-
GAMEPOD.hu
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
jerry311
nagyúr
-
crok
Topikgazda
válasz Cyber_Bird #3750 üzenetére
Ja, azt a saját verziómban miután pastebin-re tettem javítottam..
de remélem megbocsátható, hisz' 2:40-kor tettem fel.Ha akarjátok IP Inspect-re is átírhatom a ZoneBase Firewall-t, ha
valakinek nincs 12.4(6)T vagy afeletti IOS-e.Jut eszembe Zone Based Firewall: ugye Cisco úgy tanítja, hogy az
egyazon zónában levő interface-ek között a forgalom alapértelmezetten
engedélyezett (pass). NA, ez egy kicsikét megváltozott 15.0 IOS-
től kezdve, ugyanis alapértelmezetten mostmár az is drop (!) és neked
kell megírni, hogy mit engedsz és mit nem és azt is hogy hogy. Ez
egyrészt nagyon jó, egyrészt nagyon rossz.. 12.4 -ről IOS-t upgrade-
elve azt hallgatni, hogy az ügyfél veri az asztalt, hogy mi a fenéért nem
megy - az rossz.. ám az jó, hogy még a zónán belül is csinálhatsz
inspection-t - az plusz lépcső a biztonságot tekintve. Csak az a cink,
hogyha erről nem tudsz De mostmár tudjátok..[Szerk.]
@Jerry: Nem benne maradt, beleraktam Azt hiszem hogy alap, hogy
ezt át kell írni. Azért írtam már a konfig elején a kommentbe hogy
tudjon róla aki felhasználja, eléggé nyilvánvaló, hogy a saját routeremre
saját jelszavakat teszek fel - és a Cisco is default jelszóval szállítja
a routereket, egyértelmű, hogy azokat az első belépéskor törlöd.[ Szerkesztve ]
Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
jerry311
nagyúr
Igen, volt egy csodálatos kérdés erről a vizsgán, aztán nem néztem meg a helyes választ a végén. Egyáltalán mutatja?
Lényeg, hogy 2 válasz lehetett helyes, az egyik 12.4 szerint, a másik 15.0 szerint. A kérdésben persze nincs benne, hogy melyik IOS-re gondoltak...
Na mindegy. végül is átmentem.Vissza témához.
aaa authentication login default local-case enable
aaa authentication login console line enable noneEmlékeim szerint ha default be van állítva, akkor minden loginnál azt használja, tehát nem kell külön beállítani pl console-ra, vagy külön jelszót megadni az aux/con/vty line-okra.
#3752
erre gondolsz?
! +username mgmt; password mgmt; enable mgmtAzért ennél egyértelműbb lehetne egy !!change enable and user passwords!!
De ami a legjobban bejött eddig: kérdőjelek, az nem marad észrevétlenül, legkésőbb a konfig bemásolásánál.[ Szerkesztve ]
-
crok
Topikgazda
válasz jerry311 #3753 üzenetére
A vizsgán volt ilyen kérdés, ott még a pass a jó válasz
SOHO ROUTER CONFIG TEMPLATE v0.1.1 - 2013.04.13 12:30 CET
Na javítottam az elírást és #3752 - betettem, hogy írd át a jelszótaaa authentication login default local-case enable
Igen - line con alatt csak a biztonság kedvéért van ott.OFF: ..és azt tudjátok-e hogy hogy lehet "?" -et betenni a konfigba, mondjuk jelszóba?
[ Szerkesztve ]
Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
crok
Topikgazda
válasz Hedgehanter #3755 üzenetére
De, kellhet, ha van management hálózatod, ám ez SOHO..
ott nemigen van. Így elérhető kívülről is, ami jó is meg nem is.
