Lehetni lehet. csak nem látom sok értelmét. Belépéskor nem tudsz vty vonalat választani, elvileg sorban kapod őket. Így az első 5 kapcsolatnál password1 kellene, majd utána a password2.

Azt viszont el lehet vele érni, hogy pl. max 2 konkurens kapcsolatod lehet, ha csak 2 vty vonalat engedélyezel.

Biztos nincs no auto-summary, ugyanis akkor szokott az EIGRP summary-t csinálni a Null0-ra, ha:

1. Létezik legalább egy alhálózat, amit az EGRP-n keresztül tanult.
2. Az automatikus összegzés engedélyezve van.

[ Szerkesztve ]

Ha külön akarsz kezelni felhasználókat és hozzáférési szinteket, akkor legegyszerűbben a login local valamint a username username privilege-level level password password paranccsal teheted meg.

Pl.

username guest privilege 1 password guest
username admin privilege 15 password admin

line vty 0 4
login local

Összefoglalva:

The Cisco IOS thus supports the following local (non-AAA) authentication settings:

1. no login disables any authentication; anyone able to access the line (console or VTY through telnet or SSH) is logged in automatically (do not use outside of lab environment).

2. login enables simple password-based authentication. The password is specified per-line (console or VTY) with the password command (do not specify different passwords on different VTY lines or you'll create total confusion).

3. login local enables local username+password authentication

Ezen felül lehet még külső szerverrel (AAA) pl. tacacs vagy radius protokollal is authentikálni.

Visszamenőleg ismét lenne 2 natív vlan-os kérdésem.

1) A natív vlan csak a default vlan1-re tud belépni ( mert ahhoz nem kell tag )?

2) Tegyük fel, SwitchA-ból SwitchB-be érkezik a 99-es natív vlanon a tagged keret. Ez egyben a trunk port is. A natív vlanon a tag-et elhagyja? Így nem is éri el a célját az adat?

Köszönöm ez hasznos. Úgylátom, hogy erről a CCNA security-ban fogok tanulni. (Most még csak a CCNA-nél járok)

De köszönöm, ezt már tudni fogom.

[ Szerkesztve ]

A native vagy defalt VLAN-t trunk port esetén értelmezzük. A trunk port az a port, amin több VLAN forgalma haladhat keresztül. Tipikusan switchek között van. Mivel több VLAN forgalma megy keresztül ezen a kapcsolaton, ezért szükség van valamilyen jelölésre, hogy a túloldal tudja, milyen VLAN-ba kell kerülnie a forgalomnak. Ezt cimkézéssel (tagging) oldják meg. Erre van legalább két módszer: ISL, 802.1q. Az ISL Cisco specifikus, a 802.1q IEEE szabvány.

Alapértelmezés szerint a default vagy más néven native VLAN forgalma cimke nélkül megy át a trunk porton. Hogy erre miért volt szükség, arra 3 indokot találtam:

1. SW1--HUB--SW2 esetén ha a hub-ra PC is csatlakozik, akkor az a forgalom tageletlen, így a switchek nem tudnák forgalmazni az innen jövő adatokat.

2. A tagelés késleltetést okoz a feldolgozásban, ezért lehetnek olyan protokollok, ahol ez számít, azokat jobb cimke nélkül forgalmazni.

3. kompatibilitási okokból.

Vagyis a native VLAN forgalma tageletlenül közlekedik alapból. A két szomszédos switchen be tudod állítani, hogy mi a default VLAN (nem feltétlenül a VLAN1 lesz az). Így az abba a VLAN-ba tartozó forgalom cimke nélkül közlekedik a két swith között a trunk porton. Értelemszerűen ugyannarra kell állítani a két szomszédos switch trunk portján, különben az egyik VLAN forgalma belefolyna a másikba.

Ha mégis tageled a natív VLAN forgalmát, akkor minden forgalom tagelve megy át a trunk porton a két switch között, és természetesen működik a kommunikáció így is.

Még valami: a tag alapból addig marad rajta a kereteken (qinq ill. dubble taggingel most nem foglalkozom), amíg át nem utaznak a trunk porton, után a switch leveszi róla, és úgy küldi őket az access portokra. Ha nincs trunk portod, akkor nem is taggelődik a forgalom (ok kivéve pl. voice VLAN, ami valójában akár trunk port is lehetne, de multi-VLAN access portnak hívják).

[ Szerkesztve ]

Nekem ez az Achiles pontom Kibeba..ott Frame-relay

eat, sleep, play, replay

Ma reggel ugyanarra a konfigra már a RARP se működött...ez a GNS böszmesége. Gyakran előfordul az, hogy ha előbb indítom el a routereket, minthogy adok nekik WIC-1T-t (persze nem menet közben), akkor megint nekiáll hülyeséget kiírni, hogy nem tudja a 0/32-es serial portra csatlakoztatni a kábelt.

[ Szerkesztve ]

[link]

Azt viszont el lehet vele érni, hogy pl. max 2 konkurens kapcsolatod lehet, ha csak 2 vty vonalat engedélyezel.

Ezt szerintem ne korlatozd ilyen mertekben. Eleg kellemetlen, amikor beragad nehany session es onnantol kezdve time outig nem tud az ember kapcsolodni...

Jogos .

Nem figyeltem eléggé . Mivel point-to-multipoint subinterface van a hub routeren a konfigban, így itt szerepet játszik a split horizon.

> teljesen vagy csak részlegesen, de ne legyen full mesh a PVC-k és routerek között <---ez nem tiszta.

Ha full mesh topológiát használsz, akkor minden router közvetlenül eléri a másikat, így a routing update-eket is közvetlenül megkapják. Így nem tud közbeszólni a spit horizon rule.

Ha nincs full mesh topológiád, akkor lesz olyan része a hálózatnak, ahol egy router a multipoint subinterface-en bejövő routing update-et nem fogja továbbítani ugyanazon subinterface-én lévő másik DLCI alatt elérhető másik routernek, így az nem fogja megkapni az update-et. Ebben az esetben vagy ki kell kapcsolni a split horizont, vagy point-to-point subinterface-t kell alkalmazni.

Hát ez nekem elég sztochasztikusan viselkedik. Van, hogy a pingek sem mennek, vagy akár az interface-eket sem mennek up/up állapotba.

A konfig nekem jónak tűnik, mondjuk a no auto-summary-t beállítanám az eigrp alá.

Hát erősen elgondolkoztam, hogy vagy nagyon alaposan ki kell választani a megfelő router/ios típust a GNS3-ban, vagy érdemes ezeket is fizikai eszközökön gyakorolni. Szerencsére a 26XX sorozathoz serial interface-el már elég olcsón hozzá lehet jutni, talán az is jó a tesztekhez. FR switchet is lehet belőlük csinálni.

GNS3-nek vannak elonyei fizikai eszkozokkel szemben, pl annyi routert futtatsz amennyit a geped elbir. nem kell neki hely, aram. nincs hangja, akarmelyik kapcsolatra nyomhatsz wiresharkot (ami egy igazi kabel eseten nem tul egyszeru) ami eleg hasznos tud lenni. egyszerubb es gyorsabb felepiteni benne barmilyen topologiat mint a drotokkal szorakozni.
nekem a 3725-os routerek bevalltak, igaz vannak problemak, de ezeket el lehet kerulni, pl ha megtervezed rendesen mit akarsz osszekotni mivel es nem ossze vissza adogatod az wiceket meg torolgeted a kapcsolatokat, akkor fog menni rendesen. nalam kulon fut dynamips es minen uj topologia elott ujdainditom.

Nem kell túl nagy tervezés ahhoz, hogy összedobjon az ember egy EIGRP-s FR hálózatot, nincs 3 perc az egész. És 100%-ig meg vagyok győződve, hogy tegnap délután ugyanezen konfigurációval ment inverz ARP-vel, azonnal felismerték egymást FR-n keresztül az EIGRP szomszédok; tegnap estére már ugyanaz a konfiguráció nem működött inverz ARP-vel és kézi map paranccsal sem.
Tervezheted a topológiát, ahogy akarod, ha a GNS3 gondol egyet és nem akar úgy menni, ahogy szeretnéd.

Nézzük ezt a FR-t.

1. Nincs kiadva a (no auto-summary) - ahogy ezt már írták,

2. a hubra mindenféle kép kell a no split-horizon eigrp x parancs.

3. Ahogy látszik, néhány útvonalat ismer, néhányat nem a 2 spoke. Ha megnézed a frame-relay map-t akkor láthatod, hogy csak egy út van és az a "hub"-hoz vezet. a hubon kivan adva a no split parancs ezért ő szépen küldi az update-t mind2 irányba ezért látod a subneteket, de soha nem fogja elérni őket (no ping). Ezért mindenképp kell további map-ket hozzáadni.

R2 ---> frame-relay map ip 10.0.0.3 201 broadcast

R3 ---> frame-relay map ip 10.0.0.2 301 broadcast

Ezek után szépen működni fog a dolog!

- Az mind1, hogy a fizikai vagy multipoint-t konfigurálsz a spokekon mind2 egyaránt működik (bár nincs sok értelme)

Egyetértek, de jó lenne, ha megbízhatóbban működne. Frissítettem a legújabb verzióra, és sokkal jobb lett. A régiben a 3725-ben volt alapból 3 WIC1T, de nem működött, csak ha bementem a config fül alá, és változtatás nélkül leokéztam. Most az új verzióban nincs benne WIC kártya, de ha rámegyek az add a link seriallal, akkor belerak egyet automatikusan. Így ez a része már oké.

Ezzel össze tudtam rakni a 3 router 1 FR Switch multipoint konfigot, és működik is. Ha a hub routeren tiltom a split horizont, akkor a spoke routerek látják egymás hálózatait. Ha nem tiltom, akkor nem.

Egy vicces dolog van azért még vele: a project betöltésekor, amikor frissen indul minden eszköz, akkor úgy indul, hogy az EIGRP partnerség megszakad, holott addig nem is lehetett. Valamint kell neki vagy 5 perc, mire beáll a rendszer egy core i5-ön.

Most főleg nem a két szpók mögötti hálózat érdekel, ezek a nyamvadtak még EIGRP-n sem fedezik fel egymást, deleted, inactive a frame-relay PVC, nem hogy még itt split-horizonozzak, addig se annak, se az auto summarynak egy deka értelme sincsen.

A GNS3 is up2date, csak lejáratom itt magam.

[ Szerkesztve ]

Nézd meg az FR switch konfigját. Ha megnyitom a feltöltött project fájlodat, akkor nálam így néz ki a konfigja:

1:102 - 2:201
1:103 - 3:301
2:201 - 1:102
3:301 - 1:103

Mintha duplázná a konfigot. Ilyet nekem nem is enged előállítani. Törölve az összerendeléseket, resetelve az FR switchet, majd felvéve:

1:102 - 2:201
1:103 - 3:301

már rendesen működik nálam.

Enélkül azt kapja vissza R1, hogy nem is léteznek ilyen DLCI-k:

R1#sh frame-relay map
Serial0/0.1 (down): ip 10.0.0.2 dlci 102(0x66,0x1860), static,
broadcast,
CISCO, status deleted
Serial0/0.1 (down): ip 10.0.0.3 dlci 103(0x67,0x1870), static,
broadcast,
CISCO, status deleted

[ Szerkesztve ]

Nem, ennek így kell működnie, mivel az igaz, hogy amikor előállítod elég csak két paramétert beállítani (és nem is enged többet - fordítottját), de amint elindítod a FW switchet az legenerálja a maradékot, de ennek nem kéne semmi hibát okoznia.

Azonban, lehet időként a gns3 kavar a dologba , ha nyomsz neki egy reset-t és újra felveszed a DLCI-k menni fog ahogy nálam és Tsory-nál is

[ Szerkesztve ]

Nézd, én tudom, mit mentettem le, a 2:201 - 1:102 és a 3:301 - 1:103 sorokat ÉN NEM ADTAM HOZZÁ. A GNS3 döntött úgy, hogy valamiért berakja még pluszba. Kitöröltem ezeket a fölöslegeket, de shemmi.

Köszi, ezt nem tudtam. Nálam csak projekt mentésekot majd visszatöltésekor generálta le a plusz bejegyzéseket.

Take it easy! Nem mondtam, hogy te írtad be, csak meglepődtem, mert nálam nem jelent meg. Csak próbáltam rájönni, mi lehet a megoldás. Sunyijanika már felvilágosított engem, hogy ez így természetes.

Itthon újra megcsináltam a konfigot, itt is működik. Úgy látszik, tud ez konzekvensen is működni .

Nálam is működik, ezek után nem tudom nálad mi a gond. Ha ez a FW switch nálad nem nyerő, akkor cseréld le egy router-re és konfigold be azt FW switchnek, úgy a dlci-k se bolondulnak meg.

login quiet-mode ?

eat, sleep, play, replay

Mi a különbség, amikor úgy hozunk létre vlant, hogy

vlan ID

illetve

interface vlan ID

?

Köszi előre is.

Ha jól értem a kérdésed:

@1:
vlan database
vlan <vlan ID>
Ezzel létrehoztad a VLAN-t a switch-en (routeren, ha a routerben SW
modul van). Ezzel kreáltál egy L2 VLAN-t, de még nem csináltál SVI-t
(lehet nem is csinálhatsz, mert L2 switchen dolgozol épp..).

@2:
conf t
interface vlan <vlan ID>
Ezzel ha eddig nem volt ilyen VLAN akkor létrehozod és egyúttal az SVI-t
is létrehoztad, mostmár adhatsz neki IP címet meg amit akarsz. De nem
minden IOS tudja ezt megcsinálni valamint L2 switchen csak egy olyan
VLAN interface lehet, aminek van IP címe (ugye management).

Ezért a az alap metódus az, hogy VLAN database-ben létrehozod és ha
kell SVI, akkor conf t + interface vlan <vlan ID> és ami még kell.

Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..

Van egy 3. metódus is.

int f0/20
sw acc vl X (még nem létező vlan) és létrehozza.

A vlan database úgy tudom kegyvesztett lett Ciscónál, már csak kompatibilitási okokból hagyták benne az IOS-ben. (egy ideig)

[ Szerkesztve ]

eat, sleep, play, replay

Igen, plusz egy metódus.

De ezek egyike se működik jól pl. 8xx routereken meg úgy alapvetően olyan
esetben, ha routert használsz switch modullal (mindegy, hogy fix vagy modu-
láris az eszköz): hiába mondod neki, hogy interface vlan xyz, hiába írja ki,
hogy okayrendbeneddignemvoltilyenvlandemostcsináltam, hiába mutatja a
sh ip int brie, hogy up/up.. akkor se nyikkannak meg az ilyen SVI-ok, pedig
kellene.. ám miután vlan database-ben hozzáadod, és az NVRAM-ban a vlan
database-be bekerültek azonnal működnek. Ez sokéves tapasztalat. Ezért
írtam, hogy ami minden esetben működik az a vlan database majd interface
vlan.. Ez minden esetben működik. Természetesen L3 switchen is lehet
választani azt a lehetőséget, hogy a csak átmenő VLAN-okat is interface
vlan <vlanID> -val csinálod meg, de kérdés: van értelme? Ott lesz a sh int
desc -ben, ott lesz a konfigban az üres SVI konfig is. Pedig mondjuk csak
access porton és/vagy az upstream trunk-on engeded, mert nem routeolod.
Na az ilyet nem tenném csak vlan database-be, mert csak ott kell meglennie.

[Szerk.]
Ja és a kegyvesztett parancsok világ életemben wr -el mentettem konfigot..
pedig 12.2 után azt mondták, hogy ki fogják venni és csak a copy run start
marad meg.. nos 15.2 -nél járunk.. wr még mindig van! Ja az tudjátok miért
jött 15 a 12 után?

[ Szerkesztve ]

Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..

Gondolom, mert a 13 egy szerencsétlen szám Ez annyira logikus, mint ez: [link]

NX-OS-bol kivettek sajnos. Igy marad az aliaskent valo hasznalata

Én úgy tudom, hogy az automatikusan létrejövő VLAN-ok mellett alapból kétféleképpen lehet létrehozni VLAN-okat:

1. Global Configuration Mode

Switch# configure terminal
Switch(config)# vlan vlan_ID
Switch(config-vlan)# end

2. VLAN Database Mode

Switch# vlan database
Switch(vlan)# vlan vlan_ID
Switch(vlan)# exit

Ebből a második módszer elvileg már elavult, hivatalosan az elsőt javasolják.

[ Szerkesztve ]

Hogy tudunk IOS-nek beadni, hogy default route (internet) felé milyen jelszóval csatlakozzon az ISP hálózata felé?

If you chase two rabbits you will lose them both.

A fizikai interface-ről leszeded a konfigot és átteszed egy Dialer interface-re (ez utóbbi virtuális) majd mindkettőt berakod a megfelelő dialer group-ba. Így nagy vonalakban.
Bővebb információval is tudunk szolgálni, ha részletesebb probléma leírást adsz nekünk.

Sziasztok!

Telnetet próbálgattam Switch-en.

Minden ok volt, ugyanabban a Vlan-ban volt a PC, pingelni is tudtam...

- Amikor line vty 5 15 -re konfiguráltam fel a telnetet, nem tudtam csatlakozni.
- Ellenben line vty 0 4 -re konfigolva működik.

Kétszer is felépítettem az elejétől, hátha esetleg csak elírtam valami parancsot, de ugyanerre jutottam.

//
PC>telnet 192.168.99.2
Trying 192.168.99.2 ...Open

[Connection to 192.168.99.2 closed by foreign host]

Tehát a kérdésem az, hogy miért csak akkor működik a telnet, ha 0 4-re konfigolom?

Azon alapbol mas a konfig. Pl. login local van hozza. Masold be a konfigodat es kiderul. Egyebkent a port nyitva van neki (open mint latjuk), valoszinuleg login gond van.

Ez a működő. Ha 5 15-re konfigulom nem megy. 2960 24TT switch, ha ez számít valamit és Packet Tracer

version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname S1
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
!
spanning-tree mode pvst
!
interface FastEthernet0/1
!
.
.(kiszedtem a portokat, ne legyen hosszú a post)
.
interface FastEthernet0/23
switchport access vlan 99
switchport mode access
!
interface FastEthernet0/24
!
interface GigabitEthernet1/1
!
interface GigabitEthernet1/2
!
interface Vlan1
no ip address
shutdown
!
interface Vlan11
no ip address
!
interface Vlan99
ip address 192.168.99.254 255.255.255.0
!
interface Vlan101
no ip address
!
!
line con 0
password cisco
login
!
line vty 0 4
password cisco
login
line vty 5 15
login
!
!
end

[ Szerkesztve ]

Nincs login password

Ez a működő. ( a másik már nincs meg )

Ugyanígy van minden a nem működőnél is csak az 5 15-ön. Pass is van.

Így van, nincs login pw. Mikor telnetelsz a 0.-at nyitod meg először.

Ha a nulladikon ACL nem tilt de nem tudsz bejelentkezni, mert a login
password nincs beállítva (és nincs aaa..) akkor kizártad magad. Az
adminnak pl. úgy lehet garantált elérést biztosítani, hogy az utolsó login
vty-ra csak az admin IP-t engedélyezed, így azt más nem tudja lefoglalni,
bármennyien is vagytok bent (vagy bruteforce-al próbálkoznak..) de épp
ezért neked mindig fent lesz tartva.

Ha egy hozzászólásomban linket látsz az hasznos referencia, hivatkozás vagy leírás és erősen ajánlott vagy minimum érdemes elolvasni. A Logout bejegyzéseim tele vannak hasznos Android tippekkel-trükkökkel, alkalmazásajánlással..

Line vty 5 15
Password cisco

Igy mennie kell.

Nekem úgy sem működött, de kikockultam az issue-t.

Így nem működik:
line vty 0 4
login
line vty 5 15
password cisco
login

És a működő:
line vty 0 4
no login
line vty 5 15
password cisco
login

Azaz a line vty 0 4-hez be kellett írnom a NO LOGIN parancsot, ami letiltja a belépést 0-4-ig.

[ Szerkesztve ]

De ha 6 session-t nyitsz mukodik, nem? 5 vagy annal kevesebbnel le kell tiltanod 0-4-ig ezt ertem, de szerintem semmi ertelme.

Persze működik, csak gyakorlok, felfedezgetek és kíváncsi voltam miért nem engedi, mi lehet a háttérben.