Mondjuk úgy, hogy alapból nem lehet ugyanazon a subnete 2 interface.
A speciális eseteket, amikor mégis lehet, majd jól elmagyarázzák a hozzáértő kollégák itten.

Viszont számos olyan helyzet van, amikor a két frissen összekötött hálózatban vannak azonos subnetek. Ilyenkor ugye a legjobb módszer ha ezeket eltünteted. Na most ha nem lehet és a két hálózatnak kommunikálnia kell, akkor jöhetnek az egyéb megoldások.

Sziasztok!
A következő egyszerű kérdésem lenne, de nem vagyok biztos a megoldásban:
A 160.114.18.0 – 160.114.18.255 IP címtartományt szeretném 8 alhálózatra bontatni.
HA jól számoltam 11111111.1111111.11100000.00000000 = 255.255.224.0 lenne az alhálózati maszk, de az egyes alhálózatoknak mi az IP cím tartománya?
Simán 0-31; 32-63...?

A subnet mask-od egy octettel nagyobb (vagy kisebb, ki hogy szereti értelmezni) mint kellene, de egyébként jó lenne a 224.
Alhálózatok úgy jók ahogy írtad.

mankó

[ Szerkesztve ]

Ne haragudj tudatlanságomért, de mire gondolsz az alatt, hogy multiacces if-re nem szerencsés static route-t rakni? Itt nem értem mire gondolsz, ne haragudj. A DHCP-t javítom..

(#6448) jerry311:
Én is így gondolkodtam.... A TP-LINKnek elvileg tudnia kéne RIP-t, de sehol nem találom a beállításokban...

Most akkor szerintetek mi lenne a megfelelő beállítás? Rakjak minden interfacet teljesen más subnetre? Szóval fogjam meg a cisco routerem és azt is vegyem ki a TP-LINK subnetjéből, illetve a másik IF. már történelem, azt odarakom ahová rakom, viszont akkor mindenképp kell nat.. Am I right, guys?

[ Szerkesztve ]

#ThankYouSirAlex #ThankYouLouis

Cisco egyik interface a tp-linkbe, ip add dhcp, ip nat outside.
Másik intface ip add 10.0.0.1 255...... no shut ip nat ins.
global. ip name-server 4.2.2.2 8.8.8.8

ip dhcp pool inside
network 10.0.0.0 /24
default-router 10.0.0.1
dns 4.2.2.2 8.8.8.8
lease 0 8 0

Egyébként miért nem hagyod ki a tplinket?? Lefogadom, sosem fox olyannal talizni, hogy egy tp-link mögé kell Cisco-t konfigolnod

Nézd meg a sh int status paranccsal, hogy mi a negotiated speed és duplex mód, mert lehet, hogy a cisco és a tp.link között valami gáz van.

[ Szerkesztve ]

eat, sleep, play, replay

A DNS-t leszámítva így csináltam meg az egészet, annyi hogy a külsö if-nek nem dhcp-t,hanem statikus címet adtam. Szeretem a statikus címeket, olyan szépek.

Azért tp-link mögé rakom a ciscot, mert a tp-link hálózatát,wifijét folyamatosan használja a család,telefon,szerver minden szar és akartam egy gyakorló hálózatot létrehozni. Egy teljesen gyakorló hálózatot, ahol tudok játszani a cisco routerrel mégis "élesített" helyzetben, internettel, nem virtuálisan. Ha sikerül rendbe rakni a konfigot és rendes sebességgel megy a netezés a cisco mögül, akkor utána jönne egy linux tűzfal és ha ott minden jól megy, minden király és nem fog sokat lassulni a böngészés, netezés, akkor lehet kirakom "élesbe" az otthoni hálózatban ezt a struktúrát és akkor a tp-link csak AP lesz. De ez csak terv,terv,terv...

#ThankYouSirAlex #ThankYouLouis

Minek a linux tűzfal? Csak layer 3-4 -t tud, az megy ACL-el, esetleg reflexiv acl-el ciscon is (CBAC)
A 1841-el tudsz alap ZBFW-t is csinálni, jobb mint a linuxos iptables és 5-7 ben is van szűrés.

Ha linux tűzfalat a cisco mögé rakod, az nem buli, simán kaphat a router egy DoS attackot. Ha meg mind2-n szűrsz, na abból vannak a tshoot hajtépések

Nézd meg a sh int f0/0 status parabcsot

ip dhcp pool Cisco_network
network 10.0.0.0 255.0.0.0
default-router 192.168.78.10
dns-server 192.168.78.1

Miért a tp-link a gateway? 10.0.0.1-nek kéne lennie

[ Szerkesztve ]

eat, sleep, play, replay

Szia!

What’s wrong: A static default route pointing to an interface indicates that the rest of the Internet is reachable through that interface as a single flat network. Every destination address is reachable directly through that interface.

Why does the problem occur on an Ethernet interface and not on a point-to-point link: The router does not need to know the layer-2 address of its neighbor on a point-to-point link; it has a single neighbor and the layer-2 encapsulation is static. On a multi-access interface the router has to match the destination IP address with a layer-2 address of the next-hop router or host. A static route pointing to an interface is an equivalent of telling the router that all the addresses covered by the static route’s IP prefix are directly connected.

How does the router react: Since every IP address on the Internet is supposedly directly connected, the router needs the layer-2 MAC address of every destination host if it wants to forward the IP traffic to it. For every new destination IP address the router sends an ARP request and drops all IP packets until the ARP request is resolved. This also explains the high CPU utilization caused by the ARP process.

Inside_Network#sh int f0/0
FastEthernet0/0 is up, line protocol is up
Hardware is Gt96k FE, address is 001f.ca81.42a6 (bia 001f.ca81.42a6)
Description: 'cisco halozat kulso porta a tplink router felC)'
Internet address is 192.168.78.10/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:01, output 00:00:07, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 ( 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
116 packets input, 22955 bytes
Received 116 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
38 packets output, 4340 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out

Seems good.. Full-duplex, 100Mb/s, 100BaseTX/FX

Linux rendszergizda vagyok, oszt gyakorlásnak kell. IPS,IDS rendszereket lehet összerakni linux alatt is, az lett volna egy gyakorló cél.

Mondjuk a Dos dologban igazad van, de ZBFW nem tudni miaz..

Javítottam a dhcp-t és dns-t is.

[ Szerkesztve ]

#ThankYouSirAlex #ThankYouLouis

Aha. IPS/IDS ok, guest Vlanra elengedhetetlen.

Szerintem akkor éppen lehet bármi más is a probléma

Probáld először sima staitkus ip-vel a szgépen. ip add 10.0.0.10 mask 255.??? defgw 10.0.0.1 dns 4.2.2.2 8.8.8.8

Zone Based Firewall. CBAC utódja, képes 5-7 layerben a csomag vizsgálatra.

[ Szerkesztve ]

eat, sleep, play, replay

Próbáld ki a kedvmeért lécii, hogy dhcp-re rakod a külső interfészt és elhagyod a statik routot.

eat, sleep, play, replay

Megvolt. Kiütöttem a dhcp-t, statikus. Valamilyen routingot nagyon elcsesztem, mert a tp-link routert,internetet elérem, de a tp-link hálózatát nem. WTF?! De béna vagyok.

Gateway of last resort is 192.168.78.1 to network 0.0.0.0

C 192.168.78.0/24 is directly connected, FastEthernet0/0
C 10.0.0.0/8 is directly connected, FastEthernet0/1
S* 0.0.0.0/0 [1/0] via 192.168.78.1

Statikus route-m a tp-linken,
ID Destination Network Subnet Mask Default Gateway Status Modify
1 10.0.0.0 255.0.0.0 192.168.78.10 Enabled

Na jóóó, amint leírtam iszonyat begyorsult a netezés... ilyen még nem volt... viszont a tp-link hálózatát még mindig nem érem el. Most nagyon cukker gyors a netezés, amilyennek lennie kell. Mi a pöcsöm anomália volt ez?!

(#6462) tusi_: csinálom.

[ Szerkesztve ]

#ThankYouSirAlex #ThankYouLouis

Ha tettél statikus routot a tp-linkre, akkor nem kell nat a ciscora

eat, sleep, play, replay

Megtettem, ugyan az. Úgy érzem valami routingot cseszerintettem el. Most jelenleg a cickón semmi statikus routolás nincs. A tplinkben meg azt csináltam, hogy a 10.0.0.0-s hálózatot rároutoltam a cisco külső interfészére, ami a tp-link hálózata felé néz.

(#6464) tusi_ :
Hája, én is így gondolom, de lehet inkább natolnom kéne a ciscon és hagyni a tp-t.

[ Szerkesztve ]

#ThankYouSirAlex #ThankYouLouis

Szvsz

Van route a tp-linkről a 10.0.0.0-ra, nem kell nat a ciscora.

cisco

int f0/0
ip add 192.168.78.10 255.......
no sh
dup f
spee 100

int f0/1
ip add 10.0.0.1 255......
no sh
dup f
spe 100

ip route 0.0.0.0 0.0.0.0 f0/0

Szerk: látom, hagyni akarod a natot:

akkor

int f0/0
ip add dhcp
no sh
dup f
spee 100
ip nat out

int f0/1
ip add 10.0.0.1 255......
no sh
dup f
spe 100
ip nat ins

Szgépen is nézd meg a duplex speed modot, mert ha jól értelmezem, akkor egy crossal mész rá a f0/1-re ?

Én egyszer 2811-el jártam így, hogy dhcp az outsidera és ha bent volt a 0.0.0.0 0.0.0.0 akkor 5 perc alatt jött be egy oldal. Ha kivettem, akkor atom volt.

[ Szerkesztve ]

eat, sleep, play, replay

Cisco nattal az a baj, hogy a tp-linkről nem tudsz a ciscon belüli netre menni. Ha a ciscoból mész ki a tp-link netre, akkor vissza jön a csomag, mert a cisco natolt egyet és tudja, hova kell vissza küldeni. De a tplink netről nemtudsz bemenni a ciscoba (static route nélkül.pl: ip nat inside source static tcp 10.0.0.10 3389 192.168.78.10 3389 )

Hagyd a natot

[ Szerkesztve ]

eat, sleep, play, replay

Jah, rápróbáltam és szevasz. Statikus routolás lesz ebből.

Akkor most az fa 0/0 statikus 192.168.78.10 - ez gondolom kell statikusként, hogy tudjam hova routolja a tp-link a csomagokat
fa0/1 10.0.0.1 - dhcp-vel osztja ki a címeket, de most lövünk a gépemnek egy statikusat, hogy tuti legyen a szendvics.
nat kikapcs.

ip route 0.0.0.0 0.0.0.0 fa0/0 - ennyi a ciscora.
tplinken 10.0.0.0 255... routolja a 192.168.78.10-re az az a cisco fa0/0-ra.

na, ha így beállítom, akkor a cisco routerről nem tudok a net felé pingelni, viszont a belső hálót elérem a ciscoról.

a 10.0.0.0-s hálóról viszont CSAK a tp-linket tudom pingelni. WTF?! Sem a belső hálót, sem a netet...

#ThankYouSirAlex #ThankYouLouis

Köszi a gyors választ

Ha ebben a hálózatban minden gépnek kommunikálnia kellene a szerverrel (1.1.1.1-es IP) akkor a routerek hogy kellene beállítani? RIPv2-es routingot használok

gyorsan felhúztam egy 1760-ra és nálam megy. Nálam csak nattal, merrt nem lehet a KabelDe-s modem/routeren statikus routot csinálni.

Attól eltekintve , hogy 10MB-os az outside interfészem egész gyors

eat, sleep, play, replay

Hát nem tudom miért nem megy.

Most a fast0/0 helyett a tp-linkre routoltam mindent, akkor megy a net a cisco hálón belül is, szépen, viszont a tp-link hálót nem érem el a 10.0.0.0 felől. A net viszont gyönyörűen, gyorsan megy.

Anomália...

[ Szerkesztve ]

#ThankYouSirAlex #ThankYouLouis

Csak úgy repül

eat, sleep, play, replay

!

interface Ethernet0/0
ip address dhcp
ip nat outside
ip virtual-reassembly
full-duplex
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
!

!

ip nat inside source list 1 interface Ethernet0/0 overload

!
access-list 1 permit any

elérem a 192.168.0.0 /24 netet, ezt adja a modemrouter. (e0/0 cime ....0.10)

nincs statikus route felvéve általam

C 192.168.0.0/24 is directly connected, Ethernet0/0
C 192.168.1.0/24 is directly connected, FastEthernet0/0
S* 0.0.0.0/0 [254/0] via 192.168.0.1

A 254 - AD jelzi, nem én vettem fel. (persze ha mögé irom, akkor igen )

eat, sleep, play, replay

!
interface FastEthernet0/0
description 'cisco halozat kulso porta a tplink router felC)'
ip address 192.168.78.10 255.255.255.0
ip nat outside
speed auto
full-duplex
!
interface FastEthernet0/1
description 'belso cisco lan a tuzfal fele'
ip address 10.0.0.1 255.0.0.0
ip nat inside
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface BRI0/1/0
no ip address
encapsulation hdlc
shutdown
!
ip forward-protocol nd - Ez miez?
!
no ip http server
no ip http secure-server
ip nat source list 1 interface FastEthernet0/0 overload

Egy az egyben megcisnáltam, amit te. Ugyan az, belső háló megy, net felé semmi. Ha most berakok egy statikus route-t,akkor lesz net, de a belső háló kilőve.

Egyébként nagyon köszönöm, hogy segítesz!

[ Szerkesztve ]

#ThankYouSirAlex #ThankYouLouis

Minden routeren a kapcsolódó networkot kell felvenni.

router rip
ver 2
no auto
network x.x.x.x
network y.y.y.y
network z.z.z.z

eat, sleep, play, replay

Külső add nem dhcp?

Sh ip route kimenet?

Szívesen, nincs kedvem tanulni

eat, sleep, play, replay

IP forward-protocol is used by the router to determine which ports and protocols to forward when it receives broadcasts. ND in this case refers to old SUN workstations so i'm fairly sure you don't need this.

eat, sleep, play, replay

No, átraktam dhcp-re, akkor már a router kilát a netre, de a 10.0.0.0-s háló nem, az totál meghalt. Rest in peace.

Inside_Network#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.78.1 to network 0.0.0.0

C 192.168.78.0/24 is directly connected, FastEthernet0/0
C 10.0.0.0/8 is directly connected, FastEthernet0/1
S* 0.0.0.0/0 [254/0] via 192.168.78.1

Az egész olyan, mintha nem menne a nat... sh ip nat trans./stat. semmi...

[ Szerkesztve ]

#ThankYouSirAlex #ThankYouLouis

rossz helyre ment....

[ Szerkesztve ]

eat, sleep, play, replay

tp-linkből vedd ki a static routot

teljes sh runt nyomjál lécci....

[ Szerkesztve ]

eat, sleep, play, replay

Eredeti gépek és a titkárság Switch között miért van kábel?

eat, sleep, play, replay

kivettem, akkor nem megy. beteszem megy a net, de a belső háló nulla.

Inside_Network#sh run
Building configuration...

Current configuration : 1426 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Inside_Network
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$r0OX$R5KwIlFJggUK/GzaN2UVl/
enable password 7 00140109065A5A545C
!
no aaa new-model
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.0.0.1
!
ip dhcp pool Cisco_network
network 10.0.0.0 255.0.0.0
default-router 10.0.0.1
dns-server 8.8.8.8 4.2.2.2
!
!
no ip domain lookup
ip name-server 8.8.8.8
ip name-server 4.2.2.2
!
!
!
!
!
!
interface FastEthernet0/0
description 'cisco halozat kulso porta a tplink router felC)'
ip address dhcp
ip nat outside
speed auto
full-duplex
!
interface FastEthernet0/1
description 'belso cisco lan a tuzfal fele'
ip address 10.0.0.1 255.0.0.0
ip nat inside
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
shutdown
clock rate 2000000
!
interface BRI0/1/0
no ip address
encapsulation hdlc
shutdown
!
no ip forward-protocol nd
!
no ip http server
no ip http secure-server
ip nat source list 1 interface FastEthernet0/0 overload
!
access-list 1 permit any
!
control-plane
!
banner motd ^CCisco internal network^C
!
line con 0
password 7 030752180500701E1D
logging synchronous
login
line aux 0
line vty 0 4
password 7 00140109065A5A545C
no login
line vty 5 15
password 7 00140109065A5A545C
no login
!
scheduler allocate 20000 1000
end

#ThankYouSirAlex #ThankYouLouis

A 1905 tamogatja a zone based firewall-t nyugodtan aludhatsz..

En a PfSense-t magaban gondoltam minden router nelkul elotte utanna.

(#6447) jerry311

Nem problema, nekem is ez volt az elso..

Kapcsolj le mindent legyszives...

[ Szerkesztve ]

"ip nat source list 1 interface FastEthernet0/0 overload"

inside kimaradt. Ez így egy majdnem vrf NAT .

Megnézem mégegyszer itthon....

eat, sleep, play, replay

király vagy öcsém csávó!! Most így megy minden, köszi a segítséget, jövök eggyel!!

[ Szerkesztve ]

#ThankYouSirAlex #ThankYouLouis

2-vel jössz, mert át kellett állítanom a confreget a lassan butuló routeremen

eat, sleep, play, replay

eat, sleep, play, replay

Követelmények közt ott van a redundancia is, ezt a megoldást ajánlott a gyakorlatvezető

De a vlan nem ugyanaz.

Az egyik vlan pl Vlan 10, a másik Vlan 20. Egyik subnet-je 10.0.10.0 , másiké 10.0.20.0.

A router mind2 interfésze nem lehet uyganabban a hálóban, tehát f0/0 10.0.10.1 , f0/1 10.0.20.1.

Ha a titkárság és a router közötti kábel lemegy, a titkárság vlannak nincs gw-je, mert az ő ip-jük 10.0.20.x a gw meg 10.0.20.1. Int f0/0 ip je meg 10.0.10.1 . Secondary ip sem lehet f0/0-n, mert az is egy hálóban lenne f0/1-el.

Ha betennél egy switchet a router és a másik 2 switch közé és trunkolod, akkor ok. De mi van, ha a köztes switch esik ki?

eat, sleep, play, replay

Ha már így belejöttetek, akkor magyarázzátok már el nekem a natív vlan értelmét, mert egyelőre nem nagyon látom.

A trunk linkeken mennek olyan csomagok is (cdp, vtp, stp, pagp) amik nem használnak tagget. Egy trunk linken csak taggelt packettek mehetnek, kivéve az előbb említett csomagok amik ezért a nativ vlant használják.

Ha átteszed a nativ vlant és lekapcsolod a vlan1-et, az STP packettek akkor is a vlan1-et használják. Az int vlan 1 , sh -tal csak a layer 3 részét kapcsolod ki, l2 megy tovább.

[ Szerkesztve ]

eat, sleep, play, replay

majd később megfogalmazom újra a mondandómat

[ Szerkesztve ]

A native vlan egy design fail. Semmi ertelme. Ez a bootcampen is felmerult kerdeskent. Arra jo hogy security hole legyen

Csak dot1Q-nál gond ez, isl-nél ez n/a.

Ha jól tudom IEEE szabvány, de nem minden gyártó használja. Nekünk pl nincs. Én átteszem mindig egy nem használt vlanra, azt jól le pruneolom

vagy vlan dot1q tag native

[ Szerkesztve ]

eat, sleep, play, replay

Lassan az ISL is n/a

eat, sleep, play, replay

Tudom. Az ISL utan a Cisco benyujtotta RFC-re a dolgot. Nem fogadtak el. Aztan kesobb kitalalt az IEEE egy sajat RFC-t, ez lett a dot1q. Mivel RFC ezert tamogatjak a gyartok. A Cisco jelezte, hogy gondot okoz a native vlan mert vlan hopping stb. lehetoseget hoz be. Erre ajanlotta az IEEE, hogy ne hasznald a native vlan-t. Amit ok talaltak ki. Hat ennyi a tortenet. Itt a vege, fuss el vele.

[ Szerkesztve ]

A CCIEv5 teljesen IOU alapu. A konfig is. Ezert az ISL mar nem lesz tesztelve. Azt hiszem azert attettek az irasbelibe. Ahogy minden platform fuggo dolgot (pl. dot1q tunneling, layer2 qos, private vlan).

Új IOS-ekben benne van még az ISL?

Nativ Vlan Cisco learning networkon.

"The native VLAN is used primarily to transmit management information between 2 switches, management information such as CDP packets, VTP packets, Spanning-tree information, and PaGP. "

De ott is írják, hogy kukába vele.

eat, sleep, play, replay