De ha gondolod a LAN ACL-t rá lehet tenni.[ Szerkesztve ]
Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
crok
Topikgazda
SOHO CISCO ROUTER CONFIG TEMPLATE v0.1.2 - 2013.04.13 1300
Ezt már 1:1 -ben lehet routerre másolni, nem akad meg seholHa egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
crok
Topikgazda
SOHO CISCO ROUTER CONFIG TEMPLATE v0.1.2 - 2013.04.13 1400 CET
Kihagytam sok protokollt a ZBFW-ból :/ Abbahagytam a spam-elést..Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
pbl8608
csendes tag
Szép kis config...
P.B.L.
-
jerry311
nagyúr
-
crok
Topikgazda
GNS3-ban adj neki memóriát eleget, 256M + c3725-adventerprisek9-mz.124-15.T14.bin tökéletesen viszi. Ha IOS kell a c2811-re megoldhatjuk
Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
tusi_
addikt
Azt még nem próbáltam. Múltkor a BGP hirdetést NAT-al akartam megoldani és megintcsak befordult
Ezt inkább az éles routeren próbálom ki. Paraméter mapban a HTTP headerek vizsgálatát akartam beállitani, de nem ismerte a parancsot.Ha jól vettem ki a szavaidból, akkor most már ha két sub interfész pl. ugyanabban a zone memberben van, akkor sem megy a forgalom köztük, csak a kinti forgalom (Lan2public)? Eddig ugye az volt, hogy ha egy interfész nincs egyik memeberben sem, akor az nem tud dumálni senkivel, de az azonosak egymással is, meg a nettel is. (esetedben a Publiccal)
Én még router on a stickel csináltam és a sub interfészeket tettem belső zónába, de simán ment a forgalom köztük.
Lehet ezzel kapcsolatban majd teszek fel kérdéseket priviben és ha időd kedved van, akkor válaszolsz rá
eat, sleep, play, replay
-
crok
Topikgazda
Igen, erre gondoltam: 15.0 felett az intrazone traffic is default drop
így lehetőséged legyen 2, azonos zónában levő interface közti traffic
kontrollálására - nem bug, feature. Jöhetnek a kérdések.Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
jerry311
nagyúr
Hát de minek?
Mármint, mondjuk ott egy router, fogadhat X helyről VPN-t és SSH-t. Pont. Vége. Erre nem kell ACL-nél bonyolultabb. Ha a csomagot fel kell dolgozni addig, hogy eldob/nem dob, akkor már mindegy, hogy honnan jön ez a szabály. Nagyjából úgyis ugyanaz a process dobja majd el, csak legfeljebb másik modulból jön a "gépi kódba" befordított szabály.A másik meg hogy sok esetben egy ilyen router csak azért van ott, mert ez biztosítja a tűzfal által nem támogatott WAN protokollt. Tehát utána ott egy célhardver (tűzfal) és csak saját magát kell védenie, nem a mögötte lévő céges hálózatot.
Cheap men's firewall: (kicsi) router + zbfw + ips.
Rich men's router: 6500 + FWSM (illetve most már ASA SM) + same security traffic engedve + NAT kikapcsolva.
Kinek mire fussa... -
zsolti.22
senior tag
Milyen paranccsokkal érdemes próbálkozni, ha olyan internetkapcsolatot vizsgálok, ami a folyamatos felfelé irányú töltés miatt óránként egy karaktert enged konzolba írni? A sh ip nat tra nem vezet egyelőre sehova, az ip accountingot is néztem már, de ott sem látok semmi gyanúsat (vagy itt mit nézzek?). Vírus sincs kizárva, mit keressek, mivel érdemes próbálkozni?
-
crok
Topikgazda
válasz zsolti.22 #3773 üzenetére
Interface-ek alá (a main/fizikai alá vagy dialer alá) vedd fel az "ip route-cache flow"
parancsot és aztán "sh ip cache flow" "sh ip cache verbose flow" -val meg tudod
nézni, hogy milyen IP-kről milyen IP-k felé folyik forgalom. <Szerk.> Nem pont
emiatt de a kimenetre példa a blogomból Itt található.[ Szerkesztve ]
Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
crok
Topikgazda
válasz zsolti.22 #3775 üzenetére
Mekkora a terhelés most és mekkora az Internethozzáférés (garantált) sebessége?
