-
Fototrend
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
#5100
Cyber_Bird
senior tag
klambi
#5099
Cyber_Bird
senior tag
igen, ripv1 clasfull protokoll, nem tud classless hirdetni. Vagyis csak "osztalyos" halozatokat hirdethetsz vele.
pl ha van ket halod
192.168.1.0/25--R1---------R2----------R3------192.168.1.128/25
es mindketton:
router rip
version 1
network 192.168.1.0van beirva(mivel maszkot nem kezel)
akkor az R2 ket oldalrol fogja kapni a 192.168.1.0/24 C osztalyu halozatot es emiatt nem tudja majd hogy most merre is erheti el. Ha azonos a metric marpedig azonos, akkor load-balanceolni fog a router, mivel mindket route bekerul a routing tablajaba.
Szoval a csomagok egy resze ide megy egy resze oda. Nem eppen az amit szeretnenk.Egyebkent RIP-et nem nagyon hasznaljak, uj ccna-bol ki is vettek. (ccnpben meg benne van, de kb csak a redisztribuciohoz) Szerintem ha frissitik onnan is kiveszik es csak megemlitek hogy milyen problemak lehetnek.
-
#5096
tacsk0
aktív tag
Cyber_Bird
#5086
tacsk0
aktív tag
válasz
Cyber_Bird
#5086
üzenetére
teljesen igazad van, csunyan osszekevertem a kettot
mire javithattam volna elment a lehetoseg... -
crok
Topikgazda
A gond a config: amit te írtál az megenged még 13MB burst byte-ot
és 20MB max burst byte-ot.. ami borzasztósok, lévén, hogy egy E3-
ról beszélsz. Neked ez kell, ha 10-re akarod limitelni:rate-limit input 10000000 5000 5000 conform-action transmit exceed-action drop
rate-limit output 10000000 5000 5000 conform-action transmit exceed-action drop -
Akiii
tag
válasz
jerry311
#5079
üzenetére
nterface Serial0/0
bandwidth 34010
no ip address
rate-limit input 10000000 13000000 20000000 conform-action transmit exceed-action drop
rate-limit output 10000000 13000000 20000000 conform-action transmit exceed-action drop
encapsulation frame-relay IETF
dsu bandwidth 34010
serial restart-delay 0
frame-relay lmi-type cisco
end5 minute input rate 31931000 bits/sec, 5022 packets/sec
5 minute output rate 19078000 bits/sec, 4532 packets/sec -
zsolti.22
senior tag
Két külön VLAN-ba vannak, igen. Ahhoz, hogy menjen a ping, PC1 és PC2-nek az átjáróhoz, a routerhez kell küldenie a csomagot, mert nem azonos hálózatban van vele a PC3. Innen a fa0/0.200-ra és továbbítja - mivel connected útvonal lesz a RIB-ben - tehát minden a routeren keresztül történik, de csak abban az esetben, ha a forrás és a cél nem egy hálón van.
-
-
zsolti.22
senior tag
1. 2. válasz: nem nagyon vannak egy hálóban (EIGRP-nél ez mondjuk pont nem lenne lényeg
)
2. 3. válasz: intervlan routing kellene router on a stick megoldással
3. 1. és 3.Én picit még olvasgatnék, de ne vedd szemrehányásnak kérlek.
@Cyber_bird: jól tudod, a route poisoning RIP-nél arra van, amire írtad.
@Quby: Kérlek
-
#5086
Cyber_Bird
senior tag
tacsk0
#5083
Cyber_Bird
senior tag
Azert nincs elkuldve mert akkor mar infinite metric lenne ha megnovelne egyel a hop countot es kikuldene.
Nem utvonal mergezes miatt nem megy ki. Az utvonal mergezes az ugye arra van tipikusan, hogyha egy halozat nem elerheto, akkor a tobbi router egybol tudja, hogy nem elerheto a halozat, ilenkor vegtelen metric-el hirdeti.
Ugye a routing protokollok alapvetoen arra valoak, hogy azokat az utvonalakat hirdesd amiket elersz, azert van a route poisoning, hogy ezt felhasznalva trukkosen hirdesd a "nem elerheto" utvonalakat is. (konyhanyelven) Persze javitsatok ki, ha tevednek. -
klambi
addikt
van egy 192.168.1.0 /24 [120/1] -> 192.168.100.1 Fa 1/0
192.168.2.0 /24 [120/15] -> 192.168.101.1 Fa 0/0
192.168.3.0 /24 [120/2] -> 192.168.101.1 Fa 0/0
192.168.4.0 /24 [120/7] -> 192.168.101.1 Fa 0/0
router irányitó tábla, az lenne a kérdés, hogy frissítésnél melyik nem lesz elküldve a frissítéskor?
na az én válaszom a 2. lenne mert ugye a distance value-ból látszik hogy RIP, és ő meg a legolcsóbbat küldi el.haaa jól tudom...
-
#5078
Akiii
tag
Cyber_Bird
#5077
Akiii
tag
válasz
Cyber_Bird
#5077
üzenetére
input output ratere gondolok miert ir tobbet mint 10 mega ha egyszer rajta van a rate limit
5 minute input rate 31931000 bits/sec, 5022 packets/sec
5 minute output rate 19078000 bits/sec, 4532 packets/sec -
#5077
Cyber_Bird
senior tag
Akiii
#5075
Cyber_Bird
senior tag
Ha a show interface intnev parancsra gondolsz, ott tudtommal minden esetben a fizikai medium default sebesseget irja ki(pl ethernetnel amennyivel osszeallt a link), kiveve, ha beallitod a bandwidth parancs hasznalataval az aktualisra. A bandwidth parancs persze a sebesseget nem befolyasolja. gondolom valamit traffic shapinggel van rate limitelve az interface.
-
-
FecoGee
Topikgazda
Mivel a 192.168.0.0 - 192.168.3.254 tartományokat akarod hirdetni, a válasz nem lehet /24...
192.168.0.0/22, azaz 192.168.0.0 255.255.252.0
Bár a 2.0-s résznél az általad megadott subnet csak .192-ig tart a 3.0-snál pedig csak .224-ig és az én summary-m tartalmazza a fennmaradó subneteket is. Tehát kaphatsz olyan prefixeket, amely nem is a tiéd. De úgy vettem ki a feladatból, hogy csak 1 summary route-d lehet. Így pedig a legjobb a /22.
-
klambi
addikt
ismét megerősítést szeretnék kérni!
van 3 routerem, össze kell vonni a címeket, egy 4. routeren ami megy az ISP felé, tehát:
1: 192.168.0.0 /24
192.168.1.0 /25
192.168.1.128 /252: 192.168.2.0 /26
192.168.2.64 /26
192.168.2.128 /263: 192.168.3.0 /25
192.168.3.128 /26
192.168.3.192 /27ezt a 192.168.0.0 /24 el vonhatom össze,ugye?
-
#5070
zsolti.22
senior tag
Cyber_Bird
#5063
zsolti.22
senior tag
válasz
Cyber_Bird
#5063
üzenetére
eigrp-nél rid:
eigrp router-id 1.2.3.4 -
#5069
jerry311
nagyúr
Cyber_Bird
#5067
jerry311
nagyúr
válasz
Cyber_Bird
#5067
üzenetére
Az ASA egy eleg faszan mukodo Linux alapu tuzfal, IOS-ben megszokott CLI-vel (es egyre jobb GUI-val).
A CheckPoint, na az egy Linux alapu kutytmuty, fuggetlenul attol, hogy mar 20 eve csiszolgatjak. Egyebkent kezdik megemberelni magukat az utobbi 1-2 evben. GAiA alapon mar kevesbe fajdalmas, mint smirglivel aranyeret torolni. -
#5068
klambi
addikt
Cyber_Bird
#5067
klambi
addikt
válasz
Cyber_Bird
#5067
üzenetére
hát igazából én is, mert bárminek utána nézek, ugye az angol, és a marha nyelvű magyart meg néha nem értem mire gondol...
de ezeket haverom adta fősuliról, valamilyen háló tárgyukban voltak és mondta hogy a magyar ccna ban is ilyenek vannak. inkább megnézem ami van, ér ez is csak valamit...
de kiakadok a dumáktól nagyon! (olyan mint egy IT maaunikasó) -
#5067
Cyber_Bird
senior tag
klambi
#5065
Cyber_Bird
senior tag
Sikitofraszt kapok ettol a magyartol
De egyebkent jol gondolod, ezek miatt nem jon letre.ASA: Az kulon allatfaj az biztos, linux alapu IOS like kutymuty. Szerencsere jo ideje nem volt veluk dolgom. Pedig erdekes vilag a security is, csak... (lassan ki is szedem azt a secu-t az alairasombol, ugyse emlekszem mar sokra belole.
-
#5064
klambi
addikt
Cyber_Bird
#5063
klambi
addikt
válasz
Cyber_Bird
#5063
üzenetére
okok!!!
-
#5063
Cyber_Bird
senior tag
klambi
#5062
-
#5062
klambi
addikt
Cyber_Bird
#5061
klambi
addikt
válasz
Cyber_Bird
#5061
üzenetére
hopp tényleg fordítva írtam... hiába, csak kell az a kv...
okok ospf itt is van, de akkor a loopback jó ugye? -
#5061
Cyber_Bird
senior tag
klambi
#5060
Cyber_Bird
senior tag
Szia!
sh ip interface brief a parancs
sh ip protocols viszont, amit te keresel.
Ott kiirja a router id-t OSPF eseten.eigrp eseten en pl a sh ip eigrp topology parancsot szoktam hasznalni, ott kiirja a RID-et de persze ott nem olyayn lenyeges mint ospf eseten.
Egyebkent a router-id valasztasa, ha jol emlekszem(fixme) ilyen sorrendben van:
1. Kezzel a router config modeban megadott id (router-id x.x.x.x)
2. legmagasabb loopback interface ip cime
3. legmagasabb up/up-ban levo fizikai interface ip cime. -
-
crok
Topikgazda
válasz
jerry311
#5057
üzenetére
Err.. itthon, labban is összeraktam.. pont ugyan ezt csinálja..
először GNS bugnak gondoltam, de lehet IOS "limitáció"..
Mondjuk nem is "normál felhasználás". Kérdés: jól gondolom,
hogy az ip nat inside|outside nem mozdítható és eleve ott van,
valamint hogy nem írható át ip nat enable-re csak úgy? -
jerry311
nagyúr
válasz
jerry311
#5055
üzenetére
Most ez mi?
ping 20.20.20.230 --> 10.10.20.2 --- nincs NAT
ping 20.20.20.230 --> 10.10.10.3 --- van NAT
ping 20.20.20.230 --> 10.10.20.2 --- van NATHogyan születik a 3. pingnél a NAT? Hogyan illeszkedik ez akármilyen meglévő translation-re, ami alapján még jogos is lehetne?
R1#clear ip nat trans *
R1#show ip nat transR2#ping 10.10.20.2 repeat 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 10.10.20.2, timeout is 2 seconds:
.
Success rate is 0 percent (0/1)R1#show ip nat trans
R2#ping 10.10.10.3 repeat 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 10.10.10.3, timeout is 2 seconds:
!
Success rate is 100 percent (1/1), round-trip min/avg/max = 164/164/164 msR1#
*Nov 16 18:14:10.134: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.10.3, len 100, input feature
*Nov 16 18:14:10.138: ICMP type=8, code=0, Stateful Inspection(5), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.142: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.10.3, len 100, input feature
*Nov 16 18:14:10.142: ICMP type=8, code=0, Virtual Fragment Reassembly(25), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.146: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.10.3, len 100, input feature
*Nov 16 18:14:10.146: ICMP type=8, code=0, Virtual Fragment Reassembly After IPSec Decryption(39), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.150: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.10.3, len 100, input feature
*Nov 16 18:14:10.154: ICMP type=8, code=0, NAT Outside(66), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.158: IP: s=20.20.20.230 (FastEther
R1#net0/0), d=10.10.10.3, len 100, input feature
*Nov 16 18:14:10.158: ICMP type=8, code=0, MCI Check(80), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.162: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 20.20.20.230 dst 10.10.10.3
*Nov 16 18:14:10.162: FIBfwd-proc: packet routed by adj to FastEthernet0/1 192.168.1.1
*Nov 16 18:14:10.166: FIBipv4-packet-proc: packet routing succeeded
*Nov 16 18:14:10.166: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.10.3 (FastEthernet0/1), len 100, output feature
*Nov 16 18:14:10.170: ICMP type=8, code=0, NAT Inside(8), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.174: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.10.3 (FastEthernet0/1), len 100, output feature
*Nov 16 18:14:10.178: ICMP type=8, code=0, Stateful Inspection(27), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.178: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.10.3 (Fast
R1#Ethernet0/1), len 100, output feature
*Nov 16 18:14:10.182: ICMP type=8, code=0, NAT ALG proxy(55), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.186: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.10.3 (FastEthernet0/1), g=192.168.1.1, len 100, forward
*Nov 16 18:14:10.190: ICMP type=8, code=0
*Nov 16 18:14:10.194: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.10.3 (FastEthernet0/1), len 100, sending full packet
*Nov 16 18:14:10.194: ICMP type=8, code=0
*Nov 16 18:14:10.246: IP: s=10.10.10.3 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:10.250: ICMP type=0, code=0, Stateful Inspection(5), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.254: IP: s=10.10.10.3 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:10.254: ICMP type=0, code=0, Virtual Fragment Reassembly(25), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.258: IP: s=1
R1#0.10.10.3 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:10.258: ICMP type=0, code=0, Virtual Fragment Reassembly After IPSec Decryption(39), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.258: IP: s=10.10.10.3 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:10.258: ICMP type=0, code=0, MCI Check(80), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.258: FIBipv4-packet-proc: route packet from FastEthernet0/1 src 10.10.10.3 dst 192.168.1.72
*Nov 16 18:14:10.258: FIBfwd-proc: Default:192.168.1.72/32 receive entry
*Nov 16 18:14:10.258: FIBipv4-packet-proc: packet routing failed
*Nov 16 18:14:10.258: IP: tableid=0, s=10.10.10.3 (FastEthernet0/1), d=192.168.1.72 (FastEthernet0/0), routed via RIB
*Nov 16 18:14:10.258: IP: s=10.10.10.3 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, output feature
*Nov 16 18:14:10.262: ICMP type=0, code=0, Post-routing NAT
R1# Outside(24), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.266: IP: s=10.10.10.3 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, output feature
*Nov 16 18:14:10.270: ICMP type=0, code=0, Stateful Inspection(27), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.270: IP: s=10.10.10.3 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, output feature
*Nov 16 18:14:10.270: ICMP type=0, code=0, NAT ALG proxy(55), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:10.270: IP: s=10.10.10.3 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), g=20.20.20.230, len 100, forward
*Nov 16 18:14:10.270: ICMP type=0, code=0
*Nov 16 18:14:10.270: IP: s=10.10.10.3 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, sending full packet
*Nov 16 18:14:10.270: ICMP type=0, code=0
R1#
R1#show ip nat trans
Pro Inside global Inside local Outside local Outside global
icmp 10.10.10.3:87 10.10.10.3:87 192.168.1.72:87 20.20.20.230:87
--- --- --- 192.168.1.72 20.20.20.230R2#ping 10.10.20.2 repeat 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 10.10.20.2, timeout is 2 seconds:
!
Success rate is 100 percent (1/1), round-trip min/avg/max = 112/112/112 msR1#
*Nov 16 18:14:20.870: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.20.2, len 100, input feature
*Nov 16 18:14:20.874: ICMP type=8, code=0, Stateful Inspection(5), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.878: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.20.2, len 100, input feature
*Nov 16 18:14:20.878: ICMP type=8, code=0, Virtual Fragment Reassembly(25), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.882: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.20.2, len 100, input feature
*Nov 16 18:14:20.886: ICMP type=8, code=0, Virtual Fragment Reassembly After IPSec Decryption(39), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.886: IP: s=20.20.20.230 (FastEthernet0/0), d=10.10.20.2, len 100, input feature
*Nov 16 18:14:20.890: ICMP type=8, code=0, NAT Outside(66), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.890: IP: s=20.20.20.230 (FastEther
R1#net0/0), d=10.10.20.2, len 100, input feature
*Nov 16 18:14:20.890: ICMP type=8, code=0, MCI Check(80), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.890: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 20.20.20.230 dst 10.10.20.2
*Nov 16 18:14:20.890: FIBfwd-proc: packet routed by adj to FastEthernet0/1 192.168.1.1
*Nov 16 18:14:20.890: FIBipv4-packet-proc: packet routing succeeded
*Nov 16 18:14:20.894: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.20.2 (FastEthernet0/1), len 100, output feature
*Nov 16 18:14:20.894: ICMP type=8, code=0, NAT Inside(8), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.894: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.20.2 (FastEthernet0/1), len 100, output feature
*Nov 16 18:14:20.894: ICMP type=8, code=0, Stateful Inspection(27), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.894: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.20.2 (Fast
R1#Ethernet0/1), len 100, output feature
*Nov 16 18:14:20.898: ICMP type=8, code=0, NAT ALG proxy(55), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.898: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.20.2 (FastEthernet0/1), g=192.168.1.1, len 100, forward
*Nov 16 18:14:20.898: ICMP type=8, code=0
*Nov 16 18:14:20.898: IP: s=192.168.1.72 (FastEthernet0/0), d=10.10.20.2 (FastEthernet0/1), len 100, sending full packet
*Nov 16 18:14:20.898: ICMP type=8, code=0
*Nov 16 18:14:20.914: IP: s=10.10.20.2 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:20.918: ICMP type=0, code=0, Stateful Inspection(5), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.918: IP: s=10.10.20.2 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:20.922: ICMP type=0, code=0, Virtual Fragment Reassembly(25), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.926: IP: s=1
R1#0.10.20.2 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:20.926: ICMP type=0, code=0, Virtual Fragment Reassembly After IPSec Decryption(39), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.930: IP: s=10.10.20.2 (FastEthernet0/1), d=192.168.1.72, len 100, input feature
*Nov 16 18:14:20.934: ICMP type=0, code=0, MCI Check(80), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.934: FIBipv4-packet-proc: route packet from FastEthernet0/1 src 10.10.20.2 dst 192.168.1.72
*Nov 16 18:14:20.938: FIBfwd-proc: Default:192.168.1.72/32 receive entry
*Nov 16 18:14:20.938: FIBipv4-packet-proc: packet routing failed
*Nov 16 18:14:20.942: IP: tableid=0, s=10.10.20.2 (FastEthernet0/1), d=192.168.1.72 (FastEthernet0/0), routed via RIB
*Nov 16 18:14:20.942: IP: s=10.10.20.2 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, output feature
*Nov 16 18:14:20.946: ICMP type=0, code=0, Post-routing NAT
R1# Outside(24), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.950: IP: s=10.10.20.2 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, output feature
*Nov 16 18:14:20.954: ICMP type=0, code=0, Stateful Inspection(27), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.954: IP: s=10.10.20.2 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, output feature
*Nov 16 18:14:20.954: ICMP type=0, code=0, NAT ALG proxy(55), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
*Nov 16 18:14:20.954: IP: s=10.10.20.2 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), g=20.20.20.230, len 100, forward
*Nov 16 18:14:20.954: ICMP type=0, code=0
*Nov 16 18:14:20.954: IP: s=10.10.20.2 (FastEthernet0/1), d=20.20.20.230 (FastEthernet0/0), len 100, sending full packet
*Nov 16 18:14:20.954: ICMP type=0, code=0
R1#
R1#show ip nat trans
Pro Inside global Inside local Outside local Outside global
icmp 10.10.10.3:87 10.10.10.3:87 192.168.1.72:87 20.20.20.230:87
icmp 10.10.20.2:88 10.10.20.2:88 192.168.1.72:88 20.20.20.230:88
--- --- --- 192.168.1.72 20.20.20.230 -
-
jerry311
nagyúr
válasz
jerry311
#5053
üzenetére
El van baltázva a static route.
ip route 20.20.20.230 255.255.255.255 GigabitEthernet0/0.559 name VRF559
helyett
ip route 192.168.1.72 255.255.255.255 GigabitEthernet0/0.559
Így már megy, de még mindig mindent NAT-ol (20.20.20.230 --> 192.168.1.72), azt is amit a route map szerint nem kellene.
-
jerry311
nagyúr
A 10.10.10.x címek majd válaszolnak a 192.168.1.72-nek, de azt ki
fogja átírni 20.20.20.230-ra? A Unicorn Farts felhő? Mert a NAT-oló
routerig el se jut majd a forgalom, max akkor, ha Unicorn Farts-nak
van egy /32 static route-ja 20.20.20.230-ra next-hop 192.168.1.60-al
(miközben van egy /24-es connected route-ja 192.168.1.0-ra).Wat?
20.20.20.230 küld egy ICMP echo request-et 10.10.10.x-nek (mert csak pingre kell, mint monitoring). Ezt a def. gw-nek küldi, ami 20.20.20.225. Ennek a routernek a dolga lenne, hogy 20.20.20.230 --> 10.10.10.x forgalom esetén NAT-oljon mégpedig úgy, hogy a source 20.20.20.230 csere 192.168.1.72-re, míg destination marad változatlan. Ez a router továbbküldi az egészet az ISP-nek.
Unicorn farts felhőben 192.168.1.72 --> 10.10.10.x csomagok láthatók.
10.10.10.x címek a 192.168.1.72-nek válaszolnak, ez a Unicorn farts-on keresztül eljut a 192.168.1.1 (ISP) routerig, ami nyilván ARP-ot küld, erre válaszol a 192.168.1.62 router. Majd az un-NAT és mindenki boldog.A dolog működik, csak nem úgy ahogy kellene.
Két konfigot próbáltam:
ip nat outside source route-map NAT-MAP pool pool-72 vrf VRF559 - Ezzel az volt a gond, hogy a route-map marhára nem akart működni, azaz teljesen mindegy, hogy a destination mi volt (10.10.10.x vagy x.x.x.x (lásd rajz)) minden forgalmat NAT-olt, ami a VRF559-ből ment a global felé. --> nem jó.ip nat outside source route-map NAT-MAP pool pool-72 - Ez meg semmit se NAT-olt. Szerintem azárt, mert golbal VRF-ben várja a traffic-ot nem 559-ben.
Az egész kíséretezgetés után a NONAT ACL hitcount 0. Tehát valami valahol nagyon nem jó, de szerintem helyesen követtem a Cisco NAT config guide-ot.
-
crok
Topikgazda
válasz
jerry311
#5051
üzenetére
Nekem ezzel van bajom:
"192.168.1.72 a külső oldalon, tehát ip nat inside felőli részen van."Ha külső IP-t úgy forgatsz belsőre, hogy az egy alhálóban van a belső
hálóval, akkor onnan a válaszcsomag hogy fog kijutni? Sehogy, hisz
a belső host azt fogja mondani, hogy küldök ARP kérést, egy hálóba
esik velem, lesz ARP-om és direct válaszolok (kellhet proxy-ARP..).A 10.10.10.x címek majd válaszolnak a 192.168.1.72-nek, de azt ki
fogja átírni 20.20.20.230-ra? A Unicorn Farts felhő? Mert a NAT-oló
routerig el se jut majd a forgalom, max akkor, ha Unicorn Farts-nak
van egy /32 static route-ja 20.20.20.230-ra next-hop 192.168.1.60-al
(miközben van egy /24-es connected route-ja 192.168.1.0-ra)...de ha már mindenképp így kell csinálni (mert inherited legacy háló)
akkor jó, akkor megnézem majd a felállást megint. De az elgondolás
jónak tűnik, a VRF kicsit ugyan megbolondítja a dolgot, de jó lesz. -
jerry311
nagyúr
First things first...
Valaki egyszer úgy gondolta, hogy az jó lesz, ha az 'ip nat inside' van az internet fel, outside pedig belül.
192.168.1.72 a külső oldalon, tehát ip nat inside felőli részen van. Most hogy ez éppen RFC1918 tartományban van az másik kérdés, nem "publikus internet" felé van, működik.A NONAT azért lett NO NAT mert elírtam a nevét. (meg az ellenség megtévesztése miatt is
)
Ami a NONAT ACL-ben van, azt kellene NAT-olni, ami nincs azt nem.Rövid leírás: cseréljük a 20.20.20.230-at 192.168.1.72-re ha a cél 10.10.10.(3|4|125|126). Mindezt úgy, hogy ip nat inside és outside fordítva van és 559-es VRF-ből meg globalba.
Rajzoltam.
draw io egész használható
-
#5050
crok
Topikgazda
kristofkax
#5047
crok
Topikgazda
válasz
kristofkax
#5047
üzenetére
A VRF ebben az esetben "nem szentírás" és "kiléphetsz"
belőle úgy, megadod az interface-t és a next-hop-ot. Akár
a globálban akár egy másik VRF-ben levő interfacet is meg-
adhatsz. Ez egyfajta (static) route-leaking, az IOS megengedi
és ha oda-vissza megcsinálod - ekkor 2 VRF közt is csinál-
hatsz forgalmat. Így oldottuk meg sok helyen a (nem VRF
aware IOS-ek alatt) a NetFlow csomagok küldését VRF-
ben levő source interface-t használva a globál táblában (és
ott elég egy static route, mert UDP, nem vár választ): static
route-ot vettünk fel a VRF-ben a flow-export destination-re
úgy, hogy a globálban van a next-hop IP és interface is. -
crok
Topikgazda
válasz
jerry311
#5046
üzenetére
Azt hiszem tudom miért kérdezi kristofkax a proxy-arpot:
20.20.20.230 outside címet 192.168.1.72-re, egy inside
címre NATolod a leírtak szerint. Így amikor a destination
válaszolni fog a routeren már nem fog átmenni a csomag,
mivel a destination (a \b(10\.){3}([34])\b|(12[56]\b) hostoktól)
úgy kapott csomagot, hogy a source 192.168.1.72, egy
a routered inside interface-e utáni eszköz volt, pedig nem,
egy outside interface mögötti volt, a válasz a routerig el se
fog jutni ("aszimmetrikus" a routing). A statikus utak is ezt
írják le: a VRF-ben csak egy 0.0.0.0 utad van, ami a routerről
egy másikra mutat valamint a globális routing táblában egy
IP-re egy statikus út, az outside felőli IP-je a hostodnak.Nem tiszta mit mire és miért szeretnél cserélni. Mi a cél?
Ha 20.20.20.230 el akarja érni \b(10\.){3}([34])\b|(12[56]\b)
hostok valamelyikét akkor mindig, kivétel nélkül cserélje le:
a, 20.20.20.230-at 192.168.1.72-re?
b, Az ACL alapján:
talán az inside/outside fel van cserélve?
(Miért NONAT a neve? Akkor most NAT vagy negált NAT lista?)
\b(10\.){3}([34])\b|(12[56]\b) most akkor inside vagy outside
oldalon van? Statikus utak alapján nem derül ki, ám..ip access-list extended NONAT
permit ip host 10.10.10.3 host 20.20.20.230
permit ip host 10.10.10.4 host 20.20.20.230
permit ip host 10.10.10.125 host 20.20.20.230
permit ip host 10.10.10.126 host 20.20.20.230route-map NAT-MAP permit 10
match ip address NONAT..szerint outside felől:
- ha source \b(10\.){3}([34])\b|(12[56]\b)
- és destination 20.20.20.230 akkorip nat outside source route-map NAT-MAP pool pool-72 vrf VRF559
alapján outside felől a source \b(10\.){3}([34])\b|(12[56]\b)
cserélődik le 192.168.1.72-re (?), ami meg inside interface
directly connected cím - akkor arra a válasz sose fog még
a routerig se eljutni. Kivéve ha van proxy-arp. Késő van,
lehet nem fog az agyam, de egy rajz is sokat segítene:
mi melyik oldalon van és mit mire szeretnél cserélni?
A routing-ot megcsinálni utána már nem olyan nagy ügy.
Bizos pofonegyszerű a felállás és túlbonyolítom, pedig
alapelvem az Occam borotváját használni.. -
#5048
jerry311
nagyúr
kristofkax
#5047
jerry311
nagyúr
válasz
kristofkax
#5047
üzenetére
Jogos, de a 20.20.20.230 benne van az ARP táblában, meg alapvetően jól működik, csak a NAT nem.
Az 0 hit, ebből is látszik, hogy valami nem jó.
-
#5047
kristofkax
csendes tag
jerry311
#5046
kristofkax
csendes tag
válasz
jerry311
#5046
üzenetére
proxy-arp: azért merült fel mert nem látok next hop ip-t de és egy broadcast domainre mutat a static út és nincs next-hop ip
Nem kell diagram csak egyszerűen nem értem, hogy hogy az a statikus út benne van a globál táblába és mutat egy olyan interfészre ami nem is létezik abban a vrf-ben.
A problémáddal kapcs.: a show access-list NONAT mit mutat?
-
#5046
jerry311
nagyúr
kristofkax
#5045
jerry311
nagyúr
válasz
kristofkax
#5045
üzenetére
Azt nem én csináltam hanem a CCIE-k.
Mondjuk azt sem tudom a NAT-ot miért én csinálom.
Jaaa, deeee azért mert a NAT arra kell, hogy ahhoz a 4 hosthoz VPN tunnelen kívül menjen a forgalom és hát VPN --> Security team.
Így ránézésre a global VRF-ből route-ol a VRF-ben lévő subinterface-re.
vagy valami ilyesmi.
Ha akarod lerajzolhatom, de tényleg "csak" annyi hogy 1 router, egyik interface-én (Gi0/0.559) be, másikon ki (Gi0/1.69) és közben NAT-oljon, ha erre a négy host-ra megy a forgalom, ha nem, akkor ne.Proxy-arp melyik másik oldalon?
-
#5045
kristofkax
csendes tag
jerry311
#5040
-
#5044
Cyber_Bird
senior tag
PumpkinSeed
#5043
Cyber_Bird
senior tag
válasz
PumpkinSeed
#5043
üzenetére
Ha meg is tanulod az anyagot, nem csak a kerdeseket, akkor egyaltalan nem nehez. Certification Guide-ot el kell olvasni hozza mindenkeppen, es akkor gond nelkul at fogsz menni a vizsgan.
-
#5042
jerry311
nagyúr
PumpkinSeed
#5041
jerry311
nagyúr
válasz
PumpkinSeed
#5041
üzenetére
Nemtom, FecoGee CCIE-re keszul es o jatszott a multkor VRF-ekkel.
En nem keszulok CCIE-re, de ezzel dolgozom naponta. -
#5040
jerry311
nagyúr
PumpkinSeed
#5039
jerry311
nagyúr
válasz
PumpkinSeed
#5039
üzenetére
Nem ertelek, azt hittem tanulni szeretnel.
![;]](//cdn.rios.hu/dl/s/v1.gif)
++++++++++++++++++++++++++++++++++++++++++++Ha mar itt tartunk.
Van nekem VRF-ben egy host (20.20.20.230), amit NAT-olni kellene 192.168.1.72-re ha destination 10.10.10.(3|4|125|126).
Na most eddig ket valtozatot probaltam:
ip nat outside source route-map NAT-MAP pool pool-72 vrf VRF559 - Minden esetben NAT-olja 20.20.20.230-at 192.168.1.72-re, akkor is ha nem 10.10.10.(3|4|125|126) a destination.
ip nat outside source route-map NAT-MAP pool pool-72 - egyaltalan nem megy, amin nem is csodalkozom, hiszen nem matchel a VRF-ben erkezo csomagra.
interface GigabitEthernet0/0.559
encapsulation dot1Q 559
ip vrf forwarding VRF559
ip address 20.20.20.236 255.255.255.240
ip nat outside
ip virtual-reassembly
standby delay reload 120
standby 1 ip 20.20.20.225
standby 1 priority 101
standby 1 preempt
standby 1 name VRF559
standby 1 track 3 decrement 10
end
interface GigabitEthernet0/1.69
encapsulation dot1Q 69
ip address 192.168.1.60 255.255.255.0
ip nat inside
ip virtual-reassembly
standby delay reload 120
standby 1 ip 192.168.1.62
standby 1 priority 101
standby 1 preempt
standby 1 name VPN-HA-IN
standby 1 track 1 decrement 10
crypto map crypmap redundancy VPN-HA-IN stateful
end
ip access-list extended NONAT
permit ip host 10.10.10.4 host 20.20.20.230
permit ip host 10.10.10.3 host 20.20.20.230
permit ip host 10.10.10.125 host 20.20.20.230
permit ip host 10.10.10.126 host 20.20.20.230
route-map NAT-MAP permit 10
match ip address NONAT
route-map NAT-MAP deny 20
ip route 20.20.20.230 255.255.255.255 GigabitEthernet0/0.559 name VRF559
ip route vrf VRF559 0.0.0.0 0.0.0.0 192.168.1.1 global
ip nat pool pool-72 192.168.1.72 192.168.1.72 prefix-length 24
ip nat outside source route-map NAT-MAP pool pool-72Varom az otleteket.
-
#5038
jerry311
nagyúr
PumpkinSeed
#5037
jerry311
nagyúr
válasz
PumpkinSeed
#5037
üzenetére
Ha nem adod meg akkor nincs NAT hatar, ha nincs NAT hatar nem lesz NAT.
Ahogy igy elnzem, R1: Fa0/0 es S0/0/1 lesz ip nat inside, S0/0/0 pedig ip nat outside.De ha szivatni akarod magad, akkor forditva konfigolod fel es az S0/0/0 lesz az ip nat inside... Gyakorlasnak jo.
Kb. mint jobb kezzel bal lab alatt atnyulva megvakarni a bal fuled. -
#5036
jerry311
nagyúr
PumpkinSeed
#5035
jerry311
nagyúr
válasz
PumpkinSeed
#5035
üzenetére
Melyik router melyik Fa0/0 interface-en?
De megkozelithetjuk mashogy is: akarod-e, hogy a Fa0/0 es az ip nat outside-os interface kozt NAT tortenjen? -
#5035
PumpkinSeed
addikt
PumpkinSeed
addikt
Lenne egy kérdésem.
A következő képen látható részen akarok PAT-ot létrehozni, de nem tudom, hogy most az ip nat inside parancsot az int fa 0/0-n is ki kell adni vagy nem?
-
#5027
Cyber_Bird
senior tag
kristofkax
#5026
Cyber_Bird
senior tag
válasz
kristofkax
#5026
üzenetére
priv.
-
#5026
kristofkax
csendes tag
Cyber_Bird
#5025
kristofkax
csendes tag
válasz
Cyber_Bird
#5025
üzenetére
Hali,
Érdekelne a kábel. Budapesten merre laksz? Jövőhét szombat (november 23) arra járok.
Üdv,
Kristóf -
#5025
Cyber_Bird
senior tag
kristofkax
#5021
Cyber_Bird
senior tag
válasz
kristofkax
#5021
üzenetére
Nekem van egy elado darab, mondjuk 2.5K + posta, vagy ha nem surgos annyira, akkor van egy munkatarsam aki szokott debrecenbe jarni.
-
#5023
FecoGee
Topikgazda
kristofkax
#5021
FecoGee
Topikgazda
válasz
kristofkax
#5021
üzenetére
Mennyiert elado?
-
#5021
kristofkax
csendes tag
kristofkax
csendes tag
Valakinek nincs oktokábele véletlen? Ha nincs ugyanitt C2509 eladó.
-
#5017
FecoGee
Topikgazda
Cyber_Bird
#5014
FecoGee
Topikgazda
válasz
Cyber_Bird
#5014
üzenetére
Azt én is olvastam, hogy fejből tolja. Durva. Bár ha azt nézed ő nem kapkod fel telefonokat, nem húz kábelt, nem patchel, nem konfigol cégeknél, ez az élete, nem veszik el az idejét a userek és managerek, ezt csinálja évek óta, már álmából felkeltve is tudja az anyagot
-
#5016
FecoGee
Topikgazda
Cyber_Bird
#5014
FecoGee
Topikgazda
válasz
Cyber_Bird
#5014
üzenetére
Nekem ott nem kell kérdőjel. De máshol meg kell. Neked meg biztosan ott nem kell
. -
#5014
Cyber_Bird
senior tag
jerry311
#5009
Cyber_Bird
senior tag
válasz
jerry311
#5009
üzenetére
Nyilvan ha valami komolyabb parancsnal nem jut eszembe, hogy a negyedik alparancsa hogy van, egyertelmu, hogy hasznalom, azert van. Nem enciklopedia vagyok, hanem mernok
(Bar amiket olvastam pl Narbik ccie bootcampjerol, hogy fejbol irja a tablara a parancsokat, vegig... )
De azert ilyen alap dolgoknal mint egy etherchannel osszerakasa, meg nem kellene kerdojeleznem
Nyilvan sokkal fontosabb hogy tisztaban legyel a technolgiaval magaval, es a miertekkel, mintsem hogy a pontos syntaxist megjegyezd, de az alapokat azert gyorsan es biztosan akarom konfigolni -
FecoGee
Topikgazda
1. leghosszabb match
2. AD
3. metric1.
192.168.1.0/24 es 192.168.1.0/25 kozul a /25 gyoz, ha pl. a 192.168.1.10-es IP érdekel minket.
2. Ha ugyanazt a prefix-et két routing protokolltól (vagy ne adj Isten connected/static) kapjuk meg, akkor az AD dönt, hiszen a router nem tudja, melyiknek higgyen. eBGP < EIGRP < OSPF < RIP < iBGP stb. Connected mindig preferalt.
3. Ha egy protokollon belül több helyről kapjuk meg a prefixet, a cost dönt. Ha a cost is egyezik (és így van konfigurálva a maximum-path, bár általában alapból 4), akkor mindegyik route-t installáljuk a táblába. EIGRP-nél kell a variance is. BGP-nél pedig a BPS (best path selection)-nek kell ha jól emlékszem a 8. feltételig megegyezni (IGP cost), utána tud bekerülni több route. iBGP-nél a DMZ-linkes mókolással lehet több route-t betenni a táblába.
-
#5009
jerry311
nagyúr
Cyber_Bird
#4997
jerry311
nagyúr
válasz
Cyber_Bird
#4997
üzenetére
Kerdojel?
So what?
El nem tudod kepzelni mennyit hasznalom (es hasznalja minden (ex)kollegam meg Cisco TAC-en is). Egyszeruen annyi parancs van, hogy nem lehet megjegyezni. Meg igazabol csak a vizsgakon kellenek pontosan, egyebkent meg eleg ha tudod hol van.
Meg egy webex-es screen share kozben sem erdekli az ugyfelet, hogy tudod-e pontosan a parancsot, sokkal fontosabb, hogy erzodjon az egeszen, hogy tudod mit csinalsz.A legjobb pelda erre az a tikettem, ahol kezdo kiskutya koromban fogalmam sem volt mi a francot csinalok eppen es hol (VPN 3000 Concentrator GUI), vegul megoldottam kb. fel oran belul a problemat. Mindezt sikerult olyan onbizalommal eloadni, hogy a vegen az ugyfel azzal bucsuzott, hogy szereti a Cisco TAC-et, mert profik dolgoznak es mindig gyorsan megoldjak a problemait. Pedig ha tudta volna...
-
#5007
tusi_
addikt
kristofkax
#5004
tusi_
addikt
válasz
kristofkax
#5004
üzenetére
Hát speciel az AUDI- nál voltam felvételizni, ami egy elég komoly hálózat, de sokat nem kérdeztek. Mondjuk ott más miatt nem vettek fel
-
tusi_
addikt
válasz
zsolti.22
#5005
üzenetére
Abban az esetben, ha más prefixű hálók vannak, akkor a legspecifikusabb route nyer.
A belinklet példában az uccsó 3 hálózat különböző protokolokkal jön, de ugyanazzal a prefixxel. Kisebb ad nyer.
DE ha az egyik 24, a másik 25, a harmadik 26-os prefixű, és a route a a 26-os ra matchel a legjobban, akkor arra fog menni a csomag, még ha rosszabb is az AD-je.(mert ilyenkor mindegyik bekerül a route táblába, mivel más hálózatnak látja a router)Ha valaki letudja irni jobban tegye már meg, mert én nem vagyok jó magyarázó. Fecooooo segits
-
#5003
tusi_
addikt
Cyber_Bird
#5002
tusi_
addikt
válasz
Cyber_Bird
#5002
üzenetére
Kérdés, mire megy vele. Volt egy halom állásinterjúm, egyen sem kérdeztek szakmai anyagot. De aztán ha felvették az embert úgyis kiderül, hogy mit tud.
(Én annyira hüJe bagyok, hogy 15 hónap alatt tudtam csak kidumpolni
) -
#5002
Cyber_Bird
senior tag
tusi_
#5001
Cyber_Bird
senior tag
Egyelore nem vettek ki belole ezeket, mivel meg nincs uj blueprint, de kicsit redundans lett. Viszont cserebe nincs rip a ccna-ban.
Az ipv6-nal meg a ccnp-ben van csak arrol szo, hogy hogy tudod egyutt hasznalni v4-el. Szoval azert maradt ott egyedi dolog eleg szerintem.
Viszont az teny, hogy egyre tobb dolgot raknak bele a ccna-ba, csak a baj az, hogy attol fuggetlenul sok dumphuszar ugyis konnyeden lerakja 2 het alatt -
#5001
tusi_
addikt
Cyber_Bird
#5000
tusi_
addikt
válasz
Cyber_Bird
#5000
üzenetére
Bakker. Nagyon kiherélték a CCNP-t. Én éreztem, amikor tanultam, hogy nagyon nagy a szakadék a CCNA és a CCNP között.
Jeremy és Keith a királyok
Most CCSA ra tanulok, de ezt az unalmas oktatást..... Valami nagyon unott fiatal gyerek nyomja, és félek ettől a témától
mire javithattam volna elment a lehetoseg...
)
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Jaaa, deeee azért mert a NAT arra kell, hogy ahhoz a 4 hosthoz VPN tunnelen kívül menjen a forgalom és hát VPN --> Security team. 
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest