-
GAMEPOD.hu
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
zsolti.22
senior tag
.
[ Szerkesztve ]
-
tusi_
addikt
CCNP Tshoot 642-832 1000/1000 Passed.
Vége a közel 15 hónapos felkészülésnek, laborozásnak és persze idegeskedésnek. Most jön egy nap szünet, aztán vissza a CCNA secuhoz, amit babonából abba hagytam egy hete és csak a Tshootra koncentráltam.
Ha valaki elakadna Tshoot közben, szóljon, becsukot szemmel felhúzom a topológiáteat, sleep, play, replay
-
tusi_
addikt
Sziasztok
Köszi a gratulációkat. CCIE engem annyira nem érdekel, a P-s vonalat csinálnám végig.
Viszont. Nem tudok belépni a cisco-s fiókomba - már megint - és kértem egy password resetet, de semmi eredmény, nem kaptam linket az új jelszó készitéshez. Mit kell most tennem?
eat, sleep, play, replay
-
tusi_
addikt
Megcsináltam, de már a t.k.m kivan a cisco marhaságaival.
Le egyeztettem a cimem, már rakodják be hajóra a CCNP kittemetAmúgy meg igaza volt mindenkinek, aki mondta, hogy piti a vizsga. Aki rendesen megtanulja a R/S anyagot, az a Route vizsga után mehet másnap tshootra. KOMOLYAN. (A tshoot könyvnek legalább az elejét érdemes elolvasni ITIL, FCAPS, TNM...... mert vannak felelet választós kérdések, - összesen 3 - a vizsgában.)
[ Szerkesztve ]
eat, sleep, play, replay
-
tusi_
addikt
Jajj neem. Az Egész CCNP volt 15 hónap. A CCNA után kezdtem a felkészülést, tavaly májusban. Közben mást is kellett/kell tanulnom és vizsgáznom, de mindig szakitottam rá időt, hogy Ciscozzak. Összességében kb 700 óra labor és nemtom mennyi olvasás/guglizás van benne, na meg 160e kemény magyar forint
[ Szerkesztve ]
eat, sleep, play, replay
-
albertboy
tag
Sziasztok!
Az alábbi EIGRP probléma kihüvelyezésében szeretnék segítséget kérni.
A hibaüzenet, amit kapok: IP-EIGRP: Neighbor 192.168.X.X not on common subnet for FaX/X és ez itt flappel nekem non-stop mindhárom routeren.Mi okozza a galibát? Miért ne lennének közös subneten?
Valamint azt sem értem, hogy az R1-en az eigrp network parancsát én biza wildcard-os formátumban adtam meg, hiába írom be újból úgy, levágja a végéről a wildcardot. Ez mitől lehet?
Köszönettel: albi
-
kowika87
tag
válasz albertboy #4263 üzenetére
Hello!
Csak rápillantani volt időm, a wc mask azért nem látszik mert valószínűleg class szerint adtad meg a wc maskot és akkor nem rakja oda: network 192.168.1.0 0.0.0.255 = network 192.168.1.0.
A neighbor probléma pedig akkor szokott jönni ha a hello csomagban olyan forrás cím van amit az eigrp process nem ismer, vagyis nem egy subnetben vannak, de ez a conf alapján rendben van.
Én lehet hogy a R1 Fa0/1 nézném meg elsőre hogy milyen vlanban megy stb. Illetve milyen IOS fut?BTW GNS3ban switchingelni nekem nagyon nem fekszik. Persze a routing ok, de így már nagyon meg tud a program keveredni (saját tapasztalat).
-
tusi_
addikt
válasz kowika87 #4265 üzenetére
Mint irtam is, Route után másnap lehet menni. Van 3 elméleti kérdés, de azok egyszerűek és ha el is rontod, akkor sem vesztesz vele sok pontot. Tudjad mi az ITIL, FCAPS......
A ticketek is egyszerűek, sima logikával és folyamatos ping parancsokkal pillanatok alatt ki lehet találni, hol akad el a forgalom. Sajnos traceroute parancs csak a webserverre mehet, belső hálóban nem lehet trace-lni, de ha bevágod kivülről a toplogiát, akkor azzal sem vesztesz időt, hogy a topológiát keresed.