CPU kihasználtság mekkora? Abból mennyi az interrupt? Milyen router/IOS?
Esetleg olyan csomagokat kap a router, amik alapvetően nem neki szólnak de
fel kell dolgoznia (ARP storm/broadcast storm?).[ Szerkesztve ]
Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
crok
Topikgazda
válasz zsolti.22 #3777 üzenetére
A 1711 teljesítménye mai szemmel igen kicsi, 1,700 packet per sec
a process switched teljesítmény (ha van IP Inspect vagy ZoneBased
Firewall pl. akkor az ide fog esni, és lesz relatíve magas IP Input
process is) ami csak max 0.8704Mbps 64byte-os csomagméretnél,
még a fast switched performance is csak 13,500pps (6.91Mbps 64
byte-os csomagméret mellett) - és ezek csak irányszámok, a teszt
alatt semmilyen szolgáltatás nem volt bekapcsolva, se NAT, se egy
szem ACL, se IP Inspection, semmi..
Ami indulásnak jó lenne:sh ver | i ima|upt
sh int sum
sh ip cache flow
sh proc cpu hi
sh proc cpu so 1m | e 0.00
sh proc cpu so 5m | e 0.00
sh logA sok ARP bejegyzés nem lényeg, mert a storm nem erre irányul,
egyszerűen csak sok kérést kap a router ami broadcast és ugye
azt fel kell dolgoznia, még ha nem is kell rá válaszolnia vagy nem
is ő kérte - de L2 broadcast frame.Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
moseras
tag
Üdv!
Nem tudom, jó helyre írtam e, de remélem igen. Szóval van egy ASA 5505 (8.4(4)1) és egy WRVS4400N. E kettő között működik a Site To Site VPN (Pfs - Perfect Forward Secrecy -> kikapcsolva és így jó). Az ASA 5505-re megy a belépés a Cisco VPN client-el, és a WRVS4400N-re is megy a belépés QuickVPN-el. Az ASA 5505 belső hálója 192.168.1.0/24 a WRVS4400N belső hálója 192.168.2.0/24. Ha bármelyik router mögött vagyok, akkor látom a másik hálózatot.
Ami viszont nem megy: ha VPN klienssel belépek, akkor csak a saját belső hálóját látom, a másik router belső hálóját nem (a VPN kliensek az ASA-ban 192.168.254.100-tól indulnak)! Mi a megoldás, hogy lássam a másik router mögötti belső hálót is ?
Köszi.
Imi.
-
jerry311
nagyúr
válasz moseras #3779 üzenetére
A L2L VPN-be a kliensek forgalmat is bele kell konfigolni.
Routolni is kell ezt a forgalmat.
ASA-nal same-security-traffic-ot engedelyezni kell. Masiknal nemtom, nem ismerem.
Elofordulhat, hogy kell NAT konfig is.
Es meg az is elofordulhat, hogy a kliens konfigon is valtoztatni kell.
A fentiek nagyban fuggnek az aktualis beallitasoktol. -
jerry311
nagyúr
LoL
Ezeket HR-esek írják, mit ahogy a példa is mutatja, nem küldik el ellenőrzésre.
Szerintem már mondtam, hogy sajnos interjún is találkoztam ilyennel.
A srác keverte a DHCP-t a DNS-sel. Megkérdeztük az DNS-t elmondta a DHCP-t. Megkérdeztük, hogy akkor a másik mi, mire kinyögte hogy nem tudja. -
tusi_
addikt
Valaki, aki ráér ránézne a youtubra? Csak nálam nem megy, vagy sehol sem?
eat, sleep, play, replay
-
tusi_
addikt
Köszönöm. Állltgattam mindent, hogy gyorsabb legyen, azt hittem valamit félre nyomtam
eat, sleep, play, replay
-
FecoGee
Topikgazda
Van koztunk, aki aktivan keszul a laborra? ha igen, INE vagy IPexpert? En honapok ota nem tanultam, de most talan ujra van erom folytatni.
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!