- Samsung Galaxy S23 Ultra - non plus ultra
- Xiaomi 15 - kicsi telefon nagy energiával
- Hónap végén érkezik a Xiaomi Band 10, ára is van
- Második bétánál jár a One UI 8
- Milyen okostelefont vegyek?
- CMF Phone 2 Pro - a százezer forintos kérdés
- Xiaomi 15 Ultra - kamera, telefon
- Xiaomi Mi 11 Ultra - Circus Maximus
- Yettel topik
- Megérkezett Európába a Moto G55 5G és Moto G35 5G
-
Mobilarena
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
Meridian
senior tag
válasz
jerry311 #4032 üzenetére
Igen ezt tudom, ip helper-address parancsot is ismerem, ennek segítségével jut tovább egyik alhálózatból a másikba egy szórt DHCP üzenet. De mivel szórt az üzenet és IP nélküli, így hogy van az beazonosítva, hogy az adott VLANban lévő gép a VLAN-nak (vagy alhálózatnak, ha úgy jobban tetszik) megfelelő IP konfigurációt fog kapni, azaz a DHCP a megfelelő pooljából osztja ki az IP-t számára...vagy éppen az helper-address jegyzi azt meg, hogy a szórt üzenetnek a forrás MAC címe melyik VLANból érkezett és közli a DHCP szerverrel azt, hogy a kérés melyik alhálózatból érkezett és ennek alapján válassza ki azt a poolt?
Órán hasonló egyzserű esteke voltak, mint ez:
http://www.youtube.com/watch?v=fkvuDOOFd0EA Cisco is csak ezt az egyszerű esetet írja le:
-
tusi_
addikt
válasz
jerry311 #3920 üzenetére
A régi melóhelyemen volt egy rakat cisco switch, de kb. amióta beállitották őket a helyükre, nem volt hozzájuk nyúlva. Régebben elgondolkodtam, hogy mit csinálhat egy rendszergazda, azon kivül, hogy Gizikének segit a Wordben, vagy mentéseknél cserélgeti a kazettákat a gépben
Igazából az ilyen SNMP, Logg olvasgatás, hálózati forgalom elemzés...... ilyenekre gondolok. Itt nagyon buták az emberek, szerintem jobban értékelik, ha egy logg fájlt megnyitok, mintha csinálok az hin und rück redistribuciót rip-eigrp-ospf között.
-
fogi
tag
válasz
jerry311 #3847 üzenetére
Köszönöm, megoldódott.
Két hiba volt, az egyik, amit írtál, be kellett állítani a D-Linkben statikus routot a belső hálózatra.
Így már lehetett pingetni kefelé, befelé bármit. A névfeloldás nem ment, ehhez be kellett állítani a DHCP szervert, hogy küldjön DNS-t is.
Így már minden működik, köszönöm a segítséget. -
crok
Topikgazda
válasz
jerry311 #3753 üzenetére
A vizsgán volt ilyen kérdés, ott még a pass a jó válasz
SOHO ROUTER CONFIG TEMPLATE v0.1.1 - 2013.04.13 12:30 CET
Na javítottam az elírást és #3752 - betettem, hogy írd át a jelszótaaa authentication login default local-case enable
Igen - line con alatt csak a biztonság kedvéért van ott.OFF: ..és azt tudjátok-e hogy hogy lehet "?" -et betenni a konfigba, mondjuk jelszóba?
-
crok
Topikgazda
válasz
jerry311 #3739 üzenetére
Erről nem is beszélve:
Cisco IOS Software Network Address Translation VulnerabilityHa kipróbálod majd oszd már meg mi a helyzet, érdekelne.
-
crok
Topikgazda
válasz
jerry311 #3737 üzenetére
Az lehet, hogy megkülönböztethető, de nem kéred rá.
Megpróbálod ezt - mert szerintem ennyi kell:ip nat outside source static 10.10.10.10 172.16.7.125 vrf VRF1 extendable match-in-vrf
ip nat outside source static 10.10.10.10 176.16.3.162 vrf VRF2 extendable match-in-vrf[Szerk:]
Vagy most én értem félre.. globálból akarod a csomagokat
VRF-be áttenni és még NAT-olni is? Mert akkor oda NAT
route-map kell.. meg a routing-ot is meg kell oldanod oda-
vissza, static route-olni meg policy-based routing. -
crok
Topikgazda
válasz
jerry311 #3454 üzenetére
Erre sajnos motiváció nekem sincs. Túl sok területet érint a tudásom/munkám, nincs értelme "leragadni" csak a routing/switching témakörben. Természetesen respekt annak, akinek mégis van rá ideje /ereje /pénze /motivációja..
Majd ha befejezek mindent amit elémtesznek és nincs más cél..
-
crok
Topikgazda
válasz
jerry311 #3355 üzenetére
Sorry, negative: GNS3 switching simulation
-
-
zsolti.22
senior tag
-
crok
Topikgazda
válasz
jerry311 #3244 üzenetére
True. Benéztem. Összeraktam GNS3ban, amint az
interface-eket no shut-ba tettem (ezt az egy dolgot
csináltam csak a konfiggal) az a tunnel azonnal feljött,
EIGRP megy, mind a két router tudja egymást pingelni,
192.168.3.1 tudja pingelni 192.168.2.1-et és vice versa.
[Szerk.]
(C7200-ADVENTERPRISEK9-M), Version 12.4(24)T -
Hedgehanter
őstag
válasz
jerry311 #3214 üzenetére
En sem azt mondtam hogy nekiugrok es atconfiguralom a rendszert mert latom hogy lehetne egyszerubben...
A restrictions inkabb a static VTI-ra vonatkozik es majdnem hogy egy line-al lehet belole mGRE vagy GRE+IPSec tunnel-t csinalni es a gondok nagy resze oda...
Amugy nem probalok eroltetni semmit itt csak a tanulmanyaim miatt dobalom a commenteket mert erdekel mas hogy latja, gondolja...
-
zsolti.22
senior tag
-
zsolti.22
senior tag
válasz
jerry311 #3143 üzenetére
Az a lehető legrosszabb döntés, mivel ugyanúgy annak számít, mintha a saját gépedre tennéd. Viszont ma visszaírt a Boson, engedélyeztek még egy letöltést, így holnap már tudok rajta nyomulni, de hogy addig se unatkozzak, végigpörgetem a Route Lab manual összes Challenge-ét és case study-ját. :-)
szerk: T9 és a magyar nyelv köszönő viszonyban sincsenek
-
tacsk0
aktív tag
válasz
jerry311 #3121 üzenetére
Heloo
Nem szeretek dumpolni, nem vagyok a hive szeretek rajonni a dolgokra es megerteni! Persze volt olyan hogy segre ultem... Nem is olyan reg allas interjun (ccna szintet kerestek):
OSPF, ACL, Portfast, Etherchannel, Backbonefast amikor mar nyeregben ereztem magam es a kegyelemdofes MPLS
-
tacsk0
aktív tag
válasz
jerry311 #3117 üzenetére
Heloo!
Nem csalaskent szantam, csak szimplan azert, hogy talakozzon eles viszga kerdesekkel. Bar egyen fuggo ki mire hasznalja, bemagolja a tomerdek kerdest, vagy csak gyakorol rajta. Amugymeg egybol megbukik az ember ha dumpolt... Akar egy allas interjun ha a ccna-t lobogtatja. Belekerdeznek egy ket finomabb reszbe es csak lesni fog mert arra nincs test king
-
Hedgehanter
őstag
válasz
jerry311 #3109 üzenetére
Az csak egy gyenge probalkozas szerintem. Nincs benne VTI support amit igazabol a Cisco szeretne hogy eloterbe keruljon a regi crypto map-os megoldasok helyett
Majd ha tultettem magam a nagy VPN study-n a meg friss, meleg study giude segitsegevel biztos lesznek jobb otleteim stateful VPN failover tecnikakra...
-
Hedgehanter
őstag
válasz
jerry311 #3104 üzenetére
Nem stateful az ok de a routing csak azt nezi hogy te jott egy packet a 209.165.200.238-rol (mert ugye a NAT statement) es kuldjuk vissza oda....
Ja hogy a deny ott van a NAT-ban es a packet nem lesz NAT-olva a 209.165.200.238 amikor a 192.168-ba megy..
pass akkor..Ha lenne idom beraknam GNS3-be a configot es megneznem....
-
válasz
jerry311 #2661 üzenetére
Ezzel még pont nem találkoztam, de valószínűleg hasonlót gondolunk a dolgokról! És baromi idegesítő, hogy ilyen és ehhez hasonló kérdéseken megy el a vizsga...
Egyik kérdésnél még azt kérdezi, hogy az UTP kábel melyik OSI réteghez tartozik, a másikban meg már olyat, hogy a hajamat tépem, mert van 5 lehetőség, és 2-3-ra simán rá lehet húzni a választ!
Szóval, szerintetek hány kérdés lehet?
-
Hedgehanter
őstag
válasz
jerry311 #2646 üzenetére
Persze hasznalhato... Az egyetlen bajom ezzel a resszel hogy nagyon szerteagazo. Sok mindenrol van benne szo majdnem olyan mint a CCNA Security sok minden egyben...
A 618, 648 az csak egy par dologra fokuszal konnyebben megjegyezhetonek... A 627-et meg nem neztem de az sem tunik tol gazosnak... -
Hedgehanter
őstag
válasz
jerry311 #2640 üzenetére
A konyv nem tul jo de hasznalhato... Tele van helyesirasi es technikai hibakkal...
Meg aztan rajottem hogy inkabb az e-konyvet vettem volna meg mert sokkal konnyebb.. Kanapen fekve nehez tartani..
2 het mulva vizsga belole..
A cbt-nugetts-et pont abbol nem talatam az 618, 648 megvan.. -
jerry311
nagyúr
-
AkoSCH
csendes tag
válasz
jerry311 #2496 üzenetére
De ha már így témánál vagyunk:
milyen best practice-t tudnál ajánlani biztonsági szempontból?
Értem ezalatt pl, azt, hogy "kifelé menjen minden, de befele meg" igényt.
Kifelés ugye alapból megy minden (default prioritások miatt)
Visszafelé milyen access rule az, ami optimális?
(pár nat szabály van, azon túl kívülről az kéne csak, hogy a belülről indított dolgok visszafele "established" működjenek. -
AkoSCH
csendes tag
válasz
jerry311 #2375 üzenetére
Szia!
Kicsit megint megakadtam, a VPN-nel.
NAT Exempt bekapcsolva a Wizardban.
IP-m most jó (10.10.10.1-et kaptam), viszont a Gateway meg 10.10.10.2 lett, ezt honnan kapta a hostom?Illetve továbbra sem tudok elérni semmilyen erőforrást a belső hálóból sem.
Aktuális konfig része:
interface Vlan1
description LAN
no forward interface Vlan12
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
description WAN
nameif outside
security-level 0
ip address MY_STATIC_IP 255.255.255.248
!
interface Vlan12
description Vendegeknek a valamiHotSpot WiFi-hez
nameif guest
security-level 100
ip address 192.168.4.1 255.255.255.0
management-only
!
ftp mode passive
clock timezone GMT 0
dns domain-lookup inside
dns domain-lookup outside
dns domain-lookup guest
dns server-group DefaultDNS
name-server 62.112.192.4
name-server 195.70.35.66
domain-name valami.local
same-security-traffic permit intra-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network inside-net
subnet 192.168.2.0 255.255.255.0
object network guest-net
subnet 192.168.3.0 255.255.255.0
object network NETWORK_OBJ_192.168.2.128_25
subnet 192.168.2.128 255.255.255.128
object-group protocol DM_INLINE_PROTOCOL_3
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_1
protocol-object ip
protocol-object icmp
object-group protocol DM_INLINE_PROTOCOL_2
protocol-object ip
protocol-object icmp
access-list global_access extended permit object-group DM_INLINE_PROTOCOL_3 any any
access-list AnyConnect_Client_Local_Print extended deny ip any any
access-list AnyConnect_Client_Local_Print extended permit tcp any any eq lpd
access-list AnyConnect_Client_Local_Print remark IPP: Internet Printing Protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any any eq 631
access-list AnyConnect_Client_Local_Print remark Windows' printing port
access-list AnyConnect_Client_Local_Print extended permit tcp any any eq 9100
access-list AnyConnect_Client_Local_Print remark mDNS: multicast DNS protocol
access-list AnyConnect_Client_Local_Print extended permit udp any host 224.0.0.251 eq 5353
access-list AnyConnect_Client_Local_Print remark LLMNR: Link Local Multicast Name Resolution protocol
access-list AnyConnect_Client_Local_Print extended permit udp any host 224.0.0.252 eq 5355
access-list AnyConnect_Client_Local_Print remark TCP/NetBIOS protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any any eq 137
access-list AnyConnect_Client_Local_Print extended permit udp any any eq netbios-ns
access-list inside_access_in extended permit object-group DM_INLINE_PROTOCOL_2 any any
access-list outside_access_in extended permit object-group DM_INLINE_PROTOCOL_1 any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu guest 1500
ip local pool valami_vpn_pool 10.10.10.1-10.10.10.10 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
no asdm history enable
arp timeout 14400
!
object network inside-net
nat (inside,outside) dynamic interface
object network guest-net
nat (guest,outside) dynamic interface
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
access-group global_access global
route outside 0.0.0.0 0.0.0.0 MY_STATIC_GW 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa local authentication attempts max-fail 16
http server enable
http 192.168.2.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics host
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
enable inside
enable outside
anyconnect-essentials
anyconnect image disk0:/anyconnect-win-2.5.2014-k9.pkg 1
anyconnect enable
tunnel-group-list enable
group-policy GroupPolicy_valami_VPN internal
group-policy GroupPolicy_valami_VPN attributes
wins-server value 192.168.2.2
dns-server value 192.168.2.2
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelall
default-domain value valami.local
webvpn
anyconnect ssl rekey time 30
anyconnect ssl rekey method ssl
anyconnect ask enable default anyconnect timeout 30
customization none
deny-message value Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features. Contact your IT administrator for more information.
username test password P4ttSyrm33SV8TYp encrypted
tunnel-group valami_VPN type remote-access
tunnel-group valami_VPN general-attributes
address-pool valami_vpn_pool
default-group-policy GroupPolicy_valami_VPN
tunnel-group valami_VPN webvpn-attributes
group-alias valami_VPN enable
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:d54de340bb6794d90a9ee52c69044753
: end
Előre is köszönöm a segítséget!
-
-
crok
Topikgazda
válasz
jerry311 #2405 üzenetére
A virtuális host-on a weboldalak megjelenítése megy?
Mert pl. QEmu-val az ICMP nem megy, maga a működése
akadályozza meg ezt :/ Szóval csak a ping nem megy
vagy semmi se megy? A host ARP táblájában a def.gw.
benne van? A routeren nincs valami ACL ami tiltja a
forgalmat (esetleg IP Inspection, ZBFW)? -
Lokids
addikt
válasz
jerry311 #2379 üzenetére
Pár ping után:
MainRouter#show ip nat trans
Pro Inside global Inside local Outside local Outside global
icmp 88.79.24.144:1024 192.168.0.14:2 88.79.24.1:2 88.79.24.1:1024
icmp 88.79.24.144:2 192.168.0.19:2 88.79.24.1:2 88.79.24.1:2
icmp 88.79.24.144:1025 192.168.0.8:2 88.79.24.1:2 88.79.24.1:1025A többi subnetből elhal az icmp.
Az egyetlen NAT configom pedig ennyi volt:
ip nat inside source list NAT interface serial 2/0 overload -
AkoSCH
csendes tag
válasz
jerry311 #2375 üzenetére
a topológia úgy néz ki, hogy van egy LAN láb, 192.168.2.0/24, egy WAN láb, és a VPN,
a VPN meg mondjuk legyen akkor pl. 192.168.3.0/27?Azt nem értem, hogy ilyenkor mi alapján tudja majd a belső erőforrásokat elérni, ha más subnet.
Azt meg végképp nem, hogy a NAT exemptiont is ha bekapcsolom, akkor hogy működik.
(utóbb lényege, ha jól értem, hogy ne natoljon a VPN-re)(Bocs, VPN-ben nem vagyok túlzottan jártas)
-
AkoSCH
csendes tag
válasz
jerry311 #2218 üzenetére
Szia!
Még lenne kérdésem a VPN-nel kapcsolatban:
adott EZ a konfig.
VPN-re be tudok jelentkezni, IP-t is kapok, viszont nem érek el semmilyen erőforrást, ping sem megy.A LAN subnetjéből szedtem ki egy darabot:
ip local pool vpn_range 192.168.2.190-192.168.2.200 mask 255.255.255.0A subnetet egyébként egy belső DHCP-szerver szolgálja ki, ott exclusion-ként fel van véve ez a range.
Ennek mi lehet az oka?
-
zsolti.22
senior tag
válasz
jerry311 #2333 üzenetére
Nem vagy egyedül
Na de ha EIGRP-n továbbadom az én privát IP-jeimet BGP-n, akkor annak megint nincsen semmi értelme. NAT-hoz meg most nincs kedvem
De akkor azzal már jól látom, hogy NAT-tal együtt lenne kerek az egész!?
A Null0 irányítással mások voltak az elképzeléseim, de működött a dolog, hogy csak akkor teszi bele a BGP táblába az útvonalakat, ha már a RIB-ben is benne vannak.
-
jerry311
nagyúr
válasz
jerry311 #2327 üzenetére
Pl sokat segít ha a BGP továbbadja az EIGRP-n tanult routokat.
router bgp 65001
no synchronization
bgp log-neighbor-changes
redistribute eigrp 65001
neighbor 2.2.2.2 remote-as 65000
neighbor 2.2.2.2 ebgp-multihop 255
neighbor 2.2.2.2 update-source Loopback0
neighbor 3.3.3.3 remote-as 65001
neighbor 3.3.3.3 update-source Loopback0
neighbor 3.3.3.3 next-hop-self
no auto-summary
Új hozzászólás Aktív témák
Hirdetés
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- HP Zbook 14 laptop (14FHD/I7-G5/8GB/128SSD/MagyarVilágítós)
- Jó áron ÁRON ELADÓ! Üzleti HP Elitebook 1040 G9 Laptop! / i5-1245U 16GB 256GB
- Szuper áron DELL XPS 13 7390 /i7-10510U/16 GB Ram/512 GB SSD/IPS/
- ÁRESŐ! Dell Inspiron 3493 /10.gen i5-1035G1/8GB/512 GB SSD FHD
- Akciós áron eladó HP Elitebook 845 G7 / AMD Ryzen 5 pro-4650U/16 GB/256 SSD/14"/FHD/IPS/Gari/touch
- DELL PowerEdge R640 rack szerver - 1xGold 6138 (20c/40t, 2.0/3.7GHz), 64GB RAM,4x1G RJ, HBA330, áfás
- Bomba ár! Lenovo ThinkPad L390 - i7-8GEN I 8GB I 256SSD I 13,3" HD I HDMI I Cam I W11 I Gari!
- ÁRGARANCIA!Épített KomPhone Ryzen 7 7800X3D 32/64GB RAM RTX 5070 GAMER PC termékbeszámítással
- QNAP TS-870U-RP 8 lemezes Rack NAS
- REFURBISHED és ÚJ - Lenovo ThinkPad 40AS USB-C docking station (akár 3x4K felbontás)
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft
Város: Budapest