Hirdetés
- Felháborodott az Apple, a Meta az iPhone-felhasználók üzeneteit akarja olvasni
- A luxusmárkáknak kell a bitcoin, az USA jegybankjának nem
- Letiltja az USA a politikusokat a telefonhívásokról és szöveges üzenetekről
- Nagy áttörés jön a napelemek piacán, nem kell annyi hely a paneleknek
- Belenyúlt az USA az Epic Games igazgatótanácsába, nyomoz az NVIDIA
-
IT café
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
crok
Topikgazda
válasz
zsolti.22
#1999
üzenetére
Tévedtem, benne van, 3.132 - 2 cég Area 0-áját teszi összefüggővé, de alapból
írja, hogy ne használd design szerint, mert temp megoldásként még elviselhető.Host-nak én 1700-as routereket teszek be általában (a kép lesz csak host) vagy
linux boxokat (tinycore vagy hasonló kis disztribúciókat).Melyiket nem olvastad amit írtam?
-
crok
Topikgazda
válasz
zsolti.22
#1993
üzenetére
Nos első körben ez egy discontinous net.. a loopback címek egy alhálóban
vannak. :/ Másik: OSPF alap design, hogy az area 0 contiguous. Itt az area
0-kat virtual-linkeled össze? Az nem okos.. A virtual link az arra jó, hogy egy
area-n keresztül csatlakozz az area 0-hoz.. tehát pl 2-1-0 , virtual link 1-en át.
[Szerk.]Vagy én látok valamit rosszul?[ Szerkesztve ]
-
zsolti.22
senior tag
Épp azért próbálom ki, mert a könyv nem említi, hogy hogyan osszak ki neki IP-t, de részemről elég nagy balfékség volt, az igaz. Gondoltam erre is, de a listában jó hátul volt.
Lejáratni járok föl ide 
De a megvalósítás hibátlan, leszámítva ezt a kis problémát.Még a stubby areákat akartam belevenni (de az area0 és a tranzit area nem lehet semmiféle stubby area), egy EIGRP redistribution-t, hogy ilyenkor hogy alakul az LSDB, de akkor már egy ISATAP IPv6 tunneling is jöhetne
És akkor a lecke fel van adva, CCNP ROUTE-osoknak nálam ez lenne a felvételi egy munkahelyre [ Szerkesztve ]
-
zsolti.22
senior tag
Itt a konfig nyersen:
<----------------------------------------------------R1----------------------------------------------------->
interface Loopback0
ip address 10.0.10.1 255.255.255.0
ip ospf network point-to-point
ip ospf dead-interval minimal hello-multiplier 3
ip ospf 1 area 0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0
no ip address
encapsulation frame-relay
clock rate 2000000
!
interface Serial0/0.1 multipoint
ip address 10.0.0.1 255.255.255.248
ip ospf network point-to-multipoint non-broadcast
ip ospf dead-interval minimal hello-multiplier 3
ip ospf 1 area 1
snmp trap link-status
frame-relay interface-dlci 102
frame-relay interface-dlci 103
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
clock rate 2000000
!
router ospf 1
router-id 1.1.1.1
log-adjacency-changes
area 1 virtual-link 2.2.2.2
area 1 virtual-link 3.3.3.3
neighbor 10.0.0.3
neighbor 10.0.0.2
<----------------------------------------------------R2---------------------------------------------------->
interface Loopback0
ip address 10.0.10.2 255.255.255.0
ip ospf network point-to-point
ip ospf dead-interval minimal hello-multiplier 3
ip ospf 1 area 0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0
no ip address
encapsulation frame-relay
clock rate 2000000
!
interface Serial0/0.1 multipoint
ip address 10.0.0.2 255.255.255.248
ip ospf network point-to-multipoint non-broadcast
ip ospf dead-interval minimal hello-multiplier 3
ip ospf 1 area 1
snmp trap link-status
frame-relay map ip 10.0.0.3 201 broadcast
frame-relay interface-dlci 201
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
clock rate 2000000
!
router ospf 1
router-id 2.2.2.2
log-adjacency-changes
area 1 virtual-link 1.1.1.1
area 1 virtual-link 3.3.3.3
neighbor 10.0.0.1
<----------------------------------------------------R3---------------------------------------------------->
interface Loopback0
ip address 10.0.10.3 255.255.255.0
ip ospf network point-to-point
ip ospf dead-interval minimal hello-multiplier 3
ip ospf 1 area 0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/0
no ip address
encapsulation frame-relay
clock rate 2000000
!
interface Serial0/0.1 multipoint
ip address 10.0.0.3 255.255.255.248
ip ospf network point-to-multipoint non-broadcast
ip ospf dead-interval minimal hello-multiplier 3
ip ospf 1 area 1
snmp trap link-status
frame-relay map ip 10.0.0.2 301 broadcast
frame-relay interface-dlci 301
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
clock rate 2000000
!
router ospf 1
router-id 3.3.3.3
log-adjacency-changes
area 1 virtual-link 1.1.1.1
area 1 virtual-link 2.2.2.2
neighbor 10.0.0.1
<----------------------------------------------------FR-SW------------------------------------------------->
!
frame-relay switching
!
interface Serial0/0
description FR to R1
no ip address
encapsulation frame-relay
clock rate 2000000
frame-relay intf-type dce
frame-relay route 102 interface Serial0/1 201
frame-relay route 103 interface Serial0/2 301
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
description FR to R2
no ip address
encapsulation frame-relay
clock rate 2000000
frame-relay intf-type dce
frame-relay route 201 interface Serial0/0 102
!
interface Serial0/2
description FR to R3
no ip address
encapsulation frame-relay
clock rate 2000000
frame-relay intf-type dce
frame-relay route 301 interface Serial0/0 103
!
-
zsolti.22
senior tag
Hát routerből csinált FR switch-csel sem megy, valami nem kóser, valaki ki tudna oktatni, hogy miért nem jaó?
Előljáróban: OSPF van konfigolva 3 routeren, ami area 1-ben van a WAN-t illetően, majd mind a három router mögött loopback van az area 0-ban, így 3 area 0 és egy area 1 van, amik között 2-2-2 virtual-link gondoskodik a contiguous-ságról. A loopback-ek p2p network-type-ként vannak konfigurálva, míg az egyes routerek S0/0.1 multipoint interfészei point-to-multipoint non-broadcast-ként. Így ugye nincs DR választás és a szomszédságok is kézzel vannak állítva, mégpedig R1-nek van 2 szomszédja, mert neki 2 PVC-je van (R2, R3-hoz), az R2-nek és R3-nak csak R1 van szomszédnak állítva, mivel csak ez az egy közvetlen PVC-jük van, ami az R1-hez vezeti őket. Ez így egy partial-mesh. A routereken InARP dolgozik, ami elintézi azt, hogy a közvetlen PVC kapcsolódásokat dinamikusan összekapcsolja a megfelelő IP-vel, viszont R2 és R3 között nincs közvetlen PVC, ezért az frame-relay map-pal lett oda-vissza felkonfigurálva úgy, hogy azok az R1 felé vezető PVC-t használják erre a célra. Mégis valamiért levagdossa a serial-interfészeket a gaz.
Még ami gáz lehet, az az ip ospf dead m h 3, de mindegyik interfészen egyforma, tehát a hellobelló és dead timerek nem lehetnek a hiba forrásai. Mindegyik router egyedi (1.1.1.1, 2.2.2.2, 3.3.3.3) RID-ekkel rendelkezik.
[ Szerkesztve ]
-
jerry311
nagyúr
Jolvan, megnyugodtam, hogy nem vagyok olyan nagyon huje.
Viszont a raktaros kollegaim...
We do not stock the below part (ASA-5510), but we do stock a WS-C3750-48TS-S. Can you please confirm if this is the part that is required or alternatively if it is a suitable replacement? -
crok
Topikgazda
válasz
jerry311
#1982
üzenetére
Értelmes load-balance sehogy.. egyes gépek a kiosztott def.gw. alapján más-
más linken mennek ki a saját hálójukból.. ha az egyik link elmegy (ami itt
nincs semmilyen módon triggerelve, pedig az életben való jó működéshez kell,
valamint én mind a két HSRP groupban mind a két DSW-n preempt-et állítok)
akkor a másik def.gw. átveszi annak a forgalmát is. Ilyen load-balance -ot úgy
szokás csinálni, hogy a LAN IP tartományt 2 felé veszik és az egyik felét az
egyik DSW oszthatja ki DHCP poolból, a másikat a másik. Így nincs keveredés,
de hátrány, hogy nem tudod megmondani, hogy a poolokból mennyien fognak
IP-t kapni, mivel a DHCP kérés broadcast és mind a két DSW megkapja a
kérést és válaszolni is fog.. innen kvázi random, hogy melyik keret ér a hosthoz
vissza hamarabb és melyiket offer-t választja. Az életben gondok adódhatnak
abból is, ha nincs a HSRP triggerelve megfelelően, mert az upstream link lehet
up/up de ha a routing nem működik rajta keresztül (ha kell ezer okot mondok..)
akkor azon host forgalma, ami egy ilyen DSW-n megy keresztül az blackhole-ba
route-olódik, ha a 2 DSW közt nincs megfelelő routing. Ejj, nehéz ezt nem visual
táblával meg sok filctollal mondani.. könnyebb lenne
-
jerry311
nagyúr
Igen, mint irtam, ertem a mukodeset, csak meg azt nem sikerult felfognom, hogy ez miert jo.
Ha csak az egyik switchre van kotve egy gep, akkor jo esellyel attol a switchtol fog IP-t kapni. Ha megsem, akkor a ket switch kozti linket terheli (szerintem feleslegesen). Nyilvan a switch hibaja miatt le is fog allni, mert nincs masik linkje.
Ha egy gep mindket switchre ra van kotve, akkor feltetelezem a 2 halokartyat egyben kezeli, tehat 1 IP-je lesz. Itt beallitastol fuggoen vagy egyiket vagy masikat hasznalja es ezt mar layer 2-n meg is tudja oldani. (Tekintsunk el attol az esettol ha a switchek tamogatjak az etherchannelt ugy, hogy annak ket linkje ket kulon switchen van. Vagy mondjuk egyeb egzotikus modokon elosztott terheles, ami meg mar kb. gyatotol fugg.)
Ha meg a 2 kartyat kulon kezeli, akkor 2 IP-je lesz, esetleg 2 GW-vel, ami oprendszertol fuggoen vagy mukodik valahogy vagy csak szoporollerezes van vele.
Ezert nem ertem, hogy mire jo ez a "load balance".
[ Szerkesztve ]
-
tusi_
addikt
válasz
jerry311
#1979
üzenetére
Azt, hogy egy baromi nagy f.sz vagyok. Töröltem azt a konfigot, amelyiken volt a dsw2 -n is dhcp pool, de elfelejtettem, hogy már nincs.
Azt megcsinálhatom, hogy pl Load-balancingban használom a 2 DSW switchet igy
DSW1
vlan 10
ip add 192.168.1.10 x.x.x.x
standby 1 ip 192.168.1.1
standby 1 priority 200
standby 1 preempt
standby 2 ip 192.168.1.2
standby 2 priority 90Itt a 192.168..1.1-es ip-t osztanám ki a másikon meg
DSW2
Vlan10
ip add 192.168.1.11 x.x.x.x
standby 1 ip 192.168.1.1
standby 1 priority 90
standby 2 preempt
standby 2 ip 192.168.1.2
standby 2 priority 200Itt pedig a x.x.x.2 t
Ez igy műxik? Kilaboroznám, de az asszony még horpaszt és a fejemhezvágja a switcheket
eat, sleep, play, replay
-
tusi_
addikt
válasz
zsolti.22
#1972
üzenetére
ip ospf authentication message-digest
Ha jól emléxem, erre a parancsra indul el azokon az interfészeken a hitelesités, amelyikeken beállitottad a "ip ospf message-digest-key 1 md5 jelszó" -t. Ez csak azon a szomszédon érvényes, amelyikkel egy interfészen van. Ha egy router f0/0-n cisco a jelszó, a f0/1 -en meg casco, akkor is menni fog a hitelesités, de csak azzal a szomszéddal, amelyikkel az azonos intefészen van.
[ Szerkesztve ]
eat, sleep, play, replay
-
zsolti.22
senior tag
OSPFv2 hitelesítésénél létezik 2 mód: interfész-szintű hitelesítés és area-szintű hitelesítés. Az interfész-szintűnél 3 mód van: null, clear-text és md5 hitelesítés. Nyilván a megfelelő parancsot a megfelelő párral adom ki, pl: ip ospf message-digest-key 1 md5 jelszó parancsot a hozzá tartozó ip ospf authentication message-digest-tel. Így a beállított "jelszó" jelszó lesz a jelszó. Na de ha a rotuer módban vagyok és kiadom az area 0 authentication message-digest-et, akkor hogyan állítok neki jelszót? Mert ha ismételten interfészre kell menni és bepötyögni a jelszót, akkor nem sok értelme van az area-szintűnek; vagy hiányos a tudásom és lehet area-szintű jelszót is létrehozni?
Egy biztos, key-chain és idő alapú jelszó nincs OSPF-nél (legjobb tudásom szerint).
[ Szerkesztve ]
-
crok
Topikgazda
válasz
jerry311
#1970
üzenetére
És még a routeren is ki lehet kódolni:
R1(config)#key chain decrypt_type_7
R1(config-keychain)#key 0
R1(config-keychain-key)#key-string 7 14141B180F0B
R1(config-keychain-key)#do sh key chain
Key-chain decrypt_type_7:
key 0 -- text "cisco"
accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now] -
crok
Topikgazda
R1(config-if)#ip ospf authentication message-digest
R1(config-if)#ip ospf message-digest-key 1 m 0 cisco <<<Itt még a "0" miatt ez plain-text
interface FastEthernet0/0
ip address 192.168.1.100 255.255.255.0
ip ospf message-digest-key 1 md5 7 14141B180F0B <<<Ez így már Type 7 (Vigenère) cipher. Ilyet akartál? Ha ez nem megy akkor
az a Packet Tracer hibája lesz - az 5.3.2.0027 alatt bizony ez egy hiba. -
-
crok
Topikgazda
A 209-es hibakód az kb. a "történt valami rossz és nem megy" kategória..
Ezer oka lehet, lehet hogy az IOS-t nem tudja betölteni: mert a default
IOS verzió egy nem létező file-ra mutat. Vagy az IOS nem ehhez a
platformhoz való, vagy véletlen NPE-G2 -t tettél a c7200-ba, ami nem
valami jó választás, mert csak spéci IOS-el hajlandó (nagyon bugosan)
működni. Dynamips vagy bármi más opciót átállítottál? Mert még az
is lehet hogy a Dynamips hypervisor nem kap elég memóriát. Esetleg
a JIT van bekapcsolva, de a géped/OS-ed valamiért nem tudja ezt a
Dynamips-nek megoldani. Elsőre ezeket nézd már meg. IOS verziót
jó lenne ha megírnád.. esetleg a beállított hardware konfigot, NPE és
kártyák, memória, ilyesmi. Szoktam néha c7206VXR-t használni, de
egy c3725 is tökéletesen megfelel, vagy egy c2621XM.. c1720 hostnak.
(IOS-ek sorban:
c1720-12.2-40a -- 64M DRAM
c2600-adventerprisek9-mz.124-15.T14.bin -- 128M DRAM
c3725-adventerprisek9-mz.124-15.T14.bin -- 128M DRAM
c7200-adventerprisek9-mz.124-24.T.bin -- 256M DRAM
Javaslom, hogy szépen nevezd át a bin file-okat zip-re és csomagold ki
és azt add hozzá a GNS3-ban az IOS images menüben.)
[Szerk.]
Plusz egy ok: tűzfal(akat) kapcsold ki vagy engedélyezd a hypervisor
portját mindenképpen - ez is lehet ok (7200 és e felett, konzol portokat
szintén nem árt megnézni, sose lehet tudni.. nekem linux alatt sose
volt még hasonló esetem, mint ez.. nem értem hogy jöhet ki egyes
esetekben egyeseknél :/ ).[ Szerkesztve ]
-
zsolti.22
senior tag
Én nagyon kíváncsi lettem az ISIS konfigra. Mik azok a 000049.00000.000000.0000a.000 számok, amiket használ? Hogyan kell értelmezni? A Cisco oldalán egy konkrét konfig van, de abból nem derül ki, miért pont 0000049 van routolva. Erről a protokollról nem sokat hallani, pedig az MPLS VPN MP-iBGP-i egymás között használják ezt is.
[ Szerkesztve ]
-
tusi_
addikt
válasz
robesz87
#1929
üzenetére
"Tehát nem valósul meg csak a vlan-okra kiterjedő broadcastolás és ugyanott tartok, mintha nem csináltam volna vlan-okat."
Pont a Br-ok nem mennek át. A router a nem neki szóló br-eket dobja. Tehát ha van 100 kliensed és 4 vlanod ezek egyenlően vannak elosztva Vlanonként 25-25.... re, akkor egy br üzenetet csak a saját vlanjában lévők kapják meg a masik 75 nem. Kivéve ha mondjuk egy DHCP server van egy másik Vlanban és a routeren megy egy relay-agent, de az más dolog.
[ Szerkesztve ]
eat, sleep, play, replay
-
robesz87
tag
válasz
jerry311
#1933
üzenetére
(Előrebocsátom, hogy ACL-t még ezután fogom kivesézni, de némi elméleti tudásom már van róla. )
ACL-el beállítom, hogy a belső hálózat között ne irányítson, de a hostok-nak lehet internet access-ük. Így megmarad az elkülönített hálózat (nem is látják egymást), de lesz net. Tehát akkor ez így megoldható?[ Szerkesztve ]
-
jerry311
nagyúr
válasz
robesz87
#1931
üzenetére
A bridge bridge-dzsel, de szép kártyajáték is az. A switch switch-csel. A router routeol. A PIX pixel. Az ASA meg a sál.
Na, de a router lényege, hogy routol. Ha már így ügyesen bekonfigoltad. Ha nem akarod, hogy a VLAN-ok közt továbbítson csomagokat, akkor szépen megmondod nekik ACL-lel, hogy oda nem mehet csomag, csak kifelé a nagyvilágba. Máris el vannak választva a VLAN-ok.
[ Szerkesztve ]
-
robesz87
tag
Lenne egy szakértő számára valószínűleg bugyuta kérdésem.
Miután felállítottam a vlan-okat, melyek fő célja, hogy a különbözőek ne tudjanak egymással kapcsolatba lépni, majd belerakok a topológiába egy routert ( pl router on a stick ) és felkonfigolom az alinterfészeket, akkor ismét látják egymást a host-ok. Tehát nem valósul meg csak a vlan-okra kiterjedő broadcastolás és ugyanott tartok, mintha nem csináltam volna vlan-okat.
Biztos, hogy félreértelmezek valamit, ezért kérem a hozzáértőket, hogy segítsenek a megértésben.
-
zsolti.22
senior tag
Contiguous hálózat: egyetlen osztályt használ a hálózatai számára, tehát a forrás és cél között nincs osztály alapú hálózati változás.
Discontiguous hálózat: legalább egy olyan hálózat szerepel a forrás-cél között, ahol van osztály alapú hálózatban változás.
Helyénvaló a megfogalmazás?
-
-
tusi_
addikt
Köszi mindenkinek
Hogy tudom szimulálni a load-balancingot HSRP-nél?
R2
interface FastEthernet0/0
ip address 192.168.1.10 255.255.255.0
duplex auto
speed auto
standby 1 ip 192.168.1.1
standby 1 priority 150
standby 1 preempt
standby 2 ip 192.168.1.2
standby 2 priority 90R3
interface FastEthernet0/0
ip address 192.168.1.11 255.255.255.0
duplex auto
speed auto
standby 1 ip 192.168.1.1
standby 1 priority 90
standby 2 ip 192.168.1.2
standby 2 priority 150
standby 2 preemptHa lelövöm az interfészt az R2-nél, akkor egyből vált R3-ra. DE, azt hogytudom megcsinálni, hogy a másik virtual IP-t kapja/használja a kliens "gép"? DHCP vel osszak ki neki címet?
[ Szerkesztve ]
eat, sleep, play, replay
-
Tsory
tag
Hát ez valóban érdekes. Ezen a linken van a lista:
Cisco IOS Software Releases 12.2 T GLBP
Lehet, hogy ez még a 2800-as sorozat előtt készült?
A többi doksiban nem találok az eszközökre vonatkozó utalást:
-
-
#1917
tusi_
addikt
sunyijanika
#1915
tusi_
addikt
válasz
sunyijanika
#1915
üzenetére
Köszi, ezt tudom, csak eigrp esetén ugye megy, pedig ugynaúgy NBMA.
Ha frame-relay mapolok, ott ugye átmegy broadcasttal az adott ip re a local dlci és kicsit meglepődtem, hogy az Ospfnél nem.eat, sleep, play, replay
-
#1915
sunyijanika
tag
tusi_
#1910
sunyijanika
tag
Igen normális, mivel Frame Relay esetén NBMA az alap network type ahol nincs automatikus neighbor discovery így kell a neighbor ip-address parancs. Azonban a network type-t tudod módosítani:
ip ospf network X:
- Broadcast
- Point-to-point
- Nonbroadcast (nincs discovery, NBMA alap)
- Point-to-multipoint
- Point-to-multipoint nonbroadcast (nincs discovery) -
tusi_
addikt
CCNP-sek től kérdezném. (642-813)
GLBP, VRRP, P-Vlan, IP telephon, Wifi van-e a vizsga gyakorlati részében. Ezeket sajnos nem tudom kipróbálni.
Telefon, wifi esetleg sikerülhet , de wifi ből csak az Autonom. Próbáltam a 7200-es routert munkára birni a GNS3-ban VRRP és GLBP -t gyakorolni, de esélytelen. 890000. IOS-t ette meg, ahhoz meg nem akart kapcsolódni egyik porton sem, szal feladtam.
eat, sleep, play, replay
-
jerry311
nagyúr
Kezdők kedvéért tegyük hozzá, hogy csak a tartalmának kell egyeznie.
A neve lényegtelen, csak a benne lévő protokollok számítanak.+++++++++++++++++++++++++++++++++++++++++++++++++++++
Egyéni meglátásom: érdemesebb egy transform set-et a tartalma alapján elnevezni, nem az ügyfél neve alapján. Egyrészt rögtön látszik mi van benne, másrészt mondjuk 5 külön VPN-hez nem lesz 5 különböző nevű, de egyforma tartalmú transform set.
Mondjuk 5-nél még mindegy, de amikor csak a transform set-ek 200 sor körül járnak, és kb. mind ESP/3DES/MD5... -
jerry311
nagyúr
válasz
zsolti.22
#1906
üzenetére
Az ISAKMP tulajdonképpen egy szabvány, hogy két fél azonosíthassa egymást és kulcsot cserélhessenek. Elméletileg a kulcs-csere módjától független, gyakorlatilag szinte csak IKE protocolt használnak rajta.
Az IKE meg arra való, hogy biztonságos kulcs-cseével létrehozzon egy biztonságos csatornát, nem biztonságos hálózatokon.
Azonosításra certificate vagy jelszó, esetleg RSA keypair használatos benne. Az egymás közti forgalmat titkosítják (megadott encryption mód), hash-elik, hogy tudják nem változott-e útközben. Mindehhez elsőként ott van a DH key exchange, amivel gyakorlatilag biztonságos kulcs csere lehetséges anélkül, hogy a kulcs bármikor is átment volna a nem biztonságos csatornán.tusi_
set transform-set nev = ez a parja a késöbbi crypto map interfésznek
vagy inkább az előbbi crypto ipsec transform-set parancsnak
[ Szerkesztve ]
-
tusi_
addikt
válasz
zsolti.22
#1902
üzenetére
crypto isakmp policy 1 = policy "sorszáma"
encryption 3des = titkositás módja
authentication pre-share = hitelesités módja alőmegosztott kulcs
group 2 = Diffie Hellman 2 1024 bites IKE kulcs.
(Innen nekem hiányzik a hash)crypto isakmp key jelszo address 128.107.9.9 = Ezt a "jelszót" küldi át tikositva diffie hellmannal az ip-re
crypto ipsec transform-set nev esp-3des esp-sha-hmac
crypto map valami_nev 10 ipsec-isakmp
set transform-set nev = ez a parja a késöbbi crypto map interfésznek
set peer 128.107.9.9 = szomszéd ip
match address 101 = acces list, amiben engeded a forgalmat. Saját ip és a távoli ip.access-list 101 permit ip 10.99.1.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 101 permit gre any anyinterface dialer 2
crypto map valami_nev = ez lesz a neve, ezzel engeded az interfészen hogy a kifele menő csomagok titkositva menjenek át.eat, sleep, play, replay
-
-
jerry311
nagyúr
válasz
zsolti.22
#1902
üzenetére
A széptől még messze van, inkább alapkonfig.
Egyszerűsítve: 2 fázisból áll:
1, ISAKMP
2, IPSec1,
crypto isakmp policy 1
encryption 3des
authentication pre-share
group 2crypto isakmp key jelszo address 128.107.9.9
Polciy: a használt encryption, hash authentication és a DH Key exchange-ben használt key nagysága
A hash-t nem látod, mert default maradt, ami emlékeim szerint SHAisakmp key: pre-shared-key - jelszó
2,
crypto ipsec transform-set nev esp-3des esp-sha-hmaccrypto map valami_nev 10 ipsec-isakmp
set transform-set nev
set peer 128.107.9.9
match address 101access-list 101 permit ip 10.99.1.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 101 permit gre any anyTransform set: ugyanaz mint az ISAKMP policy csak a második fázisra vonatkozik.
A crypto map-ban pedig az egészet egybegyúrod: melyik peerrel, milyen transform set-et használva milyen forgalmat (ACL) teszel a VPN-be.3,
interface dialer 2
crypto map valami_nevA VPN tunnelbe persze csak akkor rakja bele a forgalmat, ha az adott interface-re rá van rakva a crypto map.
++++++++++++++++++++++++++++++++++++++++++++++++++++++++
#1903
Nem feltétlenül szükséges, de erőteljesen ajánlott.
[ Szerkesztve ]
-
zsolti.22
senior tag
Én ezt a VPN-esdit szeretném megérteni. A CCNP ROUTE utolsó fejezetében van egy elég szép IPSec VPN konfig, de nem igazán van benne leírva, melyik parancs mit állít, és mit miért állít. Van benne dialer interfész is, meg ATM interfész is, és nem igazán tudom, melyik mit jelent és miért van.
A konkrét parancssorozat itt: link
[ Szerkesztve ]
-
Tsory
tag
válasz
robesz87
#1897
üzenetére
A no login nem a belépést tiltja le, hanem nem kér authentikációt az adott porton, mint ahogy már megírtam az előzőekben. Erre érdemes odafigyelni, vizsgakérdés is lehet belőle:
No login disables any authentication; anyone able to access the line (console or VTY through telnet or SSH) is logged in automatically (do not use outside of lab environment).
Alpavetően nem tudod befolyásolni, hogy melyik vty vonalra csatlakozol rá. Az első szabad vonalra próbál rácsatlakozni, és hiába állítasz be bármit a vty 5 15-re, ha a vty 0 4 még szabad. Ekkor a vty 0 4 alatti beállítások lépnek életbe, ha login van password nélkül, akkor nem enged be, ha no login van, akkor beenged jelszó nélkül.
Ha mindenáron azt akarod szabályozni, hogy melyik vty vonalra csatlakozol fel, akkor javaslom a rotary group használatát (igen, packet tracerben nem működik).
Pl.
line vty 0 4
password cisco1
login
rotary 1line vty 5 15
password cisco2
login
rotary 2telnet x.x.x.x 7001
vagy
telnet x.x.x.x 7002[ Szerkesztve ]
Lejáratni járok föl ide 
De a megvalósítás hibátlan, leszámítva ezt a kis problémát.
És akkor a lecke fel van adva, CCNP ROUTE-osoknak nálam ez lenne a felvételi egy munkahelyre 
Csakis tusi kedvéért 
A laptopon elindul, de ott meg nagyon lassú
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Projektor topic
- AMD Navi Radeon™ RX 7xxx sorozat
- Forza sorozat (Horizon/Motorsport)
- DIGI internet
- Autós topik
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- PlayStation 5
- Android szakmai topik
- Audi, Cupra, Seat, Skoda, Volkswagen topik
- Milyen asztali (teljes vagy fél-) gépet vegyek?
- További aktív témák...
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest