- Mobil flották
- Redmi Watch 5 - formás, de egyszerű
- Samsung Galaxy Watch4 és Watch4 Classic - próbawearzió
- Második bétánál jár a One UI 8
- Megvan, milyen chipet használ a Pura 80 Ultra
- Garmin Instinct – küldetés teljesítve
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- iPhone topik
- Milyen okostelefont vegyek?
- Fotók, videók mobillal
-
Mobilarena
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
FecoGee
Topikgazda
válasz
jerry311
#5802
üzenetére
Ami itt confusing, hogy itt az add hozzaadja a prune listahoz a vlan-t, azaz NEM akarod azt a vlan-t, mig a switchport trunk allowed vlan add az azt jelenti, hogy AKAROD. Ez a kis trukkja van.
Ja meg a show int x pruning-nel Ott hogy a lokal switch keri vagy a masik switch nem, na az confusing.Port Vlans pruned for lack of request by neighbor
Gi1/1 11-18,20-21,23-30,32,60-61,90-103,111,138,155-156,201-203,400
-> All these VLAN’s are pruned because neighbor did not request for themPort Vlan traffic requested of neighbor
Gi1/1 1,10-18,20-30,32,60-61,90-103,111,138,155-156,201-203,400
-> This is what CORE Switch is requesting from its neighbor switch -
-
jerry311
nagyúr
válasz
jerry311
#5798
üzenetére
Közben nézegettem még az internet és:
...However, manual pruning is preferred because VTP pruning requires VTP...
...Not having VTP requires the manual pruning of trunks, which has benefits over VTP pruning...
...manual pruning is preferred because VTP pruning requires VTP client/server mode...
Confused...
-
FecoGee
Topikgazda
válasz
jerry311
#5796
üzenetére
Az nem vtp pruning. A vtp pruningot a vtp szerveren kell bekapcsolni, es lehirdetodik a domainben. Szerkeszteni interface alatt a switchport pruning vlan paranccsal lehet. A switchpirt trunk allowed vlan parancsnak nincs koze a vtp-hez. Nem mellesleg az allowed vlan lista lelovi az stp instance-t a switchen, a pruning mellett viszont fut az stp (hiszen csak a broadcast forgalmat prune-ljuk)
-
FecoGee
Topikgazda
válasz
jerry311
#5790
üzenetére
Kerdes az order of operation. Ha magara a port-channelre teszed fel a konfigot, elvileg letolja a member portokra, de nem mindig megy ez jol. Erdemes a member portokat letiltani, no switchport, channel-group x mode y, no shut, majd interface poX, no switchport, ip add y.y.y.y.
Vlan20-ban van aktiv port, fut ra az STP? SVI up/up-ban van? -
FecoGee
Topikgazda
válasz
jerry311
#5756
üzenetére
3560 es 3750 ugyanaz teljesen kiveve hogy a 3750 stackelheto. Ha egy arban van en 3750-est vennek.
3550 sem rossz. Nekem nem lenne jo mert a qos mas rajta mint a 3560-n, de akinek nem ccie-ra kell (vagy v5-re keszul, ott mar nem lesz lan qos) annak tokeletes a 3550 is tanulni. -
tusi_
addikt
-
jerry311
nagyúr
válasz
jerry311
#5715
üzenetére
Nos...
Ugy nez ki a preempt csak akkor szamit ha megfelelo priority is van beallitva.
Azonos priority es preempt eseten hiaba a magasabb IP cim, az nem eleg a hatalomatvetelhez.
Azonban minden esemeny, aminek eredmenye egy HSRP election, valtoztat a helyzeten, mert abba viszont beleszamit a magasabb IP cim. -
-
McSzaby
őstag
válasz
jerry311
#5689
üzenetére
Sokat foglalkozom a biztonsággal, így alapfeltétel, hogy a hálózatokkal képben legyek, de a jelenlegi munkámban nem hogy nincs rá szükségem, de még csak képről se látok cisco eszközöket. Előbb Stealheadet, mint cisco ruccsit. Imádom a ciscot, ahogy felépül az oktatás, de egyszerűen a következő 1-2 évben (remélem) nem lesz rá szükség.
(Remélni azért tudom, mert az azt jelentené, hogy itt maradhatok a jelenlegi helyemen.)
-
quby
őstag
válasz
jerry311
#5683
üzenetére
Már látom a rápihenés hátrányait. Ráadásul azokat a dolgokat amiket akkor kisujjból vágtam, de nem használom (routing protokolok), szinte teljesen elfelejtettem. Persze gyorsan visszajön ha foglalkozok vele (pont ma olvastam ospf-et), de az "if you don't use it, you lose it" mocskosul igaz. Most azt mondom, hogy év végére azért jó lenne ha meglenne.
A mikor a rápihenést elkezdtem akkor még nem tudtam, hogy nemsokára lesz egy gyermekem, ami ugye nem annyire tanulásbarát....
De már NAGYON várom!!! 
Szerk: aZ official guide az ez?
-
crok
Topikgazda
válasz
jerry311
#5670
üzenetére
Engedhetné, ha a default queue kiosztásban lenne elég memória a queue
kiszolgálására wirespeed-en. De nincs, pont azért nincs, mert a QoS arról
szól, hogy megfelelő jelöléssel mindenféle forgalomnak adsz helyet/teret
élni. De ha mindenfélék vannak beállítva de te _nem_ használod ki.. jelölés
nélkül megy minden egy darab queue-ban.. ott pont megölöd a teljesítményt.
Sok koncepció van, nem mondta még, hogy pont mi van beállítva. -
tusi_
addikt
válasz
jerry311
#5601
üzenetére
Arra gondoltam, vizsgán van olyan kérdés, hogy milyen állapotot mutat a R3 router a sh ip ospf neigh parancs kimenetre. Megvannak adva az ip addressek, meg a priorityk meg minden lófütty.
Hozzáteszem az egyik kérdés annyira hibás, hogy nem is tudtam mit kell bejelölni, illetve, hogy melyiket fogadja el a cisco helyesnek. Amit ők annak jelöltek, vagy ami tényleg igaz
-
-
-
Gesztiboy
tag
válasz
jerry311
#5524
üzenetére
Sajnos én még nem vagyok abban a szerencsés helyzetben, hogy munkámat csak Cisco kalapálás tegye ki. De ami késik, nem múlik.
Azokból a laborokból megcsináltam jó párat. Volt 1-2 hiba, ami megfogott.
Fent van a "hivatalos" CCNP TSHOOT topológia is, de azt csak akkor szeretném megcsinálni, amikor már SWITCH témában is otthonosabban mozgok. -
FecoGee
Topikgazda
válasz
jerry311
#5503
üzenetére
Mivel az LSDB-nek minden routeren ugyanannak kell lennie area-n belül, ezért van ez. És mivel sok area-nak nincs szüksége a teljes domain információjára, ezért van a stub. Aztán rájöttek, nem kell oda inter-area ismeret sem, behirdetünk egy defaultot, és jó napot -> totally stub.
Igen ám, de bele kéne hirdetni a stubba -> NSSA. De minek annak mindent tudni -> Totally NSSA. -
#5504
Cyber_Bird
senior tag
jerry311
#5503
Cyber_Bird
senior tag
válasz
jerry311
#5503
üzenetére
Mikor tanultam en is igy lattam.
De amugy nem olyan szornyu, ha az ember egyszer megerti(aztan elfelejti, aztan megint megerti...)
Szerk.: Imadom amikor az ugyfel delutan kitalaja, hogy marpedig ezt a modositast meg kell csinalni este, de alapveto technikai infokat nem ad meg az eszkozerol, es 2 oraval elotte derul ki pl, hogy nem tud etherchannelt
(nem cisco sajnos, csak a mi tuloldali eszkozunk az.)
Az most reszletkerdes, hogy nem is lenne szukseg a ~dupla savszelre... -
gghrtz
őstag
válasz
jerry311
#5460
üzenetére
Nem vagyok zseni, de szerintem nem nagy kunszt lerakni egy minositest CEH-bol, egy felevet raszanok es ennyi( nem hacker akarok lenni, ez csak arra kellene, hogy a munkaltato lassa az oneletrajzomban, hogy ertek a biztonsaghoz). Halozat+rendszergazda meg szerintem eleg nagy atfedesben van. En ugy erzem, hogy a kettot egyutt erdemes tolni. Linux+windows+halozat+cisco eszkozok. Persze elmelyedni nem tudok ugy egyikben sem, mintha csak egyre kockulnek ra, de a munkahelyen amikor elkezdek foglalkozni valamelyik(ek)kel, ami nem kell ugy is kikopik, de a hatranyomra nem fog valni amit megtanultam.
-
#5459
Cyber_Bird
senior tag
jerry311
#5458
Cyber_Bird
senior tag
válasz
jerry311
#5458
üzenetére
A kave tea stb nyilvan nem motival, csak csokkenti a demotivalatsagot. Ertsd jobb kedvel megyek be, mivel ha ezeket megkivanom tudom hogy ott van, nem kell penzt, idot aldoznom a beszerzesukre. Olyan kis kenyelmi dolog, ami hozzajarul az altalanos kozerzethez. Jatek piheno szoba meg szinten ugyanez a kategoria, jo dolog neha par percig nem az aktualis munkaval foglalkozni idebent, hanem beszelgetni masrol. Egesz jo otletek kerekedhetnek belole.
Fizuemeles, ahogy te is irtad egy darabig motivalja az embert, egy osszeg felett viszont nem, legalabbis en ugy erzem.
Az eloleptetes ceges auto stb ez igen, de ez egy kkvnal ugye korlatozottan oldhato meg. pl nincs hova elolepni.
Amugy ez a plusz szabadnap nem hulyeseg, de nalunk pl a relative kotetlen munkaido miatt nem akkora motivacio, mivel szabadnap kivetele nelkul is megoldhato
-
#5444
Cyber_Bird
senior tag
jerry311
#5443
Cyber_Bird
senior tag
válasz
jerry311
#5443
üzenetére
Jaja, nekem is ez a tapasztalatom, bar velem nagyon megertoek voltak a fosuli alatt a jelenlegi helyemen is illetve egy masik melohelyen is. Megegyeztunk egy minimalis oraszamban amit bent vagyok, es annak megfeleloen kaptam a fizetest, igaz itt kvazi gyakornoki poziciorol beszelunk. (Diploma utan meg atvettek allandora.)
-
-
#5283
Hedgehanter
őstag
jerry311
#5282
Hedgehanter
őstag
válasz
jerry311
#5282
üzenetére
Itt vagy az a lenyeg...
Certificate-et akarol enrollolni anyconnect client-tel. Csinaltam egy profile-t a SCEP URL-el meg ACL only to the SCEP server.
Amikor csatlakozom latom a profile downloaded de valahogy nem jon semmi cert install. Az ASA-nek tudtam enrollolni identity certet meg megkaptam a root certet a CA tol SCEP-et hasznalva. De van egy passphrase minden request-nel es fogalmam sincs hogy kaphatom meg azt ha anyconnectel csatlakozom, lehet ki kellene szednem azt a reszt a CA-bol passz. Nincs semmi az event logban amibe kapaszkodhatnek.Le akarom tesztelni SSL VPN-el hatha azzal tobbre jutok, vagy a local CA-t hasznalva anyconnect-el de nem volt idom mostanaban.
-
FecoGee
Topikgazda
válasz
jerry311
#5226
üzenetére
És az a megfejtés. Mennyit gondolkoztál rajta
?Az INE-nek mániája egyébként ez a páros/páratlan ACL matchelés. Dinamikus routing fejezetekben is mindig volt.
. Ott egyszerű volt, mert csak 1 subnetre kellett. Bár elsőre nem tudtam megcsinálni . De azóta már tudom.Persze, nem könnyű. Nem is lehet mindenki az. Meg lehet ám a vizsgán nem ez lesz. Sőt valószínű, hogy nem páros számokra kell ACL-t írni.
-
FecoGee
Topikgazda
válasz
jerry311
#5218
üzenetére
Na jó de ne mondd nekem hogy ezeket használjátok:
- Traffic Filtering with Policy Based Routing
- Preventing Packet Spoofing with uRPF
- Flexible Packet Matching
- Configure R4 to filter ICMP Echo packets with the string “AAA” in the payload. Look no deeper than 256 bytes in the packet.
- Ensure the filtering applies only to ICMP/IP packets received in Ethernet frames.
- Classic IOS Transparent FirewallÉs a jelenlegi kedvencem:
Using the minimum amount of ACL lines, allow access to R1 from the Loopback 0 subnets of R2 through R6 that have an even 3rd octet.
--> Configure the IP/Wildcard Mask pair to match IP addresses in subnets
155.1.Y.0/24 where Y is an even number and is greater than or equal to 1 and
less than or equal to 6. -
crok
Topikgazda
válasz
jerry311
#5152
üzenetére
Én arra leszek kíváncsi, hogy a 3 director package mellett lesz-e
CEO package :] De a te kérdésed is jó.. bár a kisfilm alapján a
közösségi alap ötlete is maga a közösség volt - hogy a GNS3
maradjon közösségi de lehessen jobb. Azért a marketing is jóra
sikerült, meg kell hagyni :] -
FeRkE
őstag
válasz
jerry311
#5146
üzenetére
#5145, #5146 : mindkét megoldás működőképes, kipróbáltam mind2-t, és mindkét esetben tovább hirdette eigrp-n a defaultot.
Zsoltival kiprobaltuk az ip default-networkot is, networkként megadva, az egyik EIGRP routerre tovább került, a másikra nem furcsa módon. Korábban én a 192.168.100.1-et adtam meg neki, nem a 192.168.100.0-t és úgy nem hirdette tovább egyáltalán, ha jól emlékszem.
köszi szépen a segítséget.
-
zsolti.22
senior tag
válasz
jerry311
#5140
üzenetére
Hát igen, eigrp-nél muszáj default-metric a 3 módszerből valamelyikkel. De Ferke, az ip default-gateway az egy alapértelmezett routert jelent, amit swtichen szokás megadni, ha nem azonos hálóból akarod menedzselni.
Én annak idején asszem az ip default-network-kel oldottam meg a feladatot, amit te csinálsz most. Ahhoz meg pont jó az a /24-es loopback, ami meg van adva. Abból meg átmegy majd OSPF-be E2-vel. És minden fasza minden jó.
-
Akiii
tag
válasz
jerry311
#5079
üzenetére
nterface Serial0/0
bandwidth 34010
no ip address
rate-limit input 10000000 13000000 20000000 conform-action transmit exceed-action drop
rate-limit output 10000000 13000000 20000000 conform-action transmit exceed-action drop
encapsulation frame-relay IETF
dsu bandwidth 34010
serial restart-delay 0
frame-relay lmi-type cisco
end5 minute input rate 31931000 bits/sec, 5022 packets/sec
5 minute output rate 19078000 bits/sec, 4532 packets/sec -
crok
Topikgazda
válasz
jerry311
#5057
üzenetére
Err.. itthon, labban is összeraktam.. pont ugyan ezt csinálja..
először GNS bugnak gondoltam, de lehet IOS "limitáció"..
Mondjuk nem is "normál felhasználás". Kérdés: jól gondolom,
hogy az ip nat inside|outside nem mozdítható és eleve ott van,
valamint hogy nem írható át ip nat enable-re csak úgy? -
jerry311
nagyúr
válasz
jerry311
#5055
üzenetére
Most ez mi?
ping 20.20.20.230 --> 10.10.20.2 --- nincs NAT
ping 20.20.20.230 --> 10.10.10.3 --- van NAT
ping 20.20.20.230 --> 10.10.20.2 --- van NATHogyan születik a 3. pingnél a NAT? Hogyan illeszkedik ez akármilyen meglévő translation-re, ami alapján még jogos is lehetne?
R1#clear ip nat trans *
R1#show ip nat transR2#ping 10.10.20.2 repeat 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 10.10.20.2, timeout is 2 seconds:
.
Success rate is 0 percent (0/1)R1#show ip nat trans
R2#ping 10.10.10.3 repeat 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 10.10.10.3, timeout is 2 seconds:
!
Success rate is 100 percent (1/1), round-trip min/avg/max = 164/164/164 msR1#
*Nov 16 18:14:10.134: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.10.3, len 100, input feature
*Nov 16 18:14:10.138: ICMP type=8, code=0, Stateful Inspection(5), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.142: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.10.3, len 100, input feature
*Nov 16 18:14:10.142: ICMP type=8, code=0, Virtual Fragment Reassembly(25), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.146: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.10.3, len 100, input feature
*Nov 16 18:14:10.146: ICMP type=8, code=0, Virtual Fragment Reassembly After IPSec Decryption(39), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.150: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.10.3, len 100, input feature
*Nov 16 18:14:10.154: ICMP type=8, code=0, NAT Outside(66), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.158: IP: s=20.20.20.230 (FastEther
R1#net0/0), d=10.10.10.3, len 100, input feature
*Nov 16 18:14:10.158: ICMP type=8, code=0, MCI Check(80), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.162: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 20.20.20.230 dst 10.10.10.3
*Nov 16 18:14:10.162: FIBfwd-proc: packet routed by adj to FastEthernet0/1 192.168.1.1
*Nov 16 18:14:10.166: FIBipv4-packet-proc: packet routing succeeded
*Nov 16 18:14:10.166: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.10.3 (FastEthernet0/1), len 100, output feature
*Nov 16 18:14:10.170: ICMP type=8, code=0, NAT Inside(8), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.174: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.10.3 (FastEthernet0/1), len 100, output feature
*Nov 16 18:14:10.178: ICMP type=8, code=0, Stateful Inspection(27), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.178: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.10.3 (Fast
R1#Ethernet0/1), len 100, output feature
*Nov 16 18:14:10.182: ICMP type=8, code=0, NAT ALG proxy(55), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.186: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.10.3 (FastEthernet0/1), g=192.168.1.1, len 100, forward
*Nov 16 18:14:10.190: ICMP type=8, code=0
*Nov 16 18:14:10.194: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.10.3 (FastEthernet0/1), len 100, sending full packet
*Nov 16 18:14:10.194: ICMP type=8, code=0
*Nov 16 18:14:10.246: IP: s=10.10.10.3 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:10.250: ICMP type=0, code=0, Stateful Inspection(5), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.254: IP: s=10.10.10.3 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:10.254: ICMP type=0, code=0, Virtual Fragment Reassembly(25), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.258: IP: s=1
R1#0.10.10.3 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:10.258: ICMP type=0, code=0, Virtual Fragment Reassembly After IPSec Decryption(39), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.258: IP: s=10.10.10.3 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:10.258: ICMP type=0, code=0, MCI Check(80), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.258: FIBipv4-packet-proc: route packet from FastEthernet0/1 src 10.10.10.3 dst 192.168.1.72
*Nov 16 18:14:10.258: FIBfwd-proc: Default:192.168.1.72/32 receive entry
*Nov 16 18:14:10.258: FIBipv4-packet-proc: packet routing failed
*Nov 16 18:14:10.258: IP: tableid=0, s=10.10.10.3 (FastEthernet0/1), d=192.168.1.72 (FastEthernet0/0), routed via RIB
*Nov 16 18:14:10.258: IP: s=10.10.10.3 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, output feature
*Nov 16 18:14:10.262: ICMP type=0, code=0, Post-routing NAT
R1# Outside(24), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.266: IP: s=10.10.10.3 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, output feature
*Nov 16 18:14:10.270: ICMP type=0, code=0, Stateful Inspection(27), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.270: IP: s=10.10.10.3 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, output feature
*Nov 16 18:14:10.270: ICMP type=0, code=0, NAT ALG proxy(55), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.270: IP: s=10.10.10.3 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), g=20.20.20.230, len 100, forward
*Nov 16 18:14:10.270: ICMP type=0, code=0
*Nov 16 18:14:10.270: IP: s=10.10.10.3 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, sending full packet
*Nov 16 18:14:10.270: ICMP type=0, code=0
R1#
R1#show ip nat trans
Pro Inside global Inside local Outside local Outside global
icmp 10.10.10.3:87 10.10.10.3:87 192.168.1.72:87 20.20.20.230:87
--- --- --- 192.168.1.72 20.20.20.230R2#ping 10.10.20.2 repeat 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 10.10.20.2, timeout is 2 seconds:
!
Success rate is 100 percent (1/1), round-trip min/avg/max = 112/112/112 msR1#
*Nov 16 18:14:20.870: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.20.2, len 100, input feature
*Nov 16 18:14:20.874: ICMP type=8, code=0, Stateful Inspection(5), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.878: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.20.2, len 100, input feature
*Nov 16 18:14:20.878: ICMP type=8, code=0, Virtual Fragment Reassembly(25), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.882: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.20.2, len 100, input feature
*Nov 16 18:14:20.886: ICMP type=8, code=0, Virtual Fragment Reassembly After IPSec Decryption(39), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.886: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.20.2, len 100, input feature
*Nov 16 18:14:20.890: ICMP type=8, code=0, NAT Outside(66), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.890: IP: s=20.20.20.230 (FastEther
R1#net0/0), d=10.10.20.2, len 100, input feature
*Nov 16 18:14:20.890: ICMP type=8, code=0, MCI Check(80), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.890: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 20.20.20.230 dst 10.10.20.2
*Nov 16 18:14:20.890: FIBfwd-proc: packet routed by adj to FastEthernet0/1 192.168.1.1
*Nov 16 18:14:20.890: FIBipv4-packet-proc: packet routing succeeded
*Nov 16 18:14:20.894: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.20.2 (FastEthernet0/1), len 100, output feature
*Nov 16 18:14:20.894: ICMP type=8, code=0, NAT Inside(8), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.894: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.20.2 (FastEthernet0/1), len 100, output feature
*Nov 16 18:14:20.894: ICMP type=8, code=0, Stateful Inspection(27), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.894: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.20.2 (Fast
R1#Ethernet0/1), len 100, output feature
*Nov 16 18:14:20.898: ICMP type=8, code=0, NAT ALG proxy(55), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.898: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.20.2 (FastEthernet0/1), g=192.168.1.1, len 100, forward
*Nov 16 18:14:20.898: ICMP type=8, code=0
*Nov 16 18:14:20.898: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.20.2 (FastEthernet0/1), len 100, sending full packet
*Nov 16 18:14:20.898: ICMP type=8, code=0
*Nov 16 18:14:20.914: IP: s=10.10.20.2 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:20.918: ICMP type=0, code=0, Stateful Inspection(5), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.918: IP: s=10.10.20.2 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:20.922: ICMP type=0, code=0, Virtual Fragment Reassembly(25), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.926: IP: s=1
R1#0.10.20.2 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:20.926: ICMP type=0, code=0, Virtual Fragment Reassembly After IPSec Decryption(39), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.930: IP: s=10.10.20.2 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:20.934: ICMP type=0, code=0, MCI Check(80), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.934: FIBipv4-packet-proc: route packet from FastEthernet0/1 src 10.10.20.2 dst 192.168.1.72
*Nov 16 18:14:20.938: FIBfwd-proc: Default:192.168.1.72/32 receive entry
*Nov 16 18:14:20.938: FIBipv4-packet-proc: packet routing failed
*Nov 16 18:14:20.942: IP: tableid=0, s=10.10.20.2 (FastEthernet0/1), d=192.168.1.72 (FastEthernet0/0), routed via RIB
*Nov 16 18:14:20.942: IP: s=10.10.20.2 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, output feature
*Nov 16 18:14:20.946: ICMP type=0, code=0, Post-routing NAT
R1# Outside(24), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.950: IP: s=10.10.20.2 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, output feature
*Nov 16 18:14:20.954: ICMP type=0, code=0, Stateful Inspection(27), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.954: IP: s=10.10.20.2 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, output feature
*Nov 16 18:14:20.954: ICMP type=0, code=0, NAT ALG proxy(55), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.954: IP: s=10.10.20.2 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), g=20.20.20.230, len 100, forward
*Nov 16 18:14:20.954: ICMP type=0, code=0
*Nov 16 18:14:20.954: IP: s=10.10.20.2 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, sending full packet
*Nov 16 18:14:20.954: ICMP type=0, code=0
R1#
R1#show ip nat trans
Pro Inside global Inside local Outside local Outside global
icmp 10.10.10.3:87 10.10.10.3:87 192.168.1.72:87 20.20.20.230:87
icmp 10.10.20.2:88 10.10.20.2:88 192.168.1.72:88 20.20.20.230:88
--- --- --- 192.168.1.72 20.20.20.230 -
-
jerry311
nagyúr
válasz
jerry311
#5053
üzenetére
El van baltázva a static route.
ip route 20.20.20.230 255.255.255.255 GigabitEthernet0/0.559 name VRF559
helyett
ip route 192.168.1.72 255.255.255.255 GigabitEthernet0/0.559
Így már megy, de még mindig mindent NAT-ol (20.20.20.230 --> 192.168.1.72), azt is amit a route map szerint nem kellene.
-
crok
Topikgazda
válasz
jerry311
#5051
üzenetére
Nekem ezzel van bajom:
"192.168.1.72 a külső oldalon, tehát ip nat inside felőli részen van."Ha külső IP-t úgy forgatsz belsőre, hogy az egy alhálóban van a belső
hálóval, akkor onnan a válaszcsomag hogy fog kijutni? Sehogy, hisz
a belső host azt fogja mondani, hogy küldök ARP kérést, egy hálóba
esik velem, lesz ARP-om és direct válaszolok (kellhet proxy-ARP..).A 10.10.10.x címek majd válaszolnak a 192.168.1.72-nek, de azt ki
fogja átírni 20.20.20.230-ra? A Unicorn Farts felhő? Mert a NAT-oló
routerig el se jut majd a forgalom, max akkor, ha Unicorn Farts-nak
van egy /32 static route-ja 20.20.20.230-ra next-hop 192.168.1.60-al
(miközben van egy /24-es connected route-ja 192.168.1.0-ra)...de ha már mindenképp így kell csinálni (mert inherited legacy háló)
akkor jó, akkor megnézem majd a felállást megint. De az elgondolás
jónak tűnik, a VRF kicsit ugyan megbolondítja a dolgot, de jó lesz. -
crok
Topikgazda
válasz
jerry311
#5046
üzenetére
Azt hiszem tudom miért kérdezi kristofkax a proxy-arpot:
20.20.20.230 outside címet 192.168.1.72-re, egy inside
címre NATolod a leírtak szerint. Így amikor a destination
válaszolni fog a routeren már nem fog átmenni a csomag,
mivel a destination (a \b(10\.){3}([34])\b|(12[56]\b) hostoktól)
úgy kapott csomagot, hogy a source 192.168.1.72, egy
a routered inside interface-e utáni eszköz volt, pedig nem,
egy outside interface mögötti volt, a válasz a routerig el se
fog jutni ("aszimmetrikus" a routing). A statikus utak is ezt
írják le: a VRF-ben csak egy 0.0.0.0 utad van, ami a routerről
egy másikra mutat valamint a globális routing táblában egy
IP-re egy statikus út, az outside felőli IP-je a hostodnak.Nem tiszta mit mire és miért szeretnél cserélni. Mi a cél?
Ha 20.20.20.230 el akarja érni \b(10\.){3}([34])\b|(12[56]\b)
hostok valamelyikét akkor mindig, kivétel nélkül cserélje le:
a, 20.20.20.230-at 192.168.1.72-re?
b, Az ACL alapján:
talán az inside/outside fel van cserélve?
(Miért NONAT a neve? Akkor most NAT vagy negált NAT lista?)
\b(10\.){3}([34])\b|(12[56]\b) most akkor inside vagy outside
oldalon van? Statikus utak alapján nem derül ki, ám..ip access-list extended NONAT
permit ip host 10.10.10.3 host 20.20.20.230
permit ip host 10.10.10.4 host 20.20.20.230
permit ip host 10.10.10.125 host 20.20.20.230
permit ip host 10.10.10.126 host 20.20.20.230route-map NAT-MAP permit 10
match ip address NONAT..szerint outside felől:
- ha source \b(10\.){3}([34])\b|(12[56]\b)
- és destination 20.20.20.230 akkorip nat outside source route-map NAT-MAP pool pool-72 vrf VRF559
alapján outside felől a source \b(10\.){3}([34])\b|(12[56]\b)
cserélődik le 192.168.1.72-re (?), ami meg inside interface
directly connected cím - akkor arra a válasz sose fog még
a routerig se eljutni. Kivéve ha van proxy-arp. Késő van,
lehet nem fog az agyam, de egy rajz is sokat segítene:
mi melyik oldalon van és mit mire szeretnél cserélni?
A routing-ot megcsinálni utána már nem olyan nagy ügy.
Bizos pofonegyszerű a felállás és túlbonyolítom, pedig
alapelvem az Occam borotváját használni.. -
#5047
kristofkax
csendes tag
jerry311
#5046
kristofkax
csendes tag
válasz
jerry311
#5046
üzenetére
proxy-arp: azért merült fel mert nem látok next hop ip-t de és egy broadcast domainre mutat a static út és nincs next-hop ip
Nem kell diagram csak egyszerűen nem értem, hogy hogy az a statikus út benne van a globál táblába és mutat egy olyan interfészre ami nem is létezik abban a vrf-ben.
A problémáddal kapcs.: a show access-list NONAT mit mutat?
-
#5045
kristofkax
csendes tag
jerry311
#5040
-
#5014
Cyber_Bird
senior tag
jerry311
#5009
Cyber_Bird
senior tag
válasz
jerry311
#5009
üzenetére
Nyilvan ha valami komolyabb parancsnal nem jut eszembe, hogy a negyedik alparancsa hogy van, egyertelmu, hogy hasznalom, azert van. Nem enciklopedia vagyok, hanem mernok
(Bar amiket olvastam pl Narbik ccie bootcampjerol, hogy fejbol irja a tablara a parancsokat, vegig... )
De azert ilyen alap dolgoknal mint egy etherchannel osszerakasa, meg nem kellene kerdojeleznem
Nyilvan sokkal fontosabb hogy tisztaban legyel a technolgiaval magaval, es a miertekkel, mintsem hogy a pontos syntaxist megjegyezd, de az alapokat azert gyorsan es biztosan akarom konfigolni -
tusi_
addikt
. VTP-nek is ezt csinaljak: kulonbozo release notes-okban 1-1 mondat kulonbseg van, es pont az a lenyeg :-D
De már NAGYON várom!!! 
Engem kikapcsol nagyon a sok bizi nap utan mikor leulok es hasonlot csinalok.. 
Új hozzászólás Aktív témák
Hirdetés
FecoGee
crok- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Sub-ZeRo: Euro Truck Simulator 2 & American Truck Simulator 1 (esetleg 2 majd, ha lesz) :)
- Házimozi belépő szinten
- Milyen notebookot vegyek?
- HiFi műszaki szemmel - sztereó hangrendszerek
- PlayStation 5
- AMD Ryzen 9 / 7 / 5 9***(X) "Zen 5" (AM5)
- Lakáshitel, lakásvásárlás
- Mobil flották
- Tesla topik
- Parci: Milyen mosógépet vegyek?
- További aktív témák...
- új, bontatlan, iPhone 16E gyárilag kártya-független, apple világgaranciával
- Üzletből, garanciával, Macbook Pro Retina 16" 2019, Gray i9 64GB RAM 1TB SSD Radeon Pro 5500M
- Üzletből, garanciával, Macbook Pro Retina 16" 2019, Gray i9 64GB RAM 2TB SSD Radeon Pro 5600M 8GB
- MacBook Pro 14" M1 MAX - 32GB / 1TB (2021) - 1 év garancia
- MSI RTX 4070 SUPER 12GB GAMING X SLIM WHITE - 20 hónap garancia
- LG 55C4 - 48" OLED evo - 4K 144Hz - 0.1ms - NVIDIA G-Sync - FreeSync - HDMI 2.1 - A9 Gen7 CPU
- Microsoft Surface Laptop 3 - 15 col - Fekete
- Telefon felvásárlás! Samsung Galaxy A15, Samsung Galaxy A25, Samsung Galaxy A35, Samsung Galaxy A55
- Lenovo Thinkpad T14 üzleti i5-10310u 10th gen. 8-32Gb RAM 256GB-1TB SSD gar.
- VÉGKIÁRUSÍTÁS - REFURBISHED - Lenovo ThinkPad 40AC Thunderbolt 3 docking station
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: CAMERA-PRO Hungary Kft
Város: Budapest