-
LOGOUT
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
kmisi99
addikt
Heló! Route al kapcsolatban lenne kérdésem. Maga az OCG a RIP et nem tanítja, csak elmagyarázza, hogy miért jobb az OSPF, ettől függetlenül szokás még azt használni van értelme megtanulni? Mert ahogy látom ipv6 ra is van megfelelő RIP, de itt is csak az OSPF et tanítja a könyv.
-
zsolti.22
senior tag
Attól függ, hogy 12.4 vagy 15.x a futó IOS ( :
12.4
Akkor most csak játszol gyakorlatilag és a routeren saját magára telnetelsz vagy valahonnan kívülről?
Igen.
Crypto-map-re matchel ahonnan jössz vagy ahova telnetelsz?
Nem néztem, max a deny ip any any-re.
NAT-ra?
Nem néztem, én kis hülye.
NAT outside interface-en van ACL?
Nincs.
-
-
zsolti.22
senior tag
Ezen a routeren, amin telnetelek önmagára, azon nincs ZBF, de az uplinkjén van, de az itt most nem játszik szerepet. Egyébként amin meg van ZBF, a default self-to-self miatt engednie kellene ön,agára a telnetet vagy a saját if pinget, nem? Or my knowledge lecks frog's ass?
-
zsolti.22
senior tag
Miért kapok TCP RST üzenetet a routeremtől, amit telnettel próbálok elérni egy olyan interfész IP-n, ami nat outside-dal és crypto-mappal van konfigurálva, ha beírom a telnet IF_IP parancsot és miért működik, ha egy privát IP címére próbálok rátelnetelni?
Mintha nem lenne nyitva a 23-as port...A vty egyébként egy login auth defaulttal, transport input telnet-tel van ellátva, meg természetesen aaa new-model és aaa auth lo default ena van kiadva még. VTY ACL nincs. Agybaj viszont van
-
crok
Topikgazda
válasz
zsolti.22
#9489
üzenetére
Egzakt itt.
Intrazone Support in the Zone-Based Firewall Application
Intrazone support allows a zone configuration to include users both inside and outside a network. Intrazone support allows traffic inspection between users belonging to the same zone but different networks. Traffic within the same zone cannot be inspected prior to Cisco IOS Release 15.0(1)M. To configure a zone pair definition with the same zone for source and destination, use the zone-pair security command. This allows the functionality of attaching a policy map and inspecting the traffic within the same zone.
Trükkös megfogalmazás, de kicsit egyértelműsít a konfig rész - ugyanis ha követed a logikát ha nincs pass vagy inspect akkor nincs engedett forgalom intra-zone.
-
A_ScHuLcZ
addikt
-
-
vadger
tag
válasz
A_ScHuLcZ
#9479
üzenetére
Szia!
Semmit nem vihetsz be, kapsz egy műanyag táblát és filctollat a vizsgaközponttól, ennyi.
A vizsga sikeressége érdekes egy téma, minden vizsgán más pontszámtól van meg, attól függ mennyi kérdést kapsz, milyen nehézségűeket, milyen jellegűeket, szóval szerintem nem lehet általánosítani, de majd a tapasztaltabbak kijavítanak.300 és 1000 közötti pontszámot kapsz a teljesítményedtől függően (tehát 300at kapsz gondolom ha minden kérdésre rosszul válaszolsz) és olyan 825 környékén szokott meglenni, de mondom, ez minden vizsgán más lehet.
Az utolsó kérdésedre sajnos nem tudom a választ.
-
A_ScHuLcZ
addikt
Sziasztok,
Milyen eszközök használata megengedett a vizsgáknál, tollat és papírt lehet?
CCNA vizsgán milyen eredményt várnak el, hogy sikeres vizsgának minősüljön? Tényleg dinamikusan válogatja össze a kérdéseket attól függően, hogy melyik anyagrésznél adsz helytelen választ? -
#9478
Cyber_Bird
senior tag
Cyber_Bird
senior tag
1.25x-en kell nezni es ugy jo lesz
neha Brian McGahan-t is ugy nezem, ha valami csoda folytan nagyon fog az agyam -
Methionyl
senior tag
Sziszatok
Pont egy hete vizsgáztam, 1 hetes pihit úgy gondoltam megérdemlek szóval itt az idő folytatni
ICND2-re készülök, jobban mondva CCNA-ra, cisco pressről ugye a OCG könyvek megvannak (icnd1 & icnd2)
de valahogy úgyérzem ez kevés lesz..Tudtok még olyan forrást/oldalt ahol ingyen/pénzért igénybe lehet venni még több információt? pdf , videó, hang minden jöhet.
Ha megéri az árát, nem baj ha drága
-
#9470
FecoGee
Topikgazda
Cyber_Bird
#9469
FecoGee
Topikgazda
válasz
Cyber_Bird
#9469
üzenetére
Ismeros
-
zsolti.22
senior tag
válasz
Gesztiboy
#9466
üzenetére
Passz, viszont:
https://www.cbtnuggets.com/it-training/cisco-ccnp-security-simos-300-209
https://www.cbtnuggets.com/it-training/cisco-ccnp-security-300-206-senss
https://www.cbtnuggets.com/it-training/cisco-ccnp-security-sisas-300-208
SITCS-et nem találtam hirtelen.
Hmm, ezeket mind meg kell keresni a neten, biztos fent van valahol
-
tusi_
addikt
Köszi crok
Olvastam mind oket mar, de a link mar nincs meg, hala Neked igy at tudom kuldeni az Ügyfailnek - ez tetszik - hogy szemezgessen o is belole.A problem az, hogy LEHET hogy emiatt az OSPF Hellok sem mennek at, valami torlodas van, vagy akarmi es ezert bontja a kapcsolatot (A tunellen megy az ospf baratsag)
Az ospf szakadas es az anti replay nyügök egyszerre jonnek.Amit nem ertek, mi a banatert kell tunnel meg ospf, amikor csak par nyugos szerver van 1-2 userrel. Meg biztosabb is lenne, hogy sima Ipsec s2s lenne,mert akkor csak a maghatarozott IP-k/portok mehetnenek a tunellen, igy viszont barmelyik szerencsetlennek hozzaferese van minden porthoz, szerverhez.
Soha nem fogom megerteni a nemeteket, mindent tul bonyolitanak
Letolnad nekem azt a sablon szoveget, akkor nem kell nekem megfogalmazni, csak atforditani 
-
crok
Topikgazda
Hagyhatod a fenébe a hibaüzenetet (hacsak nem jön száz/ezer számra).. tudod mi a leggyakoribb előfodulás? Nem fogod elhinni.. egyszerű TCP retransmission.. vagy bármilyen retransmission.. (és általában olyan csomagok miatt amit a router generál, de lehet átmenő is). A másik ha a vonalon durvanagy a késleltetés vagy a provider backbone-ban van valahol load-balancing.. esetleg ha ennek tetejébe úgy megy a loadbalance hogy az egyik path mondjuk kisebb sávszélű/jobban terhelt.. na akkor meg simán előáll, hogy az egyes csomagok *nem* sorrendben érkeznek meg (vagyis lesznek olyanok amik pl. az egyik útvonalon - amit te lehet nem is tudsz hogy létezik, lehet asym routing is! - kisebb a sávszél, nagyobb a load, nagyobb a queue-ing idő, nagyobb a delay, később vagy összevissza érnek be.. ezt veszi sokszor a c7200 replay check failed-re.. meg más platform is. Régi a platform, nem lesz olyan IOS ami ezt kiküszöböli szerintem.. logging discriminator-t neki oszt' nem látja a 'zÜgyfail.. ( : Egyébként első körben kicsit megnyújtanám a reply window-t.
[Frankó leírás]
A bigiri-BUG: [2] [3]
Az Anti-replay window megváltoztatása: IOS / IOS-XEAnnyiszor és annyi ügyfélnek kellett ezt már kifejtenem hogy gyak. már van rá sablon szöveg.. ( :
-
tusi_
addikt
Meg valami:
%CRYPTO-4-PKT_REPLAY_ERR: decrypt: replay check failed
Ezt az uzit kapja az ugyfel a routerre. Namost van egy BUG ehhez - mihez nincs - ahol a 7200 nal jon ez elo es workaroundkent software update es vagy a replay window megvaltoztatasat, vagy a az anti replay teljes kikapcsolasat ajanljak. Ugyfel viszont nem szeretne kikapcsolni, megis csak egy biztonsagi funkcio.
Ilyet lattatok mar? Melyik sw-t tegyem ra, az ajanlottak azok a 7200 hoz valok, fi..om sincs, melyik oldja meg ezt a 3925-nel... -
#9456
tusi_
addikt
Hedgehanter
#9455
tusi_
addikt
válasz
Hedgehanter
#9455
üzenetére
Kiba...tt munkaigenyes. Minden egyes tunnel interfacehez kell egy uj crypto map is. Ha nagyon trehany az ember, akkor vegul is felhasznalhatna ugyanazt az ipsec profilet minden egyes tunnel interfeszhez. Vagy lehet dinamikus Tunnelt is csinalni...
Mind1, kollegak nem akarjak, hogy valtoztassak rajta, "never touch a working system". En meg nem fogok erolkodni, igy hagyom...
-
#9454
tusi_
addikt
Hedgehanter
#9453
tusi_
addikt
válasz
Hedgehanter
#9453
üzenetére
Ugyfelelt sajnos nem, de IP-ktol eltekintve ugyanaz, mint ez. (kiveve hogy loopback a source es destination)
https://supportforums.cisco.com/discussion/11562771/ipsec-tunnel-and-gre-over-ipsec-tunnel
Gre Tunnel Crypto Map
vs.
VTI Tunnel Profillal.
PS: az elso konfigban nem latszik, de a crypto mappos address "match address INT_TRAFFIC" ott az acl
ip access-list ext INT_TRAFFIC
permit gre any any
vagy
permit gre host blabla host blabla -
tusi_
addikt
Ugy ertem, hogy tunnel interface ES Crypto map, vagy csak Tunnel interface es Ipsec Profil.
GRE Tunnelnel a Tunnelen nincs ipsec profil, hanem egy kripli map. A Gre nem titkosit, csak enkapszulal, hogy a passanger protokollok is tudjanak utazni a tunelben. A VTI prfillal meg tud multicastot, drotcastot, unicastot bla bla bla es meg titkositva is van. Lehet a GRE tunellre felrakni egy profilt es akkor nem kell kriplimap? Ki tesztelem.
Csak erdekelne, hogy melyik a jobb, altalanosabb.
-
tusi_
addikt
válasz
zsolti.22
#9449
üzenetére
A secu Professionalunk csinalt egy nem hivatalosat a teszt vlanunkban. Meg ossze kell kicsit raznia, de aztan az igeret szerint csinalunk webexet es egyutt atvesszuk a cuccokat es lesz hozzaferesem is gyakorolni.
Licens? Mittomen, engem nem erdekel, csak menyjen es tudok gyakorolni rajta.
Amugy a radius tok eleg, ha csak anyconnectes usereket kell azonositania. Takacs inkabb akkor, hogy router, switch hozzaferes van, mert minden titkositott nemcsak a jelszav es tud authorizalni is.
Nalunk pl. az eszkoz hozzaferes Takács, az anyconnect meg Radius.
-
crok
Topikgazda
Hát profi sec nem vagyok.. de eltérés abban az értelemben nincs hogy így is, úgy is benne van a phase I és II is. De.. ha kell routing akkor jobb a tunnel és tunnel protection mint a WAN interface és a crypto-map.. Tunnelen belül egy BGP-t vagy OSPF/EIGRP-t mégiscsak könnyebb összehozni. Onnantól a routing megmondja mi merre megy.
Loopback mint source/destination: lásd előbb, BGP peeringnél jól fog jönni hogy nem interface IP (jjjóóóó, lehetne IP unnumbered loopback is az interface IP-je..) a peer IP ha iBGP van és IGP-n lehet tolni mindenhova mindenkinek a loopback IP-t és csinálhatsz backhaul routing-ot hogy a loopback-et backup-on keresztül is elérje a másik oldal meg a rá tudsz NATolni bármit a loopback-re.. óóómennyiszerláttam.. meg a loopback lehet a management interface is.
-
zsolti.22
senior tag
Nem azért, de a könyv nagyon isteníti a radiust. Ki a rosseb használ radiust, amikor a tacacs jobb? Nyomik. Volt is ezzel valami probléma, talán plusz licenchez kötötték, ami drágább volt, mint az alapcsomag, aztán rájöttek, hogy azért mégis egy tacacsról beszélünk és most már az alap licenc is tartalmazza majd a tacacs-ot, de ISE 1.2-nél csak? Valami ilyesmi rémlik.
Hogy intézted az ISE-t? Próbalicenc meg valami windows server? -
bugizozi
őstag
Sziasztok!
Kapott valaki mostanság ilyen levelet a Cisco-tól? Ez mire lehet jó?
Köszi!
Dear X Y,
You have been selected from over 28,000 potential partners to join the Cisco Partner Plus global partner program - Congratulations! The offer to join this program however has a limited time period. Registration closes 20 December 2015.
-
tusi_
addikt
Profi securitysoktol kerdeznem.
Melyik a jobb, elterjedtebb megoldas tunnel vedelemre? Crypto map, vagy az ipsec profil.
Ugyfelnek jelenleg crypto mapja van, azt atallitanam ipsec profilosra. De ha meg kell indokolnom miert, csak azt mondanm "hogy csakmer"
Egyszerubb konfigolni.Es meg valami. Van akarmilyen ertelme is a tunnel sourcenak/destinationnak loopbackot megadni? Inkabb tennem a jol bevalt fizikai outside interfacet sourcenak es az ellen oldalt dest-nek.
-
crok
Topikgazda
Az se IOS ( : nálunk 200+ WLC van, egyetlen egy se IOS-XE alapú, mert egyszerűen (még) nem jók. Lehet kis környezetben majd egyszer jó lesz meg csillivilli cost-saving - WOW, királyság! - de még a régi vonal is tartalmaz olyan hibákat hogy égnek áll a hajunk néha. Mint mindenben ami Cisco az van, hogy egyre csak gyűlnek a feature-ök de tulképp' még a legalapabbak se mindben stabilak (meg hát csak azért cserélni software-t mert a benne levő AP support bugos.. aztán ugye lentebb persze dokumentált bugok, fentebb meg még nem ismert de nálunk persze előjövő bugok.. de olyanok.. malformed RADIUS csomagok mennek a WLC-től a szerverhez.. nem reagál a WLC egynémely client control frame válaszára.. de ilyen alapok se mennek mindben hogy TACACS+ a belépésnél..)
-
-
válasz
FecoGee
#9435
üzenetére
CCNP Wireless-hez szerintem nem elég egy vWLC, mert asszem nem tud local mode-ot csak flexconnectet.
És rendes fizikai AP-k is kellenek, mert abból nincs virtuális. Aztán nem árt egy ISE (ebből jó a virtual).
Aztán olyan WLC is kellene szerintem amin ios-xe fut (pl 3650/3850-be integrált), nem pedig a hagyományos AirOS (2504, 5508, 5520-as WLC-k ezt használják). Elég nagy különbségek vannak a 2 wlc szoftver között. -
tusi_
addikt
-
zsolti.22
senior tag
válasz
kmisi99
#9406
üzenetére
Vegyíteni lehet végül is.
A statik nat által mindig lesz egy fix mit-mire bejegyzésed a NAT táblában. A portforward is csak egy statik nat, ami simán megfér (még jó) az overloados nat (pat) mellett.
Mindenhol, ahol csak egyetlen egy darab publikus IP-t kapsz a szolgáltatótól és legalább 2 gép van arra az egy IP-re, akkor overloadot kell használnod, vagy megverekedtek az IP-ért
Overloaddal 65535-1024 nat bejegyzésed lehet egy adott IP-hez, utána kifújt az adott IP.
A NAT POOL akkor fordul elő, amikor egy adott végpont egy egész, mondjuk /28-as címtartományt kap a szolgáltatótól. Akkor megcsinálhatod azt, hogy adott forrású (ACL szabályozza igaze) gépek szépen ebből a /28-as poolból kukázzanak maguknak publikus IP címet. /28-nál 16 IP van, abból lejön a drótcast és a hálózati cím, illetve a router IP-je, az 13 gép. Ha 13 gépnél több gép akar netezni, akkor itt is overload kell, ha csak 12 gép van, akkor nem.
Ha overloadolsz, akkor mindenki az első IP-t használja, amíg mind a 65535-1024 port el nem fogy, utána jön a következő publikus IP addig, amíg szépen el nem fogynak az IP-k, de azért csak elég annyi port...PAT automata, ahogy írod is.
Statikus meg nem, ezért statikus. Szervereknek szokták beállítani, vagy portforwardhoz akármilyen eszközre.Érhető volt, vagy időpocsékolás volt?
-
tusi_
addikt
Cyber_Bird, crok.. kiralyok vagytok. Az egyik routeren neztem csak a Cef-et, a masikon nem. Most felhuztam a konfigot GNS3 ban es az ip_input csak akkor jelenik meg, ha a cef ki van love. ip route-cache az intefacen es megjelenik az ip input bazi magas processor terhelessel a sh proc cpu-ban.
-
tusi_
addikt
Nem volt ma idom - kedvem - webexezni, szal marad hetfore.
Mint mondtam, van rajta egy unicast revers-path, ami ugye a spoofingot figyeli, van egy ACL - tele hulye szabalyokkal - meg egy ipsec tunnel interface.
Erdekesseg, hogy kulon crypto map van es azon keresztul csatlakozik a 2 tunnel inetrface.
Mivel az ACL, Cryypto, unicast rev path nem CEFen megy, szvsz azert kuldi fel a cpunak.
Vagy...?
Atakartam huzni a tunnel interfacet GRE konfigra ipsec profillal, de nem engedik a kollegak, mert "eddig igy mukodott, nem nyuljunk hozza, biztos a szerver szar"...Lehet ez a magyarazat?
-
#9421
Cyber_Bird
senior tag
RogerP
#9417
Cyber_Bird
senior tag
Esxi konfig van elrontva, meg kell googlizni, hogy hogy is kell beallitani ezt pontosan, de nagyvonalakban
A vswitch confignal a nic teaminget be kell loni, hogy a loadbalancing route based on the originating virtual port ID legyen. Ugyanezt az osszes virtual networknel beloni, amit letrehoztal.
El nem tudom mondani mennyien futottak bele ebbe. -
zsolti.22
senior tag
Kennen Sie Google?
Egyik kedvencem idézem.
Here are some details:
Information Systems Security (INFOSEC) ProfessionalIn April 2003, the National Security Agency (NSA) and the Committee on National Security Systems (CNSS) awarded Cisco a formal certification recognizing that Cisco security courseware meets the 4011 training standard. This standard is intended for Information Systems Security (INFOSEC) Professionals responsible for the security oversight or management of critical networks. This formal NSA and CNSS certification gives Cisco the authority to recognize those candidates who have demonstrated that they have met this training standard. Candidates who have achieved this certification not be issued a certificate, but will be issued a letter of recognition acknowledging their completion of the related requirements. This letter of recognition can be used as confirmation of having met the requirements.
Information Systems Security (INFOSEC) Professional Prerequisites
Valid CCNA certificationHere is the link, for more information.
http://www.cisco.com/web/learning/le3/whats_new/infosec.html
Best wishes, and congratulations!
Keith Barker
-
RogerP
csendes tag
Próbált már valami Etherchannelt beállítani egy ESXi szerver és egy Cisco switch között?
Addig - látszólag - gond nélkül működött a dolog, amíg csak az ESXi szerver fut, amint más IP cím is megjelenne az (összevont) portokon, meghal a kapcsolat.
Ha kihúzom/lekpcsolom az egyik portot a swtichen, akkor életre kel az adott hoszt.A switch configot sajnos nem mentettem el, majd hétfőn próbálom rekonstruálni.
-
crok
Topikgazda
válasz
FecoGee
#9407
üzenetére
Valamikor lehet nekiállok majd egy szösszenetnek ebben az ügyben, de az van, hogy alapból két baja van.. új (kevesen ismerik, így nincs ops-ban aki troubleshootolja) és ha rosszul van megírva (vagyis nem gondolnak mindenre) össze-vissza forwardol.. asym routing mindenhol, egy-egy erősebben flappelő linknél a telefónia/telepresence/videoconf megáll mint a szeg.. Vaniliás kólát hova küldjem? : D Kölök koromban ittam ilyet boroskólában, pocsék volt.. : D [Szerk.] Az túlzás, most járunk a PI + LMS kombónál 35 jegynél, 6 nyitott még mindig, van vagy 3 amire fix majd Maintenance release 4-ben lesz (ami lehet nem is lesz.. de ha lesz is még egy év).
-
kmisi99
addikt
Most fejeztem be a CBT videót, így már nagyjából értem is. Ami még nem tiszta, az az hogy static nat nál, én adom meg egyesével a dolgokat, értelem szerűen. De nyilván több száz vagy ezer gép esetében ez gondolom nem épp kényelmes. Lehet hülyén értem még a dolgokat, de lehet a PAT ot a Static NAT al vegyíteni egy routeren? Legalábbis én úgy értettem meg ezt az egészet, hogy a PAT esetében mindent szinte automatán végez azaz ha nekem van egy csomó gépem nem kell egyesével beállítgatom hanem majd ő választ nekik portot így mindegyik el tudja érni az internetet, míg static nál sokkal jobban beállíthatom a dolgokat és jobban megszabhatom a szabályokat, hogy mit és hogyan érhet el valaki.
Vagy még olvassam át egyszer a NAT fejezetet?
Csak mert mostanság nem sok kedvem volt tanulni ezért erőltettem, de így meg nem tudtam teljesen figyelni az anyagra.
De ahogy nézem, a 2.-ban már megkapta az adag kávéját 
Új hozzászólás Aktív témák
Hirdetés
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Lenovo Yoga Pro 9 (16IMH9) - Intel Core Ultra 9 185H, RTX 4060, 32GB, érintős ELKELT
- Bomba ár! Dell Latitude 5400 - i5-8GEN I 16GB I 512SSD I 14" HD I HDMI I Cam I W11 I Gari!
- ÁRGARANCIA!Épített KomPhone Ryzen 7 7700X 32/64GB RAM RTX 5070Ti 16GB GAMER PC termékbeszámítással
- ÁRGARANCIA!Épített KomPhone Ryzen 7 7800X3D 32/64GB RAM RX 9070 XT GAMER PC termékbeszámítással
- Fotós felszerelés - Stúdió lámpa / Softbox / Vaku
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest