-
Fototrend
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
jerry311
nagyúr
ZBFW-nél illene visszaengednie a választ, függetlenül attól, hogy melyik zónába megy. Szvsz ez valami packet tracer hiba lesz.
Drop a default, mindent eldob, amit nem állítasz Pass-ra vagy Inspect-re a mapban. Ha Pass akkor egyik irányba átenged. Ha Inspect akkor már vissza is engedi a választ.
Zone-Based Policy Firewall Design and Application Guide 12.4T
Emlékeim szerint az egyetlen figyelemre méltó újítás 15.0-ban, hogy már azonos zónában lévő interface-ek közti forgalmat is lehet vele kezelni. (intrazone support)
-
jerry311
nagyúr
Tobb mint eleg ha csak tanulni akarok rajta...
Es barmikor telepitek egy uj virtualis controllert 10 perc alatt.![;]](//cdn.rios.hu/dl/s/v1.gif)
Q. How is the Cisco Virtual Wireless Controller deployed?
A. The virtual controller software will be posted as .ovf package in the Cisco software center. Customers can download the .ovf package and install similar to any other virtual application. Software comes with a free-60 day evaluation license. After the VM is started, the evaluation license can be activated and later a purchased license can be automatically installed and activated. -
jerry311
nagyúr
Ja, eddig az összes Cisco vizsgámban ugyanez volt a helyzet GUI-val. Csak az volt aktív, ami kellett a feladathoz.
Majd megnézem a könyveket. Egyelőre a cél a CCNA Wireless, mondjuk nem kapok érte több fizut, de legalább fizetik a vizsgát, meg adnak pár munkamentes napot a felkészülésre.
-
jerry311
nagyúr
Jó hát én nem voltam CCNA Security, így sok év után most újra CCNA-t tanulok: Wireless. Továbbra is állítom, hogy CCNP vizsgán nem láttam CCP-t.
VPN-hez akkor jó a GUI, ha a sokat emlegetett extra szopó beállításokat kell kezelni. Van pár feature, ami nem a konfigban van, mint ahogy szerintem normális lenne, hanem itt-ott külön fájlokban. Jobb esetben legalább XML. Na ezeket nem lehet értelmesen szerkeszteni az eszközön. Tehát marad a GUI vagy export, letöltés, szerkesztgetés, feltöltés, import. Ééééés nem működik, mert elrontottál egy XML tag-et.
Na ilyenkor jön a kattintgatás inkább.
A Wireless viszont érdekes olvasmány. Sokat javult itthon a WiFi minősége, függetlenül attól, hogy nem Cisco HW van itthon. -
jerry311
nagyúr
Nem emlékszem, hogy bármelyik CCSP/CCNP Security vizsgámon lett volna CCP kérdés.
Nemtom, hogy ki mit használ itt a topicban, majd elárulják ha akarják. Én telnet / SSH párti vagyok, ha nagyon muszáj akkor ASDM. (Vannak olyan dolgok, amit jóval egyszerűbb GUI-ban. Mert pl. fájl export, edit, fájl import a konfig, nemcsak 3 egyszerű sor.)
Talán ha félévente 1 ticket volt SDM-mel, jó régen. Már évek óta senkit sem láttam, aki Cisco routert GUI-val használ.
Az egyetlen dolog, amit kezdetben csak GUI-ban konfigoltunk az MDS 9500-asok. Hamar rájöttünk, hogy mit-hol-merre-meddig és utána már megállíthatatlanul pörgött ott is a CLI használat. Lerövidítve a munkát 20 percről 2-re.(Mellesleg 1 GB RAM nem is sok, a Firefox most is valahol 1.5 körül kajál és ma reggel kapcsoltam be a gépet.)
-
jerry311
nagyúr
Nincs semmi serial meg frame-rely okossag. ez egy egyszeru ethernet belso halozat.
Mondjuk ha beraktak egy hub-ot valahova...
Egyszer volt is egy ilyen tikettem meg evekkel ezelott. Az inside es a dmz egy hub-ra volt rakotve en meg csak pislogtam, hogy miafaxvan. Aztan akedvesugyfel artatlan hangon megerositette, hogy igen, az egy hub es azert van ott, mert... Persze nyilvan a tuzfal volt a hibas, hogy a beallitasoknak megfeleloan mukodott es dobalta el a csomagokat.
Na, meg is kerdezem oket, hogy most wtf?
-
jerry311
nagyúr
válasz
FecoGee
#4305
üzenetére
Ez félig-meddig ASA lenne, ha valódi konfig lenne, de csak azért írtam, hogy érthetőbb legyen mit akarok mondani.
99%-ban biztos vagyok benne, hogy nem az ASA-n lesz hirtelen négyszeres a packet mennyiség, hanem már így kapja a kábelről. Na de akkor mi sokszorozza meg? A switch, ami valami nexus 1000v talán? -
jerry311
nagyúr
válasz
Rocko007
#4303
üzenetére
Eppen ezt olvasgatom.
Admin guide vagy az IUWNE tankonyv.-------------------------------------------------------------------
Mas...
Hallott mar valaki olyan elb...tt halozatrol, hogy (az egyszeruseg es konkretunok miatt) 4 VLAN csomagjai megerkeznek mind a 4 subinterface-re? (nativ VLAN nincs hasznalatban)Tehat mondjuk...
interface Fa0/0
no ip addressinterface Fa0/0.2
ip address 2.2.2.2 /24
vlan 2interface Fa0/0.3
ip address 3.3.3.3 /24
vlan 3interface Fa0/0.4
ip address 4.4.4.4 /24
vlan 4interface Fa0/0.5
ip address 5.5.5.5 /24
vlan 5es aztan tele van ilyenekkel a log:
Deny UDP reverse path check from 5.5.5.25 to 10.20.30.40 on interface VL2
Deny UDP reverse path check from 5.5.5.25 to 10.20.30.40 on interface VL3
Deny UDP reverse path check from 5.5.5.25 to 10.20.30.40 on interface VL4
(vlan 5-on nem, mert ugy ott jo a source.)Nyilvan jogos a log message es nincs is vele bajom. Annal inkabb azzal, hogy miert erkezik meg minden packet 4 peldanyban, minden subinterface-re 1?
-
-
jerry311
nagyúr
DMVPN az ugye Dynamic Multipoint VPN, azt nem konfigolod szándékosan úgy, hogy mindent a hubon keresztül küldjön. Pont az a lényege, hogy a spoke-ok egymás közt beszélgetnek full mesh-ben. Sőt, általában akkor kezdődik a troubleshoot ha minden a HUB-on keresztül megy éppen.
Ha akarsz DMVPN-t és GRE over IPSec-et is ugyanazokon az routereken, akkor a tunnel protection sor végére kell a 'shared' keyword. Azonban sokkal jobban járhatsz ha a source interface nem ugyanaz (nem a fizikai int. hanem inkább loopback) és köülön IPSec profile van nekik vagy akár már külön ISAKMP profile is, hogy még csak véletlen se keveredjenek össze. -
jerry311
nagyúr
válasz
karesz500
#4286
üzenetére
A switch switchel, a router routol, a PIX pixel az ASA meg a sal.
Javaslom a kozelebbi megismerkedest az icmp paranccsal.
Kezdetnek valahogy igy:
icmp permit any outside
icmp permit any insideAztan kesobb lehet vele jaccani.
A PIX/ASA kulon allatfajta. Kulon kell kezelni az eszkoznek szant es az atmeno forgalmat.tusi_
DMVPN-t majd otthonrol, most megyek mert lekesem a vonatom. -
jerry311
nagyúr
válasz
karesz500
#4279
üzenetére
A tunnel egeszen addig nem epul fel, amig nincs az ACL-nek megfelelo forgalom.
Az egyszeruseg kedveert pingelj a routerrol. Meg kell hataroznod a source IP-t, kulonben ugye annak az interface-nek az IP-je lesz a source, amelyiken kikuldi a csomagot. Tehat 'ping 10.0.1.1 source 10.0.2.1'
Nem fog valasz erkezni, de ettol fuggetlenul a tunnel felepul, mert olyan forgalom volt, amit bele kell rakni a tunnelbe.
Ha VPN-en keresztul akarod pingelni a PIX inside IP-jet, akkor: "mana inside' a baratod, mert a varazslashoz mana kell.
Ha ezen az oreg PIX-en keresztul akarsz kuldeni barmit, akkor arra nem eleg az ACL (vagy a megfelelo high to low security forgalom) hanem valamilyen NAT szabalyank is ervenyesnek kell lenni ra. Mondjuk
access-list 100 permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0
nat (inside) 0 access-list 100
clear xlateHa valamit elirtam, az azert van mert nincs keznel 6.3-as PIX, hogy konzolrol masolhassam.
UI: sysopt connection permit-vpn (kulonben meg az outside ACL-lel is szivnod kell)
-
jerry311
nagyúr
válasz
karesz500
#4277
üzenetére
Tippelem 6.3(5) vagy korabbi. Igazabol mindegy is. Szemelyes (es barati kor) tapasztalat alapjan azt mondom, hogy ahany felhasznalas annyi ACL, hiaba ugyanazt tartalmazza. Bar egyre jobban halad a software az ilyen aprobb epitoelemek ujrafelhasznalasaban, a 6.x verzio meg nagyon nem volt jo ebbol a szempontbol.
Az sem sokat segit, hogy PIX-en default routenak a sajat IP cimet adod meg.
A VPN konfig viszont alapvetoen jo.
Ket hasznos debug:
debug crypto isakmp
debug crypto ipssecA transform set, ACl, keyring, profile, stb. eseteben ajanlott vagy a kapcsolatra jellemzo nevet adni vagy azt amit tartalmaz, kesobbiekben megkonnyiti az eletet.
Valamint, a PIX 6.x alapvetoen nem enged at semmit magan, amire nincs NAT szabaly.
-
-
jerry311
nagyúr
válasz
karesz500
#4267
üzenetére
Nagyon roviden es nagyon pongyolan...
Mindket esetben a beallitott hash, encryption, lifetime, DH group (~PFS @ phase 2), stb. alapjan epiti fel a kapcsolatot.
Az SA (Security Associaton) egy felepitett kapcsolathoz tartozo adatok osszesseget rejti. Nyilvan a fenti konfiguralt elemek plusz az aktualis titkositasi kulcs es hatralevo lifetime (adat es ido egyarant).Azert ketto, mert az elsoben a biztonsagos csatornat epiti fel, amin aztan majd titkositva megbeszelik a peerek, hogy az adatforgalmat milyen beallitasokkal kuldik egymasnak. Tehat a masodik fazisban is egyeztetni kell mindent. Ugy is mondhatjuk, hogy a masodik fazisban ugyanaz tortenik, mint az elsoben, csak nem a peerek kozti forgalomra vonatkozoan, hanem a valos adatforgalomra.
PFS: DH kulcs csere phase 2-ben. Ez azert jo, mert enelkul a phase 2 kulcs alapvetoen a phase 1 kulcs leszarmazottja lenne. Tehat PFS nelkul konnyebben torheto, mint PFS-sel.
Crypto mapban rakod ossze az epitoelemeket, mint peer, ACL, transform set, PFS, lifetime, stb.
Majd a crypto map kerul ra valamelyik interface-re es vegul ennek alapjan donti el az eszkoz, hogy kell-e titkositani vagy sem. -
jerry311
nagyúr
Biztos hogy ez tamadas? Nem lehet false positive?
Mondjuk, ha belso halorol latok tamadast, akkor also korben megbizonyosodunk rola, hogy nem fals pozitiv. Utana megkeressuk az IP cim tulajdonosat, kis terpeszben falhoz allitjuk es nekifutasbol tokon rugjuk.
Majd normal munkamenetet folytatva szepen letakaritjuk a akrtekony programokat a geperol, mig a sarokban magzat pozba kuporodva varja a fajdalom elmulasat.A kulso tiltasokra meg annyit, hogy az internet felol erkezo csomagok eseten kitiltasz mindent, ami RFC1918-bol jon:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)Utana beengeded, amit muszaj es kesz, a vegen ugy is ott a deny any any.
-
#4241
jerry311
nagyúr
Hedgehanter
#4240
jerry311
nagyúr
válasz
Hedgehanter
#4240
üzenetére
Azt meg nem sikerult kifizettetni a ceggel...
-
jerry311
nagyúr
[reklám]
Nekem cFosSpeed csomagütemező van gépeimen. Amikor gigabites LANra upgradeltem, akkor már durván meglátszott melyik gépen van jó csomagütemezés és melyikre nincs még telepítve. Ráadásul össze is dolgoznak LANon, tehát ha az egyik gép torrentezik mint állat, a másikon meg elindul a CS, akkor lebeszélik egymással, hogy "a torrentből vegyél vissza barátom, mert most nekem olyan forgalom van, ami nagyon szereti az alacsony késleltetést!"
Így a UPC-s sávszélesség optimalizáló progi már nem csinált semmit.
[/reklám] -
jerry311
nagyúr
1, Az ASA ilyen, sőt már a PIX is ilyen volt. Az 5.x-es PIX meg még ilyenebb. Mivel a PIX-et a Cisco csak felvásárolta, nem lett teljesen átalakítva IOS-re a konfigja, ASA konfig meg nyilván PIX örökség. (Mellesleg az ASA-n elég a 'show ip' is.)
Mondjuk, pár hete találkoztam 11-es IOS-szel, az is érdekes volt.2, Kaksi a driver, tippelem ez a nagy különbség. Tedd fel a gyári drivert, beépített win helyett. Esetleg tekergetni kell eszközkezelőben a beállításokon.
-
#4216
jerry311
nagyúr
Cyber_Bird
#4215
jerry311
nagyúr
válasz
Cyber_Bird
#4215
üzenetére
És ne csak a könyve(ke)t, hanem barátkozz össze a GNS3-mal is.
-
jerry311
nagyúr
Attol fugg mit akarsz, de jellemzoen CLI eleg hozza.
ASA-n WebVPN/AnyConnect kornyeken vannak csak olyanok, amit bottal se piszkalnek meg GUI nelkul. (jellemzoen XML-t hasznalo nyalanksagok) Nem ertem miert nem lehetett rendesen megcsinalni konfigba. Miert kellett XML-be tenni.
-
jerry311
nagyúr
válasz
Meridian
#4031
üzenetére
Egy windowsos szerverrel egy esetleg két alhálzatot le lehet fedni a dinamikus IP címkiosztással, de ha pl 4-5 van, akkor azt hogyan?
Miért csak 1-2-t lehetne? 1000-et is lehet. ip helper-address a parancs amit keresel.
Windows server sem kell hozzá, routeren is készíthetsz több dhcp poolt.Vagy az is lehet, hogy nem értem a kérdést.
-
jerry311
nagyúr
Haaat, szerintem nem, lehet az tobb is.
Az elso vizsgatol szamitva 3 evig ervenyes, amit egy masik vizsgaval hosszabbithatsz. Tehat akar 5 ev alatt is lehetsz CCNP, ha kozben nem valtoznak szamodra hatranyosan a vizsgaszabalyok.
Ezert hat erdemes odafigyelni a valtozasokra, de meg ha valtozik valami akkor is van kb. 1 eved befejezni a CCNP-t. Ami nem keves, foleg ha mar megvan belole par dolog. -
jerry311
nagyúr
válasz
FecoGee
#3992
üzenetére
Igen, goldhoz 4 kell. Globalhoz min. 9x4. Egyébként a goldhoz sem elég 4 CCIE, kell ahhoz még pár CCNP is meg talán még CCNA is.
Pénzügyileg mindenképp kiaknázzák a CCIE-ket, min. 42% discount hamar kitermeli a fizetésük. (Persze csak ha van eladás.)
Tudásban mérve meg teljesen változó, attól függ milyen munkakörben dolgoznak. Egy néhány irodás hálózat megtervezéséhez nem kell CCIE. Egy igazi multi minden szirrel-szarral teletűzdelt hálózatának tshootjához már lehet nem árt. -
#3993
jerry311
nagyúr
suomalainen
#3989
jerry311
nagyúr
válasz
suomalainen
#3989
üzenetére
-
jerry311
nagyúr
válasz
zsolti.22
#3974
üzenetére
Dehogyis, ahhoz csak egy CCO ID kell, meg egy hozzárendelt élő support contract. Ez azért még nem Cisco partnerség.
Mondjuk nekem elég természetes, hogy van hozzáférésem. Azt bánom, hogy nem léptem ki idejében a Cisco TAC-ról és a már szigorúbb biztonsági checklist miatt letiltották az internal accountom a kilépéskor.
Pedig néha nagyon hasznos tudna lenni... -
#3973
jerry311
nagyúr
suomalainen
#3972
jerry311
nagyúr
válasz
suomalainen
#3972
üzenetére
Intrerfasz állapotok, hibák, syslog, traceback, stb
-
#3970
jerry311
nagyúr
suomalainen
#3969
jerry311
nagyúr
válasz
suomalainen
#3969
üzenetére
Egy show tech sokkal jobb lenne, természetesen akkor begyűjtve, amikor éppen nem megy.
Meg még biztos van pár dolog, ami nincs show tech-ben és segítene, de switching sosem volt erősségem. -
jerry311
nagyúr
-
jerry311
nagyúr
...minden, amira a hétköznapokban szükségem lehet...
Hát akkor tanulj meg ACL-t szerkeszteni, NAT-olni és static route-okat írogatni.
Napjaim nagy részét ezzel töltöm. Talán heti 1 nap van, amikor ennél több kell és ez egy olyan állás, ahol elméletileg ennél csak nehezebb dolgok kerülhetnének elém.
Üzemeltetés meg még unalmasabb. (szerintem) A jó (hálózati) rendszergazdát onnan lehet felismerni, hogy egész nap nem csinál semmit, mert egyszer megcsinálta jól és azóta is működik. -
#3883
jerry311
nagyúr
Bjørgersson
#3882
jerry311
nagyúr
válasz
Bjørgersson
#3882
üzenetére
Mit is szeretnel pontosan?
Emlekeim szerint switchportnak nem szokott IP cime lenni, az inkab layer 3 eszkozokre es interfacekre jellemzo. -
#3874
jerry311
nagyúr
Cyber_Bird
#3873
jerry311
nagyúr
válasz
Cyber_Bird
#3873
üzenetére
Azért érdekes volt látni a logokban, hogy gyakorlatilag meghalt a hálózat valahol a "kernelben".
Gyakorlatilag minden, ami fizikai vagy virtuális hálózati kapcsolaton ment az leállt az ASA-n kívül, ettől függetlenül belül minden más ment tovább, csak úgy mintha nem lennének hálózati kapcsolatok.
Ami továbbra is hajlandó volt valamilyen minimális szinten kommunikálni kifelé, az a WebVPN és az OSPF, ARP. Minden más halott volt, management access, átmenő forgalom, kapcsolat az IPS kártya felé (ez ugye egy gigabit port a backplane-en), mint kiderült valami hasonló kapcsolat van a crypto kártya felé is...
Console port működött. Local auth is. CLI is. Legjobban a fentebb is említett "megszakadt a kapcsolat a szoftver két vége közt" kijelentés írja le a történteket.
Reboot megoldotta. Kérdés meddig...Logok lementve, show tech lementve, bár tudom, hogy gyakorlatilag egyik sem ér semmit kb.
De ha nagyon tudni akarja a felső vezetés, lehet megkérdezzük cickót. -
jerry311
nagyúr
Note (not only to self):
Ha egy ASA meghal, ellenorizd, hogy teljesen meghalt-e. Vagy leginkabb loj bele meg egy tarat a magnumbol.
Ne bizz a failover toekeletessegeben.
Ellenkezo esetben lathatsz erdekes dolgokat a halozaton, amit nem tudsz megmagyarazni es kovetheted a rossz nyomot. Vvegul is csak 2 ora 40 percbe kerult rajonni, hogy az OSPF processz nem halt meg teljesen (failover nem olte meg), igy ultetve fel minket a szoporollerre. -
jerry311
nagyúr
Tippelem a 871W- belso es kulso oldalan ket kulon IP tartomany van, mert mashogy ugysem engedne az IOS.
Igy sokkal inkabb elkepzelhetonek tartom, hogy a TP-Link-nek fogalma sincs, hogy merre kellene keresse a 871W belso subnetjet, tehat kikuldi a nagyvilagba a default route-on.
Ezert elso korben javasolnam, hogy a TP-Link routeren allits be egy route-ot, ami a 871W belso subnetjere vonatkozik es a next hop legyen a 871W kulso oldali IP-je. -
jerry311
nagyúr
LoL
Ezeket HR-esek írják, mit ahogy a példa is mutatja, nem küldik el ellenőrzésre.
Szerintem már mondtam, hogy sajnos interjún is találkoztam ilyennel.
A srác keverte a DHCP-t a DNS-sel. Megkérdeztük az DNS-t elmondta a DHCP-t. Megkérdeztük, hogy akkor a másik mi, mire kinyögte hogy nem tudja. -
jerry311
nagyúr
válasz
moseras
#3779
üzenetére
A L2L VPN-be a kliensek forgalmat is bele kell konfigolni.
Routolni is kell ezt a forgalmat.
ASA-nal same-security-traffic-ot engedelyezni kell. Masiknal nemtom, nem ismerem.
Elofordulhat, hogy kell NAT konfig is.
Es meg az is elofordulhat, hogy a kliens konfigon is valtoztatni kell.
A fentiek nagyban fuggnek az aktualis beallitasoktol. -
jerry311
nagyúr
Hát de minek?
Mármint, mondjuk ott egy router, fogadhat X helyről VPN-t és SSH-t. Pont. Vége. Erre nem kell ACL-nél bonyolultabb. Ha a csomagot fel kell dolgozni addig, hogy eldob/nem dob, akkor már mindegy, hogy honnan jön ez a szabály. Nagyjából úgyis ugyanaz a process dobja majd el, csak legfeljebb másik modulból jön a "gépi kódba" befordított szabály.A másik meg hogy sok esetben egy ilyen router csak azért van ott, mert ez biztosítja a tűzfal által nem támogatott WAN protokollt. Tehát utána ott egy célhardver (tűzfal) és csak saját magát kell védenie, nem a mögötte lévő céges hálózatot.
Cheap men's firewall: (kicsi) router + zbfw + ips.
Rich men's router: 6500 + FWSM (illetve most már ASA SM) + same security traffic engedve + NAT kikapcsolva.
Kinek mire fussa... -
jerry311
nagyúr
-
jerry311
nagyúr
Igen, volt egy csodálatos kérdés erről a vizsgán, aztán nem néztem meg a helyes választ a végén. Egyáltalán mutatja?
Lényeg, hogy 2 válasz lehetett helyes, az egyik 12.4 szerint, a másik 15.0 szerint. A kérdésben persze nincs benne, hogy melyik IOS-re gondoltak...
Na mindegy. végül is átmentem.Vissza témához.
aaa authentication login default local-case enable
aaa authentication login console line enable noneEmlékeim szerint ha default be van állítva, akkor minden loginnál azt használja, tehát nem kell külön beállítani pl console-ra, vagy külön jelszót megadni az aux/con/vty line-okra.
#3752
erre gondolsz?
! +username mgmt; password mgmt; enable mgmtAzért ennél egyértelműbb lehetne egy !!change enable and user passwords!!
De ami a legjobban bejött eddig: kérdőjelek, az nem marad észrevétlenül, legkésőbb a konfig bemásolásánál. -
jerry311
nagyúr
-
jerry311
nagyúr
"extendable" nem segített, "match-in-vrf" pedig alapból be van kapcsolva outside nat esetén vagy valamit félreértettem. Emiatt az extendable + match-in-vrf kombinációt még nem próbáltam együtt.
Egyébként jól értelmezed, global-ból megy a csomag valamelyik VRF-be.
Static routing van.
Egészen addig minden szép és jó, amíg nem akarok NAT-ot konfigolni ugyanarra az IP-re 2 külön VRF-ben.
Mivel alapvetően egy bugos fos a NAT ha VRF is belekeveredik dologba, ezért nem lennék meglepve ha itt is bug akadályozná a munkát. (ezt csak abból, hogy nem egy NAT vs VRF kört futottunk, mire ehhez az aránylag működő config verzióhoz eljutottunk) -
jerry311
nagyúr
10.10.10.10 letezik 2 VRF-ben, ket kulon VLAN-ban.
Ha 172.16.7.125-re csatlakoznek a global VRF-ben, akkor azt legyen szives NAT-olni VRF1-be 10.10.10.10 destination address-re.
Ha 172.16.3.162-re csatlakoznek a global VRF-ben, akkor azt legyen szives NAT-olni VRF2-be 10.10.10.10 destination address-re.Az elgondolas:
R1(config)# ip nat outside source static 10.10.10.10 172.16.7.125 vrf VRF1R1(config)# ip nat outside source static 10.10.10.10 176.16.3.162 vrf VRF2
% 10.10.10.10 already mapped (172.16.7.125 -> 10.10.10.10)De miert nem? A ket NAT es a ket kapcsolat is teljesen jol megkulonboztetheto.
-
jerry311
nagyúr
válasz
whatnot
#3534
üzenetére
Voice még mindig menő. Pl. nálunk is kb. állandóan van voice-os állás.
Network security-vel is jól lehet keresni, de itt ne arra gondolj, hogy tűzfal, az már régóta csak a beugró szint.
IPS/IDS, web application/database firewalls, siem és egyéb nyalánkságok.
Arra viszont számíts, hogy ha most kezded, akkor kell pár éve mire rendesen termeli majd a pénzt és nincs megállás. Ha nem haladsz a korral, akkor bukó. -
jerry311
nagyúr
Pontosan.
A vizsga utan a kezedbe nyomnak egy VUE-s szarazpecsettel 'hitelesitett' papirt. Ennyi.Ha esetleg valami extra certification/recognition is jar hozza es bekattintod a Cisco certificate tracker oldalon, hogy hova kuldjek, akkor majd erkezik meg papir.
En pl most a CCNP Security utan 2 hettel meglepodtem amikor 4 vaskos boritek vart a postaladaban:
4013 recognition
VPN specialist
Firewall Specialist
CCNP Security cert.
Na meg egy uj CSCO plasztikkartya, amin mar nem CCNA van hanem CCNP Security.
De ugye mindez azert, mert ezzel a vizsgaval szereztem meg a CCNP statuszt. -
jerry311
nagyúr
válasz
FecoGee
#3453
üzenetére
Igen, ido es penz.
Minkettobol nagyon sok.
Mit kapsz cserebe? Sok penzt, egy kis elismerest a kollegaktol, meg egy papirt a tudasodrol.
Kerdes hogy a fentiek kozul mi motival annyira, hogy felaldozd erte az idodet, meg mondjuk az uj autodat.A masik meg, hogy aki kijon egy ccie-rol es nem tudja megmondani, hogy atment-e vagy sem es ha nem akkor miert nem, na az nincs felkeszulve. Szerintem.
En nem vagyok ccie, nem is leszek, nincs motivacio.
-
jerry311
nagyúr
Attol fugg milyen jellegu poziciorol van szo.
A legeselyesebb, hogy vazolnak egy egyszeru topologiat es arrol kerdeznek mindenfelet. Esetleg ugyanez hibakeresessel egybekotve.
Te mondod mit akarsz, ok meg mondjak az eredmenyt.
Aztan az is lehet, hogy leultetnek egy PC ele es oldd meg a feladat. Nekem volt mar mindketto. -
jerry311
nagyúr
[link]
Belépzs, bekattintod a vizsgádat és megnézed mivel lehetsz recertified.De hogy ne kelljen messzire menned, ezek mind meghosszabbítják a CCNP R&S-t:
(egy részük mér régi vizsga amit nem lehet letenni, de nem tudom melyik)(350-001) CCIE Routing and Switching. Valid beginning 01/01/2010.
(350-018) CCIE Security. Valid beginning 01/01/2010.
(350-020) CCIE Optical. Valid beginning 01/01/2010.
(350-021) CCIE Cable. Valid beginning 01/01/2010.
(350-022) CCIE DSL. Valid beginning 01/01/2010.
(350-023) CCIE WAN Switching. Valid beginning 01/01/2010.
(350-024) CCIE IP Telephony. Valid beginning 01/01/2010.
(350-025) CCIE Service Provider Dial. Valid beginning 01/01/2010.
(350-026) CCIE SP Content Networking. Valid beginning 01/01/2010.
(350-027) CCIE Metro Ethernet. Valid beginning 01/01/2010.
(350-029) CCIE Service Provider Comprehensive. Valid beginning 01/01/2010.
(350-030) CCIE Voice Exam. Valid beginning 01/01/2010.
(350-040) CCIE Storage Networking. Valid beginning 01/01/2010.
(350-050) CCIE Wireless. Valid beginning 01/01/2010.
(350-060) CCIE SP Operations. Valid beginning 01/01/2010.
(350-080) CCIE Data Center. Valid beginning 01/01/2010.
(352-001) Cisco Certified Design Expert. Valid beginning 01/01/2010.
(352-011) Cisco Certified Design Expert Practical Exam. Valid beginning 01/01/2010.
(640-519) CCNP Recertification. Valid beginning 01/01/2010.
(640-851) CCNP Recertification. Valid beginning 01/01/2010.
(642-035) Troubleshooting Cisco Unified Computing(DCUCT). Valid beginning 01/01/2010.
(642-425) IP Telephony Troubleshooting. Valid beginning 01/01/2010.
(642-426) Troubleshooting Cisco Unified Communications. Valid beginning 01/01/2010.
(642-427) Troubleshooting Cisco Unified Communications(TVOICE). Valid beginning 01/01/2010.
(642-432) CVOICE. Valid beginning 01/01/2010.
(642-436) Cisco Voice over IP. Valid beginning 01/01/2010.
(642-437) Implementing Cisco Voice Communications and QoS(CVOICE). Valid beginning 01/01/2010.
(642-444) CIPT-4.x. Valid beginning 01/01/2010.
(642-445) CIPT 5.0. Valid beginning 01/01/2010.
(642-446) Implementing Cisco Unified Communications IP Telephony Part 1. Valid beginning 01/01/2010.
(642-447) Implementing Cisco Unified Communications Manager, Part 1(CIPT1). Valid beginning 01/01/2010.
(642-452) Gateway/Gatekeeper. Valid beginning 01/01/2010.
(642-453) Gateway/Gatekeeper. Valid beginning 01/01/2010.
(642-456) Implementing Cisco Unified Communications IP Telephony Part 2. Valid beginning 01/01/2010.
(642-457) Implementing Cisco Unified Communications Manager, Part 2(CIPT2). Valid beginning 01/01/2010.
(642-467) Integrating Cisco Unified Communications Applications(CAPPS). Valid beginning 01/01/2010.
(642-502) Securing Networks with Cisco Routers and Switches - SNRS. Valid beginning 01/01/2010.
(642-503) Securing Networks with Cisco Routers and Switches - SNRS. Valid beginning 01/01/2010.
(642-504) Securing Networks with Cisco Routers and Switches(SNRS). Valid beginning 01/01/2010.
(642-511) Cisco Secure Virtual Private Networks. Valid beginning 01/01/2010.
(642-513) Securing Hosts Using Cisco Security Agents - HIPS. Valid beginning 01/01/2010.
(642-515) Securing Networks with ASA Advanced(SNAA). Valid beginning 01/01/2010.
(642-522) Securing Networks with PIX and ASA - SNPA. Valid beginning 01/01/2010.
(642-523) Securing Networks with PIX and ASA - SNPA. Valid beginning 01/01/2010.
(642-524) Securing Networks with ASA Foundation(SNAF). Valid beginning 01/01/2010.
(642-531) CSIDS. Valid beginning 01/01/2010.
(642-532) Implementing Cisco Intrusion Prevention Systems - IPS. Valid beginning 01/01/2010.
(642-533) Implementing Cisco Intrusion Prevention Systems - IPS. Valid beginning 01/01/2010.
(642-544) "Implementing Cisco Security Monitoring, Analysis and Response System - MARS". Valid beginning 01/01/2010.
(642-545) Implementing Cisco Security Monitoring, Analysis, and Response System(MARS). Valid beginning 01/01/2010.
(642-551) Securing Cisco Network Devices - SND. Valid beginning 01/01/2010.
(642-552) Securing Cisco Network Devices - SND. Valid beginning 01/01/2010.
(642-591) Implementing Cisco NAC Appliance - CANAC. Valid beginning 01/01/2010.
(642-611) MPLS. Valid beginning 01/01/2010.
(642-617) Deploying Cisco ASA Firewall Features v1.0(FIREWALL). Valid beginning 01/01/2010.
(642-618) Deploying Cisco ASA Firewall Features(FIREWALL). Valid beginning 01/01/2010.
(642-627) Implementing Cisco Intrusion Prevention System v7.0 (IPS). Valid beginning 01/01/2010.
(642-637) Securing Networks with Cisco Routers and Switches(SECURE). Valid beginning 01/01/2010.
(642-642) QOS. Valid beginning 01/01/2010.
(642-647) Deploying Cisco ASA VPN Solutions v1.0(VPN). Valid beginning 01/01/2010.
(642-648) Deploying Cisco ASA VPN Solutions(VPN). Valid beginning 01/01/2010.
(642-661) BGP. Valid beginning 01/01/2010.
(642-691) BGP + MPLS. Valid beginning 01/01/2010.
(642-731) Conducting Cisco Unified Wireless Site Survey(CUWSS). Valid beginning 01/01/2010.
(642-732) Conducting Cisco Unified Wireless Site Survey(CUWSS). Valid beginning 01/01/2010.
(642-736) Implementing Advanced Cisco Unified Wireless Security (IAUWS). Valid beginning 01/01/2010.
(642-737) Implementing Advanced Cisco Unified Wireless Security (IAUWS). Valid beginning 01/01/2010.
(642-741) Implementing Cisco Unified Wireless Voice Networks (IUWVN). Valid beginning 01/01/2010.
(642-742) Implementing Cisco Unified Wireless Voice Networks (IUWVN). Valid beginning 01/01/2010.
(642-746) Implementing Cisco Unified Wireless Mobility Services (IUWMS). Valid beginning 01/01/2010.
(642-747) Implementing Cisco Unified Wireless Mobility Services (IUWMS). Valid beginning 01/01/2010.
(642-770) Operational Foundations for Cisco Service Provider Core Networks(OFCN). Valid beginning 01/01/2010.
(642-775) Maintaining Cisco Service Provider Routing Protocols (MSPRP). Valid beginning 01/01/2010.
(642-780) Maintaining Cisco Service Provider VPNs and MPLS Networks (MSPVM). Valid beginning 01/01/2010.
(642-785) Maintaining Cisco Service Provider Quality of Service (MSPQS). Valid beginning 01/01/2010.
(642-801) BSCI. Valid beginning 01/01/2010.
(642-811) BCMSN. Valid beginning 01/01/2010.
(642-812) BCMSN. Valid beginning 01/01/2010.
(642-813) Implementing Cisco IP Switched Networks(SWITCH). Valid beginning 01/01/2010.
(642-821) BCRAN. Valid beginning 01/01/2010.
(642-825) ISCW. Valid beginning 01/01/2010.
(642-831) CIT. Valid beginning 01/01/2010.
(642-832) Troubleshooting and Maintaining Cisco IP Networks(TSHOOT). Valid beginning 01/01/2010.
(642-845) ONT. Valid beginning 01/01/2010.
(642-871) ARCH. Valid beginning 01/01/2010.
(642-873) Designing Cisco Network Service Architectures Exam. Valid beginning 01/01/2010.
(642-874) Designing Cisco Network Service Architectures(ARCH). Valid beginning 01/01/2010.
(642-883) Deploying Cisco Service Provider Network Routing(SPROUTE). Valid beginning 01/01/2010.
(642-885) Deploying Cisco Service Provider Advanced Network Routing (SPADVROUTE). Valid beginning 01/01/2010.
(642-887) Implementing Cisco Service Provider Next-Generation Core Network Services(SPCORE). Valid beginning 01/01/2010.
(642-889) Implementing Cisco Service Provider Next Generation Edge Network Services(SPEDGE). Valid beginning 01/01/2010.
(642-891) COMPOSITE. Valid beginning 01/01/2010.
(642-892) COMPOSITE. Valid beginning 01/01/2010.
(642-901) Building Scalable Cisco Internetworks. Valid beginning 01/01/2010.
(642-902) Implementing Cisco IP Routing(ROUTE). Valid beginning 01/01/2010.
(642-991) Designing Cisco Data Center Unified Fabric(DCUFD). Valid beginning 01/01/2010.
(642-992) Implementing Cisco Data Center Unified Fabric(DCUFI). Valid beginning 01/01/2010.
(642-993) Designing Cisco Data Center Unified Computing(DCUCD). Valid beginning 01/01/2010.
(642-994) Implementing Cisco Data Center Unified Computing(DCUCI). Valid beginning 01/01/2010.
(642-996) Designing Cisco Data Center Unified Fabric(DCUFD). Valid beginning 01/01/2010.
(642-997) Implementing Cisco Data Center Unified Fabric(DCUFI). Valid beginning 01/01/2010.
(642-998) Designing Cisco Data Center Unified Computing(DCUCD). Valid beginning 01/01/2010.
(642-999) Implementing Cisco Data Center Unified Computing(DCUCI). Valid beginning 01/01/2010. -
#3414
jerry311
nagyúr
PumpkinSeed
#3404
jerry311
nagyúr
válasz
PumpkinSeed
#3404
üzenetére
USR5450 wireless access point?
3-5k HUF? -
jerry311
nagyúr
Azzal amivel 9 éve is.
Volt pár kitérő, de még mindig network support, de inkább csak security vonalon. Jön a tikett, megoldom, lezárom. PIX/ASA, securitys dolgok routeren, VPN, CheckPoint, BlueCoat. Ha elkerülhetetlen, akkor: wireless, BigIP, routing, switching, AD, VMWare és persze a mindenféle (VPN) kliensprogramok miatt a végére egy kicsi desktop support is.
Olyan sokoldalú vagyok, hogy az már majdnem gömb.
Csak vicceltem. Alkoholista vagyok, csak kellett valami jól fizető meló, mert drága az ital. -
#3372
jerry311
nagyúr
Hedgehanter
#3369
jerry311
nagyúr
válasz
Hedgehanter
#3369
üzenetére
Gyorsan? Ha azt vesszük, hogy több mint 2 évet dolgoztam a Cisco TAC-en, security és VPN teamben és ennek már majdnem 10 éve, akkor inkább csigatempóban haladok.
Én vagyok az, akit nem érdekeltek a vizsgák. Már 2 éve dolgoztam ott, amikor CCNA-t szereztem, de azt is csak azért, mert a főnök mindig azzal baszogatott, hogy a többieknek már megvan a CCNA és a CCSP is.
Az a baaaj, hogy akkor sem volt motiváció az ilyen papírok megszerzésére és most sincs.
Visszatérve a témához, aránylag gyorsan megvolt a felkészülés, kb. karácsony előtt kezdtem hozzá azoknak a dolgoknak a megtanulásához, amiről kevesebb fogalmam volt. De mint mondtam, nem sok új dolgot kellett pluszban tanulnom, mert ezzel dolgozom nap mint nap.
Ha tudnék 10 ujjal gépelni, akkor csukott szemmel is tudnék DMVPN-t configolni, vagy NAT-ot vagy zone based firewall-t.---------------------------------------
Thx Mindenkinek!
-
jerry311
nagyúr
válasz
zsolti.22
#3350
üzenetére
Székely router hosszú hello timeout-tal?
Majd ha változás áll bé, szóólok.Asszem a holnapi 642-637 vizsga után össze kéne már szedni magam CCNP R&S-ből is. Nem járja, hogy csak annyit tudok amennyi rám ragadt az elmúlt 10 évben.
Ja meg láttam CBT Nuggets GNS3-at, érdemes ezzel foglalkozni? Általában a CBT Nuggets videókat érdemes megnézni, de volt már szerencsém felejthető előadóhoz/videóhoz.
-
jerry311
nagyúr
válasz
zsolti.22
#3304
üzenetére
If the match criteria fails, then this clause is not applicable to the route, and Cisco IOS software proceeds to evaluate the route against the next clause in the route-map.
Ha nincs egyezés megy a következőre (next clause). Ha egyezés van, akkor meg folytatja az adott route map clause feldolgozását. Így én azt mondanám, hogy az így "összekapcsolt" match-ek ÉS-t jelentenek.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Na ilyenkor jön a kattintgatás inkább.
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Bomba ár! Lenovo ThinkPad X270 - i5-6G I 8GB I 256GB SSD I 12,5" FHD I HDMI I Cam I W10 I Garancia!
- BESZÁMÍTÁS! ASRock B250 i5 6600 16GB DDR4 256 SSD 500GB HDD GTX 1050 2GB Zalman Z1 Njoy 550W
- Apple iPhone 12 128GB, Kártyafüggetlen, 1 Év Garanciával
- ÁRGARANCIA!Épített KomPhone i5 14600KF 32/64GB DDR5 RAM RTX 5070Ti 16GB GAMER PC termékbeszámítással
- Bomba ár! Dell Latitude 7280 - i5-7GEN I 8GB I 256SSD I 12,5" FHD I Cam I W11 I Garancia!
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest