pre-share
encryption aes
hash sha
group 5
lifetime 1800tunnel-group 50.0.0.2 type ipsec-l2l
tunnel-group 50.0.0.2 ipsec-attributes
ikev1 pre-shared-key ciscoclass-map inspection-default
match default-inspection-traffic
!
!
policy-map global-policy
class inspection-default
inspect icmpservice-policy global-policy global
R1:
crypto isakmp policy 2
encr aes
authentication pre-share
group 5
lifetime 1800
crypto isakmp key cisco address 50.0.0.1
!
crypto ipsec security-association lifetime seconds 1800
!
crypto ipsec transform-set TR esp-aes esp-sha-hmac
!
crypto map CM 1 ipsec-isakmp
set peer 50.0.0.1
set transform-set TR
match address CRYPTO_ACLinterface FastEthernet0/0
ip address 50.0.0.2 255.255.255.252
duplex auto
speed auto
crypto map CM
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0ip route 172.16.0.0 255.255.255.0 50.0.0.1
ip access-list extended CRYPTO_ACL
permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.0.255A NONAT-ban nem vagyok biztos ASA oldalról. NEkem valamiféle object-networkon belüli NONAT rémlik, de egyáltalán minek foglalkozni a NAT-tal?
Anélkül kellene. Aztán utána NAT-tal -
#9106
Hedgehanter
őstag
Hedgehanter
őstag
3 napja kinlodok egy 3850-es stack-kel es meg most sem tudom mi a gond..
Van egy site to site link Layer 2 ugyanaz a VLAN mindket vegen 2 IP address egyszeru es nagyszeru beallitas. A problema az hogy a 3850-es oldalra nem jon vissza semmi. A masik oldal egy 3650-es latom a 3850-es MAC-jet az arp table-ben de semmi reakcio pingre vagy hasonlo. A 3850-enen semmi jele a masik oldalnak.
Atkonvetaltuk Layer3 re a linket es ugyanaz tortenik azzal a kulonbseggel hogy a 3850-rol tudom pingelni a masik oldalt ha a source IP a 3850-es IP-je, vissza is csak az 3850-es IP-ig jutok. De ha mas IP-t hasznalok a 3850-en belul semmi..
A 3850-est kiprobaltam az eredeti image-el 03.03.05 meg a 03.07.02-vel ugyanaz.
A Layer 3 linket rakotottem egy ASA-re es azzal megy minden frankon. Erre varjon valaki gombot..
-
dzsambo
tag
válasz
FecoGee
#9097
üzenetére
Igen ezzel én is tisztában vagyok csak én is ügyesen fogalmaztam és lehagytam pár dolgot.
Én úgy tudom, hogy az automata kábel felismerés/fordítás már alapkövetelmény, míg 10/100-on csak az újabb vezérlők tudják. Egyébként nem biztos, hogy minden 2960-as tudja. Én egy WS-C3560-8PC-vel futottam bele ilyenbe, egy 2940-8TF-S-t akartam még rá akasztani 1000Base-T-s sfp modullal és nem ment, viszont egy 8TT-S-el gond nélkül.
!
?
Aztán ahogy nem mentek a pingek, úgy jöttem rá, hogy ja, ACL-l kéne, mert low-to-high átjárás nincs. Aztán még azelőtt valamiért azonos sec-level volt az internet és az inside, azért nem ment 
Új hozzászólás Aktív témák
Hirdetés
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- BESZÁMÍTÁS! ASROCK H310CM i5 8400 16GB DDR4 240GB SSD 1TB HDD GTX 980 4GB Aio Corp Croma CM 600W
- BESZÁMÍTÁS! MSI B450M R5 5500 16GB DDR4 512GB SSD GTX 1080Ti 11GB Rampage SHIVA Chieftec 700W
- Bomba ár! Lenovo ThinkPad T490 - i5-8GEN I 16GB I 256GB SSD I 14" FHD I Cam I W10 I Garancia!
- DELL PowerEdge R740 rack szerver - 2xGold 6130 (16c/32t, 2.1/3.7GHz), 64GB RAM, 10Gbit HBA330, áfás
- Konzol felvásárlás!! Xbox Series S, Xbox Serries X
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: CAMERA-PRO Hungary Kft
Város: Budapest