7-8 paranccsal el lehet lenni. Tegnap belenéztem a switch könyvbe, ott vannak kérdések és meglepően jól emlékeztem, kivéve a voipra. Az nekem a mumusom
eat, sleep, play, replay
-
karesz500
csendes tag
Sziasztok!
VPN kerdessel fordulnek hozzatok.
Konkretan az SA mit takar? Szamomra az jon le, hogy valamilyen alap epitoeleme az IPsec keretrendszernek, vegulis egy adatbazis amiben meghatarozasra kerulnek a titkositasi parameterek, kulcs csere parameterek stb?IKE kulcs csere folyamat ami magaba foglalaja a DH eljarast is?
ISAKMP az IKE reszet kepezi? Szamomra az derult ki, hogy az ISAKMP hatarozza meg az uzenetek formajat, kulcsere folyamatat.
IKE folyamat 2 reszbol all az elso fazissal meg nincs problema de a 2. mi tortenik konkretan?
PFS szamomra eleg erthetetlen volt mit is valosit meg?
IKE policy es Transform set:
Transfromset ben megadott ertekkekel lesz titkositva hashelve tomoritve a tenyleges uzenetem. Akkor az IKE policy ban miket hataroztam meg? Azok a titkositasi, kulcsere, hash es egyeb eljarasok mire fognak vonatkozni?
Crypto map-ben hatarozom meg, hogy a sok crypto ACL, transformset, key management methodok kozul mit is fogok hasznalni es a ezt mind melyik interfeszre szeretnem rahuzni? Ja es itt hatarozom meg, hogy ki is a tavoli szomszedom?
Ha egyszer megadtam az IKE policy set ben az sa lifetimeot akkor itt miert kell megadni megint? Miert kell itt is ujra meghatarozni group ot amikor megtettem az IKE policy set ben.
Segitsegeteket elore is koszonom, kicsit megzuhatnam a VPN resznel.
-
jerry311
nagyúr
válasz karesz500 #4267 üzenetére
Nagyon roviden es nagyon pongyolan...
Mindket esetben a beallitott hash, encryption, lifetime, DH group (~PFS @ phase 2), stb. alapjan epiti fel a kapcsolatot.
Az SA (Security Associaton) egy felepitett kapcsolathoz tartozo adatok osszesseget rejti. Nyilvan a fenti konfiguralt elemek plusz az aktualis titkositasi kulcs es hatralevo lifetime (adat es ido egyarant).Azert ketto, mert az elsoben a biztonsagos csatornat epiti fel, amin aztan majd titkositva megbeszelik a peerek, hogy az adatforgalmat milyen beallitasokkal kuldik egymasnak. Tehat a masodik fazisban is egyeztetni kell mindent. Ugy is mondhatjuk, hogy a masodik fazisban ugyanaz tortenik, mint az elsoben, csak nem a peerek kozti forgalomra vonatkozoan, hanem a valos adatforgalomra.
PFS: DH kulcs csere phase 2-ben. Ez azert jo, mert enelkul a phase 2 kulcs alapvetoen a phase 1 kulcs leszarmazottja lenne. Tehat PFS nelkul konnyebben torheto, mint PFS-sel.
Crypto mapban rakod ossze az epitoelemeket, mint peer, ACL, transform set, PFS, lifetime, stb.
Majd a crypto map kerul ra valamelyik interface-re es vegul ennek alapjan donti el az eszkoz, hogy kell-e titkositani vagy sem. -
Hedgehanter
őstag
válasz karesz500 #4267 üzenetére
SA az a Security Association, ebben hatarozzuk meg a Phase 1 es 2 ben a parametereket.
A Phase 1 az IKE (ISAKMP) channel amin keresztul a peer-ek authenticaljak egymast, IKE SA policit cserelnek, crealnak egy kulcsot a DH-val, es felepitik a secure tunnel-t Phase 2 hoz. Itt csak azt beszelik meg hogy mivel epuljon fel a Phase 1 es azokbol egy titkos csatorna lesz amiben megbeszelik majd a Phase 2-t.
A Phase 2 ben IPsec SA-t cserelnek amivel titkositva lesz az adat amit neha ujratargyalnak, neha a PFS segitsegevel ami a DH-n alapul..
A tobbi kerdesed remelem erthetobb az elobbi magyarazt utan...
-
tusi_
addikt
válasz albertboy #4263 üzenetére
Ezekkel a switchekkel nekem is volt bajom, használj inkább routert 16 portos sw modullal.
Ha megy a Neigborship és stabil, pingek is mennek meg a route tábla is rendben, akkor ird be hogy logging console warning és legalább az üzik nem jönnek. Amiről nem tudsz az nem fáj.eat, sleep, play, replay
-
FecoGee
Topikgazda
Tegyuk hozza hogy a TSHOOT-ra 1 hetet tanultam de 2 honapot hagytam ra. Ezert lehetett volna kevesebb is, de nincs ertelme sietni. Raadasul nekem konnyebb is volt, mert napi szinten ulok tobb szaz eszkoz folott. Jeremy idejeben a CCNP konnyebb volt mint most az NA, szoval azt nem vennem osszehasonlitasi alapnak ;-)
-
FecoGee
Topikgazda
A legnagyobb magyar aukcios oldalra tett fel valaki egy 3560 24PS switchet melyen aron alul. Akit erdekel, keressen ra. Villamaron 50k, nagyon megeri.
-
-
karesz500
csendes tag
Sziasztok!
Segitsegetek szeretnem kerni. Valamiert nem akar felepulni a vpn tunel.
Most konfiguralok eloszor pixet (501) en arra tippelek, hogy ott a hiba, de
nem tudom mi.hostname pix501
ip address inside 10.0.1.1 255.255.255.0
ip address outside 172.30.1.1 255.255.255.0route outside 0.0.0.0 0.0.0.0 172.30.1.2
access-list 110 permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0
access-group 110 in interface outsideisakmp enable outside
isakmp policy 8 authentication pre-share
isakmp policy 8 encrypt 3des
isakmp policy 8 hash md5
isakmp policy 8 group 1
isakmp policy 8 lifetime 3600crypto isakmp key cisco1234 address 172.30.1.2
crypto ipsec transform-set pix esp-3des esp-md5-hmac
crypto map pix501 10 ipsec-isakmpcrypto map pix501 10 match address 110
crypto map pix501 10 set transform-set pix
crypto map pix501 10 set peer 172.30.1.2
crypto map pix501 10 set pfs group1
crypto map pix501 10 set security-association lifetime seconds 3600
crypto map pix501 interface outsidehostname c1812
crypto isakmp policy 110
encr 3des
hash md5
authentication pre-share
lifetime 3600crypto isakmp key cisco1234 address 172.30.1.1
crypto ipsec transform-set 1812cisco esp-3des esp-md5-hmac
crypto map cisco1812 10 ipsec-isakmp
set peer 172.30.1.1
set transform-set 1812cisco
set pfs group1
match address 110interface FastEthernet0
ip address 172.30.1.2 255.255.255.0
ip access-group 110 out
duplex auto
speed auto
crypto map cisco1812interface FastEthernet1
ip address 10.0.2.1 255.255.255.0
duplex auto
speed auto
no keepaliveip route 0.0.0.0 0.0.0.0 173.30.1.1
access-list 110 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
[ Szerkesztve ]
-
jerry311
nagyúr
válasz karesz500 #4277 üzenetére
Tippelem 6.3(5) vagy korabbi. Igazabol mindegy is. Szemelyes (es barati kor) tapasztalat alapjan azt mondom, hogy ahany felhasznalas annyi ACL, hiaba ugyanazt tartalmazza. Bar egyre jobban halad a software az ilyen aprobb epitoelemek ujrafelhasznalasaban, a 6.x verzio meg nagyon nem volt jo ebbol a szempontbol.
Az sem sokat segit, hogy PIX-en default routenak a sajat IP cimet adod meg.
A VPN konfig viszont alapvetoen jo.
Ket hasznos debug:
debug crypto isakmp
debug crypto ipssecA transform set, ACl, keyring, profile, stb. eseteben ajanlott vagy a kapcsolatra jellemzo nevet adni vagy azt amit tartalmaz, kesobbiekben megkonnyiti az eletet.
Valamint, a PIX 6.x alapvetoen nem enged at semmit magan, amire nincs NAT szabaly.
-
jerry311
nagyúr
válasz karesz500 #4279 üzenetére
A tunnel egeszen addig nem epul fel, amig nincs az ACL-nek megfelelo forgalom.
Az egyszeruseg kedveert pingelj a routerrol. Meg kell hataroznod a source IP-t, kulonben ugye annak az interface-nek az IP-je lesz a source, amelyiken kikuldi a csomagot. Tehat 'ping 10.0.1.1 source 10.0.2.1'
Nem fog valasz erkezni, de ettol fuggetlenul a tunnel felepul, mert olyan forgalom volt, amit bele kell rakni a tunnelbe.
Ha VPN-en keresztul akarod pingelni a PIX inside IP-jet, akkor: "mana inside' a baratod, mert a varazslashoz mana kell.
Ha ezen az oreg PIX-en keresztul akarsz kuldeni barmit, akkor arra nem eleg az ACL (vagy a megfelelo high to low security forgalom) hanem valamilyen NAT szabalyank is ervenyesnek kell lenni ra. Mondjuk
access-list 100 permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0
nat (inside) 0 access-list 100
clear xlateHa valamit elirtam, az azert van mert nincs keznel 6.3-as PIX, hogy konzolrol masolhassam.
UI: sysopt connection permit-vpn (kulonben meg az outside ACL-lel is szivnod kell)
[ Szerkesztve ]
-
tusi_
addikt
válasz jerry311 #4284 üzenetére
Lenne még egy kérdésem.
DMVPN ben van ugye full mesh és point-to-point. Ha azt akarom, hogy a 2 spoke a HUB-on keresztül komunikáljon csak, akkor point 2 pointra kell konfigolni. Ha azt akarom, hogy legyen a spokeoknak is NHRP mapjuk a másik spokera, akkor Full mesh. De valamiért nem vágja le a 2 spoke, ha azt irom, hogy tunnel mode gre p-2-p, csak a gre multipointra áll fel a tunnel. Ez valami GNS3 okosság, vagy valamit kell még mellé adni?eat, sleep, play, replay
-
karesz500
csendes tag
válasz jerry311 #4280 üzenetére
Szia!
Koszonom a segitseget, de nagyon szenvedek a pixel sima ping vpn nelkul nem mukodik. Van ra acl nat minden, de semmi eredmeny.
PIX Version 6.3(5)
interface ethernet0 10baset
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix501
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any source-quench
access-list 101 permit icmp any any unreachable
access-list 101 permit icmp any any time-exceeded
access-list 101 permit ip 10.0.1.0 255.255.255.0 10.0.2.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 172.30.1.1 255.255.255.0
ip address inside 10.0.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
static (inside,outside) 10.0.1.1 172.30.1.1 netmask 255.255.255.255 0 0
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.30.1.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
pix501(config)# exit
pix501# ping inside 10.0.2.1
10.0.2.1 NO response received -- 1000ms
10.0.2.1 NO response received -- 1000ms
10.0.2.1 NO response received -- 1000ms
pix501# ping inside 172.30.1.2
172.30.1.2 NO response received -- 1000ms
172.30.1.2 NO response received -- 1000ms
172.30.1.2 NO response received -- 1000ms
pix501# ping outside 10.0.2.1
10.0.2.1 response received -- 0ms
10.0.2.1 response received -- 0ms
10.0.2.1 response received -- 0ms
pix501# ping outside 172.30.1.2
172.30.1.2 response received -- 0ms
172.30.1.2 response received -- 0ms
172.30.1.2 response received -- 0ms -
jerry311
nagyúr
válasz karesz500 #4286 üzenetére
A switch switchel, a router routol, a PIX pixel az ASA meg a sal.
Javaslom a kozelebbi megismerkedest az icmp paranccsal.
Kezdetnek valahogy igy:
icmp permit any outside
icmp permit any insideAztan kesobb lehet vele jaccani.
A PIX/ASA kulon allatfajta. Kulon kell kezelni az eszkoznek szant es az atmeno forgalmat.tusi_
DMVPN-t majd otthonrol, most megyek mert lekesem a vonatom.[ Szerkesztve ]
-
jerry311
nagyúr
DMVPN az ugye Dynamic Multipoint VPN, azt nem konfigolod szándékosan úgy, hogy mindent a hubon keresztül küldjön. Pont az a lényege, hogy a spoke-ok egymás közt beszélgetnek full mesh-ben. Sőt, általában akkor kezdődik a troubleshoot ha minden a HUB-on keresztül megy éppen.
Ha akarsz DMVPN-t és GRE over IPSec-et is ugyanazokon az routereken, akkor a tunnel protection sor végére kell a 'shared' keyword. Azonban sokkal jobban járhatsz ha a source interface nem ugyanaz (nem a fizikai int. hanem inkább loopback) és köülön IPSec profile van nekik vagy akár már külön ISAKMP profile is, hogy még csak véletlen se keveredjenek össze. -
cekkk
veterán
Sziasztok!
Kedző Cisco tanfolyamot Pesten merre érdemes megcsinálni? Elég erőteljesen érdekel a dolog, így kezdő infósként lehet könyebben kapnék munkát. Gondolom nem olcsó, de csak megtérül a befektetés.
-
Cyber_Bird
senior tag
Szerintem nem érdemes tanfolyamra befizetni.
Neten keress rá a Cisco ccna exploration-re ( Bár ugye azért problémás, mert az még a 640-es sorozathoz van és nem az újhoz, de nem sokat kell hozzátanulni az újban).
Vagy keress könyveket( official certification guide) a
100-101,
200-101
-hez. Szerintem abból érdemes tanulni + Packet Tracer, vagy ha megveszed a könyvet ahhoz is van szimulátor. -
cekkk
veterán
válasz Cyber_Bird #4292 üzenetére
Köszi!
Akkor ezekből érdemes készülni és elmenni vizsgára?
Egy CCNA vizsgára mennyi idő alatt lehet felkészülni?
[ Szerkesztve ]
-
Cyber_Bird
senior tag
Előismeretektől függ szerintem, illetve hogy mennyi időt töltesz a felkészüléssel.
Azt írtad kezdő infós vagy, nem tudom milyen háttértanulmányaid vannak, illetve mennyire ismered a hálózatok működését. Sok suliban kihagyják a magyarázatát. A 100-101 Cert guide alapvetően teljesen kezdőknek szól, az szépen felépíti a tudást és megalapozza a hálózati ismereteket. (Meg elmondja a cisco-s terminológiát persze) Szerintem 1-2 hónaptól 1 évig mindegyik teljesen reális időtartam a vizsgafelkészülésre. Attól függ mennyi időt tudsz rászánni naponta. -
cekkk
veterán
válasz Cyber_Bird #4294 üzenetére
Van egy mérnök infós diplomám, Debrecenben Almási tanította a hálózatokat,a gyakorlat jól ment az elmélettel se sok bajom volt talán ezt élveztem a legjobban, de buta voltam, hogy nem háló szakirányra mentem, mert ott meg sokat kellett volna programozni és azt nem szerettem.
Akkor neki kezdek szerintem.Könyveket hol érdemes megvenni? Gondolom kilehet kölcsönözni nagy oldalakról is, de ha nem ilyen 15-20 ezer egy könyv akkor megvenném.
-
Cyber_Bird
senior tag
Én ezt ajánlanám, elvileg ez két könyv: http://www.ciscopress.com/store/cisco-ccna-routing-and-switching-200-120-official-cert-9781587143878
Vagy ugyanezt torrentboltból -
cekkk
veterán
válasz Cyber_Bird #4296 üzenetére
Köszönöm!
És akkor ezekből fellehet szépen készülni és levizsgázni? jó sok példa is van benne? -
karesz500
csendes tag
ez a sor mit jelent? nem lattam meg ilyet
deny ip host 255.255.255.255 any
tiltuk a forras 255.255.255.255 hostot bármely irányba?
vagy ez inkabb arra van hogy olyan manipulalat pakkokat nem engednek be a halozatba amelynek szorasi forrascime van?[ Szerkesztve ]
-
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!