-
GAMEPOD.hu
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
f_sanyee
senior tag
válasz robesz87 #1659 üzenetére
van kulonbseg. CCNA Curricula Overview
de ha nincs netacad accod akkor egy konyvvel jobban jarsz. -
FeRkE
őstag
válasz robesz87 #1658 üzenetére
Érdemesebb az Official Exam Certification Guide-ból tanulni. Én külön csinálom a CCNA-t, ICND1+ICND2. Az első részre elég volt a Discovery 1-2 része, viszont utólag átolvastam az első részhez tartozó könyvet, és hát volt 1-2 újdonság számomra. A második részt már egyből az Official Guide-ból tanulom (úgy hogy korábban már áttanultam a Discovery ide vonatkozó 3-4 fejezetét), és itt már jóval több az újdonság a Discoveryhez képest, ez részletesebb meg olyan dolgok is vannak benne, ami Discoveryben nem volt.
Persze vannak kivételek, az egyik srácnak sikerült a fórumról a CCNA úgy, hogy csak a Discoveryből tanult, de ha biztosra akarsz menni, akkor inkább ebből a vizsgára felkészítő könyvből tanulj szerintem.Ja és olvasd át a fórumot is, annyira nincs sok bejegyzés benne, de nagyon sokat lehet belőle tanulni szerintem.
[ Szerkesztve ]
-
tusi_
addikt
válasz robesz87 #1802 üzenetére
A nativ a taggeletlen Vlan, nem kap VID-et.
Ezt használja a VTP is pl.A managment Vlan az a Vlan, amin sávon belüli elérést tudsz csinálni, és ssh-val, vagy - inkább ne - telnettel be tudsz jelentkezni a kütyükre. Minden l2 switchen addsz egy ip-t a nativ vlannak - ugyanabból a subnetből - és azon kersztül tudod elérni távolról.
[ Szerkesztve ]
eat, sleep, play, replay
-
Tsory
tag
válasz robesz87 #1838 üzenetére
1. Alapvetően igen, de nem feltétlenül telnet, lehet pl. ssh is.
Ezt a vty-n kiadott transport input paranccsal lehet szabályozni.
2. Eszköz és IOS függő is, de minden aktív vty erőforrásokat használ, erre oda kell figyleni.
Nálam pl. 989 lehet egy Enterprise IOS-el 2811-en:
Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(24)T5, RELEASE SOFTWARE (fc3)
Router(config)#line vty 0 ?
<1-988> Last Line number
<cr> -
Tsory
tag
válasz robesz87 #1847 üzenetére
Lehetni lehet. csak nem látom sok értelmét. Belépéskor nem tudsz vty vonalat választani, elvileg sorban kapod őket. Így az első 5 kapcsolatnál password1 kellene, majd utána a password2.
Azt viszont el lehet vele érni, hogy pl. max 2 konkurens kapcsolatod lehet, ha csak 2 vty vonalat engedélyezel.
-
Tsory
tag
válasz robesz87 #1847 üzenetére
Ha külön akarsz kezelni felhasználókat és hozzáférési szinteket, akkor legegyszerűbben a login local valamint a username username privilege-level level password password paranccsal teheted meg.
Pl.
username guest privilege 1 password guest
username admin privilege 15 password adminline vty 0 4
login localÖsszefoglalva:
The Cisco IOS thus supports the following local (non-AAA) authentication settings:
1. no login disables any authentication; anyone able to access the line (console or VTY through telnet or SSH) is logged in automatically (do not use outside of lab environment).
2. login enables simple password-based authentication. The password is specified per-line (console or VTY) with the password command (do not specify different passwords on different VTY lines or you'll create total confusion).
3. login local enables local username+password authentication
Ezen felül lehet még külső szerverrel (AAA) pl. tacacs vagy radius protokollal is authentikálni.
-
Tsory
tag
válasz robesz87 #1854 üzenetére
A native vagy defalt VLAN-t trunk port esetén értelmezzük. A trunk port az a port, amin több VLAN forgalma haladhat keresztül. Tipikusan switchek között van. Mivel több VLAN forgalma megy keresztül ezen a kapcsolaton, ezért szükség van valamilyen jelölésre, hogy a túloldal tudja, milyen VLAN-ba kell kerülnie a forgalomnak. Ezt cimkézéssel (tagging) oldják meg. Erre van legalább két módszer: ISL, 802.1q. Az ISL Cisco specifikus, a 802.1q IEEE szabvány.
Alapértelmezés szerint a default vagy más néven native VLAN forgalma cimke nélkül megy át a trunk porton. Hogy erre miért volt szükség, arra 3 indokot találtam:
1. SW1--HUB--SW2 esetén ha a hub-ra PC is csatlakozik, akkor az a forgalom tageletlen, így a switchek nem tudnák forgalmazni az innen jövő adatokat.
2. A tagelés késleltetést okoz a feldolgozásban, ezért lehetnek olyan protokollok, ahol ez számít, azokat jobb cimke nélkül forgalmazni.
3. kompatibilitási okokból.
Vagyis a native VLAN forgalma tageletlenül közlekedik alapból. A két szomszédos switchen be tudod állítani, hogy mi a default VLAN (nem feltétlenül a VLAN1 lesz az). Így az abba a VLAN-ba tartozó forgalom cimke nélkül közlekedik a két swith között a trunk porton. Értelemszerűen ugyannarra kell állítani a két szomszédos switch trunk portján, különben az egyik VLAN forgalma belefolyna a másikba.
Ha mégis tageled a natív VLAN forgalmát, akkor minden forgalom tagelve megy át a trunk porton a két switch között, és természetesen működik a kommunikáció így is.
Még valami: a tag alapból addig marad rajta a kereteken (qinq ill. dubble taggingel most nem foglalkozom), amíg át nem utaznak a trunk porton, után a switch leveszi róla, és úgy küldi őket az access portokra. Ha nincs trunk portod, akkor nem is taggelődik a forgalom (ok kivéve pl. voice VLAN, ami valójában akár trunk port is lehetne, de multi-VLAN access portnak hívják).
[ Szerkesztve ]
-
crok
Topikgazda
válasz robesz87 #1879 üzenetére
Ha jól értem a kérdésed:
@1:
vlan database
vlan <vlan ID>
Ezzel létrehoztad a VLAN-t a switch-en (routeren, ha a routerben SW
modul van). Ezzel kreáltál egy L2 VLAN-t, de még nem csináltál SVI-t
(lehet nem is csinálhatsz, mert L2 switchen dolgozol épp..).@2:
conf t
interface vlan <vlan ID>
Ezzel ha eddig nem volt ilyen VLAN akkor létrehozod és egyúttal az SVI-t
is létrehoztad, mostmár adhatsz neki IP címet meg amit akarsz. De nem
minden IOS tudja ezt megcsinálni valamint L2 switchen csak egy olyan
VLAN interface lehet, aminek van IP címe (ugye management).Ezért a az alap metódus az, hogy VLAN database-ben létrehozod és ha
kell SVI, akkor conf t + interface vlan <vlan ID> és ami még kell.Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
crok
Topikgazda
válasz robesz87 #1899 üzenetére
Gondoljatok arra, hogy ez alapjában egy Unix-like rendszer amikor ilyen
jellegű kérdésetek van. Sokat segít a működés megértésében, mint pl. a
pufferkezelés, a login, és úgy általában a működtető mechanizmusok.Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
Tsory
tag
válasz robesz87 #1897 üzenetére
A no login nem a belépést tiltja le, hanem nem kér authentikációt az adott porton, mint ahogy már megírtam az előzőekben. Erre érdemes odafigyelni, vizsgakérdés is lehet belőle:
No login disables any authentication; anyone able to access the line (console or VTY through telnet or SSH) is logged in automatically (do not use outside of lab environment).
Alpavetően nem tudod befolyásolni, hogy melyik vty vonalra csatlakozol rá. Az első szabad vonalra próbál rácsatlakozni, és hiába állítasz be bármit a vty 5 15-re, ha a vty 0 4 még szabad. Ekkor a vty 0 4 alatti beállítások lépnek életbe, ha login van password nélkül, akkor nem enged be, ha no login van, akkor beenged jelszó nélkül.
Ha mindenáron azt akarod szabályozni, hogy melyik vty vonalra csatlakozol fel, akkor javaslom a rotary group használatát (igen, packet tracerben nem működik).
Pl.
line vty 0 4
password cisco1
login
rotary 1line vty 5 15
password cisco2
login
rotary 2telnet x.x.x.x 7001
vagy
telnet x.x.x.x 7002[ Szerkesztve ]
-
jerry311
nagyúr
válasz robesz87 #1931 üzenetére
A bridge bridge-dzsel, de szép kártyajáték is az. A switch switch-csel. A router routeol. A PIX pixel. Az ASA meg a sál.
Na, de a router lényege, hogy routol. Ha már így ügyesen bekonfigoltad. Ha nem akarod, hogy a VLAN-ok közt továbbítson csomagokat, akkor szépen megmondod nekik ACL-lel, hogy oda nem mehet csomag, csak kifelé a nagyvilágba. Máris el vannak választva a VLAN-ok.
[ Szerkesztve ]
-
tusi_
addikt
válasz robesz87 #1929 üzenetére
"Tehát nem valósul meg csak a vlan-okra kiterjedő broadcastolás és ugyanott tartok, mintha nem csináltam volna vlan-okat."
Pont a Br-ok nem mennek át. A router a nem neki szóló br-eket dobja. Tehát ha van 100 kliensed és 4 vlanod ezek egyenlően vannak elosztva Vlanonként 25-25.... re, akkor egy br üzenetet csak a saját vlanjában lévők kapják meg a masik 75 nem. Kivéve ha mondjuk egy DHCP server van egy másik Vlanban és a routeren megy egy relay-agent, de az más dolog.
[ Szerkesztve ]
eat, sleep, play, replay
-
-
crok
Topikgazda
válasz robesz87 #2023 üzenetére
Ugyan úgy, mint az életben:
ip dhcp pool TEST
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 208.67.222.222"ne csak a DHCP-t ossza ki a hostoknak" - itt DHCP helyett IP cím értendő
Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
crok
Topikgazda
válasz robesz87 #2024 üzenetére
Nem, nincs, ez fundamental ethernet :/ Ha egy subnet akkor ARP request
mindaddig, amíg nincs ARP reply. Nincs más lehetőség, ez így működik
by design.Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
crok
Topikgazda
válasz robesz87 #2027 üzenetére
Ha a NAT-ot jól csinálod, akkor igen
Egyébként egy jó kis megoldás: adott xy site, el kell majdegymást érniük,
de nem akarsz sok melót a konfigokkal. Mindenhol Cisco routert szeretnél
használni (mondjuk DMVPN vagy csak VPN koncentrálással..). Megoldás:
csinálsz egy standard konfigot és nyugodt szívvel osztasz minden LAN-
nak egységes IP címeket ám mindenhol NAT-olsz egy site-specifik loop-
back IP-re! Így a konfigokon nem kell sokat változtatni, csak annyi, hogy
minden site-ra kiküldött routeren a loopback cím lesz más, meg mondjuk
az Internet/szolgáltató elérésének konfigja. Persze jól kell megtervezni.Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
crok
Topikgazda
-
crok
Topikgazda
válasz robesz87 #2032 üzenetére
Ez nem egészen van így.. szóval olyat lehet csinálni, hogy kívülről elérni
egy belső gép pontos portját - hiszen így tudsz NAT router mögött "aktív"
módon torrentezni.. jól néznénk ki ha a SOHO routerek tudnák a Cisco-k
meg nem Szóval a lényeg csak annyi, hogy a NAT táblában legyen már
a kommunikációkor bejegyzés. Ha a kommunikációt a NAT inside-ról a
host kezdeményezte kifelé (és dinamikus a NAT) akkor az első kimenő
csomag már kreál NAT bejegyzést a kapcsolatkoz. Kívülről befelé ilyen
nem lesz.. hacsak kézzel meg nem adod Pont mint a SOHO routereknél.
Ez a "static port forwarding".Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
crok
Topikgazda
válasz robesz87 #2052 üzenetére
A megoldás az IP Inspection vagy esetleg ACL established opcióval.
Ezekkel tudsz olyat csinálni, amit el akarsz érni: egyik hálóból menjenek
csomagok a másikba és legyen válasz is, de a másik háló ne tudjon
kezdeményezni kapcsolatot visszafelé (megintcsak: SOHO routerek
Internetmegosztása és SPI tűzfal: bentről ki és vissza mindent, kintről
befelé semmit a világon nem engedünk ).Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..
-
sunyijanika
tag
válasz robesz87 #2065 üzenetére
Látom szereted bonyolítani a dolgokat
Egyes kérdések ellentmondanak a másiknak. pl 3 - 4, A 11 ne lássa az 1-t, de fordítva igen? vagy a 11 ne lássa az 1-t,de az 1 láthat mindenkit kivétel 11-t? nem egyértelmű számomra. mert akkor már itt nem elég az ACL, kell ip inspect is vagy ehhez hasonló firewall, De én azt mondom, kis átalakítással már Private Vlan-t kellene használni amivel szétosztod a vlanokat felesleges acl bonyolítás nélkül.
-
f_sanyee
senior tag
válasz robesz87 #2065 üzenetére
ahogy mar korabban is emlitette valaki, establisheddel lehet jatszani, nem kell itt tulbonyolitani.
22,33,44-nek kifele engedsz mindent, befele pedig 11-esbol es a kivalasztott hostrol mindent + minden mashonnan established
11esnek mindent engedsz
1esnek ki minden, befelele csak established, igy a 11esbol sem erik el. -
robesz87
tag
válasz robesz87 #2065 üzenetére
Valaki lenne szíves kódot is szolgáltatni, mert az establisheddel próbálkoztam tegnap egész nap, de nem sikerült megfelelő működésre bírnom. :S
IP inspect kódot is szívesen fogadok, igaz azt még nem ismerem, de hát azért járok ebbe a fórumba, hogy tanuljak.
Köszi előre is annak, aki veszi a fáradtságot. -
sunyijanika
tag
válasz robesz87 #2073 üzenetére
ip inspect name "name" icmp (protocol amit szeretnél, hogy vissza jöjjön)
ha többet akarsz, többször írod le a sort:
ip inspect name -name- http
ip inspect name -name- stbinterfacen pedig pl out irányba engedélyezed.de úgy hogy közben befele tiltasz bizonyos forgalmat a (pl a 11-t).
de az "establish" kulcsszó is tökéletesen működik!
-
Tsory
tag
válasz robesz87 #2024 üzenetére
Alapból a host routing során megvizsgálásra kerül, hogy a célállomás IP címe azonos hálózaton van-e forrás IP-vel. Ha igen, akkor ethernet esetében ARP requesttel megszerezzük a layer2 címet, és megindul a kommunikáció. Ha nem, akkor a csomag a host routing táblája szerinti next hop addresshez lesz továbbítva (itt is ARP-vel szerezzük meg a next hop layer2 címét).
Ha a host azt hiszi, hogy a célcím vele azonos hálózaton van, de ez mégsincs így, akkor az ARP request kérésre nem fog válasz érkezni, így nem is fog menni a kommunikáció (kivéve, ha ...)
Nézzük az alábbi topológiát:
PC1 (192.168.1.1/24, gw: 192.168.1.126) - (192.168.1.126/25) R1 (192.168.1.254/25) - (192.168.1.129/25 gw: 192.168.1.254) PC2
Látszik, hogy PC1 netmaskja el van rontva. Ebben az esetben ha PC1 pingetné PC2-t, akkor mit várnánk el? Elvileg nem kellene működnie, hiszen PC1 azt hiszi, hogy egy subnetben van PC2-vel, így egy ARP requesttel kezd, amire nem szabadna válasznak érkeznie. Van azonban egy proxy arp szolgáltatás az IOS-ben, ami azt csinálja, hogy elkapja PC1 arp request kérését, és behazudja a saját MAC adressét, mintha ő lenne a PC2. Így PC1 úgy látja, hogy PC2 a saját subnetjében van és minden további nélkül kommunikál vele. A proxy arp sokáig alapértelmezetten be volt kapcsolva az IOS-ben, ezért érdemes számolni vele. A fenti topológia a packet tracerben is működik.
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Spórolós topik
- Egyre közelebb a Poco F6 startja
- YouTube
- ZIDOO médialejátszók
- Villanyszerelés
- Publikálta a Microsoft az MS-DOS 4.0 forráskódját
- Kerékpárosok, bringások ide!
- Amlogic S905, S912 processzoros készülékek
- AMD GPU-k jövője - amit tudni vélünk
- Milyen billentyűzetet vegyek?
- További aktív témák...
- 512GB 2230 M.2 PCI-E NVME SSD BAZÁR - Samsung, Kingston, SK Hynix, Kioxia - STEAM DECK
- Új GAMER félgép - GIGABYTE B760 GAMING X + Intel I5 12400F + Crucial PRO 2x24GB DDR5 5600MHz
- Gigabyte B450M DS3H + Ryzen 7 2700X alaplap+processzor (nem ad képet)
- Eladó gamer PC (Ryzen 5 7600X/16GB DDR5/512GB SSD/RTX 4070 Super)
- Eladó gamer PC (i5-6500/16GB DDR4/120GB SSD+320GB HDD/GTX 1050Ti)