-
Fototrend
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
crok
Topikgazda
válasz
jerry311
#5046
üzenetére
Azt hiszem tudom miért kérdezi kristofkax a proxy-arpot:
20.20.20.230 outside címet 192.168.1.72-re, egy inside
címre NATolod a leírtak szerint. Így amikor a destination
válaszolni fog a routeren már nem fog átmenni a csomag,
mivel a destination (a \b(10\.){3}([34])\b|(12[56]\b) hostoktól)
úgy kapott csomagot, hogy a source 192.168.1.72, egy
a routered inside interface-e utáni eszköz volt, pedig nem,
egy outside interface mögötti volt, a válasz a routerig el se
fog jutni ("aszimmetrikus" a routing). A statikus utak is ezt
írják le: a VRF-ben csak egy 0.0.0.0 utad van, ami a routerről
egy másikra mutat valamint a globális routing táblában egy
IP-re egy statikus út, az outside felőli IP-je a hostodnak.Nem tiszta mit mire és miért szeretnél cserélni. Mi a cél?
Ha 20.20.20.230 el akarja érni \b(10\.){3}([34])\b|(12[56]\b)
hostok valamelyikét akkor mindig, kivétel nélkül cserélje le:
a, 20.20.20.230-at 192.168.1.72-re?
b, Az ACL alapján:
talán az inside/outside fel van cserélve?
(Miért NONAT a neve? Akkor most NAT vagy negált NAT lista?)
\b(10\.){3}([34])\b|(12[56]\b) most akkor inside vagy outside
oldalon van? Statikus utak alapján nem derül ki, ám..ip access-list extended NONAT
permit ip host 10.10.10.3 host 20.20.20.230
permit ip host 10.10.10.4 host 20.20.20.230
permit ip host 10.10.10.125 host 20.20.20.230
permit ip host 10.10.10.126 host 20.20.20.230route-map NAT-MAP permit 10
match ip address NONAT..szerint outside felől:
- ha source \b(10\.){3}([34])\b|(12[56]\b)
- és destination 20.20.20.230 akkorip nat outside source route-map NAT-MAP pool pool-72 vrf VRF559
alapján outside felől a source \b(10\.){3}([34])\b|(12[56]\b)
cserélődik le 192.168.1.72-re (?), ami meg inside interface
directly connected cím - akkor arra a válasz sose fog még
a routerig se eljutni. Kivéve ha van proxy-arp. Késő van,
lehet nem fog az agyam, de egy rajz is sokat segítene:
mi melyik oldalon van és mit mire szeretnél cserélni?
A routing-ot megcsinálni utána már nem olyan nagy ügy.
Bizos pofonegyszerű a felállás és túlbonyolítom, pedig
alapelvem az Occam borotváját használni.. -
crok
Topikgazda
válasz
Rocko007
#4732
üzenetére
Cisco összehasonlító az RV szériában, egészen jó árban vannak..
Más: bash-ben kellene nekem olyan, mint a "show run | section xyz".
Egyelőre ilyet találtam ki, elég pharaszt meg nincs kivételkezelés,
meg csak annyi, hogy első egyező sortól követjező betűvel (nem
space-el..) kezdődő sorig kiír minden sort:#!/bin/bash
FIRST=$(echo $1 | sed 's,/,\\/,g')
SECOND=$(echo $2 | sed 's,/,\\/,g')
THIRD=$(echo $3 | sed 's,/,\\/,g')
FOURTH=$(echo $4 | sed 's,/,\\/,g')
sed -n '/'^"$FIRST".*"$SECOND".*"$THIRD".*"$FOURT"'/,/^[a-z]/p' | sed '$d'Ilyen működés közben:
[crok@clifford ~]$ cat temp/1.txt | s int fa 0/0
interface FastEthernet0/0
description WAN
ip address 172.16.0.100 255.255.255.0
ip access-group no_LAN_IP_from_WAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip accounting mac-address input
ip accounting mac-address output
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly
zone-member security PUBLIC
ip route-cache flow
duplex auto
speed auto
no shut
[crok@clifford ~]$ cat temp/1.txt | s int fa 0/1
interface FastEthernet0/1
description LAN
ip address 10.10.10.1 255.255.255.0
ip access-group LAN in
no ip redirects
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip accounting mac-address input
ip accounting mac-address output
ip nbar protocol-discovery
ip nat inside
ip virtual-reassembly
zone-member security LAN
ip route-cache flow
duplex auto
speed auto
arp probe interval 10 count 3
arp authorized
arp timeout 3600
no shut -
crok
Topikgazda
Emlékeztem én, hogy ez nem a legfrissebb... De attól még nagyon jó...
Szóval ezt akartam küldeni eredetileg:
TCP/IP 1 óra alatt
TCP/IP Alapok 1.
TCP/IP Alapok 2. -
#4711
crok
Topikgazda
PumpkinSeed
#4710
crok
Topikgazda
válasz
PumpkinSeed
#4710
üzenetére
-
crok
Topikgazda
Ráadásul nagyobb is a publicitása a hibáiknak - nyilván a "hírük miatt".
De nem kell aggódni, a Junipernek is vannak hibái, mindenkinek vannak..
csak nem kapnak akkora hangot a piacon.. A Juniper legalább (majdnem)
mindenhol következetes - fizikai paramétereket a fizikai interface, logikai
paramétereket a unit alatt kell konfigurálni.. persze van kivétel, pl. BGP
AS-t a routing-options alatt kell beállítani, nem a protocol bgp alatt.. de
legalább _minden_ hierarchikus :] Visszatérve a példádhoz: yup, fura,
ez a Crypto ACL dolog - bár persze ha a dev.team így írta meg, hogy
külön kell a AIM-nek a konfig és nem tudja "újrahasznosítani", mint pl.
egy QoS ACL-t több class-map alatt.. 'hát akkor nem.. így írták meg,
megszokjuk vagy megszökünk.. de a piac bizony nagy - az architect
is mondhatja, hogy "kösz, de kösz inkább Juniper" és akkor hátha egy
idő után nagyobb lesz a nyomás a Cisco dev.team-eken, hogy legyen
a konfiguráció egységesebb :] -
crok
Topikgazda
-
crok
Topikgazda
ISR G2-ből Cisco ajánlás (brossúra szerint, ezek már
a "garantált" átvitt sebességek, úgy értik: garantált, ha van
MQC QOS, ZBFW, ACL-ek, Netflow.. et cetera.. configurálva):15 Mbps -> Cisco 1921 (1RU)
25 Mbps -> Cisco 2901 (1RU)
35 Mbps -> Cisco 2911 (2RU)
50 Mbps -> Cisco 2921 (2RU)
75 Mbps -> Cisco 2951 (2RU)
100Mbps -> Cisco 3925 (3RU)Régebbi postokban írtam teszteket routerekről, mi mit bír.
-
crok
Topikgazda
Megnyugtatlak: senki se használja :] A vizsgán is csak annyi
menüpont aktív, amennyit használnod is kell a szimuláció alatt..
Egy olyan pár hónapja csináltam CCNA Sec-et, semmi extra
nem volt, tényleg csak azok a menüpontok élnek, amiket tényleg
meg is kell nézned - de az életben többet nem fogod használni..
Olyan ez, mint a CCNA Wireless, ott is csak az a menüpont volt
aktív, amit használnod is kellett - de azok is borzasztó egyszerű
dolgok voltak. CCNA szint felett is ezt tapasztalom a GUI-kkal.
Én már túl masszívan is CLI párti vagyok, de engem nem zavar :] -
crok
Topikgazda
válasz
jerry311
#4225
üzenetére
[reklam]
Én IPTables-el csináltam pár trükköt, míg a szerver volt egyben az
Internet Gateway is. Amúgy Cisco router + helyesen megtervezett
MQC-vel egész jól lehet csinálni a dolgokat összedolgozó programok
nélkül is, pl policing + time based ACL a class-map-ben.. szerintem
tök jól működik - [szerk.] és az ügyfél is elégedett :]
[/reklam] -
-
#4166
crok
Topikgazda
mezzanine81
#4164
crok
Topikgazda
válasz
mezzanine81
#4164
üzenetére
Szerintem a CCNA Sec nem volt nehéz. Egyáltalán nem. Az ablakos dolgok meg úgy vannak számonkérve, hogy kb. csak azokra a menüpontokra kattinthatsz, amire egyébként is kell, a többi "flat", nem is működik :]
-
crok
Topikgazda
válasz
FecoGee
#4145
üzenetére
Csinálj egy Yahoo account-ot erre, aztán ezen parancsokkal:
telnet smtp.mail.yahoo.com 25
EHLO smtp.mail.yahoo.com
AUTH LOGIN
-- itt ilyet kapsz majd, hogy 334 VXNlcm5hbWU6,
-- ami base64-el a "Username:"
itt megadod base64-el kódolva a kreált_név@yahoo.com -ot
-- itt ilyet kapsz majd, hogy 334 VXNlcm5hbWU6,
-- ami base64-el a "Password:"
itt megadod base64-el kódolva a jelszót
MAIL FROM: <kreált_név@yahoo.com>
RCPT TO: <kreált_név@yahoo.com>
DATA
FROM: Information from router <kreált_név@yahoo.com>
TO: Information from router <kreált_név@yahoo.com>
Subject: Information from router
This is an informational email from the router.
.
quitEz simán működik. Már csak át kell alakítani EEM+TCL-re.
Ezután a Yahoo account-ot állítsd be a saját emailkliensedben,
hogy szedje le a leveleket (pl. GMail-ben importáld..) és kész.
Megcsinálhatod szerintem azt is, hogy a Yahoo küldje a mailt
tovább megadott email(ek)re. Azért mondom, hogy így csináld,
mert nem tudtam összehozni, hogy SSL nélkül a yahoo.com
domain-en kívülre email-t tudjak küldeni. Ha kell, megírom a
scriptet is.. de most nincs arra időm sajnos. -
#4144
crok
Topikgazda
Hedgehanter
#4142
crok
Topikgazda
válasz
Hedgehanter
#4142
üzenetére
Ezek egyike nem lehet: CSCsx79219 vagy CSCsy37122?
Egy IOS verzió nagyon sokat segítene.
Itt már van ilyen kérdés, de ő se ír IOS verziót (nem tudom miért..). -
-
crok
Topikgazda
válasz
zsolti.22
#4044
üzenetére
Régen NBMA hálózatoknál használták (erre is találták ki alapvetően)
de manapság már nem nagyon használják erre, mivel a "régi" NBMA
rendszerű hálózatokat már felváltotta az CE-PE(Cloud)PE-CE és nincs
már igazi frame-relay használva kvázi sehol.. szóval manapság már
csak a DMVPN-el kapcsolatban jön elő a használata :] (fixme) -
-
crok
Topikgazda
Ez csak 2 mód: SSH és SCP az ugyan az lesz. Jó kérdés,
hogy miért fagyhat ki.. utánanézek, hogy MC-ben lehet-e
valahogy debugolni ezt.. sose jártam még így, hogy scp
megfagyjon. A mount bind opciójával pedig tök jól mount-
olhatsz könyvtárakat könyvárakba
Cyber_Bird linkje jó. -
#3891
crok
Topikgazda
Bjørgersson
#3890
crok
Topikgazda
válasz
Bjørgersson
#3890
üzenetére
Nem valószínűleg hanem egészen biztosan L2 switchel volt dolgod
-
crok
Topikgazda
Először is ha nem vagy magadban biztos >> BACKUP!
Erre a legjobb szerintem a Clonezilla - LetöltésHa ezzel megvagy próbáld ki ezt:
1. Workaround: Alt+F2 és indítsd el: nemo
2. sudo cp /etc/xdg/autostart/nautilus-autostart.desktop ~/
sudo rm /etc/xdg/autostart/nautilus-autostart.desktop
...ha nem akarod törölni egyből, akkor akár sudo mc, keresd meg
a file-t és tedd be a home-odba majd restart.. ha nem megy valami akkor
még mindig itt van a grub-ban a rescue mode és visszateheted.. de mivel
már csináltál backup-ot nincs mitől tartani Egyébként ezt a megoldást
több helyen is mondják és mindenkinek megoldotta a problémát. Érdekes
állat a Cinnamon, én is használtam régen (Ubuntus időkben, Unity helyett..
de megtértem: Manjaro (Arch alapon) FTW! -
crok
Topikgazda
válasz
zsolti.22
#3860
üzenetére
"Extendable" static translations:
The extendable keyword allows the user to configure several ambiguous static translations, where an ambiguous translations are translations with the same local or global address.Így kreálhatsz "kétértelmű" NAT bejegyzéseket - a kétértelmű itt most azt jelenti, hogy az IP cím kétszer vagy többször is megjelenhet a NAT táblában ("átlapolt" bejegyzések keletkeznek). "Sima NAT inside->outside NAT esetén csak IP címek kerülnek a NAT táblába, de ha egy IP több portját is PAT-olni akarod (esetleg még többfelé is..), akkor kell az extendable - ezzel "kiterjeszted" a NAT tábla lehetőségét két vagy több bejegyzés létrehozására. Gondolok itt pl. olyan esetre, hogy kívülről egy IP-n érnek el mondjuk ssh-t (filetransfer) és webszervert DE az inside oldalon ez tulajdonképpen 2 teljesen különálló gép - így 2 static NAT (PAT) bejegyzésre van szükséged.
-
crok
Topikgazda
válasz
zsolti.22
#3813
üzenetére
Na én a "menüben" a Security-ben nem látok, csak Passthrough-t, de neked
nem ez kell. A network-ben a WAN connection-nél látok csak L2TP-t vagy PPTP
lehetőséget, de neked nem ez kell. Én a menüben VPN lehetőséget nem látok,
ahol mondjuk IPSec-hez IKE beállításokat vagy shared key-t, vagy bármi hasonlót
lehetne beállítani. De pl. ez tudja. -
#3811
crok
Topikgazda
sunyijanika
#3809
crok
Topikgazda
válasz
sunyijanika
#3809
üzenetére
Nos, az IPSec és az L2TP nem kifejezetten "vonalak"
De amit ajánlok: The Irwin Handbook of Telecommunications
Egyébként nézz szét a blogomon - az aláírásban van a cím:
Telecommunication lines
ISDN -- ide tudok adni még anyagot!
ISDN -- ide tudok adni még anyagot!
Soros interface-ek, jelalakok, műszerek, vonali kódolás, signaling...
..meg van még pár dolog
-
crok
Topikgazda
válasz
zsolti.22
#3777
üzenetére
A 1711 teljesítménye mai szemmel igen kicsi, 1,700 packet per sec
a process switched teljesítmény (ha van IP Inspect vagy ZoneBased
Firewall pl. akkor az ide fog esni, és lesz relatíve magas IP Input
process is) ami csak max 0.8704Mbps 64byte-os csomagméretnél,
még a fast switched performance is csak 13,500pps (6.91Mbps 64
byte-os csomagméret mellett) - és ezek csak irányszámok, a teszt
alatt semmilyen szolgáltatás nem volt bekapcsolva, se NAT, se egy
szem ACL, se IP Inspection, semmi..
Ami indulásnak jó lenne:sh ver | i ima|upt
sh int sum
sh ip cache flow
sh proc cpu hi
sh proc cpu so 1m | e 0.00
sh proc cpu so 5m | e 0.00
sh logA sok ARP bejegyzés nem lényeg, mert a storm nem erre irányul,
egyszerűen csak sok kérést kap a router ami broadcast és ugye
azt fel kell dolgoznia, még ha nem is kell rá válaszolnia vagy nem
is ő kérte - de L2 broadcast frame. -
crok
Topikgazda
válasz
zsolti.22
#3775
üzenetére
Mekkora a terhelés most és mekkora az Internethozzáférés (garantált) sebessége?
CPU kihasználtság mekkora? Abból mennyi az interrupt? Milyen router/IOS?
Esetleg olyan csomagokat kap a router, amik alapvetően nem neki szólnak de
fel kell dolgoznia (ARP storm/broadcast storm?). -
crok
Topikgazda
válasz
zsolti.22
#3773
üzenetére
Interface-ek alá (a main/fizikai alá vagy dialer alá) vedd fel az "ip route-cache flow"
parancsot és aztán "sh ip cache flow" "sh ip cache verbose flow" -val meg tudod
nézni, hogy milyen IP-kről milyen IP-k felé folyik forgalom. <Szerk.> Nem pont
emiatt de a kimenetre példa a blogomból Itt található. -
#3756
crok
Topikgazda
Hedgehanter
#3755
crok
Topikgazda
válasz
Hedgehanter
#3755
üzenetére
De, kellhet, ha van management hálózatod, ám ez SOHO..
ott nemigen van. Így elérhető kívülről is, ami jó is meg nem is.
De ha gondolod a LAN ACL-t rá lehet tenni. -
crok
Topikgazda
válasz
jerry311
#3753
üzenetére
A vizsgán volt ilyen kérdés, ott még a pass a jó válasz
SOHO ROUTER CONFIG TEMPLATE v0.1.1 - 2013.04.13 12:30 CET
Na javítottam az elírást és #3752 - betettem, hogy írd át a jelszótaaa authentication login default local-case enable
Igen - line con alatt csak a biztonság kedvéért van ott.OFF: ..és azt tudjátok-e hogy hogy lehet "?" -et betenni a konfigba, mondjuk jelszóba?
-
#3752
crok
Topikgazda
Cyber_Bird
#3750
crok
Topikgazda
válasz
Cyber_Bird
#3750
üzenetére
Ja, azt a saját verziómban miután pastebin-re tettem javítottam..
de remélem megbocsátható, hisz' 2:40-kor tettem fel.Ha akarjátok IP Inspect-re is átírhatom a ZoneBase Firewall-t, ha
valakinek nincs 12.4(6)T vagy afeletti IOS-e.Jut eszembe Zone Based Firewall: ugye Cisco úgy tanítja, hogy az
egyazon zónában levő interface-ek között a forgalom alapértelmezetten
engedélyezett (pass). NA, ez egy kicsikét megváltozott 15.0 IOS-
től kezdve, ugyanis alapértelmezetten mostmár az is drop (!) és neked
kell megírni, hogy mit engedsz és mit nem és azt is hogy hogy. Ez
egyrészt nagyon jó, egyrészt nagyon rossz.. 12.4 -ről IOS-t upgrade-
elve azt hallgatni, hogy az ügyfél veri az asztalt, hogy mi a fenéért nem
megy - az rossz.. ám az jó, hogy még a zónán belül is csinálhatsz
inspection-t - az plusz lépcső a biztonságot tekintve. Csak az a cink,
hogyha erről nem tudsz
De mostmár tudjátok.. [Szerk.]
@Jerry: Nem benne maradt, beleraktam Azt hiszem hogy alap, hogy
ezt át kell írni. Azért írtam már a konfig elején a kommentbe hogy
tudjon róla aki felhasználja, eléggé nyilvánvaló, hogy a saját routeremre
saját jelszavakat teszek fel - és a Cisco is default jelszóval szállítja
a routereket, egyértelmű, hogy azokat az első belépéskor törlöd. -
crok
Topikgazda
Nos. Összeraktam egy olyasfélét, hogy "alap Cisco SOHO konfig".
Ha van kedvetek nézzétek már meg és véleményezzétek:
ki mit csinálna másképp, kinek milyen ötlete van még.. -
crok
Topikgazda
válasz
jerry311
#3737
üzenetére
Az lehet, hogy megkülönböztethető, de nem kéred rá.
Megpróbálod ezt - mert szerintem ennyi kell:ip nat outside source static 10.10.10.10 172.16.7.125 vrf VRF1 extendable match-in-vrf
ip nat outside source static 10.10.10.10 176.16.3.162 vrf VRF2 extendable match-in-vrf[Szerk:]
Vagy most én értem félre.. globálból akarod a csomagokat
VRF-be áttenni és még NAT-olni is? Mert akkor oda NAT
route-map kell.. meg a routing-ot is meg kell oldanod oda-
vissza, static route-olni meg policy-based routing. -
#3735
crok
Topikgazda
Hedgehanter
#3733
crok
Topikgazda
válasz
Hedgehanter
#3733
üzenetére
A hiba amit dob egy teljesen általános hibakód
Biztos sokmindent olvastál, de azért álljon itt egy link:
Installing the IPS 4260 System ImageNem tudom milyen image van most rajta, de az
image letöltésnél a release notes-ban általában
le van írva, ha valamiről valamire eltérő müdszerrel
vagy csak közbeiktatott image-en keresztül lehet
upgrade-elni (mint pl. WLC upgrade 5.1-ről 7.2-re
csak 5.2 vagy 6.0 közbeiktatásával lehetséges
ha jól emlékszem).Plusz ahogy látom ez az utolsó parancsod:
tftp IPS-SSM_10-K9-sys-1.1-a-7.1-7-E4.img@172.16.5.56 via 172.16.1.253
..de szerintem mivel minden változót megadtál neked
már csak a tftp kell és más semmi, mert a változók
már meg vannak adva. -
#3722
crok
Topikgazda
sunyijanika
#3721
crok
Topikgazda
válasz
sunyijanika
#3721
üzenetére
+1 distribution-list
-
crok
Topikgazda
Korrekt - viszont ilyen megoldást nem szoktak éles helyen
csinálni, mert egy funkcionális embercsoportot általában 2
switchen végződtetnek, hogy az egyik kiesése esetén a
csoport másik fele tudjon dolgozni, ne legyen a cég szem-
pontjából "teljes" kiesés egy access switch kiesése. -
crok
Topikgazda
Elképzelhető, hogy elbeszélünk egymás mellett.
Nos, a képen látható módon kiegészítettem az ábrád:
Nos, azt mondtad, legyen L3 link a 2 DSW közt, ezt
én az ábra szerint értelmezem. Ekkor az a link egy
port channel, egy L3 port channel, valami IPv4 /30..Tegyük fel, hogy lement az A2-D1 linked. Honnan
fogja tudni a Core routing, hogy a fele hálót balra,
a felét jobbra találja majd meg? Se a HSRP-d,
se a spanning-tree-d nem megy át a L3 linken.Nos, ha a userek az alábbiak szerint 2 csoportba
tartoznak (HR és TECH) valamint egy épületben,
egy nagy irodában ülnek, akkor nem lehetnek egy
IPv4 alhálózatban egymással. Ha D1 és D2 közt
L3 link van akkor ott nincs STP, akkor hogy tudja
A1 és A2, hogy melyik port legyen blocked? Nekik
az a 2 link két teljesen független link.. de hát az
is, mert D1 és D2 nem L2 hanem L3 linken van
összekötve - nincs STP, nincs loop, nincs közös
broadcast domain.. mert L3. Valamint tegyük fel,
hogy a A1 D1 felé menő linkje lemegy. tegyük fel,
hogy A1 és D2 interface-e FW-ba megy.. hogyan
fogják elérni a hostok (HR és TECH emberek) az
A1 switchen lógva elérni a külvilágot? Mert D1 és
D2 közt nincs VLAN, L3 elérés van, akkor ott se
a VLAN10 se a VLAN20 nincs kihúzva L2 szinten
tehát a HSRP se állhat össze. Csak a L3 van, ott
nincs ilyenre lehetőség, max az van, hogy D1 tud
a HR és a TECH alhálóról, mint directly connected
hálózat (A1-en keresztül) meg D2-től, valamilyen
routing protokollon keresztül (static, RIP, EIGRP..
kvázi mindegy..). Nos, gondoljuk tovább. A Dx
eszközök fognak route-olni legelőször, ott van
a HSRP "végződtetve". Akkor a Core eszköz felé
valahogyan a lentebb levő alhálózatokat propagálni
kell valahogyan. Ekkor D1 és D2 mind a HR, mind
a TECH alhálókat is hirdetni fogja. Igaz? Nade egyik
eszköznek sincs L2 hozzáférése a teljes L2 háló-
zathoz, hiszen D1 és D2 közt L3 link van. Akkor
(ha minden default.. bár akkor is ha nem..) ha az
ISP felől jön csomag HR munkatársnak, aki az A2
switchen lóg.. az sose fogja megkapni a SYN-ACK
csomagot a SYN csomagjára a külvilágtól, mert az
a D1-en fog landolni, azt a subnetet ismeri a D1,
mint directly connected háló, és ARP-al megpróbálja
megkeresni, de állj, nem fogja megtalálni, mert D1
és D2 közt L3 link van, nem megy át a broadcast,
nem fogja megtalálni, szóval A2-n lógva HR user
csomagja elég valószínű, hogy semmit se fog tudni
csinálni a külvilággal.Na ez hosszú és zavaros lett, tudom.. remélem
azért átmegy valami abból, amit mondani akarok.Én biztos L2 linket tennék a 2 DSW közé és a
HSRP a megfelelő VLAN interface-ek közt menne
de a 2 DSW egymást simán elérné L2 szinten
a kettejük közti linken, nem L3.. Mert akkor most
a 2 Def.GW cím nem tudná egymást elérni közvet-
lenül, csak egy L3 hopon keresztül, amikor nekik
egy L2 hálózatban kell lenniük? Vagy félreértelek..Bent vagyok még, átnézem majd estefelé..
ha nincs semmi ügyeletben.. -
crok
Topikgazda
válasz
FecoGee
#3667
üzenetére
No offense.. de a Frame Relay WAN technológia, packet switching,
Layer1+2 _de_ az MPLS meg egy mód, hogy gyorsan lehessen
csomagokat switchelni egy kvázi akármilyen hálózat _felett_
Ne keverjük a dolgokat a fejekben. Természetesen mivel a Frame
Relay-t már nem használják abban a formában a telecom cégek
ahogyan 10 éve azért nem árt ám tiszában lenni azzal, hogy mi
is az a non-broadcast multi-access network - az ethernet mint WAN
technológia (carrier ethernet) bizony nagyon sokszor (megoldásban)
hasonlít erre (E-Line, E-LAN, E-Tree). És az életben bizony sokszor
nem a legújabb technológiát kapja ám a kezdő, nem voltak ám
mindig ASA-k, bizony voltak ám nagyon jó kis PIX-ek is (FWSM)!
Aztán kivesszük a RIP-et is, mert öreg? Nem marad, csak a RIPng?
És a BGP-t hogy kezdjük majd el magyarázni? Durván egyszerűsítve
az is úgy működik mint a RIP.. jó, a politikája sokkal összetettebb
AS vagy "hop".. De attól még distance-vector routing protocol..Biztos alapra lehet csak rendesen építkezni.
You have to know your roots and history, mate, it is important.
-
crok
Topikgazda
A sávszélesség probléma ennél összetettebb itt:
NAT-olni is kell, egy CBAC de inkább ZBFW is kell.
A csomagok egy része így nem lesz CEF switch-elve,
hanem el lesz küldve a CPU-nak. És nagyban függ
a csomagok nagyságától is - a platformnak is van
egy vége. Tisztán CEF switchelt forgalmat 64byte-os
csomagmérettel 38.4Mbps -el nyom át (75000pps).
De ebben nincs benne se a NAT, se a firewall, semmi.
Most megosztok egy dolgot, ezt nem sokan ismerik:
www.miercom.com - ők tesztelnek eszközöket. Pár
ilyen tesztet most linkelem is (ez pont idevág):http://www.cisco.com/web/partners/downloads/765/tools/quickreference/routerperformance.pdf
http://www.cisco.com/en/US/prod/collateral/routers/ps5853/prod_white_paper0900aecd801738fa.pdf
http://www.miercom.com/tag/cisco/
http://www.miercom.com/pdf/reports/20090710.pdf
http://www.miercom.com/pdf/reports/20091028.pdf
http://www.miercom.com/pdf/reports/20100528.pdf
http://www.miercom.com/pdf/reports/20100110.pdf -
crok
Topikgazda
válasz
mogyesz
#3485
üzenetére
Kipróbálnád ezzel?
____________________________________________________
! http://evilrouters.net/2010/05/25/port-forwarding-a-range-of-ports-on-cisco-ios/
! How to configure port forwarding for a
! range of ports (typically for torrent traffic)
!
! Set the outside interface
interface Dialer1
ip nat outside
!
! Set the inside interface
interface fa0/1
ip nat inside
!
! Define ACL for source address range
ip access-list standard NAT
permit 192.168.1.0 0.0.0.255
!
! Start NATing
ip nat inside source list NAT interface Dialer1 overload
!
! Define port forward NAT pool
ip nat pool PORTFWD 192.168.1.19 192.168.1.19 netmask 255.255.255.0 type rotary
!
!Define ACL for the port forwarding
access-list 100 permit tcp any any eq 3390
access-list 100 permit tcp any any eq 80
access-list 100 permit tcp any any eq 10000
access-list 100 permit udp any any range 2929 2934
access-list 100 permit tcp any any range 2929 2934
access-list 100 permit tcp any any range 55500 55600
access-list 100 permit udp any any range 55500 55600
!
! Start the port forwarding
ip nat inside destination list 100 pool PORTFWD..mert azon gondolkodtam lehet az ACL típusa nem okay neki..
-
crok
Topikgazda
R1(config-router)#do sh ip bgp 1.1.1.1
BGP routing table entry for 1.1.1.1/32, version 4
Paths: (1 available, best #1, table Default-IP-Routing-Table)
Flag: 0x820
Advertised to update-groups:
1
Local
0.0.0.0 from 0.0.0.0 (1.1.1.1)
Origin IGP, metric 0, localpref 100, weight 32768, valid, sourced, local, best
R1(config-router)#do sh ip bgp sum
BGP router identifier 1.1.1.1, local AS number 65111
BGP table version is 6, main routing table version 6
3 network entries using 396 bytes of memory
4 path entries using 208 bytes of memory
3/2 BGP path/bestpath attribute entries using 504 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
Bitfield cache entries: current 1 (at peak 1) using 32 bytes of memory
BGP using 1164 total bytes of memory
BGP activity 3/0 prefixes, 4/0 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.0.0.2 4 65222 8 7 6 0 0 00:03:32 2..vagy benézem vagy nem értem a kérdést..
-
crok
Topikgazda
-
crok
Topikgazda
válasz
jerry311
#3454
üzenetére
Erre sajnos motiváció nekem sincs. Túl sok területet érint a tudásom/munkám, nincs értelme "leragadni" csak a routing/switching témakörben. Természetesen respekt annak, akinek mégis van rá ideje /ereje /pénze /motivációja..
Majd ha befejezek mindent amit elémtesznek és nincs más cél.. -
crok
Topikgazda
Első körben kábel. A switchen van test cable-diagnostics parancs?
Egy TDR teszt lehet jó lenne.. és/vagy kábelcsere. Pont itt linkeltem
egy cikket, amiben benne van hogy hogy működik az autonego, és
hogy ennek kb. 12..15 éve tökéletesen kell működnie. De azt, hogy
egy NIC driver/kernelmodul jól működik-e együtt a switch autonego-
jával.. nos, nem mindig lehet összehozni.. Switch-host közt szerinem
megengedhető, hogy manuális legyen (egyéb helyen tűzzel-vassal
írtanám, üvegen egyszerűen megkerülhetetlen a normális működés
miatt - PHY master/slave.. egyebek.. minden leírva a link alatt). -
crok
Topikgazda
Amire még vigyázni kell:
- ha ez élő management akkor valszeg loopback-et használsz management IP-nek, amit nyilván a TFTP szerverhez való csatlakozásra is használni szeretnél (mert alapból a kimenő interface IP-jét használja) - szóval ip tftp source-interface <interface> kellhet
- a TFTP szerverekre alapból nem tudsz másolni - ugyanis nem tudsz file-t létrehozni alapból.. úgy értem a TFTP kapcsolatnál nincs user/pass, szóval amit csinálsz azt a public csinálja, vagyis vagy a lekérdezés egy scriptben történik, amiben alapból meg is csinálod a file-t és adsz public írás jogot vagy public-nak adsz create jogot (szerverbeállítás).. meg ACL/tűzfal/bármi megoldja hogy csak management IP-k érhessék el a TFTP-d.
-
#3298
crok
Topikgazda
Hedgehanter
#3297
crok
Topikgazda
válasz
Hedgehanter
#3297
üzenetére
Persze. Mi nem megy? Vagy az elv nem ismert?
Ja, nem minden router/switch tudja ezt a feature-t.
Router/Switch típus? IOS? Konfig? -
crok
Topikgazda
válasz
jerry311
#3244
üzenetére
True. Benéztem. Összeraktam GNS3ban, amint az
interface-eket no shut-ba tettem (ezt az egy dolgot
csináltam csak a konfiggal) az a tunnel azonnal feljött,
EIGRP megy, mind a két router tudja egymást pingelni,
192.168.3.1 tudja pingelni 192.168.2.1-et és vice versa.
[Szerk.]
(C7200-ADVENTERPRISEK9-M), Version 12.4(24)T -
crok
Topikgazda
L2 roamingnál egy SSID-t és egy subnetet használsz.
Amikor az egyik adótól messzebb de a másikhoz
közelebb kerülsz, akkor átváltasz a másik adóra (SSID
azonos) így ugyan abban az L3 hálózatban maradsz
és megvolt a roaming is. A gépen kvázi semmit se kell
csinálni (persze az SSID-hoz csatlakozás előfeltétel).Olyanra kell készülni, hogy esetleg a switcheken majd
MAC flapping fog jelentkezni. -
crok
Topikgazda
válasz
zsolti.22
#2903
üzenetére
Cisco - IP Routing - BGP Case Studies
...
- This document has discussed how you can use different methods to originate routes out of your AS.
- Ez a leírás azt tárgyalta, hogy hogy használhat különböző módokat, hogy az AS-én kívülre juttason utakat.- Remember that these routes are generated in addition to other BGP routes that BGP has learned via neighbors, either internal or external.
- Ne feledje, hogy ezek az utak a BGP-n más szomszédoktól tanult (belső vagy külső) utakon felül jönnek létre.- BGP passes on information that BGP learns from one peer to other peers.
- A BGP információkat közvetít egyik peertől a többi felé.- The difference is that routes that generate from the network command, redistribution, or static indicate your AS as the origin of these networks.
- A különbség az, hogy a network paranccsal, a redisztribúcióval vagy statikus úttal generált utak úgy jelennek meg, hogy azok az Ön AS-éből erednek.
...De nem vagyok fordító.. nem értek hozzá.. de én így értelmezem.
Persze a teljes szövegből kiragadva kissé értelmetlen lehet.. -
crok
Topikgazda
válasz
FecoGee
#2883
üzenetére
IMHO nézzétek meg Feature Navigatorban, mert a 3560 is benne van..
A 12.2(14)SY4 kiadási dátuma 2004 április 5, az nem ma volt.. azóta
már nagyon nagyon sok platform megkapta a feature-t.. még CatOS-ben
is benne van.. az említett Cat6000 Supervisor 2 is marha régi már..
[Szerk.]
Olvastam a cikket amit valószínűleg ti is, és az "at time of writing" mellé az
oldal nem írr refelenciadátumot, hogy mikor keletkezett a post.. Outdated. -
crok
Topikgazda
válasz
FecoGee
#2867
üzenetére
Nem értem mit írtok: bármelyik Cisco eszköz ismeri a GLPB-t, ami L3 és:
Cisco GLBP Load Balancing Options
REQUIRED CISCO IOS SOFTWARE VERSION
The GLBP load balancing discussed in this document
has been available since the first release of GLBP,
supported in the following versions:
• Cisco IOS Software Release 12.2(14)S
• Release 12.2(27)SBC1
• Release 12.2(18)SXD on the Cisco Catalyst 6500 and 7600 Series Switches
• Releases 12.2(15)T, 12.3M, 12.3T, 12.4M and 12.4TMár az IP Base feature setben benne van. (FIXME)
-
crok
Topikgazda
válasz
bugizozi
#2788
üzenetére
Full basic:
1, Teljes konfigot megírni úgy, hogy az az "új" legyen
(boot markert érdemes jól megírni, lásd később)
2, Feltenni a routerre, NVRAM-ba, flashbe.. (TFTP/FTP/SFTP/HTTP/TCL..)
3, boot markert átírni úgy, hogy az új konfigot indítsa.
4, config ment és restart
(nem gond hogy a régiben van az új boot marker)
5, öröm, mert a router az "új" konfiggal indul.
6a, ha akarsz rámentesz..
6b, ha akarsz nem mentesz rá..Elsőre ennél fakockább megoldás nem jut eszembe..
Bár túl vagyok pár bgp-route-map-prefix-list-módosítós-
de-nem-soft-clear-elős troubleshooting minute-en. -
crok
Topikgazda
válasz
bugizozi
#2785
üzenetére
Többféleképp is el tudom képzelni, hogy a konfig restartkor más legyen.
Csináltam már ilyet EEM scripttel, olyan is volt, hogy interface kihúz/bedugra
csináltunk EEM scriptet.. user A ISP-t akarta használni alapból és B-t, ha
beüt a sz*r.. namármost a két ISP két különböző IP tartományt és címzést
használt.. a logban keresett az EEM, ha az interface lement és feljött, akkor
átírta az interfacekonfigot meg a defgw-t, ha másodjára is, akkor visszaírta.
És ezt megtehette bármennyiszer
De ha egyszerűen átírod a startup-configot és felteszed (TFTP, TCL.. bármi)
akkor configba beleírhatod, hogy mi legyen a startup-config (boot marker).Egy jobb célleírás sokat segítene..
-
crok
Topikgazda
válasz
zsolti.22
#2784
üzenetére
Nos:
16. oldal
GNS3 Vault - BGP Regular expression
Cisco Regular Expressions
INE - ha már emlegettükAzt le tudod írni, hogy mi a nem tiszta? Ez a regexp
sokmindenkinek nehézkes, pedig egyszerű ez
Google Chrome-ban van Regexp tester -
#2736
crok
Topikgazda
Hedgehanter
#2728
crok
Topikgazda
válasz
Hedgehanter
#2728
üzenetére
Ezen parancs kimenetét láthatnám? pastebin.com-ra mehet:
sh dsl int ATM0Aztán ezt próbáld már meg:
interface ATM0
dsl operating-mode auto
dsl gain-setting tx-offset -5
dsl gain-setting rx-offset -5..és sh dsl int ATM0 megint.
Cyber_Bird linkje jó.
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Eltűnhet a Dinamikus Sziget
- Mozilla Firefox
- Milyen asztali (teljes vagy fél-) gépet vegyek?
- Milyen okostelefont vegyek?
- E-roller topik
- Samsung Galaxy S21 FE 5G - utóirat
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Xbox Classic / Xbox 360
- Kerékpárosok, bringások ide!
- Filmvilág
- További aktív témák...
- AMD Ryzen 7 5700X processzor eladó /Garanciás/
- Xbox Series S + 2 kontroller
- Dell laptop eladó i5 11. gen, 8GB RAM, 512GB SSD, újszerű állapotban!
- Bomba ár! HP EliteBook Folio 1040 G1 - i5-G4 I 8GB I 256GB SSD I 14" HD+ I Cam I W10 I Garancia!
- Bomba ár! HP Elitebook Folio 9470M - i5-3GEN I 8GB I 256GB SSD I 14" I DP I Cam I W10 I Garancia!
- BESZÁMÍTÁS! Asus B760M i7 12700KF 32GB DDR4 512GB SSD RX 6800 16GB Rampage SHIVA FSP 700W
- Telefon felvásárlás!! iPhone X/iPhone Xs/iPhone XR/iPhone Xs Max
- LG 77G4 - 77" OLED evo - 4K 144Hz 0.1ms - MLA - 3000 Nits - NVIDIA G-Sync - AMD FreeSync - HDMI 2.1
- Csere-Beszámítás! PowerColor Red Devil Spectral White RX 9070XT Videokártya! Bemutató Darab!
- Konzol felvásárlás!! Nintendo Switch
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: PC Trade Systems Kft.
Város: Szeged