- Radeon RX 9060 XT: Ezt aztán jól meghúzták
- Atomenergiával dübörögnek tovább az Amazon adatközpontok, SMR-ek is jöhetnek
- Macron betiltatná az EU-ban a közösségi médiát a 15 év alattiaknak
- Az NVIDIA ipari AI-felhőt épít a németeknek, együtt az OpenAI és a Google
- Két új Ryzen közül választhatnak a kézikonzolok
-
PROHARDVER!
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
#16731
J0shu4M1ll3r
senior tag
J0shu4M1ll3r
senior tag
Sziasztok!
Egyetemen most van hálózatok órám és gyakorolnék a ccna 2 modulra, minden megy is rendesen egy dolgot kivéve: hiába adok hozzá description-öket a megadott interfészekhez, az adott routeren belül látszik is, de amikor check result-ra megyek, akkor azokat hibásnak jelzi. Megőrülök már ettől, hogy nem jövök rá. Ez bug?
Packet Tracer 8.2.2 használok.
Köszönöm! -
#16728
Cyber_Bird
senior tag
Cyber_Bird
#16725
Cyber_Bird
senior tag
válasz
Cyber_Bird
#16725
üzenetére
Feladtam, es felraktam ket VM-et openvswitch-el es csinaltam koztuk vxlan-t.
apt install openvswitch-switch -yOldalankent ennyi a konfig es minden mukodik. (miutan beraktam promiscous modeba a vSwitchet esxi-n)
ovs-vsctl add-br br0
ovs-vsctl add-port br0 ens224
ovs-vsctl add-port br0 vxlan0 -- set interface vxlan0 type=vxlan options:remote_ip=10.101.10.69 options:key=100Persze az otv-hez (meg a ciscos vxlan implementaciohoz) kepest ez siman csak egy bridge vxlan enkapszulaciot hasznalva es nincs mac cim tanulas, szoval nagyon nem skalazodik, de a mi use-caseunkhoz ez mindegy is mert nincs sok vm, es csak ideiglenesen kell a megoldas.
Anyway, thanks for coming to my TED talk.
-
#16727
Cyber_Bird
senior tag
kenwood
#16726
Cyber_Bird
senior tag
válasz
kenwood
#16726
üzenetére
Cisco sales legyen a talpan aki raveszi a soher cegvezetesunket az ACI-ra
Amugy valoszinuleg valami mtu problema lesz, mert policy based ipsec vpn-en keresztul osszeallt, de le fel megy az adjacency. szoval most wiresahark captureolgetek a linkeken. De persze lehet csak lab/emulacios issue...
-
#16726
kenwood
veterán
Cyber_Bird
#16725
kenwood
veterán
válasz
Cyber_Bird
#16725
üzenetére
ACI-ban par klikk
-
#16725
Cyber_Bird
senior tag
Cyber_Bird
senior tag
Na posztolok en is ide egyet, mert mar regen kerdeztem hulyeseget.
Szoval, olyan setupom van, hogy egy l2 vlant kellene stretchelni ket DC kozott ideiglenesen egy vsphere migracio miatt, es most probalom kilaborozni, hogy hogy is lehetne megoldani.
Mivel nincsen nexusunk exert a csr8000v-t neztem es OTV-t.
A ket DC kozott nincs direkt link, igy van ket ASA amik routed IPSEC tunnelt csinalnak.Van ket csr8K egyiknek az egyik oldalrol van IPje masiknak a masik oldalrol egy service vlanban es ezek egymast elerik ezeken az IP-ken.
OTV konfig felhuzva, de nem epul ki az adjacency.
Tehat a setup
Az otv-1 meg tudja pingelni az otv-2 join interfacet de adjacency nincs,
es igy mac learning sincs.
Onnan gondolom, hogy a routed ipsec tunnel a ludas, hogy ha a ket asa-t kicserelm egy sima random routerre es azzal routeolok a ket subnet kozott, akkor felall az adjacency es szepen mukodik a mac learning ahogy kell es kommunikalnak a hostok a ket oldalon.Valaki esetleg csinalt mar ilyet es sikerult neki mukodesre birni? talaltam egy hasonlo issuet ahol policy-based tunnellel oldottak meg ami vegulis egy opcio lehet, de jobb szeretnem a route based-et mukodesre birni.
Minden oteltet szivesen veszek.
Koszi, CBSzerk.: szetbarmolta a forummotor az ascii pastelt diagramot, ugyhogy bepasteltem screenshotban.
-
Ripper17
tag
válasz
denes44
#16722
üzenetére
Miért történne ilyen? Ezek nem korreláltak.
Megmarad a 30 kredited.
Arra viszont figyelj: ha most levizsgázol, a CCNA lesz a legmagasabb certed és aztán még szerzel 10 vagy több kreditet, akkor automatikusan megújítja a CCNA-d és levesz 40 kreditet."You must complete all requirements for recertification by your certification expiration date. Credits accumulate until you recertify your highest level of certification. At that point, all certifications at that level and below become recertified."
Taktikailag 2 opciód van, ha most vizsgáznál:
- nem gyűjtesz 40 kredit fölé. Megnézed a mostani kreditjeid mikor járnak le, és majd nagyjából akkor szerzel még 10-et. Így ki tudod maxolni a vizsgával szerzett CCNA érvényességet. Ennek akkor van értelme, ha 3 éven belül nem tervezel CCNP-vé válni.
- a sikeres vizsga után minél előbb még szerzel 10 kreditet, lenullázod a CE kreditjeid, ráhosszabbítva a frissen szerzett vizsgára. innentől kezdve a CCNA lejárati időn belül gyűjthetsz tovább krediteket, és ha jól tervezel akkor a CCNA lejárata körül megint lesz 40 kredited, hosszabbítani. Vagy addigra már CCNP leszel és mire 40 fölé mész, már a 80 a célszám. -
FecoGee
Topikgazda
-
n9kv 10.2-es imaget megnéztem, nálam 2vcpu és 8G RAM per node-al OK, de az eve-ng is eszik RAM-ot, meg a hypervisor is. Most nálam fut 4db nexus 9kv vmware workstation alatt eve-ng-ben és a vmware RAM foglalás 45G RAM... sok az overhead. illletve a nexus-ok is logolják hogy 90% körül van a memória foglaltság, szóval lehet nem ártana 12G RAM-ot adni nekik.
CML talán kicsit jobb ma már, de én anno nem láttam ebben nagy különbséget (pár éve). A legtöbb RAM-ot mindig a virtual router/switch/eszköz eszi meg. -
FecoGee
Topikgazda
Teszt jelleggel használtam N9Kv-t, DC-s kollégáknak teszteltem, szóval nagy tapasztalatom nincs vele.
Azért is érdemes lenne egy próbát tenni a CML-lel hogy a géped bírja-e, vagy ott is előjön a hiba.
Nem emlékszem pontosan (és szabin vagyok így nem vagyok gépközelben a héten), de szerintem 32 vCPU és 64 GB RAM van a VM-emnek adva, utóbbit mintha 128 GB-ra emeltem volna nemrég, mert a C9Kv, sok C8k és vManage (pardon, Manager) node-k a laborjaimban sok erőforrást esznek. -
tusi_
addikt
válasz
FecoGee
#16716
üzenetére
Köszi Feco.
A baj az, hogy amint elkezdem bootlni a masodik nodeot az elso ujra indul es aztan kifagy az EVE. Egyszer jutottam el odaig, hogy a vpc domain alatt megadtam a peer-t, de mielott osszejott volna a peer keepalive lerohadt mind2 nexus.
Jonnek a cpu hibara utalo loggok, aztan az elfogyott a memoria. Ha kell updatelek 64gb-ra - illetve az egy platform csere lenne inkabb - csak akkor az oldja meg.
Imagebol azt futtatom, amit ajanlanak. -
FecoGee
Topikgazda
Én egy bika VM-en futtatom. A N9K-nak kell idő és RAM, légy türelmes. XRv ugyanez. Fontos a szoftver verzió is, nem minden image fut rendesen.
Esetleg nézd meg a CML-t, van belőle ingyenes verzió.
https://developer.cisco.com/docs/modeling-labs/cml-free/#cml-free-features-and-limitations
-
vadger
tag
Sziasztok, eléggé offtopic, de legalább az itt olvasók tudják mi az hogy ip range, ezért gondoltam bedobom ide.
Korábban többször kellett volna nekem egy ip range inverz calculator, és sosem találtam neten megfelelőt (vagy nem kerestem elég jól), ezért végül csináltam egyet magamnak.
Itt lehet elérni: [link]
Ha esetleg bárki ránézne, és visszajelezne, hogy van-e bármi hiba benne, azt megköszönöm, nálam egyelőre jól működőnek tűnik, de hátha van benne valami amire nem gondoltam. -
zsolti.22
senior tag
Sziasztok!
Van egy route-mapem, ami csak akkor hat, ha nincs matchelés benne. Azt akarnám vele elérni, hogy egy route-reflektortól EVPN-en kapott 0.0.0.0/0 type 5-ös route-ot tudjam legalább manipulálni, ha már a route-reflektor oldalról nem megy a route-mapelés.
A switchen ezt próbálom:
route-map teszt permit 10
match ip address prefix-list teszt
set weight 33333
ip prefix-list teszt seq 1 permit 0.0.0.0/0router bgp 64512
router-id 10.99.20.101
no bgp default ipv4-unicast
neighbor evpn peer group
neighbor evpn remote-as 64512
neighbor evpn update-source Loopback0
neighbor evpn send-community extended
neighbor evpn maximum-routes 30000 warning-only
neighbor 10.99.10.215 peer group evpn
!
address-family evpn
neighbor evpn activate
neighbor evpn route-map teszt in
Ashow bgp evpnkimenete ezt írja:RD: 10.99.10.1:5 ip-prefix 0.0.0.0/0
PolicyReject - - 0 i Or-ID: 10.99.10.1 C-LST: 10.99.10.215 10.99.10.1
RD: 10.99.10.2:5 ip-prefix 0.0.0.0/0
PolicyReject - - 0 i Or-ID: 10.99.10.2 C-LST: 10.99.10.215 10.99.10.2
RD: 10.99.20.1:5 ip-prefix 0.0.0.0/0
PolicyReject - - 0 i Or-ID: 10.99.20.1 C-LST: 10.99.10.215 10.99.20.1
RD: 10.99.20.2:5 ip-prefix 0.0.0.0/0
PolicyReject - - 0 i Or-ID: 10.99.20.2 C-LST:
Mitől lehet ez? -
tusi_
addikt
válasz
kenwood
#16711
üzenetére
Snooping van, dai es source guard nem lehet, mert van par hullank meg a szekrenyben, nyomtatok, kulonbozo szenzorok...
Legnagyobb bajunk a NAC-al, a MAB os eszkozok, nincsenek benne az assetmanagmentben igy nem lehet feltolteni az ISE-be.
Egyenkent be kell rakosgatni...
-
kenwood
veterán
Ha kezzel berakod a szukseges vlanba, akkor kap IP-t?
Jah, latom, kap,maskor is.
Akkor targytalan.
Azert ti valamit nagyon jol csinalhattok, ha csak ennyi bajotok van a dot1x-el.
En lampavasra huznam azt, aki kitalalta:
Mondjuk nalunk van melle meg snooping,DAI meg minden, amit imadnak vegpontok. Logging buffer meg ugy nez ki,mint a karacsonyfa. -
tusi_
addikt
"Ha van beallitva DAI vagy ip source guard, akkor a switchnek ehhez lesz egy-ket szava... tudom, ez nem relevans a MAB problemadnal, csak ugy eszembe jutott."
Ip source guard nem lenne problema, mert az extra parancs, DAI lehetne, ha nem talal snooping entry-t, de nincs ilyen uzemben. En akartam, de tul sok statikus eszkozunk van meg, igy egyelore halott a topik
Bar dai val is lehet trustedde tenni egy interfacet, ha jol emlexem.. -
tusi_
addikt
Szia. Köszi.
Ha auth open van a porton, akkor nincs failure code es 5 csomagbol lemegy az ip keres. Discovery, request, reply ack... blablabla.
A switch szvsz kuldhet ilyet, ha tul sok blabla jon, illetve ha ugyanazzal az authentikacios metoddal vki folyamatosan spammeli a z eszkozt.
deug auth volt, a loggban az all, hogy nincs se ip, se vlan a kereshez ezert failed.
De mivel mind az ise-n, mind a switchen authc succes van, ezert ebbe nem mentem bele melyebben.Az erdekes az, hogy rengeteg kulonbozo eszkozunk van - kb 50 gyarto - es egyiknek sincs ilyen baja, mindegyik megy, csak ez nem. Es mivel kassza, ezert negyon fontos..
Meg azt is olvastam vhol, hogy a failure code 4 lehet egy olyan hiba, hogy a switch az auth requestet nem a 1812-re kuldi, hanem az accounting portra 1813 es ez a baj.
-
mrots
junior tag
Az RFC szerint az EAP keretekben az elso mezo a code, aminek negy kulonbozo erteke lehet. request, response, success, failure, ebben a sorrendben 1, 2, 3, 4. Tehat a code 4 amit latsz egy altalanos uzenet, barmi okozhatja. Az autentikacios folyamatban harom szereplo van. A supplicant, aki a kassza - na o biztosan nem kuld ilyen kodot. A masik az autentikator, aki a te esetedben a switch - tole akar meg johetne is ilyen, de nem tartom valoszinunek, mivel o csak adogatja jobbra-balra a kereteket az adatokkal, de o maga azon kivul, hogy EAPOL -ra ugrik, sokat hozza nem tesz a parbeszedhez. A harmadik szereplo az ISE, aki donti el, hogy mi legyen a valasz. En elso korben ra fogadnek, hogy tole jon az EAP code 4.
Tudom, azt irtad, hogy az ISE es a switch szerint minden sima ugy. Azert en raneznek egy span porton arra az ISE szerverre, hogy nem-e onnan indul el megis ez az EAP hibauzenet. Illetve a switchen volt:
debug authentication
debug mab all
?"Ezek a cuccok mindaddig megtartjak az ip-t, amig ujra nem installaljuk oket. "
Ha van beallitva DAI vagy ip source guard, akkor a switchnek ehhez lesz egy-ket szava... tudom, ez nem relevans a MAB problemadnal, csak ugy eszembe jutott.
-
tusi_
addikt
Sziasztok.
Van egy eleg furcsa jelenseg most nalunk, amire nem talalom a valaszt.
NAC-ot csinalunk a cegnel, de az egyik eszkoz - egy kassza - furcsa dolgokat produkal.
MAB-en kerszetul van authentikalva - ja szar, de ez van.
Az ISEn latom hogy ok, a switchen latom, hogy okay, de a cucc nem kap ip-t.
Csinaltam egy pcap-ot es EAP Failure code 4 el dobja el magat.
Ha ratolok egy auth open-t, lemegy az install, kap ip-t szinkronizal, minden faja. Ha utan leveszem az opent es ujra inditom a kasszat, portot, torlom az auth session-t, mukodik rendesen, csak az install kozben nem, amikor ip.t ker. Ezek a cuccok mindaddig megtartjak az ip-t, amig ujra nem installaljuk oket.
Latott mar vki ilyet??
köszi
-
zsolti.22
senior tag
Belátom, topológia nélkül nehéz. Elnézést kérek a pontatlanságért.
Adott ez az OSPF underlay:
-a vonalak közvetlen kapcsolatot jelentenek
- mindenki area 0-hoz kapcsolódik
- a cost-ok kézzel vannak állítva a topológia alapján
- az R2-R3 LACP-n keresztül fogja össze R1 felé vezető kapcsolatot és a switchek oldalán ez a pub VRF
- - az R6-R7 LACP-n keresztül fogja össze R5 felé vezető kapcsolatot és a switchek oldalán ez a pub VRF
- R1-en és R5-ön nincsen semmilyen VRF
- (site A-n az 5-5-ös cost csak próbálkozás volt részemről, egyébként ott is 20-20 lenne)
És a rá épülő VXLAN alapú BGP EVPN:
- a vonalak BGP kapcsolatot jelentenek az ábrán
- R1 és R5 nem képesek EVPN-re, ezért csak sima BGP ipv4 unicast van bekapcsolva rajtuk
- R2 és R3 multi-chassis LAG peerek (és EVPN képes eszközök, spine-ok)
- R6 és R7 multi-chassis LAG peerek (és EVPN képes eszközök, spine-ok)
- R4 és R8 EVPN switchek, leaf-ek
- a spine-ok és leaf-ek csak a route-reflektorral peerelnek global VRF-ben
- a spine-ok a pub VRF-ben peerelnek R1-gyel és R5-tel és route-reflextor kliensek (mármint R1 és R5) (hogy az EVPN útvonalakat is megkapja Ipv4 unicast AFI-ban R1 és R5)
A fő cél az lenne, hogy site A best 0.0.0.0/0-ja a saját routere legyen (R1) és site B best 0.0.0.0/0-ja a saját routere legyen (R5). Ideiglenesen az is megtenné, ha az R2-R1 és R3-R1 közül bármelyik élő BGP kapcsolat menjen a 0.0.0.0/0 és sose EVPN-n, illetve ha R7-R5 és R6-R5 közül bármelyik élő BGP kapcsolat felé menjen a 0.0.0.0/0 és sose EVPN-n.
Milyen megoldások felé lehet érdemes menni?
-
zsolti.22
senior tag
válasz
zsolti.22
#16702
üzenetére
Kibővítem a sztorit: 2 * (2 db mlag switch kap 1 full BGP routertől) 0.0.0.0/0-t.
A full BGP routerek sajnos képtelenek a VXLAN-ra és EVPN-re, ezért a switchek csinálják ezt és ők iBGP szomszédai egymásnak, szóval route-reflektoroknak küldik tovább a 0.0.0.0/0-kat, így kapják meg mind a 4-en EVPN-en is a defaultot és a két full BGP routertől is.Számomra tök fura, hogy ha leveszem a kívánt next-hop felé a cost-ot, akkor is 20-at ír costnak, ugyanúgy nem lesz best, de eltűnik az a sor, hogy Not best: IGP Cost. Hiába clearelek BGP-t is és OSPF-t is.
Bar dai val is lehet trustedde tenni egy interfacet, ha jol emlexem..
És a rá épülő VXLAN alapú BGP EVPN:
A fő cél az lenne, hogy site A best 0.0.0.0/0-ja a saját routere legyen (R1) és site B best 0.0.0.0/0-ja a saját routere legyen (R5). 
Új hozzászólás Aktív témák
Hirdetés
crok- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- T14s Gen4 14" FHD+ IPS i7-1365U 16GB 512GB NVMe magyar bill IR kam gar
- Gopro hero 7 black
- ThinkBook 16p Gen3 16" QHD+ IPS Ryzen 5 6600H RTX 3060 16GB 512GB NVMe ujjlolv gar
- ThinkBook 16p Gen3 16" QHD+ IPS Ryzen 5 6600H RTX 3060 16GB 512GB NVMe ujjlolv gar
- HP Probook 640 G2 (14FHD/i3-G6/8GB/256SSD/Magyar/Win11) - Szép!
- BESZÁMÍTÁS! MSI Z370 i5 9500 16GB DDR4 512GB SSD RX6600 8GB Cooler Master MB510L Chieftec 500W
- BESZÁMÍTÁS! 1TB Western Digital SN850X NVMe SSD meghajtó garanciával hibátlan működéssel
- Csere-Beszámítás! Számítógép PC Játékra! I5 14400F / RTX 4060ti 16GB / 32GB DDR5 / 1TB SSD
- Telenor 5G Indoor WiFi Router (FA7550) + töltő (bolti áruk 100.000Ft)
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - Automata kézbesítés utalással is!
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest