- Hat év támogatást csomagolt fém házba a OnePlus Nord 4
- Honor Magic6 Pro - kör közepén számok
- Honor 400 - és mégis mozog a kép
- Samsung Galaxy S23 Ultra - non plus ultra
- Samsung Galaxy Watch6 Classic - tekerd!
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- Honor Magic7 Pro - kifinomult, költséges képalkotás
- Csíkszélességben verné az Exynos 2600 a Snapdragon 8 Elite 2-t
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Fotók, videók mobillal
-
Mobilarena
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
#2519
csabyka666
veterán
tusi_
#2518
-
jerry311
nagyúr
Egy darab IP-je lesz a cégnek, de ezzel 65536 ember tudna netezni.
Miért is? Gyakorlatilag annyi a vége, amennyit a NAT-ot végző eszköz hardvere és szoftvere elbír. Lehet pl. 10M connection, 350k con/sec sebességgel akár.
#2513
És akkor még a vezeték nélküli kütyükről nem is beszéltünk. Máris 8-10 pirvát IP-nél járunk. (pl ketten lakunk most: van 2 pc, 2 laptop, 2 android telefon, 2 céges blackberry és 1 tablet = 9 )csabyka666
Ha van beállítva proxy (mert miért is ne lehetne), akkor az ilyen IP cím lekérdezős weblapok azt fogják visszaadni, mint publikus IP cím. Ettől még az egyes előfizetőknek lehet külön publikus IP címük. -
#2512
csabyka666
veterán
tusi_
#2511
Köszöm a választ! Tehát elképzelhető, hogy lekérem egy másik DSL előfizetőnél az IP címet, és ugyanúgy a 81.182.207.11.-et dobja vissza, mint nálam? (Ahogy tette ezt a kábeles netnél is?)
Úgyértem, a T-Online értelem szerűen megvásárolt jópár IP címet, amit csak ő használ, de közel nem annyit, ahány előfizetője van, igaz? Szóval ugyanazt csinálja, mint a kis kábeles szolgáltató, csak nagyban?
(Tegyük fel, hogy minden egyéni előfizető 1 darab PC-vel rendelkezik, tehát 1 IP cím = 1 felhasználó háztartásonként.)
-
-
-
zsolti.22
senior tag
Az ip default next-hop azt jelenti, hogy először a RIB-ben található next-hopra küldi a csomagot ÉS nem veszi figyelembe az alapértelmezett útvonalakat (gateway of last resort). Egyéb más esetben a PBR felé röppen a csomag. Tehát az alapértelmezett útvonalakat nagy ívben le fogja sz**ni.
Bár nem tőlem kérdeztem a dolgot, de csak nem baj, hogy válaszoltam
-
tusi_
addikt
"Másik. az ip next hop azt jelenti, hogy erre menjen a jelölt csomag. Az ip default next-hop azt, hogy elsüdlegesen a default útvonalon menjen, ha az nem megy, akkor a parancs után megadott next hoppra. Ez mé nem megy nálam? Félre értettem valamit?"
Pontosabban a könyv szerint. Az ip next-hop nál a PBR-t veszi alapul, az ip def next-hop nál meg a route táblát. Ha abban nincs def route, akkor a megadott cimre kapcsolja a csomagot.
-
crok
Topikgazda
Attól függ mit használsz, ennél azért bonyolultabb a helyzet.
A VoIP nem egy, hanem 2 session egyszerre. Egy voice signaling
és egy voice. Signaling: H323 (TCP 1720, de kellhet a gateway-ek
komminukációjához a 1718 és 1719 is (RAS)), Cisco Skinny protocol
(TCP/UDP 2000), SIP (TCP 5060 vagy TCP 5061 ha TLS), MGCP
(UDP 2427,2428) Voice: A telefonok megállapodnak, hogy milyen
portokon kommunikálnak, ezt a control protocollon keresztül teszik
meg, ha NAT-olva lenne valahol azt STUN csomagokkal megoldja
(TC/UPD 3478). A voice stream portszámok alakulása 16348-32768
UDP portokon történik (ezt a forgalmat hívják voice bearer data-nak).[Szerk.]
Further reading:
TCP and UDP Ports Used by Cisco CallManager 3.3
PIX/ASA 7.x: Enable VoIP (SIP, MGCP, H323, SCCP) Services Configuration Example
CCIE Voice notes -
#2320
csabyka666
veterán
tusi_
#2318
-
jerry311
nagyúr
Akkor ugy tunik CCIE vagyok, eddig eszre sem vettem. Mingya irok a cickonak, hogy legyen szives elkuldeni a szamom.
Ugy erzem itt van egy kis kaosz...
next hop - szerintem egyertelmu, ahova kuldod a csomagot.
'net' amit routeolsz, ez a cel vagy a forras, jo esellyel nem egy kozbenso router (mont pl az ISP GW).Nemtom mennyire vagyok ertheto, de tippelem nem nagyon.
-
jerry311
nagyúr
Javarészt a configod copy-pasztája.
Itt-ott átírva és/vagy egyszerűsítve. Pl. csak 2 router Fa0/0-n összekábelezve.
R2#show runcrypto isakmp policy 10
encr 3des
hash md5
authentication pre-sharecrypto isakmp key cisco123 address 30.0.0.1 no-xauth
crypto ipsec transform-set cisco esp-3des esp-md5-hmac
crypto map vpn-map 10 ipsec-isakmp
set peer 30.0.0.2
set transform-set cisco
match address 100interface Loopback1
ip address 172.16.0.1 255.255.255.0interface Loopback2
ip address 192.168.1.1 255.255.255.0interface Loopback3
ip address 172.16.1.1 255.255.255.0interface Tunnel10
ip address 20.0.0.2 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 30.0.0.2
!
interface FastEthernet0/0
ip address 30.0.0.1 255.255.255.252
duplex auto
speed auto
crypto map vpn-maprouter eigrp 10
network 20.0.0.0
network 172.16.0.0 0.0.3.255
no auto-summaryip route 0.0.0.0 0.0.0.0 30.0.0.2 --> mert lusta vagyok.
access-list 1 deny 192.168.1.0
access-list 1 permit any
access-list 2 deny 192.168.0.0 0.0.0.255
access-list 100 permit ip 172.16.0.0 0.0.1.255 192.168.0.0 0.0.1.255
access-list 100 permit gre any any --> mert még annál is lustább vagyok.=========================================================
=========================================================R1#show run
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key cisco123 address 30.0.0.1 no-xauthcrypto ipsec transform-set cisco esp-3des esp-md5-hmac
crypto map vpn-map 10 ipsec-isakmp
set peer 30.0.0.1
set transform-set cisco
match address 100interface Loopback1
ip address 192.168.0.1 255.255.255.0interface Loopback3
ip address 192.168.2.1 255.255.255.0interface Tunnel10
ip address 20.0.0.1 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 30.0.0.1interface FastEthernet0/0
ip address 30.0.0.2 255.255.255.252
duplex auto
speed auto
crypto map vpn-maprouter eigrp 10
network 20.0.0.0
network 192.168.0.0 0.0.3.255
no auto-summaryip route 0.0.0.0 0.0.0.0 30.0.0.1
access-list 1 deny 192.168.1.0
access-list 1 permit any
access-list 2 deny 192.168.0.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.1.255 172.16.0.0 0.0.1.255
access-list 100 permit gre any any=========================================================
=========================================================R1# show ip route eigrp
172.16.0.0/24 is subnetted, 2 subnets
D 172.16.0.0 [90/297372416] via 20.0.0.2, 00:06:24, Tunnel10
D 172.16.1.0 [90/297372416] via 20.0.0.2, 00:06:24, Tunnel10
R1# -
crok
Topikgazda
Több ponton is zavaros, hogy mit is akarsz pontosan :/
interface Tunnel10
ip address 20.0.0.1 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 40.0.0.2Ez alapján GRE tunnel a 30.0.0.2 és a 40.0.0.2 közt lenne.
Ez a Wireshark alapján látszik is.
Ha az ISAKMP konfig mind a két oldalon jó valamint az
IPSec transformset is szimmetrikus akkor az IPSecnek
nincs akadája, hogy kiépüljön. sh crypto isa sa.. DE!
access-list 100 permit ip 192.168.0.0 0.0.1.255 172.16.0.0 0.0.1.255
E szerint csak az lesz crypt-elve, ami ebbe beleesik, ebbe
meg csak loopback címek esnek bele. Permit gre any any -vel
meg azért mehet, mert akkor EIGRP neighborship az kiépül
és lesz routing a tunnelen keresztül.Na. Pontosan mit szeretnél elérni? Mi a hálózat, amin
ezt kivitelezni szeretnéd? Pingelnél A-ból B-be? Honnan
hová, milyen source-destination kellene, hogy menjen?
EIGRP kell, hogy menjen? Nem derül ki, hogy pontosan
mit akarsz crypt-elni: azt, ami a tunnelben megy, vagy
csak megadsz valamit a map-ben, amit szeretnél crypt-
elve áttolni? Mert mind a kettő dolognak megvan a fele.Van lehetőség tunnel nélkül is crypt-elni, ez a legegyszerűbb:
Az ilyeneket pedig nem szabad ám csinálni, kivéve, ha
arra valami jó okod van:
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
Ilyenkor ki lesz a next hop? Ilyenkor a route ugyan static
de a láttad, mi az admin distance egy ilyen route-nál?
Nincs next-hop -> innentől ha nem egy hálózatba esik egy
packet destination-je meg a kimenő interface, akkor hova
megy a csomag? ARP biztos nem lesz.. ez nem jó. -
jerry311
nagyúr
Ha crypto ACL-be beleteszed a külső IP-k közti forgalmat is, akkor nem fog menni, mert buta és úgy értelmezi, hogy titkosítania kéne már az első csomagot is, csak hát nincs mivel... Ezért kapsz hibát. Vagy valami ilyesmi.
GRE-hez sosem értettem. GRE és 'mode transport' a transform-set configban nagyon szeretik egymást. Ez mondjuk opcionális egy ideig, aztán kötelező, attól függ mit konfigolsz.
Csak telepítenem kell már egy NGS3-at...
-
-
crok
Topikgazda
IMHO pont annyira 10..15 év kell ehhez mint egy jobb HDD-nek
Ez nekem nem számít.Aki emiatt nem vált SSD-re az nem használt még SSD-t. Ha
adattárolásra akarnám használni, akkor drága.. nem vagyok
Apple fan, de nem hülyék, hidd el. Ha azt akarom, hogy valami
meglegyen vagy kiírom (ami szintén megadhatja magát, mint az
SSD..) vagy egy másik HDD-n tartom, mondjuk USB tokban..
ahogy teszem is! És egyszerre egy helyen tárolt adat nem adat
-> ha valamit tényleg nagyon meg akarok tartani -> kombinálom
még ezeket cloud tárolással -- moundjuk Ubuntu One, ahogy
csinálom is Az SSD-k rééégen nem azok a megbízhatatlan
vackok, mint mikor indultak mondjuk az első netbookokban..
Szóval ez nálam nem érv! Nekem többet ér az, ha a gépem
20 sec alatt boot-ol és dolgozhatom is. Minden hónapban van
legalább egy Clonezilla mentés is (vagy ha valami nagyobb
változtatás/update van) így nem aggódom egy reinstalltól HW
hiba miatt. Én így csinálom -
#2212
sunyijanika
tag
tusi_
#2210
sunyijanika
tag
Hát igen, de ez így nem egy tuti megoldás, több router esetén kicsit idegesítő lehet, sőt így lehet, hogy egyes részeket elfog utasítani a boot során.
Nem tudom, milyen .net fájlokat töltesz, de ajánlom neked ezt az oldalt:
betöltéshez olvasd el ezt:
Remélem jutsz valamire
-
-
#2204
sunyijanika
tag
tusi_
#2201
sunyijanika
tag
találkoztam már ezzel a problémával én is, localhost és a port számok zavarnak be egymásnak.
én ezt a megoldást fejlesztettem ki:
megnyitod a xxxx.net fájlt wordpad-el pl. és látni fogod ezeket a részeket:
autostart = False
version = 0.8.2
[127.0.0.1:7200]
workingdir = C:\DOCUME~1\NAGYJA~1\LOCALS~1\Temp
udp = 11000
[[3640]]
image = C:\Program Files\GNS3\cisco_ios\c3640-jk9s-mz.124-16.image
idlepc = 0x603e26f0
ghostios = True
chassis = 3640értelemszerűen, nálad mások lesznek az elérések, ios.
tovább haladva a net fájlban láthatsz további részeket:
[127.0.0.1:7201]
workingdir = C:\DOCUME~1\NAGYJA~1\LOCALS~1\Temp
udp = 10100
[[3640]]
image = C:\Program Files\GNS3\cisco_ios\c3640-jk9s-mz.124-16.image
idlepc = 0x603e26f0
ghostios = True
chassis = 3640A kiemelt részeket átírod (udp portokat) és ezután, ha minden igaz befogja tölteni vagy is nálam így van.
-
zsolti.22
senior tag
If you got this error in gns3, there are following possible solutions for this error. Try these one by one until your problem is solved.
▬ Normally gns3 show this error when the path or the name of the IOS is not correct, its means that there is not special character in path and IOS name.
▬ Change the IOS path to program files\dynamips.
▬ Try to use only ascii characters in all your paths.
▬ Try other IOS(s) or platforms.
▬ Install GNS3 on default directory. -
crok
Topikgazda
Újabb IOS van a routereden, mint amire a könyvet írták, a CCNA is 12.3
és ez előtti IOS-ekre van megírva (nem vicc..).IP SLA - itt is írja, hogy az IP SLA szintaxis változott (és változik) az idők
folyamán. Sokszor megszívtam már routercserekor, hogy a kedves supplier
nem azt az IOS-t vitte ki amit kértem és az IP SLA nem ment fel.. persze hogy
nem mentek a hozzá kapcsolódó dolgok :/ Nézni kell a Feature Navigator-t. -
jerry311
nagyúr
Millio es egy allas van, ahol nyilvan olyan embert szeretnenek, aki mindenhez ert, amit az adott csoport kezel.
Ilyen altalaban nincs, ugyhogy vagy a legjobban teljesito embert veszik fel vagy azt, akinek a tudasa a legjobban hianyzik eppen.Ha a felsorolt szakmai igenyek egy reszenek megfelel az ember (nemcsak hallott rola, de ha eleraknak valamit akkor megoldja) akkor lehet jelentkezni, eselyes, hogy interju is lesz belole, nemcsak CV kuldes, foleg ha egzotikusabb tudassal rendelkezik az ember.
Pl. ha kell MS es AS/400, akkor elobb fogjak felvenni az stabil AS/400 tudassal rendelkezo jeloltet, mint a profi MS szakembert. Felteve, hogy nincs nagyon nagy szukseguk egy MS profira.
-
f_sanyee
senior tag
en ilyenekre nem is jelentkezek ahol ilyen all in one embereket keresnek, mert ha fel is vesznek akkor mindenbol kapsz egy kis szeletet. igaz megismerhetsz olyan dolgokat amit eddig nem ismertel, valamilyen szinten mindenrol lesz fogalmad, de ugy igazan egyikhez se fogsz erteni... :S
-
FecoGee
Topikgazda
Sziasztok! Egyetertek azzal, hogy a CCNA setagalopp a CCNP-hez kepest. Bar en az NP-t sem ereztem annyira veszesnek, valoszinuleg mert naponta foglalkozom vele. De ha tovabbnezel pl. a CCIE-ra, rajossz, hogy a CCNP laza volt. Mikor az van, hogy TENYLEG erted, hogy mukodik? Tenyleg erted, hogy az OSPF Exstart-nal mi alapjan dol el hogy ki a master? Tenyleg erted, hogy mely route-k mennek at redisztribucional? BGP-nel megismerkedsz az AS_PATH filter listeknel a regex-ekkel. Hamar, gyorsan tudod, mit fog szurni? Tenyleg erted, hogy a speed negotiation hogy mukodik, vagy csak tudod, hogy a 100Mbit-nel a half az alap. Stb. CCNP-bol harom nagy tema ki is marad: QoS, MPLS, multicast. Azokrol is an persze tobbszor parszaz oldalas konyv. Mindenhez van egy konyv. Es ez csak a Written. A laborrol nem is beszelek, ahol becslesek szerint 1000 ora a minimum laborido amivel van eselyed atmenni.
-
zsolti.22
senior tag
Az én könyvem (nem e-book) 4. kiadás, ez akkor nyilván nem az. Nekem 10.10.32.0 szerepel már benne. Errata-kat nem is nézed?
Emlékszel még arra, amit korábban mondtam? Nehogy megtanuld a hibásat! Ezért is jobb szerintem a könyv fizikailag.
Tied gondolom netről szedett, nem a ciscopress.com-ről származó ebook -
jerry311
nagyúr
Igen, mint irtam, ertem a mukodeset, csak meg azt nem sikerult felfognom, hogy ez miert jo.
Ha csak az egyik switchre van kotve egy gep, akkor jo esellyel attol a switchtol fog IP-t kapni. Ha megsem, akkor a ket switch kozti linket terheli (szerintem feleslegesen). Nyilvan a switch hibaja miatt le is fog allni, mert nincs masik linkje.
Ha egy gep mindket switchre ra van kotve, akkor feltetelezem a 2 halokartyat egyben kezeli, tehat 1 IP-je lesz. Itt beallitastol fuggoen vagy egyiket vagy masikat hasznalja es ezt mar layer 2-n meg is tudja oldani. (Tekintsunk el attol az esettol ha a switchek tamogatjak az etherchannelt ugy, hogy annak ket linkje ket kulon switchen van. Vagy mondjuk egyeb egzotikus modokon elosztott terheles, ami meg mar kb. gyatotol fugg.)
Ha meg a 2 kartyat kulon kezeli, akkor 2 IP-je lesz, esetleg 2 GW-vel, ami oprendszertol fuggoen vagy mukodik valahogy vagy csak szoporollerezes van vele.
Ezert nem ertem, hogy mire jo ez a "load balance".
-
crok
Topikgazda
A 209-es hibakód az kb. a "történt valami rossz és nem megy" kategória..
Ezer oka lehet, lehet hogy az IOS-t nem tudja betölteni: mert a default
IOS verzió egy nem létező file-ra mutat. Vagy az IOS nem ehhez a
platformhoz való, vagy véletlen NPE-G2 -t tettél a c7200-ba, ami nem
valami jó választás, mert csak spéci IOS-el hajlandó (nagyon bugosan)
működni. Dynamips vagy bármi más opciót átállítottál? Mert még az
is lehet hogy a Dynamips hypervisor nem kap elég memóriát. Esetleg
a JIT van bekapcsolva, de a géped/OS-ed valamiért nem tudja ezt a
Dynamips-nek megoldani. Elsőre ezeket nézd már meg. IOS verziót
jó lenne ha megírnád.. esetleg a beállított hardware konfigot, NPE és
kártyák, memória, ilyesmi. Szoktam néha c7206VXR-t használni, de
egy c3725 is tökéletesen megfelel, vagy egy c2621XM.. c1720 hostnak.
(IOS-ek sorban:
c1720-12.2-40a -- 64M DRAM
c2600-adventerprisek9-mz.124-15.T14.bin -- 128M DRAM
c3725-adventerprisek9-mz.124-15.T14.bin -- 128M DRAM
c7200-adventerprisek9-mz.124-24.T.bin -- 256M DRAM
Javaslom, hogy szépen nevezd át a bin file-okat zip-re és csomagold ki
és azt add hozzá a GNS3-ban az IOS images menüben.)
[Szerk.]
Plusz egy ok: tűzfal(akat) kapcsold ki vagy engedélyezd a hypervisor
portját mindenképpen - ez is lehet ok (7200 és e felett, konzol portokat
szintén nem árt megnézni, sose lehet tudni.. nekem linux alatt sose
volt még hasonló esetem, mint ez.. nem értem hogy jöhet ki egyes
esetekben egyeseknél :/ ). -
-
Tsory
tag
Hát ez valóban érdekes. Ezen a linken van a lista:
Cisco IOS Software Releases 12.2 T GLBP
Lehet, hogy ez még a 2800-as sorozat előtt készült?
A többi doksiban nem találok az eszközökre vonatkozó utalást:
-
#1915
sunyijanika
tag
tusi_
#1910
sunyijanika
tag
Igen normális, mivel Frame Relay esetén NBMA az alap network type ahol nincs automatikus neighbor discovery így kell a neighbor ip-address parancs. Azonban a network type-t tudod módosítani:
ip ospf network X:
- Broadcast
- Point-to-point
- Nonbroadcast (nincs discovery, NBMA alap)
- Point-to-multipoint
- Point-to-multipoint nonbroadcast (nincs discovery) -
jerry311
nagyúr
Kezdők kedvéért tegyük hozzá, hogy csak a tartalmának kell egyeznie.
A neve lényegtelen, csak a benne lévő protokollok számítanak.+++++++++++++++++++++++++++++++++++++++++++++++++++++
Egyéni meglátásom: érdemesebb egy transform set-et a tartalma alapján elnevezni, nem az ügyfél neve alapján. Egyrészt rögtön látszik mi van benne, másrészt mondjuk 5 külön VPN-hez nem lesz 5 különböző nevű, de egyforma tartalmú transform set.
Mondjuk 5-nél még mindegy, de amikor csak a transform set-ek 200 sor körül járnak, és kb. mind ESP/3DES/MD5...
-
crok
Topikgazda
Igen, plusz egy metódus.
De ezek egyike se működik jól pl. 8xx routereken meg úgy alapvetően olyan
esetben, ha routert használsz switch modullal (mindegy, hogy fix vagy modu-
láris az eszköz): hiába mondod neki, hogy interface vlan xyz, hiába írja ki,
hogy okayrendbeneddignemvoltilyenvlandemostcsináltam, hiába mutatja a
sh ip int brie, hogy up/up.. akkor se nyikkannak meg az ilyen SVI-ok, pedig
kellene.. ám miután vlan database-ben hozzáadod, és az NVRAM-ban a vlan
database-be bekerültek azonnal működnek. Ez sokéves tapasztalat. Ezért
írtam, hogy ami minden esetben működik az a vlan database majd interface
vlan.. Ez minden esetben működik. Természetesen L3 switchen is lehet
választani azt a lehetőséget, hogy a csak átmenő VLAN-okat is interface
vlan <vlanID> -val csinálod meg, de kérdés: van értelme? Ott lesz a sh int
desc -ben, ott lesz a konfigban az üres SVI konfig is. Pedig mondjuk csak
access porton és/vagy az upstream trunk-on engeded, mert nem routeolod.
Na az ilyet nem tenném csak vlan database-be, mert csak ott kell meglennie.[Szerk.]
Ja és a kegyvesztett parancsok világ életemben wr -el mentettem konfigot..
pedig 12.2 után azt mondták, hogy ki fogják venni és csak a copy run start
marad meg.. nos 15.2 -nél járunk.. wr még mindig van! Ja az tudjátok miért
jött 15 a 12 után? -
-
zsolti.22
senior tag
Ma reggel ugyanarra a konfigra már a RARP se működött...ez a GNS böszmesége. Gyakran előfordul az, hogy ha előbb indítom el a routereket, minthogy adok nekik WIC-1T-t (persze nem menet közben), akkor megint nekiáll hülyeséget kiírni, hogy nem tudja a 0/32-es serial portra csatlakoztatni a kábelt.
-
crok
Topikgazda
Elterjedt, de csak nagy, úgy értem nagyon nagy számú AP esetén éri meg
egyáltalán.. van nálunk hely, ahol 160+ AP van.. na ott azért az autonómmal
szívni egyesével egy minden AP-t érintő változtatással.. nem okay, sőt, állati
nagy szívás. Plusz a WLC-nek vannak ám nagyon király funkciói: rogue AP
szűrés, lefedettség, áthallás, zavarás mutatása térképen (ha tettél fel alaprajzot
és betetted az AP-kat láthatod az AP terhelést, az interferenciákat.. egy több
emeletes, sok-sok AP-vel felszerelt épületben ez óriási segítség.. de felesleges
pénzkidobás ha csak pár AP van. IMHO. -
Tsory
tag
Akkor végül nem vettél még IP telefont?
Elvileg ilyenkor be van állítva a porton a voice VLAN, amit CDP-n keresztül megkap a telefon. Így a voice forgalom már taggelve megy a portra, az adat forgalom meg taggeletlenül, ami bekerül abba a VLAN-ba, ami a porton be van állítva.
Pl.
switchport access vlan 63
switchport voice vlan 306Ilyenkor a Voice forgalom tagelve megy a 306-ba, az adat forgalom meg tageletlenül a 63-ba.
-
Tsory
tag
Ezek szerint már legalább kétféleképpen lehet védekezni a VLAN hopping ellen (CCNP SWITCH 642-813 Official Certification Guide)
1. Native VLAN pruning:
a. Set the native VLAN of a trunk to a bogus or unused VLAN ID.
b. Prune the native VLAN off both ends of the trunk.Vannak olyan protokollok, amelyek mindenképpen a native VLAN-ban közlekednek, de benne van a doksiban (amit be is hivatkoztál), hogy ezek a forgalmak ekkor is átmennek (CDP, PAgP, DTP).
Érdekességképpen volt, aki megnézte, hol közlekednek ezek a protokollok, és azt találta, hogy a CDP, VTP, PAgP, UDLD mindig a VLAN1-ben közlekedik, amit nem is lehet prunolni. Így csak az STP és DTP lehet érdekes prunolt native VLAN esetében:
STP and DTP frames have no relation to VLAN, so are always transmited over Native VLAN. CDP/VTP/PAgP/UDLD are always transmited over VLAN 1, if Native VLAN is 1 then will be transmited in untagged form, if VLAN 1 is tagged (Native VLAN is other VLAN then 1), protocols will be tagged with 1.
http://www.netcontractor.pl/blog/?tag=native-vlan
2. Native VLAN tagging:
One alternative is to force all 802.1Q trunks to add tags to frames for the native VLAN, too. The double-tagged VLAN hopping attack won’t work because the switch won’t remove the first tag with the native VLAN ID (VLAN 10 in the example). Instead, that tag will remain on the spoofed frame as it enters the trunk. At the far end of the trunk, the same tag will be examined, and the frame will stay on the original access VLAN (VLAN 10). To force a switch to tag the native VLAN on all its 802.1Q trunks, you can use the following command:
Switch(config)# vlan dot1q tag native
-
tusi_
addikt
Tudomásom szerint a nativ vlant szokták használni Managmentnek is, de nem a vl 1 , hanem egy véletlenszerűt. Legyen vl 666.
De olyat is olvastam, hogy a támadhatósága miatt - a switchek az untagged kereteket a nativ vlanba kapcsolja - ki szokták szedni a trunk interfészen a hirdetett vlanok közül, de a vtp infok akkor is átmennek rajta.
Új hozzászólás Aktív témák
Hirdetés
FecoGee
crok- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Eladó Konfig Ryzen 7 9700X 32GB DDR5 1TB SSD RX6900XT 16GB!
- Eladó Gamer PC i7 14700, RTX 5070, 32 GB 6000mhz RAM, Vizhűtés, 850W 80+ Táp, 2 év Garanciával
- Google Pixel 9 Pro 5G 16/256GB Szürke Színben Bontatlan 12 Hó Garanciával
- iPhone XS Max 64GB LEÍRÁST OLVASS!
- Eladó: Bowers & Wilkins PX7S2e - garanciás
- OLCSÓ MONITOROK
- BESZÁMÍTÁS! GIGABYTE H77-DS3H H77 chipset alaplap garanciával hibátlan működéssel
- AKCIÓ! Lenovo Thinkpad P15 Gen1 15 FHD notebook - i7 10750H 16GB RAM 512GB SSD Quadro T1000 W11
- Bontatlan SteelSeries QcK 3XL egérpad
- AKCIÓ! Lenovo IS8XM LGA 1150 DDR3 alaplap garanciával hibátlan működéssel
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest