-
Fototrend
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
crok
Topikgazda
A VLAN 760 SVI van VRF-ben? Az megy az ISP felé vagy az van a LAN felé és oda irányul a forgalom? Mert a directed broadcast arra az interface-re kell ahol belép, nem amerre menni fog. Plusz kelleni fog ip forward-protocol udp 1xxx is, ugyanis míg a DHCP default fel van véve a forward-protocol-ok közé (és nincs benne a konfigoban) addig gyanítom ez egy custom port így nem lesz forwardolva. Tesztelésnek én előbb a forward-proto-t tenném be és directed broadcastot ACL nélkül, aztán finomíthatjátok.
-
crok
Topikgazda
Nem volt még gond vele soha - ellenben volt olyan szolgáltatónk (spanyol ONI és ONO) akik a UDP csomagokat "loopolták" - ezt úgy kell érteni hogy volt egy metro eth technológiájuk, annak egy ügyfél site-ra telepített hálózatvégződtető doboza.. és a dobozban okosan beállították, hogy minden UDP csomagot küldjön vissza a CE router felé.. képzelheted.. mire kiszüttyögtem hogy TCP megy, ICMP megy.. de hogy UDP nem.. ment az embedded packet capture és 2x láttam benne a csomagjaimat.. azt hittem dobok egy hátast..
-
crok
Topikgazda
@Tusi: Hehhe, remélem nem lett SLA sértés belőle így hogy gyorsan meglett az ok ( : Amúgy is nagy kedvencem a platform..
@Zsolti: köszi! Láttam már ezt-azt, voltam "helyeken" - jók a megérzéseim.. ( :
@Feco: Megint jól megforgatták a pénzmosógépet ha jól hallom.. ugorj neki megint, amíg még friss a tudás!
Lassan a topik nevébe is bele lehetne venni, hogy általános hálózatos hibakereső és tervező topik : D
-
crok
Topikgazda
Ja, most nézem.. látszik épp a móka: hogyaztmondjahogy' ~44.5% IP_Input + ~22% Pool Manager + 27% Interrupt = 93.5% (+ az "apróságok" és ki is jön a 99%). Valamit feldolgozik a doboz CPU-ból amit eddig (ezek szerint) nem csinált. "remote command switch show ibc | i rx_input" és ha nagyon nő a számláló akkor tényleg neked szólt (ettől mondjuk még lehet simán broadcast.. vagy GRE tunnel-en keresztülfolyatott forgalom, asszem' azt is CPU-ból csinálja - még).
NetDR lesz még a te barátod - csapathatod is ki vele hogy mi megy fel a CPU-ba (vagy akárhonnan akárhova akármit, ez ugyanis a c6500-as "szegény ember Wiresharkja"), aztán az mehet Wireshark-ba de megnézheted a buffer tartalmát CLI-ben is. [1] [2]
-
crok
Topikgazda
A remote switch nem a VSS-re vonatkozik itt, hanem mivel 2 processzor van (route és switch) és a boot folyamat a switch-el indul ami átadja a konzolt is a route-nak így a route a "főnök" - így a remote command switch itt a switch processzorra vonatkozik.
Kéne friss kimenet és lehetőleg vagy teljes kimenet vagy sorted | e 0.00 mert így nincs sorban és ennél jóval több process van és nem látszik mi viszi a prímet. Mondjuk annyi, hogy 99%/27% az azt jelenti hogy a CPU 99%-on pörög, de ebből csak 27% az ami processz miatt van és 21% az a Pool Manager (ami a packet buffert egyengeti) - szóval 70+% megy arra ahogy jön a csomag, megy a processzorba (a route processzorba egyelőre mert csak erről van kimenet) és feldolgoztatja de mivel nincs mellette más processz ami feldolgozná így szerintem ezek broadcast-ek lesznek de nem ARP (mert akkor látnád az ARP processzt) hanem csak valami broadcast (vagy multicast!).
Jamégvalami': nem lehet hogy túl sok route van a routing táblájában és nem fér be a TCAM-be és emiatt CPU-ból forwardol egy valag csomagot? "show mls cef maximum-routes" és "sh ip ro sum" mutat valamit? [Szerk.] [link]
-
crok
Topikgazda
Az hogy a CEF be van kapcsolva még semmit se jelent,
főleg egy c6500-nál (ott ugye 2 path is van, egy CEF meg
az MLS switching path). Ami neked cink, hogy ezek
szerint van egy csomó csomag ami se nem CEF se nem
MLS switchelt, punted to CPU.. Az hogy az IP_Input
a top csak annyit jelnet hogy a Sup valamiért fel akarja
dolgozni a felvett keretet/csomagot. Nos, ami ilyenkor
a top n az az, hogy van egy csinos switchloopod és
loopolódik egy csomó broadcast frame, ami ugye a
route processzornak is szól.. Ilyenkor még az ARP
Input processz szokott felmenni. Esetleg valaki olyan
csomagokat küld amiben van IP option amit szintén
fel kell dolgoznia a kicsikének.. esetleg nagyobb
csomagokat kap a szerkezet mint az interface MTU
és darabolnia kell (és nincs DF bit beállítva) de mivel
ez 15-re upgrade után jött ki én előbb egy jóféle loop-
ot néznék, valahol valami bentragadhatott.Kapok egy "sh proc cpu so 1m | e 0.00" és egy
"remote command switch sh proc cpu so 1m | e 0.00"
kimenetet is a route és a switch processzorról? Meg
megnéznéd hogy a spannen-baum hogy áll, sok-e a
változás, lehet-e loop? -
#10192
crok
Topikgazda
Hedgehanter
#10188
crok
Topikgazda
válasz
Hedgehanter
#10188
üzenetére
Jaja, pörögnek nálunk is a tűzfalasok : D
-
#10191
crok
Topikgazda
el capitan
#10189
crok
Topikgazda
válasz
el capitan
#10189
üzenetére
Nem tudom miért para, szerintem nagyon könnyű volt, semmi nehéz nem volt benne.. egyedül a CCP relatíve nehéz mert nem triviális a gyakorlása (de GNS3-al simán megoldható) és a könyvek leírnak kb. mindent ami kell hozzá plusz a vizsgán kb csak és kizárólag azok a menüpontok élnek amik a megoldáshoz szükségesek.
-
crok
Topikgazda
Internet interface-re tett egress ACL-t ha jól sejtem..
Ugyan a ZBFW átengedné (10) de az egress ACL még előtte megfogja (6).
Order of operation:INGRESS:
1. IP Traffic Export (RITE)
2. QoS Policy Propagation through BGP (QPPB)
3. Ingress Flexible NetFlow
4. Network Based Application Recognition (NBAR)
5. Input QoS Classification
6. Ingress NetFlow
7. IOS IPS Inspection
8. Input Stateful Packet Inspection (IOS FW)
9. Input ACL
10. Input Flexible Packet Matching (FPM)
11. IPsec Decryption (if encrypted)
12. Unicast RPF check
13. Input QoS Marking
14. Input Policing (CAR)
15. Input MAC/Precedence Accounting
16. NAT Outside-to-Inside
17. Policy RoutingEGRESS
1. WCCP Redirect
2. NAT Inside-to-Outside
3. Network Based Application Recognition (NBAR)
4. BGP Policy Accounting
5. Output QoS Classification
6. Output ACL check
7. Output Flexible Packet Matching (FPM)
8. DoS Tracker
9. Output Stateful Packet Inspection (IOS FW)
10. TCP Intercept
11. Output QoS Marking
12. Output Policing (CAR)
13. Output MAC/Precedence Accounting
14. IPsec Encryption
15. Egress NetFlow
16. Egress Flexible NetFlow
17. Egress RITE
18. Output Queuing (CBWFQ, LLQ, WRED) -
crok
Topikgazda
válasz
kowika87
#10150
üzenetére
Hasonlóval találkoztam.. akkor azt csináltuk, hogy 2 külön ACL-t használtunk NAT-ra, persze ugyanaz volt benne (mondjuk név NAT-ETH és NAT-SERIAL de tartalom ugye ugyan az) és így nem volt "újrahasználva" az ACE. Ha ez nem jön be akkor tovább gondolkodom még. Ez eddig nekem ilyen IOS internal bug/feature-nek néz ki. Milyen IOS verzió és feature set, milyen eszköz?
-
crok
Topikgazda
Mehetsz vissza a Swisscomhoz asztalt verni azzal, hogy ha az ARP se megy bizonyos akkor ott valami el van menve a kis carrier ethernetjükben. Az hogy a UNI (vagyis ők Service Access Point-nak hívják (SAP)) csak bizonyos MAC-eket tanul meg és visz tovább az bizony az ő dolguk megoldani, ott a metro backbone-ban valami nem egyenes. Ezt amit ide leírtál írd le nekik is aztán mehet a debug náluk ( : Ja, mondjuk a "kb 30" site az kb. 30 IP egy /23-ban? Akkor lehet hogy belefutottatok hogy egy olyanba, hogy náluk egy VLAN-ban 5 MAC a max és ehhez lehet még 20-at kérni.. ami így max 25. Lehet pont ez a két utolsó 25-26-odik site? Mert a leírásodból ez nem egy klasszikus point-to-point kapcsolatos CE-PE megoldás, hanem egy EVPN-en megoldott 20+ site-os L2 VLAN (routing szempontból hub&spoke) így simán lehet hogy ez sose fog menni mert túlléptétek a service keretét.. ezért nem is használunk és használtunk ilyet csak arra hogy p2p link legyen CE és PE között. [1] [2] [3] [4] << Ezeket olvasd át.
-
crok
Topikgazda
válasz
kowika87
#10141
üzenetére
Az encap lényegében mindegy, mert ha az a két interface a másik oldallal jól működik és a routing a kiesés előtt és után is működik (úgy értem hogy előtte a külvilág az FE-n kapcsolódó eszközön keretszül ismeri a routered mögötti hálózat(ok)at, utána a serialon keresztül..) akkor miért lenne kiesés? Így működik a jó backup.. csak a másik oldal a választ mindig tudja hova kell küldeni. De ha kapok rajzot meg még egy kis infot akkor megpróbálok segíteni. Pl. FE és a Serial ugyanarra a routerre van kötve a másik oldalon? Vagy Internetszolgáltatók vannak a két linken és NAT-olsz is? Az IP SLA mit néz, a tracking hogy van összeállítva? Előfordulhat hogy pl. ha a fast-ethernet link lehal de az interface nem megy le akkor az IP SLA tracking nem vált állapotot?
-
-
#10105
crok
Topikgazda
Cyber_Bird
#10104
crok
Topikgazda
válasz
Cyber_Bird
#10104
üzenetére
Aki precíz load-balance-ot akar az akar minden szart is majd.. ide a QOS+forwarding miatt nem mondanék c3750-et, még újabbat se mert kicsi az ASIC buffer (2MB csak.. egy kicsit burst-ösebb backup megakasztja az egészet mint a.. szóval megakasztja szinte bármi) úgyhogy én 4500X-16-ot mondanék. Szarból nem lehet várat építeni, ilyen kérések mellé igenis kicsit virítani kell a lóvét. [Szerk.] Esetleg 4500E + Sup7L-E? Ha az óccsóbb'.
-
crok
Topikgazda
Pl. LMS saját backupja szóba se jöhet.. Windows-ról Linux-ra nem tudod visszaállítani mert tele van OS specific motyóval.. Mi úgy döntöttünk hogy mivel Large deployment LMS és a PI se kicsit (így nem is futhat csak VM-ben, Cisco ajánlás hogy ne menjen fizikain..) így inkább a napi VM snapshot-ban bízunk meg..
-
crok
Topikgazda
válasz
zsolti.22
#10090
üzenetére
Valahogy úgy írnám le mintha a WinME és a Win Vista fejlesztő be lettek volna szívvafújvaba#&va és nekiálltak volna network monitoring toolt fejleszteni.. kevés pénzért.. és most ezt kiadták volna, nagy nyomás alatt fejlesztetve úgy, hogy az új feature-öket push-oltatják a managerek bele a szerverbe de még az alap feature-ök se működnek üzembiztosan (és pl. tele van olyan scriptekkel a szerver amiknek a fejlécében ilyen dátumok vannak hogy 1999, vagy pl. 2002..).
-
crok
Topikgazda
válasz
zsolti.22
#10088
üzenetére
A Cisco Prime önmagában egy brand. Van sokféle szerverük sokféle szolgáltatással. Mi pl. a Cisco Prime Infrastructure-t (lánykori nevén NCS - Network Control System) és a Cisco Prime LMS-t (LAN Management Solution, lánykori nevén CiscoWorks) használjuk ebből a kalap f#sból.
-
crok
Topikgazda
válasz
kowika87
#10081
üzenetére
Jajj, a PI : D Megvettük hogy NCS helyett sokkkal jobb lesz - a Cisco nem tud adni egy embert aki el tudja mutogatni hogy hogy is működik.. egész egyszerűen azért mert *nem* működik : D Minden instruktor eddig azzal kezdte hogy akkor a wired részét el tudja mondani.. de mondom nekünk *csak* a wireless kéne.. hát ment a hebegés habogás : D olyan bugok vannak hogy megbolondulunk.. pl. egész egyszerűen rossz változót tesz ki a weboldalba egyes reportoknál, pl. licensz reportban darabszám helyett százalék.. oszt' örülsz hogy hjajjdejónemléptüktúl, 4000+ LWAPunk van és a licensz alig eszik 97-et : D oszt' szar ám rájönni hogy ez nem így van mikor egy új site hozzáadásakor megy a rinya hogy bezony' licensz túllépés van, te meg nézel hogy hát nem is : D 20 jegyet nyitottunk PI-ra 12 hónap alatt, 18 ebből a devnél van vagy volt.. az egyik hibánál keletkezett egy 450+GB-is Oracle transaction temp file.. nem tudják hogy és miért : D akkor nem működik a HA.. olyannyira nem hogy a TAC maga billentette meg és omlott össze.. és nem tudta összepakolni.. és az Cisco ajánlás is az hogy automatikus HA billentést *ne* használj.. meséljek még? : D [Szerk.] Jerome-ot meg én is ajánlom, Cisco 365-ön van pár remek video-ja, állat saját példákkal.
-
crok
Topikgazda
válasz
zsolti.22
#10073
üzenetére
Majd megtudnátok egy bejárás/tervezés során hogy mennyire számítanak ezek az alapok ( : A konfig egy dolog.. de egy kliens ugrálásra rájönni enélkül úgy, hogy nem tudod mi folyik a háttérben, melyik moduláció mennyire "bonyolult" és mennyire terjedhet a médiumokban.. meg mennyire törik meg, mennyire degradálódik, szóródik, hogy kezeli a rendszer a visszaverődéseket.. oszt'pedig csak betettek egy k#&va fémmerevített, sűrűn szőtt anyagú paravánt két sor ember közé.. én azt mondom nagyon is jó ha tudod hogy terjed az a jel, én a CCNA-ból is hiányolom a fizikát.. de a CWNA/CWNP-ben már egészen jól van leírva ez (meg a Youtube tele van ám). Megkíméli az embert vakon (az ops irodában) ez a kis befektetés hogy terepen mi a helyzet.. [Szerk.] hogy a wifi telefónia (Skype for Business / Lync / Cisco.. etc) kívánalmairól ne is beszéljek : D
-
crok
Topikgazda
válasz
vadger
#10066
üzenetére
Pont az a baja hogy nem kapott IP-t és valamiért olyan (valszeg' gratuitous) ARP-ot küld amiben a saját IP-je a source és az épp 0.0.0.0 és beleteszi a saját MAC-jét valamint keresi hogy valakinek van-e ugyanilyen IP címe ezzel szűrné hogy van-e IP cím ütközés.. azért hívják "marsinak" mert "idegen" ugyanis ilyen ARP bejegyzés egyszerűen nem létezhet (mármint olyan ARP amiben az IP 0.0.0.0 és bármilyen MAC). Adj neki static IP-t vagy oldd meg hogy DHCP-n kapjon IP-t és akkor nem lesz ilyen (esetleg nagyon régi az AP-n az IOS és még van benne ilyen bug?).
-
#10029
crok
Topikgazda
Cyber_Bird
#10028
crok
Topikgazda
válasz
Cyber_Bird
#10028
üzenetére
Igaz - akkor ő csinálja.
-
crok
Topikgazda
válasz
kmisi99
#10025
üzenetére
Megkérdezzem neked? ( :
Egyébként nem egzakt 48 órával előtte hanem legkésőbb 48 órával előtte ha jól emlékszem (hogy legyen 2 nap az előkészületekre, mert amúgy nem úgy megy ez.. van egy terem ahol lehet vizsgázni de nyilván az egyszerre vizsgázók száma limitált, asszem' 3 vagy 4 gép van a teremben) szóval inkább előre bookolj mint ilyen szorosan. De egyébként ezt az ITSH-s VUE admin csinálja, nem te.. Te csak szólsz hogy mennél valamikor, ők szólnak hogy jó vagy épp tele vannak és más időt kell választanod. -
crok
Topikgazda
Ott szerintem valami replikálási probléma lesz vagy a stack ring-en nem megy át a Linux gép MAC mint TCAM info. Húzd le a stack-7-et egy stack porton aztán vissza, ez általában triggereli a stack ring-en az infok újratanulását. Egyébként mindkét port él? Összeállt a stack rendesen, nem féllábú?
-
crok
Topikgazda
válasz
zsolti.22
#9936
üzenetére
Újabb móka: szembe kötve egy C6500 Sup2T meg egy Nexus 5k egy linken, /30 a háló.. egy eBGP session.. Sup2T-ről eresztesz 1000 db pinget a másik oldalra és 500 hibamentes ping reply után eldobja minden 20-adikat majd 800 db után semmi se megy át.. ezt úgy értem hogy nemhogy a ping nem megy át de L2 szinten nem megy a linken át egy darab frame se, se ARP, se CDP, se semmi se.. WTF?
-
crok
Topikgazda
Acknowledgments
Based on the hard work of "Stephen E. Deering" & "Robert M. Hinden",
from IPv6 project, as well as all previous TCP/IP developers
from DARPA.
While this document is largely based on RFC-2460, forget not that
the difference in D.N.A. between humans and monkeys is only 1%.
: D -
crok
Topikgazda
ADSL-en IPSec certtes VPN-el? Path MTU vegig megvan? Millioszor jarunk ugy, hogy a kedves szolgaltato ugy dont technolohiavaltaskor neki kell mondjuk 8 byte a packetbol es igy nekunk csak 1492 vagy kevesebb marad.. igy a central oldalrol tobb packetben kuldott certnek csak az utolso, mar epp atcsusszano darabja erkezik meg.. jellemzoen MM6 szinten all meg az IPSec.
-
crok
Topikgazda
válasz
zsolti.22
#9801
üzenetére
A döglődés alatt csinálj egy carrier busy tesztet.
Tippre egy jó erős "rádióadó" lesz, pl. bluetooth fejhallgató/egér "rossz helyen" vagy rádiós egér/fejhallgató 2.4GHz-en.. Mikró "nyitott" megnatronnal..? Ilyesmi.. Jártam már így itthon is, ügyfailnél is..
Ha már a routering szar a pinged (is) akkor ott valamiért a rádió interface (tied is meg a router is) sokat vár hogy adhasson, amit ugye egy back-off algoritmus vezérel, egyre-egyre több időt (kreditet) ad hozzá a várakozáshoz ha a csatorna foglalt.
-
crok
Topikgazda
Nem triviális GNS3-al ezt összehozni de nem is lehetetlen mert én is megcsináltam anno. Csinálni kell hozzá felhőt ami GNS3-ból elérhetővé teszi a fizikai telefonokat (bridging). Az se mindegy mit mivel futtatsz, elég kötött mi mivel megy egyáltalán. Fel kell másolni a gépedről a CME file-okat a routerre. Nem mindegy milyen routert és milyen IOS-t használsz, főleg nem mindegy mennyi a flash és a RAM.. Itt megtalálsz kb. mindent egyébként ami kell(het): Programs -> GNS3 -> Cisco Communications Manager Express 4|7 in GNS3, meg ajánlom ezt. Egyébként ha csak nézelődnél ezügyben akkor arra egy Packe Tracer is elég, van benne telefon, alap setupot (telefonok regelnek a routerre, kapnak számot, tudják egymást hívni..) simán össze lehet tenni benne.
-
-
crok
Topikgazda
Nézd.. jó munkád van, bejött az élet, nem? ( : Egyébként fridzsider effektus: éhes vagy, kinyitod az ajtót, nem találsz benne jót, bezárod, lentebb viszed az elvárásokat, kinyitod az ajtót, nem találsz benne jót, bezárod.. és addig folytatod amíg olyat találsz amire már azt mondod hogy jó : D
-
crok
Topikgazda
válasz
IreN!CuS
#9588
üzenetére
Háááát.. 2 organizáció/cég összekötése egy harmadikon keresztül (esetleg ez egy ISP aki szintén OSPF-et használ..) de úgy, hogy az új csak tranzitnak használja a kettejük közt levőt és mindhárman OSPF-et használnak így két backbone nem lehet..? Egy migráció közben köztes megoldás esetleg (egyik szolgáltatótól másik szolgáltatóhoz megy át a cég és kellhet egy köztes megoldás), addig míg nem lesz egy/több normális vonal az area 0 felé vagy át nem migrálnak mindent egyik ISP-től a másikhoz.. ilyesmi. De a tunneles megoldás inkább csak "kivitelezhető de elvi megoldás" mintsem valós megoldás a problémára. Egyáltalán nem best practice..
De ha már megvan a tunnel nem szarakodnék hanem eBGP aztán azt könnyebben lehet csűrni-csavarni, ahogy jól esik.. és az is vendor independent. [Szerk.] Mondjuk eBGP mehetne multi-hop-al tunnel nélkül is..
-
crok
Topikgazda
válasz
IreN!CuS
#9584
üzenetére
Ha lehet gusztustalankodni akkor egy Area 0 router és egy Area 3 router közt (a 2-es kvázi "áthidalásával") egy tunnelen keresztül csinálsz OSPF-et a 3 és a 0 közt, persze ennél kicsit többre van szükség, szűrni kell mi mehet és mi nem mehet oda-vissza az OSPF LSA-i és a routing tábla (LSA-t szűrni azt a működési elve miatt nem lehet, de azt lehet hogy a routing táblába egy-egy LSA prefix-e ne kerüljön be) - ez azért kell hogy a tunnelen keresztül *ne* tanuld meg a tunnel endpoint-ot. De ez az egész elég.. hát.. nem adnám a nevem hozzá.
-
crok
Topikgazda
válasz
zsolti.22
#9527
üzenetére
Ha MTU lenne a baj akkor nem ez lenne a jelenség, hanem pl. FTP-n belépni be tud de másolni nem tudna (nyilván, mert a login alatti csomagméretek kicsik, listázásnál se biztos hogy túllépik a path MTU-t de másolásnál (hacsak nincs az MSS megpiszkálva, ugyanis az ilyen routereken amikor MTU-t állítasz akkor az automatikusan utánaállítja a TCP SYN-ekben az MSS-t)) már egyáltalán nem menne mert meg se érkeznének a csomagok).
A link a throughputtal pedig informális jellegű, le is írja amit én is mindig mondok: ez csak egyirányú és csak NAT-ot használó throughput, kb annyi volt, hogy az ixChariot (lehetne sima iPerf is.. az leglább ingyenes és nem milliós software) rá van kötve két portra (WAN + LAN swithcport) és a kettő közt lenyom egy valag csomagot, egy irányba, csak WAN -> LAN.. és a másik irány? És ha odavissza megy a forgalom (mint minden Internetfelhasználásnál általában) akkor már csak 50+50 max? Tehát a throughput érték itt half duplex throughput mint a Miercom méréseknél? Vagy nem? Plusz itt csak NATot ír mint használt feature, se SPI tűzfal, se QOS, semmi.. azért az SPI általában be van kapcsolva és bizony eszik erőforrást. Plusz másik kérdés: a routeren keresztül nézik az átfolyást, de kábelen vagy wifin? Ha wifi akkor van-e a közelben új AP, frek. ütközés, átfedés, zavar.. bármi? ..Ez az egész throughput dolog sokkal összetettebb azért : )
-
crok
Topikgazda
Router CPU vagy más I/O alkatrész probléma lesz* - jártam már így, pont ilyennel és másmilyennel (D-Link, Netgear, ASUS) is. Egyszerűen hibázik az a kis CPU és korrekciókra van szükség ami szintén eszi a CPU-t. Minden a kis CPU-ból megy - SPI tűzfal, NAT, PPPOE.. minden.. - és ha valami cink a processzorral vagy a lábazattal vagy ilyesmi (egyszer a CPU volt szar, de azt is egy másik firmware-el szedtem ki belőle, SSH után agyig debugoltam szerencsétlent) aztán volt olyan is aminél az I/O állt meg, volt ami melegedett és mivel az órajelet nem tudja csökkenteni hogy "hűljön" így a másik általános megoldást választották a fejlesztők: durvasok NOOP-ot tett be a CPU a hasznos utasítások közé így lassította a futást és "hűtötte" magát.
[Szerk.]* ..pontsabban lehet, mert persze más is lehet, de a tapasztalatom ezt mondatja velem meg ahogy mondod PC-vel megy..**
** Ja most látom más routerrel is ez a helyzet.. akkor gondolkodom még mi lehet! -
-
crok
Topikgazda
válasz
zsolti.22
#9489
üzenetére
Egzakt itt.
Intrazone Support in the Zone-Based Firewall Application
Intrazone support allows a zone configuration to include users both inside and outside a network. Intrazone support allows traffic inspection between users belonging to the same zone but different networks. Traffic within the same zone cannot be inspected prior to Cisco IOS Release 15.0(1)M. To configure a zone pair definition with the same zone for source and destination, use the zone-pair security command. This allows the functionality of attaching a policy map and inspecting the traffic within the same zone.
Trükkös megfogalmazás, de kicsit egyértelműsít a konfig rész - ugyanis ha követed a logikát ha nincs pass vagy inspect akkor nincs engedett forgalom intra-zone.
-
-
crok
Topikgazda
Hagyhatod a fenébe a hibaüzenetet (hacsak nem jön száz/ezer számra).. tudod mi a leggyakoribb előfodulás? Nem fogod elhinni.. egyszerű TCP retransmission.. vagy bármilyen retransmission.. (és általában olyan csomagok miatt amit a router generál, de lehet átmenő is). A másik ha a vonalon durvanagy a késleltetés vagy a provider backbone-ban van valahol load-balancing.. esetleg ha ennek tetejébe úgy megy a loadbalance hogy az egyik path mondjuk kisebb sávszélű/jobban terhelt.. na akkor meg simán előáll, hogy az egyes csomagok *nem* sorrendben érkeznek meg (vagyis lesznek olyanok amik pl. az egyik útvonalon - amit te lehet nem is tudsz hogy létezik, lehet asym routing is! - kisebb a sávszél, nagyobb a load, nagyobb a queue-ing idő, nagyobb a delay, később vagy összevissza érnek be.. ezt veszi sokszor a c7200 replay check failed-re.. meg más platform is. Régi a platform, nem lesz olyan IOS ami ezt kiküszöböli szerintem.. logging discriminator-t neki oszt' nem látja a 'zÜgyfail.. ( : Egyébként első körben kicsit megnyújtanám a reply window-t.
[Frankó leírás]
A bigiri-BUG: [2] [3]
Az Anti-replay window megváltoztatása: IOS / IOS-XEAnnyiszor és annyi ügyfélnek kellett ezt már kifejtenem hogy gyak. már van rá sablon szöveg.. ( :
-
crok
Topikgazda
Hát profi sec nem vagyok.. de eltérés abban az értelemben nincs hogy így is, úgy is benne van a phase I és II is. De.. ha kell routing akkor jobb a tunnel és tunnel protection mint a WAN interface és a crypto-map.. Tunnelen belül egy BGP-t vagy OSPF/EIGRP-t mégiscsak könnyebb összehozni. Onnantól a routing megmondja mi merre megy.
Loopback mint source/destination: lásd előbb, BGP peeringnél jól fog jönni hogy nem interface IP (jjjóóóó, lehetne IP unnumbered loopback is az interface IP-je..) a peer IP ha iBGP van és IGP-n lehet tolni mindenhova mindenkinek a loopback IP-t és csinálhatsz backhaul routing-ot hogy a loopback-et backup-on keresztül is elérje a másik oldal meg a rá tudsz NATolni bármit a loopback-re.. óóómennyiszerláttam.. meg a loopback lehet a management interface is.
-
crok
Topikgazda
Az se IOS ( : nálunk 200+ WLC van, egyetlen egy se IOS-XE alapú, mert egyszerűen (még) nem jók. Lehet kis környezetben majd egyszer jó lesz meg csillivilli cost-saving - WOW, királyság! - de még a régi vonal is tartalmaz olyan hibákat hogy égnek áll a hajunk néha. Mint mindenben ami Cisco az van, hogy egyre csak gyűlnek a feature-ök de tulképp' még a legalapabbak se mindben stabilak (meg hát csak azért cserélni software-t mert a benne levő AP support bugos.. aztán ugye lentebb persze dokumentált bugok, fentebb meg még nem ismert de nálunk persze előjövő bugok.. de olyanok.. malformed RADIUS csomagok mennek a WLC-től a szerverhez.. nem reagál a WLC egynémely client control frame válaszára.. de ilyen alapok se mennek mindben hogy TACACS+ a belépésnél..)
-
crok
Topikgazda
válasz
FecoGee
#9407
üzenetére
Valamikor lehet nekiállok majd egy szösszenetnek ebben az ügyben, de az van, hogy alapból két baja van.. új (kevesen ismerik, így nincs ops-ban aki troubleshootolja) és ha rosszul van megírva (vagyis nem gondolnak mindenre) össze-vissza forwardol.. asym routing mindenhol, egy-egy erősebben flappelő linknél a telefónia/telepresence/videoconf megáll mint a szeg.. Vaniliás kólát hova küldjem? : D Kölök koromban ittam ilyet boroskólában, pocsék volt.. : D [Szerk.] Az túlzás, most járunk a PI + LMS kombónál 35 jegynél, 6 nyitott még mindig, van vagy 3 amire fix majd Maintenance release 4-ben lesz (ami lehet nem is lesz.. de ha lesz is még egy év).
-
crok
Topikgazda
válasz
kmisi99
#9398
üzenetére
ÓÓÓ, ez igényfüggő..
Ha egy cég egy másikkal dolgozik együtt de valamiért nem lehet nekik azt mondani hogy a másik cég IP-jét lássa akkor NATolsz de nem PAT-olsz, csak egyik IP-t cseréled a másikra.. Ha a portokból kifogysz akkor kellhet másik IP is, ez így van (csak legyen megoldva hogy az upstream tudja hogy az az IP is a tied és te is kapd vissza a csomagokat, kellhet Proxy ARP..). Ha *nagyon* felületesen, nagyon pongyolán nézed minden static NAT egyben PAT is csak mindig ugyanazt a portot fordítod mindig ugyanarra.. csak az IP cserélődik le mindig. A portokból kifogyás ellen játszhatsz az inactive timer-el is (ha egy ideig nincs forgalom a PAT bejegyzésre akkor a egy idő után törlődik és felszabadul az a port, újra használhatja a router)
-
#9393
crok
Topikgazda
Cyber_Bird
#9391
crok
Topikgazda
válasz
Cyber_Bird
#9391
üzenetére
Ha esetleg olyan van hogy sub-interface-ek közt van routing (router-on-a-stick) és egyik subinterface-ből megy a másikba az is okoz ilyet, de ezt egy ip route-cache same-interface paranccsal a főinterface-en kiadva gyorsan orvosolni lehet.
-
crok
Topikgazda
Az nagyon jó ha ez megvan, akkor a process/interrupt arány úgy alakult hogy sok az interrupt. Az azt jelenti hogy (mivel a router szoftverből továbbít) hogy jött be csomag amit fel kellett küldenie az interface-től a CPU-ba feldolgozásra.. de ez közel se jelenti hogy azzal bármit is tud csinálni.. ha pl. az ARP_Input is magas akkor 99.9999% hogy a router mögött switch loop van.. most nem írom le miért de ha kell majd szánok rá időt ( : gyak. mindegy, de tudni kéne mi van az IP_Input alatt, mert az IP_Input azt jelenti hogy csomag lett a CPU-nak küldve valamiért, és ezek szerint ez elég magas. A sh cef not-cef-switched majd megmondja hogy mit nem tudott CEF-ből forwardolni. (Szeretem az ilyen eseteket..)
-
#9388
crok
Topikgazda
Cyber_Bird
#9386
crok
Topikgazda
válasz
Cyber_Bird
#9386
üzenetére
Mé'nemláttaménezt? : \
show proc cpu so 1m | e 0.00
Mi az első pár process és mennyi a process/interrupt szám?
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Parfüm topik
- Soundbar, soundplate, hangprojektor
- AMD vs. INTEL vs. NVIDIA
- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- Mielőbb díjat rakatnának a görögök az olcsó csomagokra az EU-ban
- Autós topik
- Nintendo Switch 2
- One otthoni szolgáltatások (TV, internet, telefon)
- Fejhallgató erősítő és DAC topik
- Xiaomi 13 - felnőni nehéz
- További aktív témák...
- ÚJ aktiválatalan Apple iPhone 16 Pro 128GB ! 1ÉV nemzetközi APPLE GARANCiA
- Új Gamer PC - Ryzen 7 5700X / RTX 5060 / A520M / 16GB vagy 32GB RAM / 240GB + 1TB M.2 SSD / 650W
- Samsung Galaxy Z Fold 4 256 GB, szürkészöld + S Pen tok
- TP-Link ER-7212PC Omada 3-in-1 Gigabit VPN Router
- TP-Link EAP Omada Wifi AP-k (225, 245, 615)
- Bomba ár! HP ProBook 430 G5 - i5-8GEN I 8GB I 256GB SSD I HDMI I 13,3" I Cam I W11 I Garancia!
- Használt és ÚJ Gamer Monitor Felvásárlás Gyors és Korrekt Ügyintézés!
- Apple iPhone SE 2020 64GB Kártyafüggetlen 1Év Garanciával
- Wacom Cintiq DTK-2260 - Digitális rajztábla
- Azonnali készpénzes GAMER / üzleti notebook felvásárlás személyesen / csomagküldéssel korrekt áron
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged