- Hat év támogatást csomagolt fém házba a OnePlus Nord 4
- Google Pixel topik
- Poco X5 Pro - ránézésre jó
- Samsung Galaxy Watch (Tizen és Wear OS) ingyenes számlapok, kupon kódok
- Beárazták az projektoros Ulefone-t
- iPhone topik
- Samsung Galaxy A56 - megbízható középszerűség
- eSIM, a kártyamentes szabadság
- Milyen okostelefont vegyek?
- Apple Watch Sport - ez is csak egy okosóra
-
Mobilarena
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
Gyurike
tag
válasz
Hedgehanter
#16497
üzenetére
Lehet rosszul tudom, de nem úgy van, hogy a megújításhoz két Concentration exam VAGY egy Core exam kell? (Vagy alternatíva az egy Concentration + 40CE kredit)
Tehát egy CCNP megújításhoz önmagában egy ENARSI nem elég.
Így én a munkádhoz kapcsolódó irány Core irányt tudnám javasolni (ha CCSP adott, akkor egy Security Core lehet szimpatikus számodra (350-701 SCOR)). -
#16499
kenwood
veterán
Hedgehanter
#16497
kenwood
veterán
válasz
Hedgehanter
#16497
üzenetére
Te vagy az elso,aki szerint nem sokkal nehezebb az ENARSI az ENCOR-nal
-
#16498
jerry311
nagyúr
Hedgehanter
#16497
jerry311
nagyúr
válasz
Hedgehanter
#16497
üzenetére
Thx!
Akkor az lesz, júliusig nem jön össze csilliárd kredit. -
#16434
FecoGee
Topikgazda
Hedgehanter
#16432
FecoGee
Topikgazda
válasz
Hedgehanter
#16432
üzenetére
Ha megvan a 80 pont automatikusan megújul. Ahogy feltöltöd a kredit igénylő oldaon az utolsó igényedet és elfogadják percek múlva jön a mail hogy sikeresen újítottál.
Ha már lejárt akkor vizsgáznod kell (core + valami concentration), kreditekkel csak újítani lehet.
-
#16431
FecoGee
Topikgazda
Hedgehanter
#16430
FecoGee
Topikgazda
válasz
Hedgehanter
#16430
üzenetére
Hali,
szerintem ami abba belefér az meg lesz újítva.
CCNA - 30 kredit
Specialist - 40 kreditA CCNP-t bukod de a fentiek megmaradnak.
Nekem most van 40 kreditem és a CCNA-m megújult vele.
-
Gyurike
tag
válasz
Hedgehanter
#16428
üzenetére
CCNP újításhoz tudtommal 80 CE credit kell.
Egy Concentration exam 40 pontot "ér", és vagy külön összeszed az ember még 40 pontot, vagy egy második Concentration exam is kell, hogy meglegyen.További opció a két concentration helyett egy Core vizsga letétele.
Nem vagyok túl járatos benne, de a Learning network-ön szoktak posztolni lehetőségeket ingyen CE-kredit gyűjtésre, azt is érdemes lehet átnyálazni.
(Én még próbálok a CORE mellé egy ENAUTO-t megcsinálni, de még tanulási fázisban vagyok.)
-
#16271
SOAD19
addikt
Hedgehanter
#16270
SOAD19
addikt
válasz
Hedgehanter
#16270
üzenetére
Köszi! Igen, ahogy nézem az első 15-16 fejezet ameddig eljutottam gyakorlatilag copy/paste.
-
#16120
FecoGee
Topikgazda
Hedgehanter
#16119
FecoGee
Topikgazda
válasz
Hedgehanter
#16119
üzenetére
-
#16112
FecoGee
Topikgazda
Hedgehanter
#16109
FecoGee
Topikgazda
válasz
Hedgehanter
#16109
üzenetére
Mennyire szívatós? A CiscoPress könyvből és Cisco e-learnimgből készülök, remélem elég lesz.
-
válasz
Hedgehanter
#16028
üzenetére
nincs lab, csak a szokásos.
-
#15822
Cyber_Bird
senior tag
Hedgehanter
#15819
Cyber_Bird
senior tag
válasz
Hedgehanter
#15819
üzenetére
Az a baj az ilyen melokkal, hogy nem fejlodsz, plusz teljesen kiegsz a monoton, unalmas munkatol.
nyugdijas allasnak mondjuk jo
A BTben, egyebkent —tapasztalatom szerint— nagyon fugg a melo milyensege attol, hogy melyik csapatba es melyik manager ala kerulsz.
-
#15821
Hedgehanter
őstag
Hedgehanter
#15819
Hedgehanter
őstag
válasz
Hedgehanter
#15819
üzenetére
Ez igazabol (15805 zsolti.22) nak ment..
-
#15820
SnoopDoggOG
csendes tag
Hedgehanter
#15819
SnoopDoggOG
csendes tag
válasz
Hedgehanter
#15819
üzenetére
Hat ja, bar ez a Tibi eleg undorito
-
#15431
ÁrPi2
senior tag
Hedgehanter
#15423
ÁrPi2
senior tag
válasz
Hedgehanter
#15423
üzenetére
Ezt a klassz fórumot!
Na az alkalmat itt szeretném megragadni ha te sokat interjúztató vagy, hogy ilyen megközelítésből kérdezzek tőled egy névleg offtopik Certről: "Juniper Jncia-Devops".Azért, mert valahogyan kisebb a Juniper hírneve/renoméja is ,de az "átlagos" ismertsége mindenképpen.
(Meg jó lenne tudni hogy mennyire vagy a jó szokásoddal egy átlagos IT-interjuztató )Kisebb hálózatos feladatkörrel dolgozom általános it rendszer- üzemeltetőként egy kis cégnél 9+ éve ,
és munkahely váltáson is gondolkodva regisztráltam Juniper Open Learning-ben:
Ez a fenti cert idén márciusban Passed és a karantén időszaki tanulás nyomán a Jncia-Junos is hamarosan meglehet ( ,azután ugyanígy a JOL keretében a Security Associate - t csinálnám) .Ezek egyik-másik talán ,vagy csak együtt kitesznek talán egy jó erős CCNA-t, a pályázó paramétereiben, jól gondolom?
Milyen "sokatkeresésre" számíthat valaki a Juniper certjével + ilyen általános IT üzemeltetés gyakorlattal?
-
vadger
tag
válasz
Hedgehanter
#15423
üzenetére
Szerintem arra is érdemes gondolni, hogy ahogy idősebb lesz az ember, lehet elindulna vezető irányba, és ekkor (multinál általában) el van vágva az útja diploma nélkül.
Jelenleg én sem látom, hogy valaha vezető lennék, de nem lehet tudni 45-50 évesen az ember mit fog gondolni erről.Az én megoldásom: fiatalon, mikor még nincs család, stb, munka mellett levelezőn elvégezni egy főiskolát. Én kb. ezt tettem, nagyon nem adott sok pluszt a suli, de innentől kezdve gondolkodnom sem kell a van diplomám/nincs diplomám témán.
-
#15425
Yeffy
veterán
Hedgehanter
#15423
Yeffy
veterán
válasz
Hedgehanter
#15423
üzenetére
pontosan ugyan igy gondolom, jo latni, h van, aki ilyen elvek szerint interjuztat. lehetne ragadosabb a peldad.
Szoval CCNA/CCNP/CCIE cert, es/vagy 5+ ev uzemeltetes halozati terulteten es kesz is vagy sokat keresni...
ugyan ez a celom, lehetoseg szerint mindketto, aztan hadd szoljon az a penzeso![;]](//cdn.rios.hu/dl/s/v1.gif)
mondjuk szerencsere mar most sem panaszkodhatok, sot, plane, ha azt nezzuk, h meg csak a "rangletra"/szakmai letra aljan helyezkedek el.jo kis szakma ez, na. tetszik. szeretem. es nem csak a zseton miatt. meg, ha sokszor nehez is.
bar gondolom azert erzem sokszor neheznek, mert arrol az adott dologrol meg nincs semmilyen/melyrehato tudasom/tapasztalatom.utolag is elnezest a kisse OFF ozonert a topiktol, bizom benne, h ez meg belefer a keretbe.
-
#15326
FecoGee
Topikgazda
Hedgehanter
#15325
FecoGee
Topikgazda
válasz
Hedgehanter
#15325
üzenetére
Szia! Elearning kurzusokat kell venni es vegignezni es azert kapsz krediteket. Vagy pl. Ciscolive!-ert is kaphatsz pontokat.
-
#15324
FecoGee
Topikgazda
Hedgehanter
#15323
FecoGee
Topikgazda
válasz
Hedgehanter
#15323
üzenetére
Mire gondolsz pontosan?
80 kredit kell majd a recerthez. -
#14688
Yeffy
veterán
Hedgehanter
#14687
Yeffy
veterán
válasz
Hedgehanter
#14687
üzenetére
Koszi a valaszt.
Nem akarom szet offolni vele a topikot, szoval Admin Ur, jelezd, ha nem ide valo.
De esetleg tudsz/tudnatok par pelda ceget mondani? Hol erdemes keresgelni?
Amiket en tudok/hallottam, az kb a BT Pesten, meg a Telekom gondolom nagyobb varosokban + Pest. Esetleg a tobbi ISP, aki otthon szolgaltat, akar vezetekes, akar mobil netet.
Elobbinel konkretan talaltam olyan allast, ami erdekelne, csak meg kell a P szint, utobbiakrol csak hallottam.Mert en pl Egerbol koltoztem ki, ott nem igen tudok olyan diviziorol, amivel tudnek ilyen pozit talani, ha esetleg ugy alakulna, hogy hazakoltozom. Hat meg, ha fejlodni szeretnek, P vagy IE szintre.
Amirol eddig tudok, az Pest meg Debrecen.
-
vadger
tag
válasz
Hedgehanter
#13662
üzenetére
Ez gondolom ASDM... sajnos nálunk tiltva van... csak a CLI játszik. De azért köszi
-
vadger
tag
válasz
Hedgehanter
#13463
üzenetére
szerintem itt a flash méretre gondol, azok lehetnek különbözőek.
köszi a hozzászólást, valahogy összehozom ezt a rohadt upgrade-et -
#13463
Hedgehanter
őstag
Hedgehanter
#13462
Hedgehanter
őstag
válasz
Hedgehanter
#13462
üzenetére
Most olvasom 8.2 felett van different memory failover config..
https://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_overview.html#wp1077536 -
vadger
tag
válasz
Hedgehanter
#13460
üzenetére
Szia!
Ez így oké, de én minimális downtime-mal akartam megúszni, vagy ha lehet zero-val, de úgy látom nem fog menni... Az a baj a két ASA két külön épületben van, egymástól kb 200 méterre, szóval ez a mindkettő kikapcs majd beszerel dolog nem fog menni.
Maga a szituáció a következő: én távolról menedzselem a dolgot, a helyszínen egy helyi erő fogja a memóriát beszerelni. Mivel egy ember van, 2 helyszín, ezért valahogy okosba kellene intézni, hogy közben a minimális legyen a downtime... Console elérésem van mindkét ASA-hoz (Moxa), most éppen ez van a fejemben, hogy ezek lennének a lépések:
1. Standby kikapcs, memória beszerel. Bekapcs.
2. Boot közben valahol félúton az active-on shutdown az összes interface, ekkor ugye kezdődik a downtime, de nagyon hamar végez a standby a boot-tal és active-vá válik.
3. A lekapcsolt interface-es ASA szépen ketyeg interface-ek nélkül, közben a helyi erő átér az épületbe. Kihúz minden kábelt (kivéve a console ugye), én no shutdown az interface-eken, majd write. Utána kikapcs, memória betesz, majd power on.
4. Na és akkor itt vagyok kicsit bajban, mert nem tudom pontosan minek kellene történnie ha bebootol ez az ASA is. Mindkét ASA az fogja hinni, hogy ő az active? Hogy döntik el, ki legyen az igazi active? Közben még egy downtime lesz, mert a második ASA nem szinkronizál sessionöket?Bocsi, hogy ennyire túlbonyolítom, tudom a legegyszerűbb az lenne ha mindkettő kikapcs majd bekapcs, de ez majdhogynem kivitelezhetetlen esetemben... Plusz annyi downtime-ot sem tolerálnak...
-
#11922
Cyber_Bird
senior tag
Hedgehanter
#11918
Cyber_Bird
senior tag
válasz
Hedgehanter
#11918
üzenetére
Jaja, ismeros, meg akar meg is ertenem, de ha ilyen az interju, akkor engem nem erdekel a munka
Customer support engineer poziciora is volt mar olyan kellemes hangulatu interjum, hogy azota az a gold standard nalam minden interjun.
-
#11919
denko
senior tag
Hedgehanter
#11918
denko
senior tag
válasz
Hedgehanter
#11918
üzenetére
nem, neki esett ki a kapa a szájából
De most megyek IT SH -hoz dolgozni januárban.
Nem teljesen kapcsolodik a hálózatokhoz de érinti, megnézem mennyire lesz bejövős, meg hát ott sok "olyan" pozi van ami érdekelhet, majd meglássuk ) -
#11119
crok
Topikgazda
Hedgehanter
#11114
crok
Topikgazda
válasz
Hedgehanter
#11114
üzenetére
Ezen agyalok még.. valami apróság lesz..
-
#11113
crok
Topikgazda
Hedgehanter
#11112
crok
Topikgazda
válasz
Hedgehanter
#11112
üzenetére
Tudsz egy működő konfigot idetenni?
Mostmár kíváncsivá tettél : D -
#11111
crok
Topikgazda
Hedgehanter
#11110
crok
Topikgazda
válasz
Hedgehanter
#11110
üzenetére
Az ATM firmware-t nézd már össze, hogy a többi 300-on az IOS-ben levő van-e használva de abban az egyben meg egy file a flashről (vagy fordíva?).
[Szerk:] Biztos hogy ugyanaz a konfig és nem csak nagyon-nagyon hasonló a többire (esetleg még a név is egyezik)? Úgy értem ATM subint alá akarsz class-okat létrehozni.. de azt csak úgy lehet hogy csinálsz egy parent policy-t, abban csinálsz egy shape-et/police-t és majd az *alá* tehetsz be child policy-t, user-defined class-okkal.
-
Gesztiboy
tag
válasz
Hedgehanter
#11024
üzenetére
Ha ACL-t bővítesz, akkor tudomásom szerint nem szükséges a clear. Legalábbis én nem szoktam és amikor bővítek (a túloldal is), akkor a megfelelő forgalom hatására egyszer csak megjelenik az új bejegyzés a show crypto ipsec sa peer x.x.x.x kimenetben, mint új session
-
#11026
tusi_
addikt
Hedgehanter
#11022
tusi_
addikt
válasz
Hedgehanter
#11022
üzenetére
Ezt en sem tudtam
Köszi -
vadger
tag
válasz
Hedgehanter
#11024
üzenetére
értem, ez amúgy a másik oldalról azóta megtörtént már, annak is elégnek kell lennie gondolom.
-
vadger
tag
válasz
Hedgehanter
#11022
üzenetére
nem volt... kellett volna? ezt nem tudtam.
-
#11009
FecoGee
Topikgazda
Hedgehanter
#10996
FecoGee
Topikgazda
válasz
Hedgehanter
#10996
üzenetére
A gyarto oldalarol leszedtem a legfrissebbet, na majd meglatjuk.
Off: szeptemberben megjelenik a Routing TCP/IP Vol 2 frissitett kiadasa! Alapmu. "CsakaCisco".
-
#10906
tusi_
addikt
Hedgehanter
#10905
tusi_
addikt
válasz
Hedgehanter
#10905
üzenetére
Köszi. 5let elvetve, mashogy oldjak meg....
-
#10902
tusi_
addikt
Hedgehanter
#10901
tusi_
addikt
válasz
Hedgehanter
#10901
üzenetére
Köszi, holnap kiprobalom.
-
#10726
crok
Topikgazda
Hedgehanter
#10725
crok
Topikgazda
válasz
Hedgehanter
#10725
üzenetére
..hátttakkor a route distinguisher segíthet..
-
#10724
crok
Topikgazda
Hedgehanter
#10723
crok
Topikgazda
válasz
Hedgehanter
#10723
üzenetére
Ha következetes voltál akkor a VRF neve segít (:
Ha nem akkor szívtál..
..mert ha csak lokálisan (és nem MPLS-hez) használtok helyileg VRF-et akkor meg leszel lőve, ugyanis nem kell RD-t konfigolni a VRF-hez hogy működjön és szembe tudsz állítani 2 interface-t két eszközön különböző nevű VRF-ben. Még olyat is lehet, hogy egy router két interface-ét összekötöd egy darab kábellel, beteszed kölünböző nevű VRF-ekbe és kiosztasz nekik egy alhálóba eső IP-ket akkor nemhogy csak pingelni tudod a két interface-t hanem még BGP-t is összelőhetsz ha akarsz.. (:
-
#10531
FecoGee
Topikgazda
Hedgehanter
#10530
FecoGee
Topikgazda
válasz
Hedgehanter
#10530
üzenetére
Ennek utana kene neznem mert a Wireless-hez nem ertek. Szoktak itt lenni wifis emberkek is lehet ok csipobol megmondjak.
-
#10524
FecoGee
Topikgazda
Hedgehanter
#10520
FecoGee
Topikgazda
válasz
Hedgehanter
#10520
üzenetére
Ahogy tusi mondja. De en azt nem ertem hogy miert ragaszkodunk ezekhez a native vlan-okhoz? Vagy az AP keruljon switchport mode access-be, vagy a trunk native vlan 20 az AP fele, ne adj isten native vlan 10 a switchek kozotti interlinken?
-
#10522
tusi_
addikt
Hedgehanter
#10520
tusi_
addikt
válasz
Hedgehanter
#10520
üzenetére
csinalj egy nativ vlan 20. enq dot1q 20 nativ.
A Te kontodra szivesen kiserletezgetek
-
#10519
FecoGee
Topikgazda
Hedgehanter
#10518
FecoGee
Topikgazda
válasz
Hedgehanter
#10518
üzenetére
Ez egy interface-n? Itt ahogy nezem mode trunk van ezert az access konfig ignoralva van. A routeren akkor megvannak a subinterface-k az allowed vlan-okra?
-
#10517
FecoGee
Topikgazda
Hedgehanter
#10516
FecoGee
Topikgazda
válasz
Hedgehanter
#10516
üzenetére
Hajja. Akkor vagy router on a stick es dot1q vlan 20 plusz IP vagy access vlan 20 es IP cim a routeren. Aztan gondolom DHCP option megy le az AP-nak amibol tudja majd a wlc cimet.
-
#10515
FecoGee
Topikgazda
Hedgehanter
#10514
FecoGee
Topikgazda
válasz
Hedgehanter
#10514
üzenetére
Szerintem ez igy jo lesz. A trunk native vlan parameter portonkenti beallitas. Az AP felol 10-es VLAN-ban erkezo frame nem kap .1q headert, es a VLAN20-ban sem fog kapni. Az mas kerdes hogy ha mas VLAN azon a trunkon nem megy mint a native (az AP fele meno porton) az gyakorlatilag access port. En meg nem is lattam LWAP fele trunkot csak access-t.
-
#10513
FecoGee
Topikgazda
Hedgehanter
#10510
FecoGee
Topikgazda
válasz
Hedgehanter
#10510
üzenetére
Tehat igy kepzeljuk el?
AP---TrunkVLAN10Native SWITCH1 TrunkVLAN20Native --- TrunkVLAN20Native SWITCH2 --- cloud?
-
#10511
tusi_
addikt
Hedgehanter
#10510
tusi_
addikt
válasz
Hedgehanter
#10510
üzenetére
Hu most megfogtal. Emlekeim szerint az AP fele meno protok access portok. Aztan a CAPWAPON/LWAPON kersztul dumal a wlc meg az AP.
Autonomus vagy lwap? Ha trunk, akkor gondolom autonomus....Szerk: flexconnect, tehat wlc es trunk portos.
Minta konfig:interface GigabitEthernet3/18
switchport access vlan 310
switchport trunk encapsulation dot1q
switchport trunk native vlan 310
switchport trunk allowed vlan 310,331,2335
switchport mode trunk
switchport port-security
switchport port-security violation restrict
no snmp trap link-status
spanning-tree portfast trunk
panning-tree bpduguard enablehttps://supportforums.cisco.com/document/98646/wireless-lan-flexconnect-configuration-example
-
#10507
FecoGee
Topikgazda
Hedgehanter
#10501
FecoGee
Topikgazda
válasz
Hedgehanter
#10501
üzenetére
Ha native vlan mismatch van a trunkok kozott, akkor HA az STP ki van kapcsolva akkor VLAN leaking lesz. Ha az STP fut akkor le fog tiltani mert a native vlan-ban is megy a BPDU es latni fogja hogy gaz van mert ami neki native vlan az a masik oldalrol taggelve jon ami nem lehet ugyebar.
-
#10506
FecoGee
Topikgazda
Hedgehanter
#10503
FecoGee
Topikgazda
válasz
Hedgehanter
#10503
üzenetére
Az eszkoz mar eleve taggeli a frame-t? IP telefonrol van szo?
-
#10505
zsolti.22
senior tag
Hedgehanter
#10503
zsolti.22
senior tag
válasz
Hedgehanter
#10503
üzenetére
CDP-t tiltjátok?
Mert az sípol ilyenkor.Ha VLAN10 a tag, akkor le kell szednie a switchnek és szerintem át kell raknia 20as tag-re. Pont így lehet megkerülni egy routert.
-
#10502
tusi_
addikt
Hedgehanter
#10501
tusi_
addikt
válasz
Hedgehanter
#10501
üzenetére
Ha taggelt, akkor a megfelel vlanon megy. Ha taggeleltlen akkor a nativon. Double tagginggal lehet csitelni ha ismerik a nativ vlant. Direkt ilyen?
-
#10489
FecoGee
Topikgazda
Hedgehanter
#10487
FecoGee
Topikgazda
válasz
Hedgehanter
#10487
üzenetére
Igen, ez (is) volt vele a cél. Már látom a lelki szemem előtt ahogy bértárgyalásnál viszi magával minden jelölt, hogy "de Uram, nézze meg, ennyit lehet keresni, ne szúrja már ki a szemem fele annyival".
Meg lehet, hogy páran holnap mennek reggel fizetésemelést kérni rám hivatkozva
-
#10465
FecoGee
Topikgazda
Hedgehanter
#10462
FecoGee
Topikgazda
válasz
Hedgehanter
#10462
üzenetére
Uraim, olyan leszek, mint Stohl Buci a Való Világban
. "Megvannak az eredmények".
Ma 16.20-kor közzéteszem őket a blogon. Aztán mindenki átértékelheti, mennyire keres jól -
#10460
FecoGee
Topikgazda
Hedgehanter
#10418
FecoGee
Topikgazda
válasz
Hedgehanter
#10418
üzenetére
Lassan tenyleg jonnek az eredmenyek, a szavazast ma lezartam.
Csak kozben koltoztetem a blogot es ez a cikk oda lesz majd publikalva.
-
#10419
FecoGee
Topikgazda
Hedgehanter
#10418
FecoGee
Topikgazda
válasz
Hedgehanter
#10418
üzenetére
Jon jon. Meg picit varok
-
#10204
zsolti.22
senior tag
Hedgehanter
#10203
zsolti.22
senior tag
válasz
Hedgehanter
#10203
üzenetére
Pont olyan kell nekem
Az elméletére volna szükségem. CLI-ben szeretném csinálni, de eddig 3 oldal háromfajta parancssorozatot dobott. A firewall.cx-en pl. semmilyen interfész-konfig nincs, már ott bukó. A CCP túl egyszerű, hogy csak úgy kattintgatok, aztán megy...
Szóval ha van egy melyik parancs miért kell és mi micsoda leírásod, vagy el tudod magyarázni, akkor annak nagyon örülnék. -
#10194
FeRkE
őstag
Hedgehanter
#10193
FeRkE
őstag
válasz
Hedgehanter
#10193
üzenetére
Kollegam azt mondta, ez az USA government altal kert backdoor, amit Snowden szivarogtatott ki.
-
#10192
crok
Topikgazda
Hedgehanter
#10188
crok
Topikgazda
válasz
Hedgehanter
#10188
üzenetére
Jaja, pörögnek nálunk is a tűzfalasok : D
-
#10190
Cyber_Bird
senior tag
Hedgehanter
#10188
Cyber_Bird
senior tag
válasz
Hedgehanter
#10188
üzenetére
Fincsi.
-
#10171
zsolti.22
senior tag
Hedgehanter
#10125
zsolti.22
senior tag
válasz
Hedgehanter
#10125
üzenetére
Eddig jónak tűnik (match interface helyett set interface van a route-mapemben és egyelőre még csak távolról piszkálom):
router#sh ip nat tra | i 192.168.20.2
udp 79.121.X.Y:3478 192.168.20.2:3478 77.72.X.X:3478 77.72.X.X:3478
udp 79.121.X.Y:4XXXX 192.168.20.2:4XXXX 77.72.X.X:50XX 77.72.X.X:50XX
udp 79.121.X.Y:4XXXX 192.168.20.2:4XXXX 77.72.X.X:50XX 77.72.X.X:50XX
udp 79.121.X.Y:4XXXX 192.168.20.2:4XXXX 82.150.X.X:50XX 82.150.X.X:50XX
udp 193.Z.Z.Z:4XXXX 192.168.20.2:4XXXX 195.X.X.Y:50XX 195.W.W.W:50XX
router# -
#10126
zsolti.22
senior tag
Hedgehanter
#10125
zsolti.22
senior tag
válasz
Hedgehanter
#10125
üzenetére
Én úgy gondoltam, hogy az L2TP-t termináló szerver IP-je lesz az egyik route:
ip route L2TP_TERMINATOR 255.255.255.255 Virtual-ppp1_IP
Emiatt tudja a router, hogy ha arra akar menni, akkor nem a Fa4-felé küldi a csomagokat és ezen felül ha még az ip route SIP_SZERVER_IP 255.255.255.255 Virtual-ppp1 is be van állítva, akkor szerintem nincs szükség semmilyen match interface vagy set ip next-hop parancsokra, bár IOS-nél nem tudni
A többi forgalom majd a default útvonalra matchel, utána jöhet az egyik nat route-map, abban a nem-voip forgalom miatt nem lesz találat (voip-os route-map), jön a következő nat és route-map, az matchel, natolódik és ennyi szerintem. -
#10124
zsolti.22
senior tag
Hedgehanter
#10123
zsolti.22
senior tag
válasz
Hedgehanter
#10123
üzenetére
Igen, de csak ha a bizonyos SIP szerver felé akar menni, akkor megy arra, amúgy megy szépen a default routeon.
Az fix IP-t majd radiuson kapom ip address negotiateddel, így a túloldalon lesz felém egy per user route, én meg kirouteolom a megfelelő paranccsal a Vi1 felé. -
#10121
zsolti.22
senior tag
Hedgehanter
#10120
zsolti.22
senior tag
válasz
Hedgehanter
#10120
üzenetére
4G ramjával szerintem is
-
#9992
FecoGee
Topikgazda
Hedgehanter
#9990
FecoGee
Topikgazda
válasz
Hedgehanter
#9990
üzenetére
Gondolom kis- es kozepvallalat. Amugy vannak azok kozott is jok, szerintem sok mulik a vezetesen.
-
#9991
Cyber_Bird
senior tag
Hedgehanter
#9990
Cyber_Bird
senior tag
válasz
Hedgehanter
#9990
üzenetére
kis es kozepvallalkozasok englishul smb,
Ami nekem nem tetszik itthoni kkv-knel:
-Sokszor zsebbe szeretnenek fizetni
-Nincs nagyon elorelepesi lehetoseg
-Sok esetben felvesznek egy feladatkorre, de csinalj meg mas nem kapcsolodo feladatokat is
-Sokszor nem becsulnek meg anyagialag/ tudas/munka ugyileg (aztan mikor elmennel mashova akkor hirtelen eszbekapnak, es jajjdemegismaradjmar)Nyilvan vannak kivetelek, es remek helyek is, de minek kockaztatni
-
#9974
zsolti.22
senior tag
Hedgehanter
#9973
zsolti.22
senior tag
válasz
Hedgehanter
#9973
üzenetére
j
-
#9722
tusi_
addikt
Hedgehanter
#9721
tusi_
addikt
válasz
Hedgehanter
#9721
üzenetére
Azt nem tudom, o azt mondta, minden rendben van a gepekkel. Mostantol nem is erdekel.
Tegnap kiprobaltam a labban, de nem jott ossze. Tok mindegy mit allitok be, a mashine certet küldi, ami nem az a cert, amit en allitattam ki a virtual serverrel.(user certet csinaltam, mert az nem volt a gepemen igy nincs utkozes)
Nyitok egy tac-ot, bosszantsa a ciscosokat. -
#9718
tusi_
addikt
Hedgehanter
#9717
tusi_
addikt
válasz
Hedgehanter
#9717
üzenetére
Persze, hogy van, de a csoka nem engedett semmit atvizsgalni. Meg akartam nezni a certeket, hogy a rendes van e ballitva az ssl-hez es a kiallito szerver azonos -e a Pc cert kaillitojaval. Tehat hogy mind2en ugyanabban a root CA ban biznak. De nem lehett, mert a faszi osszevissza kalandozott a menukben, elvette tolem az iranyitast....
Egy f..z
Kiemelt ugyfel, nem lehet vele vitatkozni -
#9702
tusi_
addikt
Hedgehanter
#9692
tusi_
addikt
válasz
Hedgehanter
#9692
üzenetére
Sajnos nem megy tovabbra sem. Nem valid a cert, erre panaszkodik az anyconnect client.
Kell valami extra certet az asa-ra forgatni? -
#9693
tusi_
addikt
Hedgehanter
#9692
tusi_
addikt
válasz
Hedgehanter
#9692
üzenetére
Nagyon köszönöm
-
#9691
tusi_
addikt
Hedgehanter
#9690
tusi_
addikt
válasz
Hedgehanter
#9690
üzenetére
Az a baj, hogy nem lehet tesztelni, mert produktiv, aki engedelyezne nekem, hogy a sajat asankon csinaljam a tesztet, az mittomen hol van mar megint.
Ugyfail asajan meg csak holnap tudom tesztelni, addig szeretnek viszont tisztaban lenni vele, hogy hogyan is kell csinalniOk, akkor hogy tudom megandi neki, hogy a PC Certet vegye figyelembe? Siman csak a Pref 1 ben a Mashine azt joccakat.
Koszi a segitseged
-
#9688
tusi_
addikt
Hedgehanter
#9671
tusi_
addikt
válasz
Hedgehanter
#9671
üzenetére
Hogy valasztom ki, hogy melyik cert legyen vizsgalva? A Client profileban?
-
#9673
tusi_
addikt
Hedgehanter
#9671
tusi_
addikt
válasz
Hedgehanter
#9671
üzenetére
Koszi. Viszont ha minden igaz, a 2.hoz kell a dap, meg a csd, ami viszont nem megy az anyconnect essential licenszel. Nekik meg az van.
-
#9456
tusi_
addikt
Hedgehanter
#9455
tusi_
addikt
válasz
Hedgehanter
#9455
üzenetére
Kiba...tt munkaigenyes. Minden egyes tunnel interfacehez kell egy uj crypto map is. Ha nagyon trehany az ember, akkor vegul is felhasznalhatna ugyanazt az ipsec profilet minden egyes tunnel interfeszhez. Vagy lehet dinamikus Tunnelt is csinalni...
Mind1, kollegak nem akarjak, hogy valtoztassak rajta, "never touch a working system". En meg nem fogok erolkodni, igy hagyom...
-
#9454
tusi_
addikt
Hedgehanter
#9453
tusi_
addikt
válasz
Hedgehanter
#9453
üzenetére
Ugyfelelt sajnos nem, de IP-ktol eltekintve ugyanaz, mint ez. (kiveve hogy loopback a source es destination)
https://supportforums.cisco.com/discussion/11562771/ipsec-tunnel-and-gre-over-ipsec-tunnel
Gre Tunnel Crypto Map
vs.
VTI Tunnel Profillal.
PS: az elso konfigban nem latszik, de a crypto mappos address "match address INT_TRAFFIC" ott az acl
ip access-list ext INT_TRAFFIC
permit gre any any
vagy
permit gre host blabla host blabla -
#9370
tusi_
addikt
Hedgehanter
#9368
tusi_
addikt
válasz
Hedgehanter
#9368
üzenetére
A stacket accesba rakjak altalaban. Ha van egy szervered, ami portchanellen csatlakozik, akkor ra tudod kotni redundansan egy stackelt switchre. Pl 2 Switches stack, egyik kabel megy a Stack1 re, a masik a Stack 2 re tukorben.
(g1/1/1-g1/2/1)
Mivel a stack master a guru, az o procija vezerel, a masik meg atveszi a helyet, ha a stack master leterdel. De mivel ok is egy switchnek latszodnak, lehet portchannelezni ra. (LAG szerver oldalrol, LACP Switch oldalrol)Lehet Coreba is rakni, de szvsz oda inkabb VSS. Ami volt switchem es most CyberBird nyuzza, azok Coreban voltak. Az okos rendszergazda, aki eladta, nem is torolte a konfigot. more flash:xxxxx es mar van is par jelszavad
-
#9138
zsolti.22
senior tag
Hedgehanter
#9137
zsolti.22
senior tag
válasz
Hedgehanter
#9137
üzenetére
Hát erre rá nem jönni
-
#9112
tusi_
addikt
Hedgehanter
#9108
tusi_
addikt
válasz
Hedgehanter
#9108
üzenetére
"A jobb oldal titkosít, de nem decryptel, a bal decryptel, de nem titkosít..."
Job oldal kuldi a csomagot, bal megkapja kicsomi. De nem tud kuldeni, mert ASA nem tudja hova kell kuldeni, jobb oldal nem kap semmit...
-
#9109
zsolti.22
senior tag
Hedgehanter
#9108
zsolti.22
senior tag
válasz
Hedgehanter
#9108
üzenetére
A bal subnet nem tudja pingelni az 50.0.0.2-t, a jobb viszont tudja az 50.0.0.1-et.
A jobb oldal titkosít, de nem decryptel, a bal decryptel, de nem titkosít...ASA:
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 5392, #pkts decrypt: 5392, #pkts verify: 5392R1:
#pkts encaps: 5478, #pkts encrypt: 5478, #pkts digest: 5478
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0Na majd holnap...most nincs agyam gondolkodni rajta
-
#9013
crok
Topikgazda
Hedgehanter
#9012
crok
Topikgazda
válasz
Hedgehanter
#9012
üzenetére
Ja, hát akkor még most jön az örömboldogságmámor',
10x sávszél - nincs itt még szükség QoS-re : D -
#9011
crok
Topikgazda
Hedgehanter
#9010
crok
Topikgazda
válasz
Hedgehanter
#9010
üzenetére
Ha nincs tumultus nem kell - de ha van filetransfer néha-néha (ami mondjuk nem SMB mert az még jó hálózaton is ritka szarul tud működni..) akkor a közben az uplinken telefonálókat az csúnyán érintheti. De ez mind-mind hálózat- és forgalomfüggő (valamint user- és appfüggő is). De amíg nem fogsz jelölni addig nincs értelme úgyse. Egyébként ha már legalább a voice jelölve van és mellette tumultus van akkor az legalább nem fog sérülni a MOS (de a buffer-ekre és queue-kra nagyon oda kell figyelni és átgondolni mi miben menjen és mennyi). Csak át kell gondolni mit tudnak (hardware-esen és software-esen) az access switchek, mit tudnak distr-ok és a core-ok valamint a routerek ha a "tumultusforgalom" kintről jön vagy kifelé megy.. (mert ha már QoS akkor ugye a forgalomnak két iránya van..)
Egy gyors ötlet hogy van-e tumultus: uplinket valami linuxról vagy Winről snmp-vel kérdezd le félpercenként hogy mekkora a tx-rx byte, mehet Excelbe a byte érték és a a deltából csinálsz egy-egy diagramot TX-RX-re oszt' mehet a manager-eknek a színes-szagos "kell a pénz QoS projektre" email : D -
#9008
crok
Topikgazda
Hedgehanter
#9007
crok
Topikgazda
válasz
Hedgehanter
#9007
üzenetére
Ha nem jelölsz semmit mert úgyis csak "lapos a hálózat" akkor még access szinten is (előre elnézést a kifejezésért meg +18, de) takkkknyosra szopatod magadat vele mert átállítja a buffereket minden queue-hoz de mivel te csak egyet fogsz használni (a CoS 0 / DSCP 0-hoz tartozót) így akár tengig interface-t se tudsz majd kihajtani, gig interface-t se, fa interface-t se.. csak addig ameddig a jelöletlen csomagok queue-ja engedi.. namost ha ezt elképzeled mondjuk 40 ember forgalmán, egy gig uplinkre amin eddig ment a z'internet meg minden 300Mbps-en.. az most úgy fog dobálni hogy az esze elmegy a usereknek ( : NE.. gondold át hogy mit akarsz és akkor majd lesz értelme bekapcsolni.. de csak így, hogy mls qos.. NE ( : Az QoS két élű fegyver.. jó, mert meg tudod mondani hogy mi legyen előrébb, mi kapjon mindenféleképp sávszélt.. de ha nem jelölsz semmit csak mls qos.. beláthatatlan következményi lehetnek, nem ismerem a hálót/traffic profile-t/spec alkalmazásokat/igényeket/telefóniát, de.. NE ( :
-
#9007
Hedgehanter
őstag
Hedgehanter
#9006
Hedgehanter
őstag
válasz
Hedgehanter
#9006
üzenetére
Nyilvan ez kicsit keves info ahhoz hogy valaszolni lehessen..
Szoval egy normalis ceg semmi extra forgalom csak excel, world meg IP telo halozat.. -
#8996
crok
Topikgazda
Hedgehanter
#8995
crok
Topikgazda
válasz
Hedgehanter
#8995
üzenetére
Rule #1: plan and create architecture that is easily maintainable and operable. That will save you money and time when expanding and/or troubleshooting.
Rule #2: The "2am test": if you cannot explain your design at 2am at a Friday night it's considered too complex.
Rule #3: plan and create architecture that can be expanded easily up to 3..4 times bigger (network, throughput.. et cetera).
Rule #4: plan and create architecture with clear demarcation points.
Rule #5: Documentation is everything - do it properly: should be easily accessable, readable and self-explanatory, should contain all contacts and should be updated when changes happen.
Na, én ezek szerint csinálom amit csinálok, ezek a saját szabályaim (az ötöst nagyon utálom..) magammal szemben (bár elvárom másoktól is : D ). Ha meg kell szegnem bármelyiket akkor arról az ügyfail tehet és elfogadja. : ) Na oszt' ilyenkor jön a "jóvanazúgy, faszanagyon, halaggyunkmá' " : D
-
#8994
crok
Topikgazda
Hedgehanter
#8993
crok
Topikgazda
válasz
Hedgehanter
#8993
üzenetére
Persze, plusz demarkáció megoldása, hogy lesz megcsinálva hogy eddig az enyém, innen a másé.. aztán ott van még egy esetleges architectural security restriction (pl. az egyik ügyfélnél kifejezetten tiltott, hogy tűzfalon dinamikus routing legyen, ezt mondjuk megértem.. meg BGP-t ASA nem tud valami stabilan, mondjuk a Juniper tudja, de ott is van pár érdekes bug ( : ). De érdekes ASA patkolásokat is láttam már.. hát, sok mindenen múlik ez.
-
#8992
crok
Topikgazda
Hedgehanter
#8988
crok
Topikgazda
válasz
Hedgehanter
#8988
üzenetére
Hacsak nem valamilyen nem-ethernet a link a net vagy bérelt vonal vége akkor simán mehet az ASA.. ha mégis valami nem-ethernet a végződtetés akkor ezt egy 1841 is megoldja neked (bár akkor nem nagyon valószínű hogy tud a technológia 100..200Mbps-t) - már úgy értem végződteti a linkedet és egy pár jól átgondolt ACL-el megoldható hogy a router összekösse a linkedet az ASA-val ekkora sávszélre is. Sok helyen (nem röhög, sokszor látom) switch-en végződtetik a netet/vonalat, pattintanak rá egy-két átgondolt ACL-t, utána meg Juniper tűzval.. Nokia esetleg.. De a C1941 se tud 150Mbps-t ZBFW és/vagy QoS pol-map mellett.. az csak a Fast Switching CEF-ből, de az csak annyi, hogy ennyit tud magán átforgatni ha *semmit* se kell a csomagokkal csinálni routing/switchingen kívül (és a csomagok mindegyike 1500byteos). Ha ISR G1 elég (bár újonnan úgyse igen tudod megvenni) akkor esetleg 7200-as, NPE-G1-el vagy G2-vel (de ugye moduláris, drágaság lesz alapból). Esetleg 4331/4351? De minden attól függ hogy a csomagokat akarod-e szűrni/ellenőrizni, kell-e IPSec, kell-e QoS, max. session szám egy időben.. írtam már itt erről. Itt egy példa white paper amit érdemes elolvasni. [Ja, jótanács: ha NAT-olsz is meg ZBFW is van esetleg akkor ASR felejtő, olyan bugos hogy szavak nincsenek..]
-
#8990
Cyber_Bird
senior tag
Hedgehanter
#8988
Cyber_Bird
senior tag
válasz
Hedgehanter
#8988
üzenetére
Nem te lennel az elso aki ilyet csinal
De egyebkent igen, eleg elborult az arazasa a szegmensnek.
-
#8989
quby
őstag
Hedgehanter
#8988
quby
őstag
válasz
Hedgehanter
#8988
üzenetére
Tudom hogy eretnekség ide ezt irni, de mikrotik vonalon 30-40 ezres kategóriában ez bőven megoldható.
-
#8906
tusi_
addikt
Hedgehanter
#8905
tusi_
addikt
válasz
Hedgehanter
#8905
üzenetére
Ez 2 eve volt es nem bantam meg, hogy nem vettek fel, az istenert nem dolgoznek sem Frankfurtban, sem Budapesten.
-
#8778
laszak
tag
Hedgehanter
#8750
laszak
tag
válasz
Hedgehanter
#8750
üzenetére
Még egy kis segítséget szeretnék kérni, természetesen nem működik.
Teszt jelleggel egy notebookot kötöttem a leválasztott (6-os) interface-re, kapott egy static IP-t a 192.168.5.0/24 subnetből, de nem tudtam elérni, az "inside" networkből.
DHCP nem kell.
access rule-okon nem változtattam.Inside-ból szeretnék oda-vissza átjárást ebbe a subnetbe (nevet már nem engedett adni lic. okokból).
A 192.168.5.2-es cím pingik egyedül (ez kimérve, az ASA válaszol a MAC alapján)
Mi lehet a hiba?
-
#8741
laszak
tag
Hedgehanter
#8739
laszak
tag
válasz
Hedgehanter
#8739
üzenetére
Köszönom a válaszokat.
Ha viszont azonos sec. Levelem vannak, van egy opció, amivel engedélyezhetem, hogy menjen köztük forgalom, igy nem kell acl, ha jol ertem.
Tehát eleg egy interfacet bekonfigolni es kész. -
#8736
laszak
tag
Hedgehanter
#8735
laszak
tag
válasz
Hedgehanter
#8735
üzenetére
Szia!
Köszönöm, az 1. lépés OK.
Egy guest (192.168.3.0-as háló) network van a példában, cél, hogy ide be lehessen látni (192.168.2.0-ból), de onnan ki nem.Access rule, alábbi példa jó ezek szerint?
(még élesben nem kattinthatom le)
Security level különbözni fog.Mit értettél 8.3 alatt?
Az ASDM verziója 6.4, az ASA 8.4.Köszönöm.
-
#8717
zsolti.22
senior tag
Hedgehanter
#8693
zsolti.22
senior tag
válasz
Hedgehanter
#8693
üzenetére
Tudod milyen parancs kellett?
Ez: same-security-traffic permit inter-interface
Aztán utána már lehet ACL-el szabályozgatni...Szóval most már megy a ping oda-vissza minden egyéb nélkül.
-
#8694
zsolti.22
senior tag
Hedgehanter
#8693
zsolti.22
senior tag
válasz
Hedgehanter
#8693
üzenetére
Áh, tényleg, any any-t...hirtelen beütött, hogy az ASA nem fordított maszkot használ. Na majd délután szórakozok vele kicsit jobban...
@Quby: ha így ki lesz csak homályosítva a CCP felülete és kérdezik, hogy ezt meg azt hol találod benne, akkor nem lesz gond
-
#8690
zsolti.22
senior tag
Hedgehanter
#8666
zsolti.22
senior tag
válasz
Hedgehanter
#8666
üzenetére
ÁÁÁ, tudod mit csesztem el? Hát ezt:
The ASA uses standard masks in ACL entries.
-
#8659
zsolti.22
senior tag
Hedgehanter
#8649
zsolti.22
senior tag
válasz
Hedgehanter
#8649
üzenetére
Kezdek mérgesedni:
interface GigabitEthernet0
nameif egyik
security-level 0
ip address 10.0.0.1 255.255.255.252
!
interface GigabitEthernet1
nameif masik
security-level 0
ip address 10.1.0.1 255.255.255.252
!
access-list egyik extended permit ip any any
access-list masik extended permit ip any any
!
access-group egyik in interface egyik
access-group masik in interface masik
!
class-map CM
match default-inspection-traffic
!
!
policy-map PM
class CM
inspect icmp
!
service-policy PM global
!
ciscoasa(config)# sh int ip br
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0 10.0.0.1 YES CONFIG up up
GigabitEthernet1 10.1.0.1 YES CONFIG up up
GigabitEthernet2 unassigned YES unset administratively down up
GigabitEthernet3 unassigned YES unset administratively down up
!
R1#sh ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.0.0.2 YES manual up up
FastEthernet0/1 unassigned YES unset administratively down down
FastEthernet1/0 unassigned YES unset administratively down down
!
R1#p 10.1.0.2Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.0.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
!
R2(config)#do sh ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.1.0.2 YES manual up up
FastEthernet0/1 unassigned YES unset administratively down down
FastEthernet1/0 unassigned YES unset administratively down down
R2(config)#do p 10.0.0.1Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
R2# -
#8647
zsolti.22
senior tag
Hedgehanter
#8645
zsolti.22
senior tag
válasz
Hedgehanter
#8645
üzenetére
Na, de egy permit ip any any-vel mennie kellene akkor, ugye?
-
#8644
zsolti.22
senior tag
Hedgehanter
#8642
zsolti.22
senior tag
válasz
Hedgehanter
#8642
üzenetére
Service-policyban már engedélyeztem egy deny ip any any-t, de annak ellenére....
Szerk: Jóóó....egy permit ip any any-t.
-
#8643
Hedgehanter
őstag
Hedgehanter
#8642
Hedgehanter
őstag
válasz
Hedgehanter
#8642
üzenetére
NAT controll nem akadalyoz azonos interface-k kozott bocs...
-
#8641
FeRkE
őstag
Hedgehanter
#8640
FeRkE
őstag
válasz
Hedgehanter
#8640
üzenetére
ahm
![;]](http://cdn.rios.hu/dl/s/v1.gif)
. "Megvannak az eredmények".
Kiemelt ugyfel, nem lehet vele vitatkozni 
Új hozzászólás Aktív témák
Hirdetés
FecoGee
crok- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- AKCIÓ! ASUS B650M R5 7600X 64GB DDR5 1TB SSD RTX 3080Ti 12GB Be Quiet! Pure Base 500FX ASUS 1000W
- Csere-Beszámítás! RTX Számítógép PC Játékra! R5 8400F / RTX 3070Ti / 32GB DDR5 / 1TB SSD
- Telefon felvásárlás!! iPhone 11/iPhone 11 Pro/iPhone 11 Pro Max
- Xiaomi Redmi 10 128GB, Kártyafüggetlen, 1 Év Garanciával
- Kaspersky, McAfee, Norton, Avast és egyéb vírusírtó licencek a legolcsóbban, egyenesen a gyártóktól!
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest