-
Fototrend
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
#5151
Cyber_Bird
senior tag
crok
#5150
Cyber_Bird
senior tag
-
-
jerry311
nagyúr
A 10.10.10.x címek majd válaszolnak a 192.168.1.72-nek, de azt ki
fogja átírni 20.20.20.230-ra? A Unicorn Farts felhő? Mert a NAT-oló
routerig el se jut majd a forgalom, max akkor, ha Unicorn Farts-nak
van egy /32 static route-ja 20.20.20.230-ra next-hop 192.168.1.60-al
(miközben van egy /24-es connected route-ja 192.168.1.0-ra).Wat?
20.20.20.230 küld egy ICMP echo request-et 10.10.10.x-nek (mert csak pingre kell, mint monitoring). Ezt a def. gw-nek küldi, ami 20.20.20.225. Ennek a routernek a dolga lenne, hogy 20.20.20.230 --> 10.10.10.x forgalom esetén NAT-oljon mégpedig úgy, hogy a source 20.20.20.230 csere 192.168.1.72-re, míg destination marad változatlan. Ez a router továbbküldi az egészet az ISP-nek.
Unicorn farts felhőben 192.168.1.72 --> 10.10.10.x csomagok láthatók.
10.10.10.x címek a 192.168.1.72-nek válaszolnak, ez a Unicorn farts-on keresztül eljut a 192.168.1.1 (ISP) routerig, ami nyilván ARP-ot küld, erre válaszol a 192.168.1.62 router. Majd az un-NAT és mindenki boldog.A dolog működik, csak nem úgy ahogy kellene.
Két konfigot próbáltam:
ip nat outside source route-map NAT-MAP pool pool-72 vrf VRF559 - Ezzel az volt a gond, hogy a route-map marhára nem akart működni, azaz teljesen mindegy, hogy a destination mi volt (10.10.10.x vagy x.x.x.x (lásd rajz)) minden forgalmat NAT-olt, ami a VRF559-ből ment a global felé. --> nem jó.ip nat outside source route-map NAT-MAP pool pool-72 - Ez meg semmit se NAT-olt. Szerintem azárt, mert golbal VRF-ben várja a traffic-ot nem 559-ben.
Az egész kíséretezgetés után a NONAT ACL hitcount 0. Tehát valami valahol nagyon nem jó, de szerintem helyesen követtem a Cisco NAT config guide-ot.
-
jerry311
nagyúr
First things first...
Valaki egyszer úgy gondolta, hogy az jó lesz, ha az 'ip nat inside' van az internet fel, outside pedig belül.
192.168.1.72 a külső oldalon, tehát ip nat inside felőli részen van. Most hogy ez éppen RFC1918 tartományban van az másik kérdés, nem "publikus internet" felé van, működik.A NONAT azért lett NO NAT mert elírtam a nevét. (meg az ellenség megtévesztése miatt is
)
Ami a NONAT ACL-ben van, azt kellene NAT-olni, ami nincs azt nem.Rövid leírás: cseréljük a 20.20.20.230-at 192.168.1.72-re ha a cél 10.10.10.(3|4|125|126). Mindezt úgy, hogy ip nat inside és outside fordítva van és 559-es VRF-ből meg globalba.
Rajzoltam.
draw io egész használható
-
crok
Topikgazda
Emlékeztem én, hogy ez nem a legfrissebb... De attól még nagyon jó...
Szóval ezt akartam küldeni eredetileg:
TCP/IP 1 óra alatt
TCP/IP Alapok 1.
TCP/IP Alapok 2. -
-
-
#4147
Hedgehanter
őstag
crok
#4144
Hedgehanter
őstag
Bocs az IOS verzio hianya legkozelebb berakom..
c870-advsecurityk9-mz.124-24.T2 az egyik hibas IOS a masikat most nem talalom..
CSCsx79219 nel csak a SPSERVICESK9 nel jon a hiba, szoval azt mondjak szoval nem illik ram.
CSCsy37122 meg egy kicsit mas jellegu..
Szerintem ez csak egy atkozott router, ennek volt a DSL firmware gondja is..
-
tusi_
addikt
Az elsőnél - CCNA, beszart a netkapcsolat a VUE központtal és nemtudtam meg egyből az eredményemet, fél órát kellett várnom, mire megjavitották. Ott valamiért a vizsga végén nem irta ki az eredményt a szgép
A másodiknál Prágába rendelték be a vizsgát, azt hitte valamelyik okos, hogy Lipcse Csehországban van.
Most meg ez. Kezd már kicsit komikussá válni a Cisco <> tusi kapcsolat
-
tusi_
addikt
A leg1szerűbb az lett volna, ha az fstab-ban átirom a mountolást, akkor tudom szerkeszteni a jogosultságokat - b@zi NTFS miatt most nem lehet- , meg a nevet is, miként csatolja fel és nem kéne rootként bejelntkeznem - letudnám tiltani a root logint . De sajnos ez kilőve, nem az enyém a gép, csak hozzáférést kaptam. De ez a softlinkes dolog bejött, hogy mé' nem gondoltam rá előbb?
Mi is ez a mount bind. Linux nem az erősségem még
Ha már itt tartunk és vannak Linux guruk. 3 módja van a másolásnak. SFTP,SCP,SSH. Az SFTP lassú, az SSH kifagy, SCP ok.
SSH nál, ha MC-ből lenyitom az ablakot és áthúzogatoma könyvtárakat ami kell, okésan megy egy ideig, de aztán megfagy. Csak a kill xxx paranccsal tudom kilőni konzolon, annyira letérdel. Ez mitől lehet? -
tusi_
addikt
Következő a helyzet. Itt egyelőre nincs még Ciscos állásom és nem akarom, hogy ha pl. csak fél-egy év múlva lesz, akkor addig elmegy egy év mondjuk a CCNP-ből és megint mehetek vizsgázni. Szobát takaritani a CCNA is túlzás
Route után felkészülök a Tshootra és a switchel együtt mindent "tökélyre" gyakorlok, pluszban hozzá veszem a ZBFW-t, Ip/bs-t és a VPN-t. Plusz SNMP, Wire-shark, logging, accountig, authorization-s ...... minden, amira a hétköznapokban szükségem lehet. (Mellette Windost is nyomatok, mert az itt nagyon menő
) -
-
tusi_
addikt
Köszi, csak bepróbálkoztam. Nem számitottam rá, hogy itt válaszolnak rá. Mint topikban nagy a kukulás
Linux MINT 201303 LMDE Cinnamon 32 bit hun. Eddig Cinnamonban ment, most áttettem gnome classicra, amúgysem szerette a gagyi vga kártya a cinnamont.
EZT találtam a neten, de ilyen mélyen nem merek belenyúlni, mert
- béna vagyok
- egyszer hazavágtam már egy rendszerem - lásd első pont, onnan jön a megállapitásom - mégegyszer nem akarom -
zsolti.22
senior tag
Most másik kérdésem van. C1711-es router. Valamiért sosem hozza létre a flash-ra a vlan.dat fájlt, emiatt meg up/down-ban vannak a VLAN interfészek, kivéve a natívot, a VLAN1-et. Mivel van benne switchport, logikus lenne, hogy legyen vlan database, vagy konfig módból egy vlanX, de miért is lenne. Int vlan X -> sh -> no sh sem segít. Mégis hogy lehet létrehozni azt a nyamvadt vlan.datot?
-
-
tusi_
addikt
Azt még nem próbáltam. Múltkor a BGP hirdetést NAT-al akartam megoldani és megintcsak befordult
Ezt inkább az éles routeren próbálom ki. Paraméter mapban a HTTP headerek vizsgálatát akartam beállitani, de nem ismerte a parancsot.Ha jól vettem ki a szavaidból, akkor most már ha két sub interfész pl. ugyanabban a zone memberben van, akkor sem megy a forgalom köztük, csak a kinti forgalom (Lan2public)? Eddig ugye az volt, hogy ha egy interfész nincs egyik memeberben sem, akor az nem tud dumálni senkivel, de az azonosak egymással is, meg a nettel is. (esetedben a Publiccal)
Én még router on a stickel csináltam és a sub interfészeket tettem belső zónába, de simán ment a forgalom köztük.
Lehet ezzel kapcsolatban majd teszek fel kérdéseket priviben és ha időd kedved van, akkor válaszolsz rá
-
jerry311
nagyúr
Igen, volt egy csodálatos kérdés erről a vizsgán, aztán nem néztem meg a helyes választ a végén. Egyáltalán mutatja?
Lényeg, hogy 2 válasz lehetett helyes, az egyik 12.4 szerint, a másik 15.0 szerint. A kérdésben persze nincs benne, hogy melyik IOS-re gondoltak...
Na mindegy. végül is átmentem.Vissza témához.
aaa authentication login default local-case enable
aaa authentication login console line enable noneEmlékeim szerint ha default be van állítva, akkor minden loginnál azt használja, tehát nem kell külön beállítani pl console-ra, vagy külön jelszót megadni az aux/con/vty line-okra.
#3752
erre gondolsz?
! +username mgmt; password mgmt; enable mgmtAzért ennél egyértelműbb lehetne egy !!change enable and user passwords!!
De ami a legjobban bejött eddig: kérdőjelek, az nem marad észrevétlenül, legkésőbb a konfig bemásolásánál. -
jerry311
nagyúr
-
jerry311
nagyúr
"extendable" nem segített, "match-in-vrf" pedig alapból be van kapcsolva outside nat esetén vagy valamit félreértettem. Emiatt az extendable + match-in-vrf kombinációt még nem próbáltam együtt.
Egyébként jól értelmezed, global-ból megy a csomag valamelyik VRF-be.
Static routing van.
Egészen addig minden szép és jó, amíg nem akarok NAT-ot konfigolni ugyanarra az IP-re 2 külön VRF-ben.
Mivel alapvetően egy bugos fos a NAT ha VRF is belekeveredik dologba, ezért nem lennék meglepve ha itt is bug akadályozná a munkát. (ezt csak abból, hogy nem egy NAT vs VRF kört futottunk, mire ehhez az aránylag működő config verzióhoz eljutottunk) -
#3736
Hedgehanter
őstag
crok
#3735
Hedgehanter
őstag
Elolvastam ja..
Nem upgrade-ek mert az csak a module menubol megy (nem tudok belepni) ez egy ujra install lenne ami megy csak ugy upgrade path nelkul..De ugy latom a linkben van egy opcio ahol az ASA flashbol fel tudom installalni az image-t lehet megprobalom mielott kiszedem a module-t es szettorom..
-
tusi_
addikt
Ez egy régebbi kép, amit ide illesztettem be anno. ITT
Nagyon sok igazság van abban, ami tirtál, főleg a routolási problémák Core felül és a megosztott switchek közötti kapcsolat. Amikor régebben néztem a neten a switches dolgokat, kiegészitve a gyenge könyvet, akkor találtam ezt a leirást a neten. Viszont különböző Vlanokkal mehetne, tehát pl 10,20 a D1 -en és 30,40 D2-n, viszont akkor mehetne sima stpvel is. Ott viszont már jó lenne a L3
-
Wolfy999
tag
Igazad van abban, hogy csak jó alapra lehet építkezni, ugyanakkor azt sem szabad elfelejteni, hogy CCNA szinten sok olyan technológia van, amit sokat használnak a gyakorlatban, de nem volt benne a CCNA tananyagban. Ezekből most bekerült néhány, ami azzal is jár, hogy bizonyos dolgoknak ki kell kerülni, mert nem lehet folyamatosan hizlalni a tananyag méretét. Nyilván egy ilyen vizsgát időnként frissíteni, aktualizálni kell, és ennek mindig a régebbi, már nem használt technológiák esnek áldozatul.
Nem taníthatsz meg minden történelmileg fontos technológiát egy újoncnak, még a használatban lévőket sem fogja mind megtanulni. -
FeRkE
őstag
Hmm, akkor jól sejtettem, hogy ez elég kevés lesz a 120/10-es upc-s kapcsolathoz.
Ráadásul dual WAN-on is töröm a fejem, azt meg még inkább lehetetlen megvalósítani a 1841-el, hiszen csak 2 FE portja van, még kéne egy belőle.. Neten néztem bővítőkártyát, dehát arany árban mérik, 100 dollár fölött, meg ilyenek. -
mogyesz
aktív tag
kipróbáltam, de sajna ugyan az a helyzet.
interface fa0/1
ip nat insideNálam ez a fa0/0-ra van állítva, az a belső ip: 192.168.1.1
a fa 0/1 a külső, erre van "kötve" a Dialer1, ami a pppoe-t kapcsolja.
Ha az esetleg segít (lehet valami nem ok benne, bárt ezt kivéve minden működik), a komplett conf-ot bemásolhatom ;-)
-
crok
Topikgazda
R1(config-router)#do sh ip bgp 1.1.1.1
BGP routing table entry for 1.1.1.1/32, version 4
Paths: (1 available, best #1, table Default-IP-Routing-Table)
Flag: 0x820
Advertised to update-groups:
1
Local
0.0.0.0 from 0.0.0.0 (1.1.1.1)
Origin IGP, metric 0, localpref 100, weight 32768, valid, sourced, local, best
R1(config-router)#do sh ip bgp sum
BGP router identifier 1.1.1.1, local AS number 65111
BGP table version is 6, main routing table version 6
3 network entries using 396 bytes of memory
4 path entries using 208 bytes of memory
3/2 BGP path/bestpath attribute entries using 504 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
Bitfield cache entries: current 1 (at peak 1) using 32 bytes of memory
BGP using 1164 total bytes of memory
BGP activity 3/0 prefixes, 4/0 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.0.0.2 4 65222 8 7 6 0 0 00:03:32 2..vagy benézem vagy nem értem a kérdést..
-
Lokids
addikt
-
#3299
Hedgehanter
őstag
crok
#3298
-
FecoGee
Topikgazda
Az enyém még nem tudja, bár nem mai image van rajta:
SW1#sh ver | i ADVIP|c3560
Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(44)SE, RELEASE SOFTWARE (fc1)
System image file is "flash:/c3560-advipservicesk9-mz.122-44.SE.bin"
* 1 26 WS-C3560-24TS 12.2(44)SE C3560-ADVIPSERVICESK9-M
SW1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#int vl1
SW1(config-if)#glb?
% Unrecognized command
SW1(config-if)#^Z
SW1#sh glb?
% Unrecognized command
SW1#sh glb?
% Unrecognized command -
tusi_
addikt
Mindeddig Linuxoztam, de itt nem szeretik a Linuxot, mindenki windowst használ, ezért visszatértem rá. Próbálom kiismerni a Német windowst, de borzalmas
(eddig akármit kerestem linux alá, minden csak windowshoz volt. Mot meg van valami, ami nincs meg winre csak linuxra. Murphys Gesetz
) -
zsolti.22
senior tag
Nem akartam túl nagy hozzászólást írni tele kérdésekkel, mert akkor előfordulhat az az eset, amikor pl. 5 kérdést rakok fel és valaki az elsőnél leragad és csak arra válaszol; azt nem szeretem.
Nos, akkor az előző kérdésem helytálló, hogy "ugyan minek hirdessem a publikus hálózatomat az ISP felé". Próbáltam valós helyzetet utánozni, csak ezt nem nagyon írtam le Nem csak akkor van értelme ennek az aggregate-address témának, ha két ASN-t nem ISP köt össze, hanem a két AS egymásnak szomszédja és egymást rövidebb úton érik el, mint pl. interneten keresztül?!De szerintem nem tudom, mit beszélek.
-
zsolti.22
senior tag
Na ezt még egyszer érthetőbben
Az a bajom, hogy az Enterprise_FOS nem éri el az ISP által hirdetett hálózatokat. Tehát nem tudom pingelni erről a routerről a 30.0.0.1-et és a többit sem, holott a BGP táblájában benne van és a RIB-ben is. Tessék szólni, ha valamit fölöslegesen csináltam benne és megindokolni a miértjét is.Multihopot csak azért használtam, hogy arról se feledkezzek el.
-
tusi_
addikt
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key cisco123 address 40.0.0.2
!
!
crypto ipsec transform-set cisco esp-3des esp-md5-hmac
!
crypto map vpn-map 10 ipsec-isakmp
set peer 40.0.0.2
set transform-set cisco
match address 100
!
!
!
!
interface Loopback1
ip address 192.168.0.1 255.255.255.0
!
interface Loopback2
ip address 192.168.1.1 255.255.255.0
!
interface Loopback3
ip address 192.168.2.1 255.255.255.0
!
interface Tunnel10
ip address 20.0.0.1 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 40.0.0.2
!
interface FastEthernet0/0
ip address 30.0.0.2 255.255.255.252
duplex auto
speed auto
crypto map vpn-map
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
router eigrp 10
network 20.0.0.0
network 192.168.0.0 0.0.3.255
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
!
ip http server
no ip http secure-server
!
access-list 1 deny 192.168.1.0
access-list 1 permit any
access-list 2 deny 192.168.0.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.1.255 172.16.0.0 0.0.1.255
access-list 100 permit gre any anyAz acces listben kimaradt a .2.0 -es háló mindkét oldalon, hogy az ne legyen titkositva. Ha a GRE tunnel acl-ben engedélyezem a host szerinti tunnelt (permit gre host x.x.x.x host y.y.y.y) a két router kifele menő intefészeit, akkor folyamatosan hibát kapok. permit gre any any re megy "rendesen".
)
)
Új hozzászólás Aktív témák
FecoGee- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Apple iPhone 12 Pro 128GB, Kártyafüggetlen, 1 Év Garanciával
- Cooler Master CK550 RGB mechanikus (barna switch/magyar kiosztás)
- Újszerű Meta Quest 3 (128gb), 1 év garanciával +kiegészítőkkel
- Asus Prime B560M-K + i5 1500 + be quiet! + 32 Gb Patriot Viper 3.200 Mhz Beszámitok!
- Eladó Konfig Ryzen 7 7700 32GB DDR5 1TB SSD RX6800XT 16GB!
- Dixit 4 Eredet (bontatlan, fóliás kártyacsomag)
- BESZÁMÍTÁS! SAPPHIRE VEGA 64 8GB HBM2 videokártya garanciával hibátlan működéssel
- ÁRGARANCIA! Épített KomPhone Ryzen 7 5800X 32/64GB RAM RX 7800 XT 16GB GAMER PC termékbeszámítással
- BESZÁMÍTÁS! Intel Core i9 9900KF 8 mag 16 szál processzor garanciával hibátlan működéssel
- Apple iPhone SE 2020 64GB Kártyafüggetlen 1Év Garanciával
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged