-
IT café
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
tusi_
addikt
válasz robesz87 #1802 üzenetére
A nativ a taggeletlen Vlan, nem kap VID-et.
Ezt használja a VTP is pl.A managment Vlan az a Vlan, amin sávon belüli elérést tudsz csinálni, és ssh-val, vagy - inkább ne - telnettel be tudsz jelentkezni a kütyükre. Minden l2 switchen addsz egy ip-t a nativ vlannak - ugyanabból a subnetből - és azon kersztül tudod elérni távolról.
[ Szerkesztve ]
eat, sleep, play, replay
-
crok
Topikgazda
Ez nem teljesen van így..
Igen, a natív VLAN-on nincs VLAN tag, de attól még egy L2 switchen
használhatsz más VLAN-t is mint a VLAN1.. sőt, ha mondjuk csinálsz
egy másik VLAN-t, teszem a 100-at és az interface-eken meghagyod
a VLAN1-et natívnak, de nem teszed be egyetlen trönkbe se a.. akkor
az állt elő, hogy a VLAN 100 a management, de van rajta VLAN tag.Ha értitek mire akarok kilyukadni.
Az hogy natív VLAN meg management VLAN az olyan mint az alma
meg a körte.. van közük egymáshoz, de van, hogy nem tudod össze-
hasonlítani őket.. mindkettő gyümölcs de nem tuti hogy salátába is
egybe tennéd őket.. lehet natív VLAN-ban a management interface,
de lehet a natív VLAN más mint a management. De egyébként igen,
ha mindenhol ugyan azt a natív VLAN-t használod, a trönkökön is
átviszed őket akkor L2 szinten egy broadcast tartomány lesz így az
ARP a címeket fel tudja oldani (ha egy L3 is ) és elérik egymást.Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
-
tusi_
addikt
Tudomásom szerint a nativ vlant szokták használni Managmentnek is, de nem a vl 1 , hanem egy véletlenszerűt. Legyen vl 666.
De olyat is olvastam, hogy a támadhatósága miatt - a switchek az untagged kereteket a nativ vlanba kapcsolja - ki szokták szedni a trunk interfészen a hirdetett vlanok közül, de a vtp infok akkor is átmennek rajta.eat, sleep, play, replay
-
tusi_
addikt
vlan dot1q tag native = Native vlan tagg
"Although maintenance protocols such as CDP, PAgP, and DTP normally are carried
over the native VLAN of a trunk, they will not be affected if the native VLAN is pruned
from the trunk. They still will be sent and received on the native VLAN as a special case
even if the native VLAN ID is not in the list of allowed VLANs."[ Szerkesztve ]
eat, sleep, play, replay
-
tusi_
addikt
Nem így akartam a válaszokat, de még hajnal van, bocsi
eat, sleep, play, replay
-
Tsory
tag
Ezek szerint már legalább kétféleképpen lehet védekezni a VLAN hopping ellen (CCNP SWITCH 642-813 Official Certification Guide)
1. Native VLAN pruning:
a. Set the native VLAN of a trunk to a bogus or unused VLAN ID.
b. Prune the native VLAN off both ends of the trunk.Vannak olyan protokollok, amelyek mindenképpen a native VLAN-ban közlekednek, de benne van a doksiban (amit be is hivatkoztál), hogy ezek a forgalmak ekkor is átmennek (CDP, PAgP, DTP).
Érdekességképpen volt, aki megnézte, hol közlekednek ezek a protokollok, és azt találta, hogy a CDP, VTP, PAgP, UDLD mindig a VLAN1-ben közlekedik, amit nem is lehet prunolni. Így csak az STP és DTP lehet érdekes prunolt native VLAN esetében:
STP and DTP frames have no relation to VLAN, so are always transmited over Native VLAN. CDP/VTP/PAgP/UDLD are always transmited over VLAN 1, if Native VLAN is 1 then will be transmited in untagged form, if VLAN 1 is tagged (Native VLAN is other VLAN then 1), protocols will be tagged with 1.
http://www.netcontractor.pl/blog/?tag=native-vlan
2. Native VLAN tagging:
One alternative is to force all 802.1Q trunks to add tags to frames for the native VLAN, too. The double-tagged VLAN hopping attack won’t work because the switch won’t remove the first tag with the native VLAN ID (VLAN 10 in the example). Instead, that tag will remain on the spoofed frame as it enters the trunk. At the far end of the trunk, the same tag will be examined, and the frame will stay on the original access VLAN (VLAN 10). To force a switch to tag the native VLAN on all its 802.1Q trunks, you can use the following command:
Switch(config)# vlan dot1q tag native
[ Szerkesztve ]
-
tusi_
addikt
Szupi.
Még a telefonnal kéne kipróbálnom ezt, mert ott is a nativ vlant IS használhatja a DATA stream, ha a telefonról van átfűzve a pc.
A NONE beáltás mellett megy ha jól emléxem VID-es vlanba a telo és a PC is, mig a dot1p, untagged és vlan_vlid beállitás mellett a pc adat mindig a nativba megy.
Mivel lehetne rendesen gyakorolni a telefon beállitást ? PT nem tudja sajnos. MLS qos-t még megeszi, de itt ki is fújt. (Nem várunk sokat tőle, hisz CCNA-s progi, de valamivel szeretnék elmerülni benne.)
eat, sleep, play, replay
-
Tsory
tag
Akkor végül nem vettél még IP telefont?
Elvileg ilyenkor be van állítva a porton a voice VLAN, amit CDP-n keresztül megkap a telefon. Így a voice forgalom már taggelve megy a portra, az adat forgalom meg taggeletlenül, ami bekerül abba a VLAN-ba, ami a porton be van állítva.
Pl.
switchport access vlan 63
switchport voice vlan 306Ilyenkor a Voice forgalom tagelve megy a 306-ba, az adat forgalom meg tageletlenül a 63-ba.
-
crok
Topikgazda
Korrekt. Legkönnyebben hardverrel, IP-telefon, PC, Switch (+SPAN port)
és PC meg Wireshark amivel ezt tényleg meg lehet figyelni..A telefonok egy érdekes és furcsa viselkedését írtam le egy hónapja itt.
Témába vág, érdemes elolvasni hogy startkor mit csinál néhány telefon és
milyen problémákat okozhat ez egy kis port-security -vel egybekötveHa egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
robesz87
tag
Hú, köszönöm mindegyikőtöknek a részletes választ. Nagyon hasznos ez a fórum.
-
tusi_
addikt
-
crok
Topikgazda
Elterjedt, de csak nagy, úgy értem nagyon nagy számú AP esetén éri meg
egyáltalán.. van nálunk hely, ahol 160+ AP van.. na ott azért az autonómmal
szívni egyesével egy minden AP-t érintő változtatással.. nem okay, sőt, állati
nagy szívás. Plusz a WLC-nek vannak ám nagyon király funkciói: rogue AP
szűrés, lefedettség, áthallás, zavarás mutatása térképen (ha tettél fel alaprajzot
és betetted az AP-kat láthatod az AP terhelést, az interferenciákat.. egy több
emeletes, sok-sok AP-vel felszerelt épületben ez óriási segítség.. de felesleges
pénzkidobás ha csak pár AP van. IMHO.Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
zsolti.22
senior tag
Totál hülyének és butának érzem itt magam már.
-
tusi_
addikt
Kb erre gondoltam. Bazi nagy helyen van értelme, ahol sok roamingos csóka dolgozik és rohangálnak egyik zónából a másikba, de egy "kisebb" helyen, ahol max 100-200 - an dolgoznak, ott "felesleges".
Kicsit olyannak tűnik ez nekem mint a VTP. Kevés switchnél felesleges, csak biztonsági rés, de ahol van 200 switch, ott jól jön, hogy csak egy helyen kell álltgatni, majd dinamikusan átmegy mindenhova.
Többet tanulok itt, mint a könyből
eat, sleep, play, replay
-
crok
Topikgazda
Remélem tényleg többet Igazából nem többet, csak vagy letisztul, vagy
praktikus, életszagú ötleteket, megoldásokat látsz.. ilyen könyvben nincs,
vagy csak nagyon drágán és nagyon ritkán.Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
tusi_
addikt
Néha többször el kell olvasnom egy fejezetet, mert nem tudom vissza mondani magamban, illetve elakadok valahol és nem kapok választ a kérdéseimre, amik felmerülnek. Ilyenkor legvégső esetben jól jönnek a tapasztaltaktól a válaszok. Bár mint korábban irtam, jobb szeretek magamtól rájönni, mert azt tuti nem felejtem el.
eat, sleep, play, replay
-
tusi_
addikt
válasz zsolti.22 #1818 üzenetére
Igazából nem nehéz a switching anyag, ha ott tartasz majd, nem lesz problémád vele. Igy most, hogy másodjára is elolvastam a switchet - fejezetenként kilaborozva - , azt mondom, sokkal egyszerűbb, mint a route. Tegnap bele néztem a routingba és nyeltem nagyokat. Abban a 370. oldalnál tartok, de szvsz nehezebb, mint a switch. Ha azt megtanultad, akkor a switch sem lesz gond.
eat, sleep, play, replay
-
Tsory
tag
Ha már így beindult a fórum, akkor itt egy kis hétvégi történet, remélem nem untatok vele senkit.
Amikor a konzol kábel és a csavarhúzó nem elég:
Egy 2811-est akartam kiporolni, de nem sikerült a rack fület leszedni róla, mert a csavarok egy része bele volt szorulva. A végén sikerült szétnyírnyi a csavarok fejét is. Mit lehet ilyenkor tenni? Le kellett fúrni a csavarok fejét. A rack fülek és a fedlap levétele után már szerencsére ki lehetett csavarni a fej nélküli csavarokat. Ebay-en néztem csavart, de csak aranyárban találtam. Szerencsére a csavarboltban volt M4X10 csillag süllyesztett fejű csavar, ami pont jó volt hozzá. 20 db. volt vagy 100 HUF.
Tervbe volt véve a flash bővítése is, de kisméretű CF kártyák csak aranyárban voltak hozzá. A Cisco oldalán azt írják, hogy 256 MB compact flash memory a maximum, amit tud kezelni. A fórumokon viszont azt írták, hogy 1 vagy 2 GB-ost is kezel. Én egy 1 GB-os mezei Transcend-et vettem. Javasolták a ROMMON frissítést a flash bővítés előtt, úgyhogy én is azzal kezdtem. Ehhez a 26XX routereken fizikailag ki kellett cserélni egy a romot, a 2811-nél szerencsére az IOS cseréhez hasonlóan egyszerűen lehet upgradelni. A folyamat: C2800NM_RM2.srec.124-13r.T11 letöltése és CF kártyára másolása, ROMMON upgrade
Router#upgrade rom-monitor file flash:C2800NM_RM2.srec.124-13r.T11
This command will result in a 'power-on reset' of the router!
Continue? [yes/no]: yes
ROMMON image upgrade in progress.
Erasing boot flash eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
Programming boot flash pppppppppppEzután CF kártya csere, majd ROMMON-ból TFTP-vel az IOS letöltése a CF kártyára. A show flash kimenetén öröm volt látni a szabad helyet. Így már szűken elférek rajta .
A memóriáját is bővíteni akartam, de nem volt kéznél DDR SDRAM with ECC, így a kedvenc RAM boltomból rendeltem:
http://stores.ebay.com/Memoryk
Az MEM2811-512D 512MB DRAM MEMORY CISCO ROUTER 2821 2811 volt $14.50, $3.78-ért ki is szállítják. Remélem hamarosan megérkezik.
[ Szerkesztve ]
-
crok
Topikgazda
-
tusi_
addikt
-
zsolti.22
senior tag
Egyik nap jót kacagtam a Packet Tracer-en, ugyanis bekonfigoltam egy EUI-64-es IPv6 címet egy soros interfészen úgy, hogy volt fizikailag is up/up állapotban egy fa0/0 interfészen és ennek a serial interfésznek bizony volt saját MAC-címe
-
zsolti.22
senior tag
Mai napig nem értem ezt az eigrp stubságot. Átfordítottam magyarra, de úgy se világos. Más szavakkal, mint ez, el tudja mondani valaki: A stub fogalma: egy olyan router, ami nem továbbít forgalmat két távoli EIGRP által tanult hálózat között.
Ez nekem túl egyszerűen van fogalmazva, hogy megértsem. -
crok
Topikgazda
válasz zsolti.22 #1836 üzenetére
Gondolj úgy a stub-ra, mint olyan routerre, ami mögött már nincs más hálózat,
csak a saját LAN-ja.. Azért jó a stub EIGRP-nél, mert hub-and-spoke design
esetén például nem fog a hubtól EIGRP-n kérést kapni, hogy egy épp eltűnt
route nála megtalálható-e, ahogy más, normális esetben történne, mert a stub
router egy speciális EIGRP packet-el minden szomszédot értesít arról, hogy ő
csak egy stub - egy csonk a hálózaton, egy "végpont" EIGRP szempontból.
Ez nem csak emiatt jó, hogy a hub nem kérdez feleslegesen, de mivel a spoke
router egy stub - tehát nincs (vagy csekély számú..) másik WAN kapcsolata
van csak így nem kell a teljes hálózat routing tábláját megtanulni, a stub csak
elküldi a saját hálózatait és kap a hub(ok)tól egy default utat. Így erőforrást és
konvergenciaidőt spórolsz: a spoke (stub) router routing táblája kicsi, a hub(ok)
meg tudnak róla hogy a stub felől érkezett route-ok ha eltűnnek az EIGRP-ből
akkor azokat nemigen kell máshol keresni. Kicsit ASCII art-osan:Ilyen van, hogy:
LAN |==stub spoke == hub == stub spoke==| LAN..de olyan nincs hogy:
LAN |==stub spoke == hub == stub spoke==| LAN
|| ||
"======================="mert ekkor a stub már nem stub, nem egy "lezárt hálózat" mert van kapcsolata
egy másik spoke-al, így az egyik stub a másiknak a hálózatait nem csak a hub
routeren keresztül ismeri. A Cisco oldala tök jól leírja.[ Szerkesztve ]
Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
robesz87
tag
Egy elég basic kérdésem lenne.
line vty 0 4 felkonfigolom a telnetet
1) de a 0 4 pontosan mit jelent? egyszerre 5-en tudnak kapcsolódni telnettel (0-4)?
2) valamint ennek mennyi a határa? (switchnél láttam 0 15-öt is.) -
jerry311
nagyúr
-
zsolti.22
senior tag
Oké.
Csináltam olyat, hogy:LAN |== R1 =============== R2 =============== R3 ==| LAN
............S0/0 ...........................S0/0.1 multi ...................S0/0Sima mezei Frame Relay, az R2 multipointnak konfigolva. Mindegy, hogy RARP-pal vagy map ip-vel, de az íájdzsiárpí megy rajtuk és a split horizon valamiért nem, vagy nem úgy műxik, ahogy kéne, mert az R1 látja R3 hálózatát és viszont. Tudomásom szerint csak akkor kéne, ha kikapcsolom a split horizont. Épp most írom le DOCX-be a route könyv összefoglalóját és van ilyen, hogy 3 feltételnek kell teljesülnie, hogy gond legyen a Split Horizonnal, mégpedig:
> 3 vagy annál több router legyen a hálóban, amik egy alhálóban vannak
> legyen multipoint interfész konfigurálva
> teljesen vagy csak részlegesen, de ne legyen full mesh a PVC-k és routerek között <---ez nem tiszta.[ Szerkesztve ]
-
Tsory
tag
válasz robesz87 #1838 üzenetére
1. Alapvetően igen, de nem feltétlenül telnet, lehet pl. ssh is.
Ezt a vty-n kiadott transport input paranccsal lehet szabályozni.
2. Eszköz és IOS függő is, de minden aktív vty erőforrásokat használ, erre oda kell figyleni.
Nálam pl. 989 lehet egy Enterprise IOS-el 2811-en:
Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(24)T5, RELEASE SOFTWARE (fc3)
Router(config)#line vty 0 ?
<1-988> Last Line number
<cr> -
Tsory
tag
válasz zsolti.22 #1840 üzenetére
Ha subinterface-eket használtál, akkor a split horizon nem játszik:
Configuring Frame Relay subinterfaces ensures that a single physical interface is treated as multiple virtual interfaces. This capability allows you to overcome split horizon rules so packets received on one virtual interface can be forwarded to another virtual interface, even if they are configured on the same physical interface.
-
crok
Topikgazda
válasz jerry311 #1839 üzenetére
Yep, advanced. De csak akkor van ám hasonló (de nem ilyen) ha DMVPN
mellett nem strict hub-and-spoke van hanem NHRP-vel direct spoke-to-spoke
is engedélyezve van. És akkor a CEF tábla bejegyzéseinek létrehozásának
módjáról már ne is beszéljünkHa egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
crok
Topikgazda
válasz zsolti.22 #1840 üzenetére
> teljesen vagy csak részlegesen, de ne legyen full mesh a PVC-k és
routerek között <---ez nem tiszta.Nem csodálom. A "teljesen" és a "full mesh" számomra ugyan az.
A 3 router összekötéséhez egy negyediket vagy Frame-relay switchet
használtál? Mi a konfigja? Akkor lenne baj, ha így nézne ki a kiépítés:LAN
_
|
R1
|
|
[] <- Frame-relay switch (lehet router is..)
||
/ \
/ \
R2 R3
| |
_ _
LAN LANEzen esetben, amint látod, R1 egyetlen interface-én 2 router lóg. Nyilván
más DLCI-vel éri el a másik 2 routert ám itt bizony bejön a képbe a split
horizon szivatás, hiszen egy interface-en át érsz el 2 eszközt, mind a
kettőtől kapsz utakat, de ugyan azon interface-en keresztül nem küldhet
ki a router routing információkat R1 ahonnan kapta.. tehát R1 megkapja
R2 és R3-tól a routing információkat ám nem küldheti ki az R2-től kapott
információkat R3-nak, hisz ugyan azon interface-en kellene kiküldeni,
mint amin kapta (még akkor is, ha más DLCI). Képet és konfigot adj,
akkor meg tudom nézni hogy miért megy máshogy, mint várod.[ Szerkesztve ]
Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
crok
Topikgazda
válasz zsolti.22 #1844 üzenetére
Igen, csak a középsőn volt, de a split horizon csak azon játszhatott.. volna!
De mivel subint volt, gondolom 2, így az egyik egyfelé, másik másik felé
ment, így a split horizon miatt a subint már nem fogja meg a routing update-
eket, hiszen már másik interface-en megy a dologHa egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
crok
Topikgazda
válasz zsolti.22 #1849 üzenetére
Ahogy látom R1-en van ugyan subinterface, de csak egy. Kíváncsi lennék
a konfigra. pastebin.com-ra is teheted. De ahogy látom Null0-ra mutat az
az EIGRP route amit kaptál.. az nem valami jó Egyébként az EIGRP
konfigban van no autosum? Ja és akkor a FR SW-ben csak 2 entry van?[ Szerkesztve ]
Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Mobil flották
- Samsung Univerzum: Így ismerhető meg a Galaxy AI bármilyen telefonon
- Vicces képek
- Mobilinternet
- Kerékpárosok, bringások ide!
- EA Sports WRC '23
- Videó stream letöltése
- Azonnali informatikai kérdések órája
- Ubiquiti hálózati eszközök
- Egészen nagy teljesítményspektrumon fedné le a mobil piacot az AMD
- További aktív témák...