- Projektor topic
- Samsung LCD és LED TV-k
- Milyen videókártyát?
- Milyen CPU léghűtést vegyek?
- Autós kamerák
- NVIDIA GeForce RTX 3060 Ti / 3070 / 3070 Ti (GA104)
- Mini-ITX méretű RTX 4070 Kínából
- Már elstartolt az AMD nyári játékpromóciója
- Intel Core i5 / i7 / i9 "Alder Lake-Raptor Lake/Refresh" (LGA1700)
- Programajánló: Idén sem marad el a Bacsis-tuning Retró Számítógép kiállítás
Hirdetés
-
Szankciókat kapott az USA-tól a DeepCool
ph A vállalat elvileg tiltott termékeket értékesített Oroszország számára.
-
Retro Kocka Kuckó 2024
lo Megint eltelt egy esztendő, ezért mögyünk retrokockulni Vásárhelyre! Gyere velünk gyereknapon!
-
T Phone 2 Pro - majdnem mindenben jobb
ma Az első körös magentás szolgáltatói telefonok ugyan nem voltak drágák, de sok kompromisszumot követeltek meg. A második generációs páros minden szempontból fejlődött, miközben az árazás maradt.
-
PROHARDVER!
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
tusi_
addikt
Ott nem mutat semmit. (vagy lefagy)
Most csinaltam ugy is tesztet, hogy egy nem encrypted celra nyomtam ki a pakettet. Itt a natolt cimet adtam meg sourcekent es igy van capture icmp-re. Holnap tesztelek tovabb, de mivel mar nem erem al az asa-t asdmen keresztul, kikapcsoltam a GNS3-t.
Ilyenkor sosem tudom, hogy ez normalis viselkedes, vagy csak a gns3 szopat, mint mindig. Hetfon nyomom elesben is a benti asa-n.
[ Szerkesztve ]
eat, sleep, play, replay
-
tusi_
addikt
Holnap megint webexeznem kell.
Ha ezt irom be:
capture inside int inside match ip "inside_ip" "outside_ip" (a tunell masik vegen public ip van, amik között a titkositas megy)
capture outside int outside esp "inside_ip" "outside_ip"
Vagy inkabb ipsec?eat, sleep, play, replay
-
tusi_
addikt
Eszkalalodik a dolog.
Az ugyfel azt szeretne ellenorizni, hogy a csomagok, amiknek egy meghatarozott cel fele kell menni a tunnelban, azok tenyleg arra mennek-e.
Mondtam, hogy ha az ACLben benne van, hogy hova kell menni, akkor az arra fog.
De megis szeretne tudni, hogy lehet ezeket a csomagokat megfigyelni, Van erre valami lehetoseg?
Google-on rengeteg packet capture leiras van, de mind csak a sima tcp-udp-..... pakettekre.Koszi
eat, sleep, play, replay
-
Hedgehanter
őstag
Packet capture ASA utolso bekezdes. Erdekes kliens...
-
tusi_
addikt
válasz Hedgehanter #8209 üzenetére
Ja egy ....sz.
Talaltam egy modot, de ezzel le lehet rohasztani az ASA-t pillanatok alatt ugy, hogy a un all parancsot mar nem tudod kiadnidebug crypto ipsec 7.
Ha a debug crypto ipsec 255 na akkor asa restart.
eat, sleep, play, replay
-
tusi_
addikt
válasz Hedgehanter #8211 üzenetére
Ha ezt eljatszanam mar mehetnek is a munkakonyvemert
Ha capturet allitok be a esp-re outsideon, akkor csak a peerek kozott meno forgalmat muatatja.
A sh cry ipsec sa kimenetben ha valami packet dobas van, akkor azt a szamlalo mutatja ugye?
ASA1/pri/act(config)# sh cry ipse sa
interface: outside
Crypto map tag: CMAP, seq num: 1, local addr: 20.0.0.2access-list VPN_CRY extended permit ip 10.0.10.0 255.255.255.0 172.16.0.0 255.255.255.0
local ident (addr/mask/prot/port): (10.0.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.0.0/255.255.255.0/0/0)
current_peer: 200.0.0.2#pkts encaps: 81, #pkts encrypt: 81, #pkts digest: 81
#pkts decaps: 78, #pkts decrypt: 78, #pkts verify: 78
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 81, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0local crypto endpt.: 20.0.0.2/0, remote crypto endpt.: 200.0.0.2/0
path mtu 1500, ipsec overhead 58, media mtu 1500
current outbound spi: 15CF48A2
current inbound spi : 376E447Dinbound esp sas:
spi: 0x376E447D (929973373)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 4096, crypto-map: CMAP
sa timing: remaining key lifetime (kB/sec): (4373998/2397)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00001FFF
outbound esp sas:
spi: 0x15CF48A2 (365906082)
transform: esp-3des esp-sha-hmac no compression
in use settings ={L2L, Tunnel, PFS Group 2, }
slot: 0, conn_id: 4096, crypto-map: CMAP
sa timing: remaining key lifetime (kB/sec): (4373998/2397)
IV size: 8 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001ASA1/pri/act(config)#
eat, sleep, play, replay
-
Hedgehanter
őstag
-
tusi_
addikt
válasz Hedgehanter #8213 üzenetére
Az a baj, hogy a crypto acl igy nez ki:
acc-list xxxxxx permit ip 10.0.0.0 255.0.0.0 host yyyyy (publik ipje van a szervernek, amire kapcsolodnak.)
Mivel a szervert nyomatjak ezerrel a tunnellen keresztul - ezert nem vehetem ki a vpn-bol - ezert ha ranyomok egy pinget, akkor az az 4 packet fel sem fog tunnni a sok 1000 tcp/udp per masodperc miatt.
De azt tudja a majom, hogy megy a tunnel, mert a cry ips sa kimenet mutatja, hogy novexik, de o tudni akarja hogy kik mennek ra, kik jonnek vissza.....
Kiemelt ugyfeleunk es nem lehet elkuldeni a sunyiba.
Koszi a segitseged.
Peerek kozott csinaltam egy
capture traf_out inter outside esp host xxx host xxxx
Az mutatja rendesen, hogy megy jon, de neki bizonyitek kell nem igeret
[ Szerkesztve ]
eat, sleep, play, replay
-
Mr.csu
csendes tag
Tudtok segíteni egy rourter konfig értelmezésével kapcsolatban.
ip vrf aaa
rd 1:30
route-target export 1:101
route-target import 1:101
!
ip vrf bbb
rd 1:101
route-target export 1:101
route-target import 1:101
.
.
.
.
router eigrp 65200
!
address-family ipv4 vrf aaa
network 10.0.0.0
autonomous-system 65000
exit-address-family
!
address-family ipv4 vrf bbb
network 10.0.0.0
autonomous-system 65030
exit-address-family
network 10.0.0.0
!
router bgp 65000
bgp log-neighbor-changes
!
address-family ipv4 vrf aaa
redistribute connected
exit-address-family
!
address-family ipv4 vrf bbb
redistribute connected
exit-address-family
!A BGP szerepét meg tudná valaki világítani számomra?.Inter vlan routing lenne az aaa és bbb vrf-ek összenyitására?De akkor nem kellene a 65000 és a 65030-as eigrp-kbe redistriboutálni a bgp 65000-et???
-
Hedgehanter
őstag
Ha arra kivancsi kik jonnek meg mennek a VPN-en akkor tedd fel a PRTG-t, enable netflow az ASA-n, csinalj egy custom chart-ot ahol a source IP es protocol, destination IP es protocol van listazva es ott lehet latni ki mikor hova ment.
Bar ha a public IP van a VPN ACLben mint destination nem fogja bizonyitani hogy a VPN-en megy a forgalom vagy sem (ha az erdekli). Eleg hulye megoldas amugy public IP-t tenni oda, foleg ugy hogy gondolom elerheto a masik site-rol VPN nelkul is. Ha esetleg nem, deny access a masik site public IP-je es csak a VPN-enen keresztul mehet a forgalom.
-
tusi_
addikt
válasz Hedgehanter #8217 üzenetére
Igen ez eleg hulye igy, eloszor meg is tevesztett a publik ip, de azt mondta az ugyfel, hogy igy lett berendezve es nekik igy jo.
Megtanultam az itteniektol, hogy csak addig kell eljutni a Tshootban, ameddig a megbizas szol. Ha eszre veszel valami szart, akkor nagyon csondben kell maradni
Most ajanlottam egy parancsot:cry ipsec condition peer X.X.X.X. subnet X.X.X.X
Itt nezheti a csomagokat mik mennek.
eat, sleep, play, replay
-
tusi_
addikt
válasz Hedgehanter #8220 üzenetére
Pontosan, sorry elirtam. Innen van az info.
eat, sleep, play, replay
-
Mr.csu
csendes tag
-
oleeg
tag
Szia!
Csak piszkálta a csőröm...
A BGP szerepét meg tudná valaki világítani számomra?.Inter vlan routing lenne az aaa és bbb vrf-ek összenyitására?
Szóval igen a cél, hogy a két vrf kommunikáljon egymással és ehhez BGP is kell.
Először azt gondoltam, hogy hiányos a BGP konfig, de nem. Hiába azonosak az import/export rt beállítások a két vrf-ben, nem fog látszódni az egyik a másikból:Egy routerben raktam össze a konfigot először BGP nélkül:
!
ip vrf aaa
rd 1:10
route-target export 1:101
route-target import 1:101
!
ip vrf bbb
rd 1:20
route-target export 1:101
route-target import 1:101
!
no ip domain lookup
ip cef
!
interface Loopback0
ip vrf forwarding aaa
ip address 192.168.1.1 255.255.255.255
!
interface Loopback1
ip vrf forwarding bbb
ip address 172.16.1.1 255.255.255.255
!és a két vrf routing táblája:
Router#sho ip route vrf aaa
Routing Table: aaa
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop overrideGateway of last resort is not set
192.168.1.0/32 is subnetted, 1 subnets
C 192.168.1.1 is directly connected, Loopback0Router#sho ip route vrf bbb
Routing Table: bbb
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop overrideGateway of last resort is not set
172.16.0.0/32 is subnetted, 1 subnets
C 172.16.1.1 is directly connected, Loopback1Router#
majd következett a BGP:
router bgp 65000
bgp log-neighbor-changes
!
address-family ipv4 vrf aaa
redistribute connected
exit-address-family
!
address-family ipv4 vrf bbb
redistribute connected
exit-address-familyÉs most már látszódnak a másik vrf-ben lévő prefixek:
Router#sho ip route vrf aaa
Routing Table: aaa
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop overrideGateway of last resort is not set
172.16.0.0/32 is subnetted, 1 subnets
B 172.16.1.1 is directly connected, 00:00:24, Loopback1
192.168.1.0/32 is subnetted, 1 subnets
C 192.168.1.1 is directly connected, Loopback0Router#sho ip route vrf bbb
Routing Table: bbb
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop overrideGateway of last resort is not set
172.16.0.0/32 is subnetted, 1 subnets
C 172.16.1.1 is directly connected, Loopback1
192.168.1.0/32 is subnetted, 1 subnets
B 192.168.1.1 is directly connected, 00:00:27, Loopback0Router#
[ Szerkesztve ]
-
crok
Topikgazda
Hát elég unortodox megoldás a problémára de igen, így (is) működhet amit el akart a tervező érni.
A BGP szerepe pontosan az, amit gondolsz: mivel mindkét VRF-nek van export és import konfigja egymás felé *és* a BGP konfig miatt a connected route-okat beteszed a VRF-ek routing tábláiba így azok valid BGP utak lesznek és az export/import így megindul.. vagyis így egyik VRF-ből a másikba és vica versa átteszi a router a VPNv4 prefixeket. Mivel oda-vissza meg van csinálva így oda-vissza menni is fognak a prefixek és így a forgalom is. Nem kellenek peerek, mert nincsenek használva, csak azt használja ki a konfig, hogy az export/import hogy működik. A red con helyett használhatnál pl. network parancsokat is.. de pl. ha olyat csinálsz, hogy static route úgy, hogy nincs next hop, csak az interface-t adod meg akkor is tökéletesen működni fog (tudom, mert ilyet is csináltam már, workaround volt..).
-
Akiii
tag
Az uj V5 OCG egyik reviewja
"Very horrible. I just spent months reading this book front to back, memorizing all the content that I hadn't previously known. I spent more time going through the practice tests that come with this book. I felt ready more than ever and took the 400-101 test ($400 by the way). I failed pretty bad. I got 644 with a passing score of 804. From the first question to the last, there was barely any question that was covered in this book, and if it was, not at all in the depth that the exam required. NetFlow is barely covered in this book (which was covered heavily on the exam) as well as other protocols that were on the exam. Very, very, very disappointed. Even if you knew this book word for word, you wouldn't be able to pass the exam with this book alone. I would not buy it. I wasted money on this book, $400, time I could have spent with family, and pride. I will not be studying this book to re-take the exam...waste of time."
-
Mr.csu
csendes tag
oleeg,crock köszönöm a segítséget. Bevallom az még mindig nem egészen világos számomra hogy ez így miért működőképes.Az egyik vrf routjai hogyan kerülnek a bgp táblából a másik vrf-be redistriboute nélkül?Crock ezt el tudnád még mondani.
-
_NCT
őstag
Sziasztok!
CCNA mennyi idő alatt teljesíthető? Abszolút 0-ról kezdeném, hálózati ismereteim egy openwrt-s router beállításában, és az alapok megértésében kimerül, Cisco router-t patchelni már tuti nem tudnék.
Napi 2 órát tudok nagyjából rászánni, Wendell féle OCG-t olvasgatom (200-120), de tuti 2x át kell olvasnom, hogy megértsem + labor guide (1700 oldal elsőre megijesztett). Nem tudom a Todd Lammle féle könyv jobb-e.
A vizsgát külön vagy egyszerre érdemes lenyomni? (itt most arra gondolok hogy 200-120-ra menjek kapásból, vagy érdemes szétszedni a 2db ICND-re, hogy tuti átmenjek?)
-
oleeg
tag
Szia!
A vrf-ek konfigja miatt:
ip vrf aaa
rd 1:30
route-target export 1:101
route-target import 1:101
!
ip vrf bbb
rd 1:101
route-target export 1:101
route-target import 1:101Az azonos route-target export és import miatt, plusz ehhez kell a BGP is.
Egy jó leírás a témáról:
http://packetlife.net/blog/2013/jun/10/route-distinguishers-and-route-targets/
Üdv:
o
[ Szerkesztve ]
-
zsolti.22
senior tag
Valakinek van ötlete, hogy flow-control esetében a default 30%-ot hogyan lehetne feljebb tuszkolni?
-
TMontana88
csendes tag
válasz TMontana88 #8199 üzenetére
Látom senkiben nem volt meg a segítő szándék, hogy válaszoljon a kérdésemre. Mindenesetre köszöntem a lehetőséget.
-
FecoGee
Topikgazda
válasz TMontana88 #8199 üzenetére
Szia,
Mar tobbszor volt hasonlo kerdes, valaszoltak is tobben ra. Csinald otthon self study-ban, aztan menj el icnd1 es icnd2 vizsgara. Es megvan a CCNA.
[ Szerkesztve ]
-
Cyber_Bird
senior tag
válasz TMontana88 #8233 üzenetére
Alapvetoen, ahogy FecoGee mondta, de:
<hoborges>
Akiben nincs annyi onallosag, hogy hasznalja a forum keresot, az jobb, ha nem is kezd bele a cisco tanulasba.
Nem ertem miert hiszik azt az emberek, hogy nekik dolgok csak ugy jarnak alanyi jogon, de elszomorit minden alkalommal.
</hoborges>[ Szerkesztve ]
-
FecoGee
Topikgazda
CCNA DC-t csinalt valaki kozuletek?
-
FecoGee
Topikgazda
Ha hiszitek, ha nem, tudtam, hogy lecsapjatok . Mar mikor irtam gondoltam, hogy magas labda . Persze hogy nincs harag Megcsinaltad a masodik vizsgat is? Ahhoz meg nincs kint az OCG. Ha igen, mibol keszultel? Az elso vizsga eleg lazanak tunik, ugy emlekszem, irtad is hogy konnyu volt.
[ Szerkesztve ]
-
FecoGee
Topikgazda
CCDP ARCH Foundation konyvet keresem mobi formatumban egen foldon... Valaki nem tud kisegiteni? Nem pdf to mobi verzio kene, hanem a nativ. Koszi!
-
FeRkE
őstag
válasz FecoGee #8240 üzenetére
Introducing Cisco Data Center Technologies Vol. 1-2-ből készültem a második vizsgára, ez sem volt vészes, ez már izgalmasabb anyag, áttekinti a Nexus portfóliót, MDS portfóliót, van egy kis vPC, FabricPath, OTV benne, meg virtualizációról dolgok. A második részben storage meg UCS-ről van szó.
-
FecoGee
Topikgazda
Ezt is megbeszeltuk mar parszor. Rajtad mulik. Penz es tapasztalat kerdese. En kulon csinaltam. Mert 0-rol indultam, es magamnak fizettem.
Nekem fel ev volt, de nem siettem. Ha sietsz es nyomas alatt vagy, akkor kevesebb. De nem latom ertelmet a kapkodasnak, mert akkor nem tudsz a tudasra epitkezni kesobb.[ Szerkesztve ]
-
_NCT
őstag
válasz FecoGee #8245 üzenetére
Azt olvastam hogy nagyjából fél év, csak nem tudtam hogy a 200-120 vagy külön-külön a 2 ICND vizsgára értendő. Én sem kapkodok, munkahelyen is tudok tanulni, olvasni 1 órát, meg otthon, nagyjából napi 2 órát szánok rá. Magamnak fizetem, munkahelyem nem támogatja, illetve munkahely váltáshoz sem árt egy cert, hálózatokból eléggé hiányosak az ismereteim. GNS3-at töltöttem le, az fogja adni a gyakorlatokhoz az alapot.
Amúgy elsőre megijedtem az OCG könyvtől, de látom hogy több száz oldal benne a függelék, kb 1000 oldal a tömény anyag, illetve az eleje a CCENT, a könyv 2. fele a 200-120 R/S.
[ Szerkesztve ]
-
Akiii
tag
Aki holnap jön Techtorialra azzal majd morzézva megtalaljuk egymast?
-
FecoGee
Topikgazda
Komoly...
http://ineinc.cmail2.com/t/d-e-ykjljty-jllrjujui-r/
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!