- Google Pixel topik
- CMF Phone 2 Pro - a százezer forintos kérdés
- Okosóra és okoskiegészítő topik
- HMD Fusion - öltöztetnéd megint
- Honor 200 Pro - mobilportré
- Tokba kerülnek a Pixel 10 mágnesei
- Ford SYNC 3 infotainment rendszer teszt
- Samsung Galaxy A53 5G - kevesebbet többért
- Második bétánál jár a One UI 8
- Samsung Galaxy Watch5 Pro - kerek, de nem tekerek
-
Mobilarena
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
Gyurike
tag
válasz
Hedgehanter #16497 üzenetére
Lehet rosszul tudom, de nem úgy van, hogy a megújításhoz két Concentration exam VAGY egy Core exam kell? (Vagy alternatíva az egy Concentration + 40CE kredit)
Tehát egy CCNP megújításhoz önmagában egy ENARSI nem elég.
Így én a munkádhoz kapcsolódó irány Core irányt tudnám javasolni (ha CCSP adott, akkor egy Security Core lehet szimpatikus számodra (350-701 SCOR)). -
kenwood
veterán
válasz
Hedgehanter #16497 üzenetére
Te vagy az elso,aki szerint nem sokkal nehezebb az ENARSI az ENCOR-nal
-
jerry311
nagyúr
válasz
Hedgehanter #16497 üzenetére
Thx!
Akkor az lesz, júliusig nem jön össze csilliárd kredit. -
FecoGee
Topikgazda
válasz
Hedgehanter #16432 üzenetére
Ha megvan a 80 pont automatikusan megújul. Ahogy feltöltöd a kredit igénylő oldaon az utolsó igényedet és elfogadják percek múlva jön a mail hogy sikeresen újítottál.
Ha már lejárt akkor vizsgáznod kell (core + valami concentration), kreditekkel csak újítani lehet.
-
FecoGee
Topikgazda
válasz
Hedgehanter #16430 üzenetére
Hali,
szerintem ami abba belefér az meg lesz újítva.
CCNA - 30 kredit
Specialist - 40 kreditA CCNP-t bukod de a fentiek megmaradnak.
Nekem most van 40 kreditem és a CCNA-m megújult vele.
-
Gyurike
tag
válasz
Hedgehanter #16428 üzenetére
CCNP újításhoz tudtommal 80 CE credit kell.
Egy Concentration exam 40 pontot "ér", és vagy külön összeszed az ember még 40 pontot, vagy egy második Concentration exam is kell, hogy meglegyen.További opció a két concentration helyett egy Core vizsga letétele.
Nem vagyok túl járatos benne, de a Learning network-ön szoktak posztolni lehetőségeket ingyen CE-kredit gyűjtésre, azt is érdemes lehet átnyálazni.
(Én még próbálok a CORE mellé egy ENAUTO-t megcsinálni, de még tanulási fázisban vagyok.)
-
SOAD19
addikt
válasz
Hedgehanter #16270 üzenetére
Köszi! Igen, ahogy nézem az első 15-16 fejezet ameddig eljutottam gyakorlatilag copy/paste.
-
FecoGee
Topikgazda
válasz
Hedgehanter #16119 üzenetére
-
FecoGee
Topikgazda
válasz
Hedgehanter #16109 üzenetére
Mennyire szívatós? A CiscoPress könyvből és Cisco e-learnimgből készülök, remélem elég lesz.
-
válasz
Hedgehanter #16028 üzenetére
nincs lab, csak a szokásos.
-
Cyber_Bird
senior tag
válasz
Hedgehanter #15819 üzenetére
Az a baj az ilyen melokkal, hogy nem fejlodsz, plusz teljesen kiegsz a monoton, unalmas munkatol.
nyugdijas allasnak mondjuk joA BTben, egyebkent —tapasztalatom szerint— nagyon fugg a melo milyensege attol, hogy melyik csapatba es melyik manager ala kerulsz.
-
Hedgehanter
őstag
válasz
Hedgehanter #15819 üzenetére
Ez igazabol (15805 zsolti.22) nak ment..
-
SnoopDoggOG
csendes tag
válasz
Hedgehanter #15819 üzenetére
Hat ja, bar ez a Tibi eleg undorito
-
ÁrPi2
senior tag
válasz
Hedgehanter #15423 üzenetére
Ezt a klassz fórumot!
Na az alkalmat itt szeretném megragadni ha te sokat interjúztató vagy, hogy ilyen megközelítésből kérdezzek tőled egy névleg offtopik Certről: "Juniper Jncia-Devops".Azért, mert valahogyan kisebb a Juniper hírneve/renoméja is ,de az "átlagos" ismertsége mindenképpen.
(Meg jó lenne tudni hogy mennyire vagy a jó szokásoddal egy átlagos IT-interjuztató )Kisebb hálózatos feladatkörrel dolgozom általános it rendszer- üzemeltetőként egy kis cégnél 9+ éve ,
és munkahely váltáson is gondolkodva regisztráltam Juniper Open Learning-ben:
Ez a fenti cert idén márciusban Passed és a karantén időszaki tanulás nyomán a Jncia-Junos is hamarosan meglehet ( ,azután ugyanígy a JOL keretében a Security Associate - t csinálnám) .Ezek egyik-másik talán ,vagy csak együtt kitesznek talán egy jó erős CCNA-t, a pályázó paramétereiben, jól gondolom?
Milyen "sokatkeresésre" számíthat valaki a Juniper certjével + ilyen általános IT üzemeltetés gyakorlattal?
-
vadger
tag
válasz
Hedgehanter #15423 üzenetére
Szerintem arra is érdemes gondolni, hogy ahogy idősebb lesz az ember, lehet elindulna vezető irányba, és ekkor (multinál általában) el van vágva az útja diploma nélkül.
Jelenleg én sem látom, hogy valaha vezető lennék, de nem lehet tudni 45-50 évesen az ember mit fog gondolni erről.Az én megoldásom: fiatalon, mikor még nincs család, stb, munka mellett levelezőn elvégezni egy főiskolát. Én kb. ezt tettem, nagyon nem adott sok pluszt a suli, de innentől kezdve gondolkodnom sem kell a van diplomám/nincs diplomám témán.
-
Yeffy
veterán
válasz
Hedgehanter #15423 üzenetére
pontosan ugyan igy gondolom, jo latni, h van, aki ilyen elvek szerint interjuztat. lehetne ragadosabb a peldad.
Szoval CCNA/CCNP/CCIE cert, es/vagy 5+ ev uzemeltetes halozati terulteten es kesz is vagy sokat keresni...
ugyan ez a celom, lehetoseg szerint mindketto, aztan hadd szoljon az a penzeso
mondjuk szerencsere mar most sem panaszkodhatok, sot, plane, ha azt nezzuk, h meg csak a "rangletra"/szakmai letra aljan helyezkedek el.jo kis szakma ez, na. tetszik. szeretem. es nem csak a zseton miatt. meg, ha sokszor nehez is.
bar gondolom azert erzem sokszor neheznek, mert arrol az adott dologrol meg nincs semmilyen/melyrehato tudasom/tapasztalatom.utolag is elnezest a kisse OFF ozonert a topiktol, bizom benne, h ez meg belefer a keretbe.
-
FecoGee
Topikgazda
válasz
Hedgehanter #15325 üzenetére
Szia! Elearning kurzusokat kell venni es vegignezni es azert kapsz krediteket. Vagy pl. Ciscolive!-ert is kaphatsz pontokat.
-
FecoGee
Topikgazda
válasz
Hedgehanter #15323 üzenetére
Mire gondolsz pontosan?
80 kredit kell majd a recerthez. -
Yeffy
veterán
válasz
Hedgehanter #14687 üzenetére
Koszi a valaszt.
Nem akarom szet offolni vele a topikot, szoval Admin Ur, jelezd, ha nem ide valo.
De esetleg tudsz/tudnatok par pelda ceget mondani? Hol erdemes keresgelni?
Amiket en tudok/hallottam, az kb a BT Pesten, meg a Telekom gondolom nagyobb varosokban + Pest. Esetleg a tobbi ISP, aki otthon szolgaltat, akar vezetekes, akar mobil netet.
Elobbinel konkretan talaltam olyan allast, ami erdekelne, csak meg kell a P szint, utobbiakrol csak hallottam.Mert en pl Egerbol koltoztem ki, ott nem igen tudok olyan diviziorol, amivel tudnek ilyen pozit talani, ha esetleg ugy alakulna, hogy hazakoltozom. Hat meg, ha fejlodni szeretnek, P vagy IE szintre.
Amirol eddig tudok, az Pest meg Debrecen.
-
vadger
tag
válasz
Hedgehanter #13662 üzenetére
Ez gondolom ASDM... sajnos nálunk tiltva van... csak a CLI játszik. De azért köszi
-
vadger
tag
válasz
Hedgehanter #13463 üzenetére
szerintem itt a flash méretre gondol, azok lehetnek különbözőek.
köszi a hozzászólást, valahogy összehozom ezt a rohadt upgrade-et -
Hedgehanter
őstag
válasz
Hedgehanter #13462 üzenetére
Most olvasom 8.2 felett van different memory failover config..
https://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_overview.html#wp1077536 -
vadger
tag
válasz
Hedgehanter #13460 üzenetére
Szia!
Ez így oké, de én minimális downtime-mal akartam megúszni, vagy ha lehet zero-val, de úgy látom nem fog menni... Az a baj a két ASA két külön épületben van, egymástól kb 200 méterre, szóval ez a mindkettő kikapcs majd beszerel dolog nem fog menni.
Maga a szituáció a következő: én távolról menedzselem a dolgot, a helyszínen egy helyi erő fogja a memóriát beszerelni. Mivel egy ember van, 2 helyszín, ezért valahogy okosba kellene intézni, hogy közben a minimális legyen a downtime... Console elérésem van mindkét ASA-hoz (Moxa), most éppen ez van a fejemben, hogy ezek lennének a lépések:
1. Standby kikapcs, memória beszerel. Bekapcs.
2. Boot közben valahol félúton az active-on shutdown az összes interface, ekkor ugye kezdődik a downtime, de nagyon hamar végez a standby a boot-tal és active-vá válik.
3. A lekapcsolt interface-es ASA szépen ketyeg interface-ek nélkül, közben a helyi erő átér az épületbe. Kihúz minden kábelt (kivéve a console ugye), én no shutdown az interface-eken, majd write. Utána kikapcs, memória betesz, majd power on.
4. Na és akkor itt vagyok kicsit bajban, mert nem tudom pontosan minek kellene történnie ha bebootol ez az ASA is. Mindkét ASA az fogja hinni, hogy ő az active? Hogy döntik el, ki legyen az igazi active? Közben még egy downtime lesz, mert a második ASA nem szinkronizál sessionöket?Bocsi, hogy ennyire túlbonyolítom, tudom a legegyszerűbb az lenne ha mindkettő kikapcs majd bekapcs, de ez majdhogynem kivitelezhetetlen esetemben... Plusz annyi downtime-ot sem tolerálnak...
-
Cyber_Bird
senior tag
válasz
Hedgehanter #11918 üzenetére
Jaja, ismeros, meg akar meg is ertenem, de ha ilyen az interju, akkor engem nem erdekel a munka
Customer support engineer poziciora is volt mar olyan kellemes hangulatu interjum, hogy azota az a gold standard nalam minden interjun.
-
denko
senior tag
válasz
Hedgehanter #11918 üzenetére
nem, neki esett ki a kapa a szájából
De most megyek IT SH -hoz dolgozni januárban.
Nem teljesen kapcsolodik a hálózatokhoz de érinti, megnézem mennyire lesz bejövős, meg hát ott sok "olyan" pozi van ami érdekelhet, majd meglássuk ) -
crok
Topikgazda
válasz
Hedgehanter #11114 üzenetére
Ezen agyalok még.. valami apróság lesz..
-
crok
Topikgazda
válasz
Hedgehanter #11112 üzenetére
Tudsz egy működő konfigot idetenni?
Mostmár kíváncsivá tettél : D -
crok
Topikgazda
válasz
Hedgehanter #11110 üzenetére
Az ATM firmware-t nézd már össze, hogy a többi 300-on az IOS-ben levő van-e használva de abban az egyben meg egy file a flashről (vagy fordíva?).
[Szerk:] Biztos hogy ugyanaz a konfig és nem csak nagyon-nagyon hasonló a többire (esetleg még a név is egyezik)? Úgy értem ATM subint alá akarsz class-okat létrehozni.. de azt csak úgy lehet hogy csinálsz egy parent policy-t, abban csinálsz egy shape-et/police-t és majd az *alá* tehetsz be child policy-t, user-defined class-okkal.
-
Gesztiboy
tag
válasz
Hedgehanter #11024 üzenetére
Ha ACL-t bővítesz, akkor tudomásom szerint nem szükséges a clear. Legalábbis én nem szoktam és amikor bővítek (a túloldal is), akkor a megfelelő forgalom hatására egyszer csak megjelenik az új bejegyzés a show crypto ipsec sa peer x.x.x.x kimenetben, mint új session
-
tusi_
addikt
válasz
Hedgehanter #11022 üzenetére
Ezt en sem tudtam
Köszi
-
vadger
tag
válasz
Hedgehanter #11024 üzenetére
értem, ez amúgy a másik oldalról azóta megtörtént már, annak is elégnek kell lennie gondolom.
-
vadger
tag
válasz
Hedgehanter #11022 üzenetére
nem volt... kellett volna? ezt nem tudtam.
-
FecoGee
Topikgazda
válasz
Hedgehanter #10996 üzenetére
A gyarto oldalarol leszedtem a legfrissebbet, na majd meglatjuk.
Off: szeptemberben megjelenik a Routing TCP/IP Vol 2 frissitett kiadasa! Alapmu. "CsakaCisco".
-
tusi_
addikt
válasz
Hedgehanter #10905 üzenetére
Köszi. 5let elvetve, mashogy oldjak meg....
-
tusi_
addikt
válasz
Hedgehanter #10901 üzenetére
Köszi, holnap kiprobalom.
-
crok
Topikgazda
válasz
Hedgehanter #10725 üzenetére
..hátttakkor a route distinguisher segíthet..
-
crok
Topikgazda
válasz
Hedgehanter #10723 üzenetére
Ha következetes voltál akkor a VRF neve segít (:
Ha nem akkor szívtál..
..mert ha csak lokálisan (és nem MPLS-hez) használtok helyileg VRF-et akkor meg leszel lőve, ugyanis nem kell RD-t konfigolni a VRF-hez hogy működjön és szembe tudsz állítani 2 interface-t két eszközön különböző nevű VRF-ben. Még olyat is lehet, hogy egy router két interface-ét összekötöd egy darab kábellel, beteszed kölünböző nevű VRF-ekbe és kiosztasz nekik egy alhálóba eső IP-ket akkor nemhogy csak pingelni tudod a két interface-t hanem még BGP-t is összelőhetsz ha akarsz.. (:
-
FecoGee
Topikgazda
válasz
Hedgehanter #10530 üzenetére
Ennek utana kene neznem mert a Wireless-hez nem ertek. Szoktak itt lenni wifis emberkek is lehet ok csipobol megmondjak.
-
FecoGee
Topikgazda
válasz
Hedgehanter #10520 üzenetére
Ahogy tusi mondja. De en azt nem ertem hogy miert ragaszkodunk ezekhez a native vlan-okhoz? Vagy az AP keruljon switchport mode access-be, vagy a trunk native vlan 20 az AP fele, ne adj isten native vlan 10 a switchek kozotti interlinken?
-
tusi_
addikt
válasz
Hedgehanter #10520 üzenetére
csinalj egy nativ vlan 20. enq dot1q 20 nativ.
A Te kontodra szivesen kiserletezgetek
-
FecoGee
Topikgazda
válasz
Hedgehanter #10518 üzenetére
Ez egy interface-n? Itt ahogy nezem mode trunk van ezert az access konfig ignoralva van. A routeren akkor megvannak a subinterface-k az allowed vlan-okra?
-
FecoGee
Topikgazda
válasz
Hedgehanter #10516 üzenetére
Hajja. Akkor vagy router on a stick es dot1q vlan 20 plusz IP vagy access vlan 20 es IP cim a routeren. Aztan gondolom DHCP option megy le az AP-nak amibol tudja majd a wlc cimet.
-
FecoGee
Topikgazda
válasz
Hedgehanter #10514 üzenetére
Szerintem ez igy jo lesz. A trunk native vlan parameter portonkenti beallitas. Az AP felol 10-es VLAN-ban erkezo frame nem kap .1q headert, es a VLAN20-ban sem fog kapni. Az mas kerdes hogy ha mas VLAN azon a trunkon nem megy mint a native (az AP fele meno porton) az gyakorlatilag access port. En meg nem is lattam LWAP fele trunkot csak access-t.
-
FecoGee
Topikgazda
válasz
Hedgehanter #10510 üzenetére
Tehat igy kepzeljuk el?
AP---TrunkVLAN10Native SWITCH1 TrunkVLAN20Native --- TrunkVLAN20Native SWITCH2 --- cloud?
-
tusi_
addikt
válasz
Hedgehanter #10510 üzenetére
Hu most megfogtal. Emlekeim szerint az AP fele meno protok access portok. Aztan a CAPWAPON/LWAPON kersztul dumal a wlc meg az AP.
Autonomus vagy lwap? Ha trunk, akkor gondolom autonomus....Szerk: flexconnect, tehat wlc es trunk portos.
Minta konfig:interface GigabitEthernet3/18
switchport access vlan 310
switchport trunk encapsulation dot1q
switchport trunk native vlan 310
switchport trunk allowed vlan 310,331,2335
switchport mode trunk
switchport port-security
switchport port-security violation restrict
no snmp trap link-status
spanning-tree portfast trunk
panning-tree bpduguard enablehttps://supportforums.cisco.com/document/98646/wireless-lan-flexconnect-configuration-example
-
FecoGee
Topikgazda
válasz
Hedgehanter #10501 üzenetére
Ha native vlan mismatch van a trunkok kozott, akkor HA az STP ki van kapcsolva akkor VLAN leaking lesz. Ha az STP fut akkor le fog tiltani mert a native vlan-ban is megy a BPDU es latni fogja hogy gaz van mert ami neki native vlan az a masik oldalrol taggelve jon ami nem lehet ugyebar.
-
FecoGee
Topikgazda
válasz
Hedgehanter #10503 üzenetére
Az eszkoz mar eleve taggeli a frame-t? IP telefonrol van szo?
-
zsolti.22
senior tag
válasz
Hedgehanter #10503 üzenetére
CDP-t tiltjátok?
Mert az sípol ilyenkor.
Ha VLAN10 a tag, akkor le kell szednie a switchnek és szerintem át kell raknia 20as tag-re. Pont így lehet megkerülni egy routert.
-
tusi_
addikt
válasz
Hedgehanter #10501 üzenetére
Ha taggelt, akkor a megfelel vlanon megy. Ha taggeleltlen akkor a nativon. Double tagginggal lehet csitelni ha ismerik a nativ vlant. Direkt ilyen?
-
FecoGee
Topikgazda
válasz
Hedgehanter #10487 üzenetére
Igen, ez (is) volt vele a cél. Már látom a lelki szemem előtt ahogy bértárgyalásnál viszi magával minden jelölt, hogy "de Uram, nézze meg, ennyit lehet keresni, ne szúrja már ki a szemem fele annyival".
Meg lehet, hogy páran holnap mennek reggel fizetésemelést kérni rám hivatkozva
-
FecoGee
Topikgazda
válasz
Hedgehanter #10462 üzenetére
Uraim, olyan leszek, mint Stohl Buci a Való Világban
. "Megvannak az eredmények".
Ma 16.20-kor közzéteszem őket a blogon. Aztán mindenki átértékelheti, mennyire keres jól -
FecoGee
Topikgazda
válasz
Hedgehanter #10418 üzenetére
Lassan tenyleg jonnek az eredmenyek, a szavazast ma lezartam.
Csak kozben koltoztetem a blogot es ez a cikk oda lesz majd publikalva.
-
FecoGee
Topikgazda
válasz
Hedgehanter #10418 üzenetére
Jon jon. Meg picit varok
-
zsolti.22
senior tag
válasz
Hedgehanter #10203 üzenetére
Pont olyan kell nekem
Az elméletére volna szükségem. CLI-ben szeretném csinálni, de eddig 3 oldal háromfajta parancssorozatot dobott. A firewall.cx-en pl. semmilyen interfész-konfig nincs, már ott bukó. A CCP túl egyszerű, hogy csak úgy kattintgatok, aztán megy...
Szóval ha van egy melyik parancs miért kell és mi micsoda leírásod, vagy el tudod magyarázni, akkor annak nagyon örülnék. -
FeRkE
őstag
válasz
Hedgehanter #10193 üzenetére
Kollegam azt mondta, ez az USA government altal kert backdoor, amit Snowden szivarogtatott ki.
-
crok
Topikgazda
válasz
Hedgehanter #10188 üzenetére
Jaja, pörögnek nálunk is a tűzfalasok : D
-
Cyber_Bird
senior tag
válasz
Hedgehanter #10188 üzenetére
Fincsi.
-
zsolti.22
senior tag
válasz
Hedgehanter #10125 üzenetére
Eddig jónak tűnik (match interface helyett set interface van a route-mapemben és egyelőre még csak távolról piszkálom):
router#sh ip nat tra | i 192.168.20.2
udp 79.121.X.Y:3478 192.168.20.2:3478 77.72.X.X:3478 77.72.X.X:3478
udp 79.121.X.Y:4XXXX 192.168.20.2:4XXXX 77.72.X.X:50XX 77.72.X.X:50XX
udp 79.121.X.Y:4XXXX 192.168.20.2:4XXXX 77.72.X.X:50XX 77.72.X.X:50XX
udp 79.121.X.Y:4XXXX 192.168.20.2:4XXXX 82.150.X.X:50XX 82.150.X.X:50XX
udp 193.Z.Z.Z:4XXXX 192.168.20.2:4XXXX 195.X.X.Y:50XX 195.W.W.W:50XX
router# -
zsolti.22
senior tag
válasz
Hedgehanter #10125 üzenetére
Én úgy gondoltam, hogy az L2TP-t termináló szerver IP-je lesz az egyik route:
ip route L2TP_TERMINATOR 255.255.255.255 Virtual-ppp1_IP
Emiatt tudja a router, hogy ha arra akar menni, akkor nem a Fa4-felé küldi a csomagokat és ezen felül ha még az ip route SIP_SZERVER_IP 255.255.255.255 Virtual-ppp1 is be van állítva, akkor szerintem nincs szükség semmilyen match interface vagy set ip next-hop parancsokra, bár IOS-nél nem tudni
A többi forgalom majd a default útvonalra matchel, utána jöhet az egyik nat route-map, abban a nem-voip forgalom miatt nem lesz találat (voip-os route-map), jön a következő nat és route-map, az matchel, natolódik és ennyi szerintem. -
zsolti.22
senior tag
válasz
Hedgehanter #10123 üzenetére
Igen, de csak ha a bizonyos SIP szerver felé akar menni, akkor megy arra, amúgy megy szépen a default routeon.
Az fix IP-t majd radiuson kapom ip address negotiateddel, így a túloldalon lesz felém egy per user route, én meg kirouteolom a megfelelő paranccsal a Vi1 felé. -
zsolti.22
senior tag
válasz
Hedgehanter #10120 üzenetére
4G ramjával szerintem is
-
FecoGee
Topikgazda
válasz
Hedgehanter #9990 üzenetére
Gondolom kis- es kozepvallalat. Amugy vannak azok kozott is jok, szerintem sok mulik a vezetesen.
-
Cyber_Bird
senior tag
válasz
Hedgehanter #9990 üzenetére
kis es kozepvallalkozasok englishul smb,
Ami nekem nem tetszik itthoni kkv-knel:
-Sokszor zsebbe szeretnenek fizetni
-Nincs nagyon elorelepesi lehetoseg
-Sok esetben felvesznek egy feladatkorre, de csinalj meg mas nem kapcsolodo feladatokat is
-Sokszor nem becsulnek meg anyagialag/ tudas/munka ugyileg (aztan mikor elmennel mashova akkor hirtelen eszbekapnak, es jajjdemegismaradjmar)Nyilvan vannak kivetelek, es remek helyek is, de minek kockaztatni
-
zsolti.22
senior tag
válasz
Hedgehanter #9973 üzenetére
j
-
tusi_
addikt
válasz
Hedgehanter #9721 üzenetére
Azt nem tudom, o azt mondta, minden rendben van a gepekkel. Mostantol nem is erdekel.
Tegnap kiprobaltam a labban, de nem jott ossze. Tok mindegy mit allitok be, a mashine certet küldi, ami nem az a cert, amit en allitattam ki a virtual serverrel.(user certet csinaltam, mert az nem volt a gepemen igy nincs utkozes)
Nyitok egy tac-ot, bosszantsa a ciscosokat. -
tusi_
addikt
válasz
Hedgehanter #9717 üzenetére
Persze, hogy van, de a csoka nem engedett semmit atvizsgalni. Meg akartam nezni a certeket, hogy a rendes van e ballitva az ssl-hez es a kiallito szerver azonos -e a Pc cert kaillitojaval. Tehat hogy mind2en ugyanabban a root CA ban biznak. De nem lehett, mert a faszi osszevissza kalandozott a menukben, elvette tolem az iranyitast....
Egy f..zKiemelt ugyfel, nem lehet vele vitatkozni
-
tusi_
addikt
válasz
Hedgehanter #9692 üzenetére
Sajnos nem megy tovabbra sem. Nem valid a cert, erre panaszkodik az anyconnect client.
Kell valami extra certet az asa-ra forgatni? -
tusi_
addikt
válasz
Hedgehanter #9692 üzenetére
Nagyon köszönöm
-
tusi_
addikt
válasz
Hedgehanter #9690 üzenetére
Az a baj, hogy nem lehet tesztelni, mert produktiv, aki engedelyezne nekem, hogy a sajat asankon csinaljam a tesztet, az mittomen hol van mar megint.
Ugyfail asajan meg csak holnap tudom tesztelni, addig szeretnek viszont tisztaban lenni vele, hogy hogyan is kell csinalni
Ok, akkor hogy tudom megandi neki, hogy a PC Certet vegye figyelembe? Siman csak a Pref 1 ben a Mashine azt joccakat.
Koszi a segitseged
-
tusi_
addikt
válasz
Hedgehanter #9671 üzenetére
Hogy valasztom ki, hogy melyik cert legyen vizsgalva? A Client profileban?
-
tusi_
addikt
válasz
Hedgehanter #9671 üzenetére
Koszi. Viszont ha minden igaz, a 2.hoz kell a dap, meg a csd, ami viszont nem megy az anyconnect essential licenszel. Nekik meg az van.
-
tusi_
addikt
válasz
Hedgehanter #9455 üzenetére
Kiba...tt munkaigenyes. Minden egyes tunnel interfacehez kell egy uj crypto map is. Ha nagyon trehany az ember, akkor vegul is felhasznalhatna ugyanazt az ipsec profilet minden egyes tunnel interfeszhez. Vagy lehet dinamikus Tunnelt is csinalni...
Mind1, kollegak nem akarjak, hogy valtoztassak rajta, "never touch a working system". En meg nem fogok erolkodni, igy hagyom...
-
tusi_
addikt
válasz
Hedgehanter #9453 üzenetére
Ugyfelelt sajnos nem, de IP-ktol eltekintve ugyanaz, mint ez. (kiveve hogy loopback a source es destination)
https://supportforums.cisco.com/discussion/11562771/ipsec-tunnel-and-gre-over-ipsec-tunnel
Gre Tunnel Crypto Map
vs.
VTI Tunnel Profillal.
PS: az elso konfigban nem latszik, de a crypto mappos address "match address INT_TRAFFIC" ott az acl
ip access-list ext INT_TRAFFIC
permit gre any any
vagy
permit gre host blabla host blabla -
tusi_
addikt
válasz
Hedgehanter #9368 üzenetére
A stacket accesba rakjak altalaban. Ha van egy szervered, ami portchanellen csatlakozik, akkor ra tudod kotni redundansan egy stackelt switchre. Pl 2 Switches stack, egyik kabel megy a Stack1 re, a masik a Stack 2 re tukorben.
(g1/1/1-g1/2/1)
Mivel a stack master a guru, az o procija vezerel, a masik meg atveszi a helyet, ha a stack master leterdel. De mivel ok is egy switchnek latszodnak, lehet portchannelezni ra. (LAG szerver oldalrol, LACP Switch oldalrol)Lehet Coreba is rakni, de szvsz oda inkabb VSS. Ami volt switchem es most CyberBird nyuzza, azok Coreban voltak. Az okos rendszergazda, aki eladta, nem is torolte a konfigot. more flash:xxxxx es mar van is par jelszavad
-
zsolti.22
senior tag
válasz
Hedgehanter #9137 üzenetére
Hát erre rá nem jönni
-
tusi_
addikt
válasz
Hedgehanter #9108 üzenetére
"A jobb oldal titkosít, de nem decryptel, a bal decryptel, de nem titkosít..."
Job oldal kuldi a csomagot, bal megkapja kicsomi. De nem tud kuldeni, mert ASA nem tudja hova kell kuldeni, jobb oldal nem kap semmit...
-
zsolti.22
senior tag
válasz
Hedgehanter #9108 üzenetére
A bal subnet nem tudja pingelni az 50.0.0.2-t, a jobb viszont tudja az 50.0.0.1-et.
A jobb oldal titkosít, de nem decryptel, a bal decryptel, de nem titkosít...ASA:
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 5392, #pkts decrypt: 5392, #pkts verify: 5392R1:
#pkts encaps: 5478, #pkts encrypt: 5478, #pkts digest: 5478
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0Na majd holnap...most nincs agyam gondolkodni rajta
-
crok
Topikgazda
válasz
Hedgehanter #9012 üzenetére
Ja, hát akkor még most jön az örömboldogságmámor',
10x sávszél - nincs itt még szükség QoS-re : D -
crok
Topikgazda
válasz
Hedgehanter #9010 üzenetére
Ha nincs tumultus nem kell - de ha van filetransfer néha-néha (ami mondjuk nem SMB mert az még jó hálózaton is ritka szarul tud működni..) akkor a közben az uplinken telefonálókat az csúnyán érintheti. De ez mind-mind hálózat- és forgalomfüggő (valamint user- és appfüggő is). De amíg nem fogsz jelölni addig nincs értelme úgyse. Egyébként ha már legalább a voice jelölve van és mellette tumultus van akkor az legalább nem fog sérülni a MOS (de a buffer-ekre és queue-kra nagyon oda kell figyelni és átgondolni mi miben menjen és mennyi). Csak át kell gondolni mit tudnak (hardware-esen és software-esen) az access switchek, mit tudnak distr-ok és a core-ok valamint a routerek ha a "tumultusforgalom" kintről jön vagy kifelé megy.. (mert ha már QoS akkor ugye a forgalomnak két iránya van..)
Egy gyors ötlet hogy van-e tumultus: uplinket valami linuxról vagy Winről snmp-vel kérdezd le félpercenként hogy mekkora a tx-rx byte, mehet Excelbe a byte érték és a a deltából csinálsz egy-egy diagramot TX-RX-re oszt' mehet a manager-eknek a színes-szagos "kell a pénz QoS projektre" email : D -
crok
Topikgazda
válasz
Hedgehanter #9007 üzenetére
Ha nem jelölsz semmit mert úgyis csak "lapos a hálózat" akkor még access szinten is (előre elnézést a kifejezésért meg +18, de) takkkknyosra szopatod magadat vele mert átállítja a buffereket minden queue-hoz de mivel te csak egyet fogsz használni (a CoS 0 / DSCP 0-hoz tartozót) így akár tengig interface-t se tudsz majd kihajtani, gig interface-t se, fa interface-t se.. csak addig ameddig a jelöletlen csomagok queue-ja engedi.. namost ha ezt elképzeled mondjuk 40 ember forgalmán, egy gig uplinkre amin eddig ment a z'internet meg minden 300Mbps-en.. az most úgy fog dobálni hogy az esze elmegy a usereknek ( : NE.. gondold át hogy mit akarsz és akkor majd lesz értelme bekapcsolni.. de csak így, hogy mls qos.. NE ( : Az QoS két élű fegyver.. jó, mert meg tudod mondani hogy mi legyen előrébb, mi kapjon mindenféleképp sávszélt.. de ha nem jelölsz semmit csak mls qos.. beláthatatlan következményi lehetnek, nem ismerem a hálót/traffic profile-t/spec alkalmazásokat/igényeket/telefóniát, de.. NE ( :
-
Hedgehanter
őstag
válasz
Hedgehanter #9006 üzenetére
Nyilvan ez kicsit keves info ahhoz hogy valaszolni lehessen..
Szoval egy normalis ceg semmi extra forgalom csak excel, world meg IP telo halozat..
-
crok
Topikgazda
válasz
Hedgehanter #8995 üzenetére
Rule #1: plan and create architecture that is easily maintainable and operable. That will save you money and time when expanding and/or troubleshooting.
Rule #2: The "2am test": if you cannot explain your design at 2am at a Friday night it's considered too complex.
Rule #3: plan and create architecture that can be expanded easily up to 3..4 times bigger (network, throughput.. et cetera).
Rule #4: plan and create architecture with clear demarcation points.
Rule #5: Documentation is everything - do it properly: should be easily accessable, readable and self-explanatory, should contain all contacts and should be updated when changes happen.
Na, én ezek szerint csinálom amit csinálok, ezek a saját szabályaim (az ötöst nagyon utálom..) magammal szemben (bár elvárom másoktól is : D ). Ha meg kell szegnem bármelyiket akkor arról az ügyfail tehet és elfogadja. : ) Na oszt' ilyenkor jön a "jóvanazúgy, faszanagyon, halaggyunkmá' " : D
-
crok
Topikgazda
válasz
Hedgehanter #8993 üzenetére
Persze, plusz demarkáció megoldása, hogy lesz megcsinálva hogy eddig az enyém, innen a másé.. aztán ott van még egy esetleges architectural security restriction (pl. az egyik ügyfélnél kifejezetten tiltott, hogy tűzfalon dinamikus routing legyen, ezt mondjuk megértem.. meg BGP-t ASA nem tud valami stabilan, mondjuk a Juniper tudja, de ott is van pár érdekes bug ( : ). De érdekes ASA patkolásokat is láttam már.. hát, sok mindenen múlik ez.
-
crok
Topikgazda
válasz
Hedgehanter #8988 üzenetére
Hacsak nem valamilyen nem-ethernet a link a net vagy bérelt vonal vége akkor simán mehet az ASA.. ha mégis valami nem-ethernet a végződtetés akkor ezt egy 1841 is megoldja neked (bár akkor nem nagyon valószínű hogy tud a technológia 100..200Mbps-t) - már úgy értem végződteti a linkedet és egy pár jól átgondolt ACL-el megoldható hogy a router összekösse a linkedet az ASA-val ekkora sávszélre is. Sok helyen (nem röhög, sokszor látom) switch-en végződtetik a netet/vonalat, pattintanak rá egy-két átgondolt ACL-t, utána meg Juniper tűzval.. Nokia esetleg.. De a C1941 se tud 150Mbps-t ZBFW és/vagy QoS pol-map mellett.. az csak a Fast Switching CEF-ből, de az csak annyi, hogy ennyit tud magán átforgatni ha *semmit* se kell a csomagokkal csinálni routing/switchingen kívül (és a csomagok mindegyike 1500byteos). Ha ISR G1 elég (bár újonnan úgyse igen tudod megvenni) akkor esetleg 7200-as, NPE-G1-el vagy G2-vel (de ugye moduláris, drágaság lesz alapból). Esetleg 4331/4351? De minden attól függ hogy a csomagokat akarod-e szűrni/ellenőrizni, kell-e IPSec, kell-e QoS, max. session szám egy időben.. írtam már itt erről. Itt egy példa white paper amit érdemes elolvasni. [Ja, jótanács: ha NAT-olsz is meg ZBFW is van esetleg akkor ASR felejtő, olyan bugos hogy szavak nincsenek..]
-
Cyber_Bird
senior tag
válasz
Hedgehanter #8988 üzenetére
Nem te lennel az elso aki ilyet csinal
De egyebkent igen, eleg elborult az arazasa a szegmensnek.
-
quby
őstag
válasz
Hedgehanter #8988 üzenetére
Tudom hogy eretnekség ide ezt irni, de mikrotik vonalon 30-40 ezres kategóriában ez bőven megoldható.
-
tusi_
addikt
válasz
Hedgehanter #8905 üzenetére
Ez 2 eve volt es nem bantam meg, hogy nem vettek fel, az istenert nem dolgoznek sem Frankfurtban, sem Budapesten.
-
laszak
tag
válasz
Hedgehanter #8750 üzenetére
Még egy kis segítséget szeretnék kérni, természetesen nem működik.
Teszt jelleggel egy notebookot kötöttem a leválasztott (6-os) interface-re, kapott egy static IP-t a 192.168.5.0/24 subnetből, de nem tudtam elérni, az "inside" networkből.
DHCP nem kell.
access rule-okon nem változtattam.Inside-ból szeretnék oda-vissza átjárást ebbe a subnetbe (nevet már nem engedett adni lic. okokból).
A 192.168.5.2-es cím pingik egyedül (ez kimérve, az ASA válaszol a MAC alapján)
Mi lehet a hiba?
-
laszak
tag
válasz
Hedgehanter #8739 üzenetére
Köszönom a válaszokat.
Ha viszont azonos sec. Levelem vannak, van egy opció, amivel engedélyezhetem, hogy menjen köztük forgalom, igy nem kell acl, ha jol ertem.
Tehát eleg egy interfacet bekonfigolni es kész. -
laszak
tag
válasz
Hedgehanter #8735 üzenetére
Szia!
Köszönöm, az 1. lépés OK.
Egy guest (192.168.3.0-as háló) network van a példában, cél, hogy ide be lehessen látni (192.168.2.0-ból), de onnan ki nem.Access rule, alábbi példa jó ezek szerint?
(még élesben nem kattinthatom le)
Security level különbözni fog.Mit értettél 8.3 alatt?
Az ASDM verziója 6.4, az ASA 8.4.Köszönöm.
-
zsolti.22
senior tag
válasz
Hedgehanter #8693 üzenetére
Tudod milyen parancs kellett?
Ez: same-security-traffic permit inter-interface
Aztán utána már lehet ACL-el szabályozgatni...Szóval most már megy a ping oda-vissza minden egyéb nélkül.
-
zsolti.22
senior tag
válasz
Hedgehanter #8693 üzenetére
Áh, tényleg, any any-t...hirtelen beütött, hogy az ASA nem fordított maszkot használ. Na majd délután szórakozok vele kicsit jobban...
@Quby: ha így ki lesz csak homályosítva a CCP felülete és kérdezik, hogy ezt meg azt hol találod benne, akkor nem lesz gond
-
zsolti.22
senior tag
válasz
Hedgehanter #8666 üzenetére
ÁÁÁ, tudod mit csesztem el? Hát ezt:
The ASA uses standard masks in ACL entries.
-
zsolti.22
senior tag
válasz
Hedgehanter #8649 üzenetére
Kezdek mérgesedni:
interface GigabitEthernet0
nameif egyik
security-level 0
ip address 10.0.0.1 255.255.255.252
!
interface GigabitEthernet1
nameif masik
security-level 0
ip address 10.1.0.1 255.255.255.252
!
access-list egyik extended permit ip any any
access-list masik extended permit ip any any
!
access-group egyik in interface egyik
access-group masik in interface masik
!
class-map CM
match default-inspection-traffic
!
!
policy-map PM
class CM
inspect icmp
!
service-policy PM global
!
ciscoasa(config)# sh int ip br
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0 10.0.0.1 YES CONFIG up up
GigabitEthernet1 10.1.0.1 YES CONFIG up up
GigabitEthernet2 unassigned YES unset administratively down up
GigabitEthernet3 unassigned YES unset administratively down up
!
R1#sh ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.0.0.2 YES manual up up
FastEthernet0/1 unassigned YES unset administratively down down
FastEthernet1/0 unassigned YES unset administratively down down
!
R1#p 10.1.0.2Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.0.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
!
R2(config)#do sh ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.1.0.2 YES manual up up
FastEthernet0/1 unassigned YES unset administratively down down
FastEthernet1/0 unassigned YES unset administratively down down
R2(config)#do p 10.0.0.1Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
R2# -
zsolti.22
senior tag
válasz
Hedgehanter #8645 üzenetére
Na, de egy permit ip any any-vel mennie kellene akkor, ugye?
-
zsolti.22
senior tag
válasz
Hedgehanter #8642 üzenetére
Service-policyban már engedélyeztem egy deny ip any any-t, de annak ellenére....
Szerk: Jóóó....egy permit ip any any-t.
-
Hedgehanter
őstag
válasz
Hedgehanter #8642 üzenetére
NAT controll nem akadalyoz azonos interface-k kozott bocs...
-
FeRkE
őstag
válasz
Hedgehanter #8640 üzenetére
ahm
Új hozzászólás Aktív témák
Hirdetés
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- iPad Pro 11 gen 2 + magic keyboard magyar makulátlan új állapot
- AMD Radeon RX 6700 XT 12GB
- X13 Yoga Gen2 13.3" FHD+ IPS érintő i5-1135G7 16GB 256GB NVMe ujjlolv IR kam aktív toll gar
- HP Elitebook Folio 9470M laptop (14/i7-G3/6GB/256SSD)
- iPhone XS Max 64GB Független Újszerű/1 hónap gar./Akku 100%/p4303
- Keresünk dokkolókat
- Eladó ÚJ BONTATLAN Honor Magic6 Lite 8/256GB fekete / 12 hónap jótállással!
- Azonnali készpénzes Microsoft XBOX Series S és Series X felvásárlás személyesen/csomagküldéssel
- Beszámítás! Oculus Rift virtuális valóság szemüveg garanciával hibátlan működéssel
- ÁRGARANCIA!Épített KomPhone i5 13400F 32/64GB RAM RX 7800 XT 16GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest