- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
- Milyen házat vegyek?
- Intel találgatós topik
- Elkészült a PCI Express 7.0-s szabvány
- Milyen alaplapot vegyek?
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- Ventilátorok - Ház, CPU (borda, radiátor), VGA
- Azonnali processzoros kérdések órája
- Azonnali alaplapos kérdések órája
- OLED TV topic
-
PROHARDVER!
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
#3214
jerry311
nagyúr
Hedgehanter
#3212
jerry311
nagyúr
válasz
Hedgehanter
#3212
üzenetére
Haaat igy elsore nem hatott meg.
Nyilvan mindennek vannak elonyei es hatranyai, meg ugye az adott szituaciohoz kell konfigolni, igy a mi esetunkben egyelore jobb valasztasnak latom a hagyomanyos mosoport.Restrictions for IPsec Virtual Tunnel Interface
IPsec Transform Set
The IPsec transform set must be configured in tunnel mode only.IKE Security Association
The Internet Key Exchange (IKE) security association (SA) is bound to the VTI. Because IKE SA is bound to the VTI, the same IKE SA cannot be used for a crypto map.IPsec SA Traffic Selectors
Static VTIs support only a single IPsec SA that is attached to the VTI interface. The traffic selector for the IPsec SA is always "IP any any."
A dynamic VTI also is a point-point interface that supports only a single IPsec SA, but the dynamic VTI is flexible in that it can accept the IPsec selectors that are proposed by the initiator.Proxy
Static VTIs support only the "IP any any" proxy.
Dynamic VTIs support only one proxy, which can be "IP any any" or any subset of it.QoS Traffic Shaping
The shaped traffic is process switched.Stateful Failover
IPsec stateful failover is not supported with IPsec VTIs.Tunnel Protection
The shared keyword is not required and must not be configured when using the tunnel mode ipsec ipv4 command for IPsec IPv4 mode.Static VTIs Versus GRE Tunnels
The IPsec VTI is limited to IP unicast and multicast traffic only, as opposed to GRE tunnels, which have a wider application for IPsec implementation.VRF-Aware IPsec Configuration
In VRF-aware IPsec configurations with either static or dynamic VTIs (DVTIs), the VRF must not be configured in the Internet Security Association and Key Management Protocol (ISAKMP) profile. Instead, the VRF must be configured on the tunnel interface for static VTIs. For DVTIs, you must apply VRF to the virtual template using the ip vrf forwarding command.Benefits
Simplifies management
Customers can use the Cisco IOS® Software virtual tunnel constructs to configure an IPSec virtual tunnel interface, thus simplifying VPN configuration complexity, which translates into reduced costs because the need for local IT support is minimized. In addition, existing management applications that can monitor interfaces can be used for monitoring purposes.Supports multicast encryption
Customers can use the Cisco IOS Software IPSec VTIs to transfer the multicast traffic, control traffic, or data traffic---for example, many voice and video applications---from one site to another securely.Provides a routable interface
Cisco IOS Software IPSec VTIs can support all types of IP routing protocols. Customers can use these VTI capabilities to connect larger office environments---for example, a branch office, complete with a private branch exchange (PBX) extension.Improves scaling
IPSec VTIs need fewer established security associations to cover different types of traffic, both unicast and multicast, thus enabling improved scaling.Offers flexibility in defining features
An IPSec VTI is an encapsulation within its own interface. This offers flexibility of defining features to run on either the physical or the IPSec interface. -
#3213
jerry311
nagyúr
Hedgehanter
#3212
jerry311
nagyúr
válasz
Hedgehanter
#3212
üzenetére
Nem melyedtem bele, mert sem mi sem az ugyfelek nem hasznaljak. Megmaradt mindeki a regi stilusnal, igy is van eleg bajunk ha nem ugyanaz a ket vegpont gyartoja es kicsit kacifantosabb konfigot akarunk.
-
jerry311
nagyúr
válasz
zsolti.22
#3190
üzenetére
No offense...
Csak hat en az elso perctol kezdve nem hallottam magyarul ezeket a kifejezeseket... Akivel dolgoztam mind angolul hasznaltak. Akik oktattak minket, jellemzoen angolul tettek vagy ha magyarul, akkor is angolul tanultak es angolul nyomtak az osszes szakkifejezest. -
jerry311
nagyúr
Lehet de ebben az esetben az egesz egy olyan halozatra korlatozodik, amihez van hozzaferes. Pedig ez a valosagban nem mindig igaz. Igy egy kepzelt, csak rajzon levo, halozattal rogton az is le van tesztelve, hofy a leendo uj dolgozo erti-e az ilyen jellegu hibakeresest.
-
#3134
jerry311
nagyúr
Hedgehanter
#3133
jerry311
nagyúr
válasz
Hedgehanter
#3133
üzenetére
Ez van, ezt kell foltozni. Majd ha egyszer nagyon szopo lesz akkor talan meggyozheto a management, hogy mashogy jobb lenne.
-
jerry311
nagyúr
-
jerry311
nagyúr
Persze, egy interjún könnyen meg lehet bukni vele.
Volt akitől megkérdeztük, hogy ugyan mondja már el, hogy működik a DNS névfeloldás. 3-4 percig hibátlanul beszélt a DHCP-ről. Ziccer: jó, köszönjük. Esetleg a DHCP-ről is tudna mondani valamit?
Hát ő azzal sajnos nincs tisztában...
Mondjuk ez csak 1 volt azok közül, amit tudnia kellett volna és nem ment, de ezt akkor még nem tudtuk. nem is lett felvéve.Ettől függetlenül nem vagyok 100% dump ellenes, csak hát tolvajtól lopni...
Engem is húzott már ki a szarból dump. Olyanokat tudnak kérdezni néha, amit még az sem tud, aki nap mint nap dolgozik vele. Főleg, amikor arról van szó, hogy az X ablakban, az Y feature-nél melyik 3 választható az alábbi 4-ből, a Z verzióju GUI-ban. (csak mert z+1 és z-1-ben is más opciók vannak)Meg mi a min és max sorok száma egy oldalon a riportban? Nem viccelek, SourceFire vizsgán ez tényleg szembe jött velem.
-
#3111
jerry311
nagyúr
Hedgehanter
#3110
jerry311
nagyúr
válasz
Hedgehanter
#3110
üzenetére
PKI support sincs benne, legalabbis eddig nem talalkoztam vele. Sot kb. rendes dokumentacioja sincs.
Command Lookup Tool rendszeresen 'null' eredmennyel zarja a kereseseket.Az mar masik kerdes, hogy 90 tunnelbol mindig van par, amelyik megdoglik, hiaba a stateful IPSec failover.
-
#3109
jerry311
nagyúr
Hedgehanter
#3106
jerry311
nagyúr
válasz
Hedgehanter
#3106
üzenetére
Az a helyzet, hogy beraktam tegnap GNS3-ba es csak a NAT overload miatt nem megy Win8-->XP iranyba public IP-re. Minden mas oke. Ezert nem ertem a feladat...
UI: Hogy ez mekkora egy szutyok protokoll. Nincs olyan hogy Active --> Standby valtas. Csak Standby --> Active letezik. Standby-ba meg ugy kerulhet az eszkoz, hogy ha mar nem Active akkor ujrainditja magat es ha bootnal talal Active eszkozt, akkor belole Standby lesz.
-
#3104
jerry311
nagyúr
Hedgehanter
#3103
jerry311
nagyúr
válasz
Hedgehanter
#3103
üzenetére
Nem stateful, a routing meg ugye csak a destination-t nezi.
Tehat mindegy merre megy, illene neki visszamennie.
De ha a valos IP-t pingeli az ember, akkor annak a tunnelben kell mennie, ha a NAT-olt IP-t, annak meg a tunnelen kivul.
Vagy beneztem a konfigot... -
#3094
jerry311
nagyúr
Hedgehanter
#3093
jerry311
nagyúr
válasz
Hedgehanter
#3093
üzenetére
Nincs szuresre haszxnaslt ACL, beenged mindent.
-
#3043
jerry311
nagyúr
J0shu4M1ll3r
#3042
jerry311
nagyúr
válasz
J0shu4M1ll3r
#3042
üzenetére
Szerencsere ott mar nincs feszitofa, sot szorasi vihar sem.
Cserebe ujra kell tanulni ezeket a kifejezeseket angolul. -
#3029
jerry311
nagyúr
J0shu4M1ll3r
#3025
jerry311
nagyúr
válasz
J0shu4M1ll3r
#3025
üzenetére
Azt azert tegyuk hozza, hogy a ccna a legalja kb. Tehat senki sem fog seggre esni tole, de jpbb esellyel indulsz ha megvan a cert mintha nincs.
-
#2962
jerry311
nagyúr
Hedgehanter
#2961
jerry311
nagyúr
válasz
Hedgehanter
#2961
üzenetére
642-637 SECURE v1.0
Hat igen, ha mar a penz sem motival, meg ugy sem, hogy a penzen sokkal jobb dolgokat lehet szerezni...
Regota problema ez mar, remelhetoleg mielobb megoldast talalok ra. -
#2909
jerry311
nagyúr
sunyijanika
#2907
jerry311
nagyúr
válasz
sunyijanika
#2907
üzenetére
He? 12-bol 7 sincs hasznalatban, hol van itt a verejtekezes?
-
jerry311
nagyúr
Ha netan a fonokotok megker ra, hogy legyen VPN a mobiltelefonokon...
Kategorikusan jelentsetek ki, hogy ilyen nem letezik, ha megis akkor felmondotok es keressen mas hujet erre a feladatra!
Agyzsibbaszto egy erintokepernyon szarakodni egesz nap.De legalabb megy az AnyConnect androidon.
-
#2756
jerry311
nagyúr
Cyber_Bird
#2755
jerry311
nagyúr
válasz
Cyber_Bird
#2755
üzenetére
Emlékeim szerint Brüsszelben, ahol egyébként a legnagyobb(?) európai központjuk is van.
-
#2726
jerry311
nagyúr
Hedgehanter
#2725
jerry311
nagyúr
válasz
Hedgehanter
#2725
üzenetére
DSL firmware? Maybe...
-
#2686
jerry311
nagyúr
Hedgehanter
#2685
jerry311
nagyúr
válasz
Hedgehanter
#2685
üzenetére
10 eve dolgozom network teamben, meg mindig sotet folt a voip.
-
#2661
jerry311
nagyúr
csabyka666
#2659
jerry311
nagyúr
válasz
csabyka666
#2659
üzenetére
Tippelem az olyanokra gondolsz, mint pl: Az alábbi 5 feature közül melyik nem támogatott a a PDM 2.1.4b verziójában?
Kedves Teszt Szerkesztő úr, az alábbi 5 póz közül melyiket nem támogatja a kedves édesanyja?
-
#2651
jerry311
nagyúr
csabyka666
#2650
jerry311
nagyúr
válasz
csabyka666
#2650
üzenetére
Nekem pl. fogalmam sincs, amikor en csinaltam akkor 120 korul volt a kerdesek szama es 50-et tettek fel talan?
De pl a Checkpoint vizsgan 120 kerdesre volt alig tobb mint 2 ora.
Hazudj Pinokkio! Hazudj!
-
#2646
jerry311
nagyúr
Hedgehanter
#2645
jerry311
nagyúr
válasz
Hedgehanter
#2645
üzenetére
Aha, legalabb hasanalhato.
Kozben talaltam a belsoceges oktatasi rendszerben traininget ra. Azon atragom magam, meg ha mar van ki dle,jo lesz a konyv olvasni vonaton. -
jerry311
nagyúr
Egy darab IP-je lesz a cégnek, de ezzel 65536 ember tudna netezni.
Miért is? Gyakorlatilag annyi a vége, amennyit a NAT-ot végző eszköz hardvere és szoftvere elbír. Lehet pl. 10M connection, 350k con/sec sebességgel akár.#2513
És akkor még a vezeték nélküli kütyükről nem is beszéltünk. Máris 8-10 pirvát IP-nél járunk. (pl ketten lakunk most: van 2 pc, 2 laptop, 2 android telefon, 2 céges blackberry és 1 tablet = 9 )csabyka666
Ha van beállítva proxy (mert miért is ne lehetne), akkor az ilyen IP cím lekérdezős weblapok azt fogják visszaadni, mint publikus IP cím. Ettől még az egyes előfizetőknek lehet külön publikus IP címük. -
jerry311
nagyúr
Az ASA alapból így működik. Stateful Packet Inspection firewall.
Általános biztonsági megoldásnak elég is, esetleg plusz biztonsági intézkedésnek beállíthatsz nat-control-t így csak az a forgalom mehet át, amire NAT is van.
Ennél feljebb lépve lehet egy "default allow" megközelítést alkalmazni, vagyis néhány dolgot letiltasz és utána kb. permit any any.
Még egyet lépve felfelé jön a "default deny", azaz kiengeded mondjuk a böngészést, emaileket, esetleg FTP-t és minden más tiltva.
Attól függ mire van igény, egy rendszer biztonság a használhatatlanságig növelhető.
Találkoztam már olyannal, ami közel volt ehhez. -
-
jerry311
nagyúr
GNS3.
Mi a teendo ha a virtualis gepek nem latnak ki az igazi halora?
Ezen mar tul vagyok.Router ---- switch ---- cloud ---- Local are connection 3 ---- TP-Link ---- Internet
Az az erdekes, hogy a TP-Linktol kap DHCP-n IP-t es default route-ot is, pingelni mar nem tudja.
-
jerry311
nagyúr
-
jerry311
nagyúr
Haat, ha mashol nem hasznalod a 192.168.3.0/27-et vagy /24-et, hogy egyszerubb legyen az elet, akkor az jo.
De lehet akar teljes megkulonboztetes is, pl: 10.10.10.0/24. Ilyen kis rendszernel mindegy, ha mondjuk teljes Europai halozatot terveznel, na az mas...Azt nem értem, hogy ilyenkor mi alapján tudja majd a belső erőforrásokat elérni, ha más subnet.
Mondjuk van koztuk egy GW, ami jelen esetben az ASA, ami routol meg NATol?ASDM-ben keszitesz egy NAT exemption rule-t, amit be is pakolsz a sor elejere. Source lehet any, de a destination mindenkepp a VPN pool. Ha el van baszarintva, akkor ugy kepes ra az ASA, hogy NAT nelkul kikuldje a nagy internetbe a forgalmat a LAN IP-vel, aztan nem mukodik semmi.
-
jerry311
nagyúr
Ket ponton hibas a konfig.
Az elso, hogy a belso subnet egy darabjat adtad a VPN klienseknek. -> Ne legyen atfedes olyan subnetekkel, amik esetleg masik interface fele vannak routolva, mukodesre lehet birni, de csak problemakat gyartasz vele magadnak. Legyen egy subneted, amit arra routolsz, amelyik interface-re csatlakoznak a VPN kliensek.A masodik, hogy a VPN kliensek fele meno forgalmat is NATolod. -> NAT exemption a baratod.
-
jerry311
nagyúr
válasz
jerry311
#2327
üzenetére
Pl sokat segít ha a BGP továbbadja az EIGRP-n tanult routokat.
router bgp 65001
no synchronization
bgp log-neighbor-changes
redistribute eigrp 65001
neighbor 2.2.2.2 remote-as 65000
neighbor 2.2.2.2 ebgp-multihop 255
neighbor 2.2.2.2 update-source Loopback0
neighbor 3.3.3.3 remote-as 65001
neighbor 3.3.3.3 update-source Loopback0
neighbor 3.3.3.3 next-hop-self
no auto-summary -
jerry311
nagyúr
válasz
zsolti.22
#2326
üzenetére
Az ISP-ig elér a csomag. Visszafelé van valami...
Mondjuk leginkább nincs route-ja vissza a 192.168.1.2 felé.ISP#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
1.0.0.0/32 is subnetted, 1 subnets
S 1.1.1.1 is directly connected, Serial0/0
50.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 50.0.0.0/24 is directly connected, Loopback3
S 50.0.0.0/8 is directly connected, Null0
2.0.0.0/32 is subnetted, 1 subnets
C 2.2.2.2 is directly connected, Loopback0
20.0.0.0/30 is subnetted, 1 subnets
C 20.0.0.0 is directly connected, Serial0/0
40.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 40.0.0.0/24 is directly connected, Loopback2
S 40.0.0.0/8 is directly connected, Null0
60.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 60.0.0.0/24 is directly connected, Loopback4
S 60.0.0.0/8 is directly connected, Null0
30.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 30.0.0.0/24 is directly connected, Loopback1
S 30.0.0.0/8 is directly connected, Null0 -
jerry311
nagyúr
Eloszor csak erdeklodeskeppen, hogy Stateful IPSec HA-rol van-e valakinek halvany lila segedfogalma?
Ha igen, akkor majd jonnek a kerdeseim
-
jerry311
nagyúr
Akkor ugy tunik CCIE vagyok, eddig eszre sem vettem. Mingya irok a cickonak, hogy legyen szives elkuldeni a szamom.
Ugy erzem itt van egy kis kaosz...
next hop - szerintem egyertelmu, ahova kuldod a csomagot.
'net' amit routeolsz, ez a cel vagy a forras, jo esellyel nem egy kozbenso router (mont pl az ISP GW).Nemtom mennyire vagyok ertheto, de tippelem nem nagyon.
-
jerry311
nagyúr
Javarészt a configod copy-pasztája.
Itt-ott átírva és/vagy egyszerűsítve. Pl. csak 2 router Fa0/0-n összekábelezve.
R2#show runcrypto isakmp policy 10
encr 3des
hash md5
authentication pre-sharecrypto isakmp key cisco123 address 30.0.0.1 no-xauth
crypto ipsec transform-set cisco esp-3des esp-md5-hmac
crypto map vpn-map 10 ipsec-isakmp
set peer 30.0.0.2
set transform-set cisco
match address 100interface Loopback1
ip address 172.16.0.1 255.255.255.0interface Loopback2
ip address 192.168.1.1 255.255.255.0interface Loopback3
ip address 172.16.1.1 255.255.255.0interface Tunnel10
ip address 20.0.0.2 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 30.0.0.2
!
interface FastEthernet0/0
ip address 30.0.0.1 255.255.255.252
duplex auto
speed auto
crypto map vpn-maprouter eigrp 10
network 20.0.0.0
network 172.16.0.0 0.0.3.255
no auto-summaryip route 0.0.0.0 0.0.0.0 30.0.0.2 --> mert lusta vagyok.
access-list 1 deny 192.168.1.0
access-list 1 permit any
access-list 2 deny 192.168.0.0 0.0.0.255
access-list 100 permit ip 172.16.0.0 0.0.1.255 192.168.0.0 0.0.1.255
access-list 100 permit gre any any --> mert még annál is lustább vagyok.=========================================================
=========================================================R1#show run
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key cisco123 address 30.0.0.1 no-xauthcrypto ipsec transform-set cisco esp-3des esp-md5-hmac
crypto map vpn-map 10 ipsec-isakmp
set peer 30.0.0.1
set transform-set cisco
match address 100interface Loopback1
ip address 192.168.0.1 255.255.255.0interface Loopback3
ip address 192.168.2.1 255.255.255.0interface Tunnel10
ip address 20.0.0.1 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 30.0.0.1interface FastEthernet0/0
ip address 30.0.0.2 255.255.255.252
duplex auto
speed auto
crypto map vpn-maprouter eigrp 10
network 20.0.0.0
network 192.168.0.0 0.0.3.255
no auto-summaryip route 0.0.0.0 0.0.0.0 30.0.0.1
access-list 1 deny 192.168.1.0
access-list 1 permit any
access-list 2 deny 192.168.0.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.1.255 172.16.0.0 0.0.1.255
access-list 100 permit gre any any=========================================================
=========================================================R1# show ip route eigrp
172.16.0.0/24 is subnetted, 2 subnets
D 172.16.0.0 [90/297372416] via 20.0.0.2, 00:06:24, Tunnel10
D 172.16.1.0 [90/297372416] via 20.0.0.2, 00:06:24, Tunnel10
R1# -
jerry311
nagyúr
Ha crypto ACL-be beleteszed a külső IP-k közti forgalmat is, akkor nem fog menni, mert buta és úgy értelmezi, hogy titkosítania kéne már az első csomagot is, csak hát nincs mivel... Ezért kapsz hibát. Vagy valami ilyesmi.
GRE-hez sosem értettem. GRE és 'mode transport' a transform-set configban nagyon szeretik egymást. Ez mondjuk opcionális egy ideig, aztán kötelező, attól függ mit konfigolsz.
Csak telepítenem kell már egy NGS3-at...
-
jerry311
nagyúr
válasz
zsolti.22
#2264
üzenetére
Az utóbbi 1-2 éve SSD-i már fel vannak vértezve mindenféle földi jóval, ha esetleg az OS és a BIOS sem támogat bizonyos SSD specifikus utasításokat, akkor se legyen gond. Ha van SATA support akkor már nyert ügy.
Egy laptopnak mindig a HDD lesz a leglassabb része, akkor nyerhetsz legtöbbet, ha azt lecseréled SSD-re.
Na meg kevesebbet is fogyaszt és jobban bírja a hurcolásból eredő rázkódást és egyéb fizikai behatásokat is.
1,5-2 hónapja döglött meg laptopomban a vinyó. Nem egyik napról másikra, meg volt mentésem is, de nyilván nem szerette a mozgást. -
jerry311
nagyúr
-
jerry311
nagyúr
VPN lampa majd eg, ha lesz aktiv VPN kapcsolat.
A megoldas helyett inkabb felteszek egy kerdest.
Hogyan szeretned elerni inside oldalrol a WebVPN-t (es vele egyutt az AnyConnect klienst) ha csak az outside-ra engedelyezted a webvpn-t?
ASA nem tud olyat, hogy belul vagy az ajton, de kivulrol kopogtatsz.UI: ha egy interface-en van WebVPN is es ASDM is akkor a sima URL lesz a WebVPN, a /admin pedig az ASDM vagy kulon portra kell konfigolni.
Egyebkent kivulrol szepen elerheto.
-
jerry311
nagyúr
Alapvetően jó megoldást választottál, hogy így akartad vagy csak véletlen az már más kérdés.
Egyfomra security levelen lévő interfacek közt, default beállítások mellett, nem engedélyez semmilyen forgalmat az ASA/PIX software.
Ennyi.
Bekonfigurálod a NAT-ot szépen és mindkettő kilát a netre.
Új hozzászólás Aktív témák
Hirdetés
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
- Amatőr csillagászat
- Suzuki topik
- Google Pixel 9 Pro XL - hét szűk esztendő
- Tőzsde és gazdaság
- Kínai és egyéb olcsó órák topikja
- Zyxel NAS326
- Formula-1
- Akciófigyelő: Jelentősen olcsóbban nyit az Ulefone új mindenese
- Okosóra és okoskiegészítő topik
- További aktív témák...
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: PC Trade Systems Kft.
Város: Szeged