annatext.serwis
Temat: NHRP exploit
...Protocol (NHRP) is defined in RFC2332. It is used */
/* by a source host/router connected to a Non-Broadcast-Multi-Access (NBMA) */
/* subnetwork to determine the internetworking layer address and NBMA */
/* subnetwork addresses of the NBMA next hop towards the destination. */
/* NHRP is often used for dynamic multipoint VPNs ( DMVPN) in combination with */
/* IPSEC. */
/* ...
Źródło: ccie.pl/viewtopic.php?t=4454
Temat: IP VPN + IP SLA
nie powiesz mi że adresacje połączeniową masz w tej samej puli co oddziałową bo wtedy te routery Ci nie potrzebne Moim zdaniem: 1) masz inną podsieć dla połączeniówki - tą adresację zgłosiłeś do TPSA/Netia i tylko nadajesz i zgłaszasz operatorowi adresy nowych końcówek 2) osobne adresacje w innych pulach masz w oddziałach i centrali I pingi musisz puszczać z src i dst z punktu 1 albo z puli dla Tuneli które sa na to nałozone jesli masz DMVPN
Źródło: ccie.pl/viewtopic.php?t=9022
Temat: hub and spoke + domyslny routing
Aaa. 30 to zmienia postać rzeczy odnośnie DMVPN. To teraz zastanów się, czy chcesz, aby oddziały mogły mieć komunikację między sobą bez pośrednictwa HUBa (dynamicznie nawiązywane tunele w zależności od potrzeb). To główna przewaga
Źródło: ccie.pl/viewtopic.php?t=9013
Temat: hub and spoke + domyslny routing
1. Ustawienie statycznego routingu do HUBa przez GW ISP 2. Użycie OSPF do wszystkiego innego z redystrybułowaniem domyślnej bramy To rozwiązanie jest dobre, więc nie wiem, dlaczego chcesz sobie życie utrudniać. Nie rób też DMVPN. Nie warto na 2 sity. To, co jest Ci potrzebne, aby zrobić to po Twojemu, nazywa się vrf-aware ipsec, ale moim zdaniem powinieneś pozostać przy swoim pierwszym pomyśle.
Źródło: ccie.pl/viewtopic.php?t=9013
Temat: Problem z GRE over IPSec EIGRP
A moze po prostu zestaw tam DMVPN phase 2... :D Co do SA to widac ze cos tam przez te tunele idzie i wraca. Posc ping z repeatem 1000 to zobaczysz jak to dziala i czy na pewnoe przez tunel.
Źródło: ccie.pl/viewtopic.php?t=6609
Temat: redundancja po GPRS
Robiłem kiedyś już takie rozwiązanie. Było ponad 100 lokalizacji z backupem po GSM. Modemy EDGE z własnym APN-em, całość spięta w DMVPN bez szyfrowania (własny APN). Rozwiązanie działało całkiem przyzwoicie, pomijając czasami problemy z zasięgiem w niektórych lokalizacjach. I to jest chyba największy kłopot.
Źródło: ccie.pl/viewtopic.php?t=12066
Temat: jak skonfigurować 1500 tuneli ipsec
Kiedyś próbowałem już podchodzić to tego tematu od strony DMVPN. Chodzi o zestawienie 1500 tuneli ipsec site-to-site w topologii hub-and-spoke. Teoretycznie 7200 z VAM2+ obsługuje do 5000 tuneli site-to-site, ale w większości opisów dla
Źródło: ccie.pl/viewtopic.php?t=2280
Temat: Wwa
Drodzy Poszukuję człowieka do zespołu Administratorów sieciowych w Banku Zakres obowiązkow: - WAN - 350 oddziałów MPLS/ DMVPN/QoS/ B2B - Security: Cisco SecurityManager/MARS/ASA/Cisco IPS Lokalizacja: Wwa, Centrum Wymagane: doswiadczenie, zaangazowanie, komunikatywność Certyfikaty - jak już ktos koniecznie musi Kontakt proszę na Xrzysiek@gmail.com lub 665 030 068 Miłego dnia Kris
Źródło: ccie.pl/viewtopic.php?t=9170
Temat: hub and spoke + domyslny routing
Kwestię komunikacji ze światem przez huba mieliśmy już załatwioną. Robisz to przez redystrybucję default route na hubie. Pytanie było o to, czy oddziały mają się ze sobą komunikować bezpośrednio, czy poprzez huba. W pierwszym wypadku zrób DMVPN, w drugim GRE over IPSEC.
Źródło: ccie.pl/viewtopic.php?t=9013
Temat: pytanie o EIGRP w DMVPN[solved]
Witam Mam takie pytanie, czy przy DMVPN spokes nawiązują że sobą sąsiedztwo EIGRP i czy spoke do sieci podłączonej do innego spoke powinien dostać trasę kierująca bezpośrednio do tego spoke czy do huba. Testuje wlaśnie takie rozwiązanie, tunele pomiędzy spokami zestawiają mi się dynamicznie jednak ruch do sieci podłączonych za spokami leci mi przez huba. Tylko gdy pinguje adres końca tunelu innego spoka pakiety lecą bezpośrednio. Piotr oczywiście na...
Źródło: ccie.pl/viewtopic.php?t=11110
Temat: znowu NHRP
...Ruch będzie szedł tylko aktywyn tunelem, bądz oboma jeśli jesli obie trasy EIGRP będą miały taką samą metryke - tą możesz sie pobawić. 2. Odpal HSRP między hubami i jako source tunelu podaj adres HSRP. Tunel wstanie tylko gdy będzie router aktywny. Pozdrawiam Ad1: Faktycznie, to jest jakaś opcja, nawet bardzo dobra i tak chciałem w rezultacie to odpalić, bo nie widziałem innego sensownego wyjścia (poza Dual Hub, dual DMVPN). Ad2: Też by się dało, ale HUBy tylko w L3 się widzą... Dalej jednak nie rozumiem, jaki jest mechanizm wyboru huba w wypadku wpisania dwóch. Ani nie ma tam numerów sekwencyjnych, ani priorytetów. Po prostu jedno pudełko (fakt, ze starszym IOSem) łączyć się chce do HUB2, drugie do HUB1. Gorzej, że to pudełko nr1 nie umie obczaić, że jeden hub jest niedostępny.....
Źródło: ccie.pl/viewtopic.php?t=11827
Temat: outsoursing IT
...• bardzo dobra znajomość technologii i protokołów używanych w sieciach LAN (VLAN, spanning-tree, itp.), • znajomość technologii sieci WAN (ISDN, DSL, Frame Relay,), • doświadczenie w konfiguracji urządzeń firmy Cisco (switche, routery, ASA, telefonia IP), • dobra znajomość protokołów dynamicznego routingu (OSPF, EIGRP, itp.), • dobra znajomość IPSec oraz konfiguracji tuneli VPN (L2L , EzVPN , DMVPN) • dobra znajomość zagadnień związanych z bezpieczeństwem systemów oraz sieci - firewall, VPN , autoryzacji użytkowników • dobra znajomość języka angielskiego • mile widziane CCNA lub CCNP • prawo jazdy kategorii B. • mile widziana znajomość środowiska serwerów Windows Najchętniej chcielibyśmy zatrudnić kogoś na stałe, wówczas jednak wiązałoby się to z zadaniami...
Źródło: ccie.pl/viewtopic.php?t=7955
Temat: IP VPN MPLS i podłączenie po stronie klienta
1. Pozwala, kwestia dogadania się z operatorem żeby Ci to redystr. do odpowiedniego stworzonego dla Ciebie Adress-family (VRF'a) Ale fakt najlepiej zrobić sobie DMVPN'a 2. adresacja klient<->CE ustalana jest przez klienta - najczęściej jakaś podsieć prywatna - to i tak będzie w dedykowanym VRFie latać 3. to zalezy czy urządzenie operatora wie jak osiągnąć konkretne sieci (zależy od pkt1) jak masz
Źródło: ccie.pl/viewtopic.php?t=11948
Temat: DMVPN (GREoIPSEC) i ruch GRE na int fizycznym
Witam! Przejrzalem juz chyba wszystkie posty dot. mojego problemu, ale nie znalazlem rozwiazania wiec bede wdzieczny za jakies wskazowki. Mam problem z ruchem GRE na interfejsie fizycznym, na ktorym powien byc tylko ruch ESP. Moj konfig wyglada mniej wiecej tak: Dwa 7200 terminujace po jednym tunelu DMVPN (hub). Interfejsy Tunnel skonfigurowane z opcja tunnel protection ipsec profile xxx. Na interfejsie fizycznym brak crypto mapy. Routery klienckie (spokes) nawiazuja jednoczesnie (za pomoca dwoch interfejsow tunnel) dwa kanaly vpn do obydwu hubow (7200). Tutaj rowniez interfejsy tunnel uzywaja funkcji tunnel protection. Brak crypto map na int. fizycznym. Wszystko dziala jak nalezy. Problem sie pojawil, gdy zaczalem zakladac ACLki na...
Źródło: ccie.pl/viewtopic.php?t=5290
Temat: redystrybucja tras EIGRP -> RIP
Witam! mam nastepujacy problem: chcialbym redystrybuowac trasy ze zdalnego router'a z EIGRP, do routerow zdalnych via RIP, zestawiony DMVPN ( zakładam, że działa poprawnie ) HUB CISCO2811-HSEC/K9 : Interface tunnel0 ip address 172.20.0.1 255.255.255.0 ! router eigrp 2345 redistribute rip network 10.95.0.0 0.0.0.255 network 172.20.0.0 0.0.0.255 default-metric 10000 100 255 1 1500 no auto-summary eigrp router-id 172.20.0.1 ! router rip version 2 redistribute eigrp 2345 metric...
Źródło: ccie.pl/viewtopic.php?t=12092
Temat: DMVPN, certyfikaty i "revocation-check crl"
Witam, Mam skonfigurowany DMVPN dzialajacy w oparciu o certyfikaty generowane OpenSSLem.
Źródło: ccie.pl/viewtopic.php?t=8457
Temat: HELP !!!
It all depends what type of tunnels you are using, but DMVPN and EzVPN does not require static IP on client side, just on server.
Źródło: ccie.pl/viewtopic.php?t=4969
Temat: VPN+MPLS+hardware
...Klasa A w kazdym oddziale czy może inne rozwiazanie?? ja mam "na pudelkach" tzn na routerach ;> koszt wejscia mpls'a zawsze jest spory -> inwestycja dla operatora (czyt. budowanie infrastruktury o ile jej nie ma, zakup sprzetu, etc etc) profity beda dopiero po renegocjaji umowy pewnie po 2-3 latach pozatym MPLS w wydaniu - stawiam sobie "MPLS" na laczu internetowym, to nie jest MPLS ;) lepiej juz rob dmvpn czy jakis statyczny s2s gre na ipsecu pewnie wyjdzie taniej, ale bez sla, qos'a etc V.
Źródło: ccie.pl/viewtopic.php?t=10770
Temat: Zdaje ktos lab security w lipcu?
btw. z czego sie przygotowujecie ? 1. IE (juz nie produkowany ) Owszem mamy brak nieco nowszych features jak dmvpn, ipsec redundancy, ale ciągle jeden z lepszych wyborów, i K**wa szkoda, że dali sobie spokój
Źródło: ccie.pl/viewtopic.php?t=853
Temat: Cisco Forum 2010
Drobny feedback z tego co widziałem, z czym miałem styczność (oczywiście pokrywające się z oficjalnycm feedback'iem) Merytorycznie: - Zagadki Rolnicze cz. II by K. Staniek - fajna sesja pokazująca problem, drogę do rozwiązania i rozwiązanie. Bardzo fajnie poprowadzona. 5/5 - VPN w sieciach WAN - Bardzo dobry poziom. Fajny wstęp Rafała, świetna część o DMVPN Koniec nie trafił w mój gustu, kiedy to Adam przy każdym zdaniu powtarzał, jaki to GET jest super w porównaniu do reszty. Miało być śmiesznie... Super, że Maciek i Rafał to słusznie podsumowali. Ogólnie bardzo dobry poziom i jedna z pierwszych sesji prowadzonych w zespole, która fajnie się udała 5/5 - Sesja BoF pierwszego dnia - fajnie było posłuchać przy piwie opowieści o SPT, OTV i kilku innych związanych z wirtualizacją, od...
Źródło: ccie.pl/viewtopic.php?t=10291
Temat: cisco 1812
To o czym Ci powiedzieli topewnie wlasnie HSRP. Jesli chodzi o IPSeca to DMVPN chyba spelni twoje oczekiwania ale niech to ktos potwierdzi. Ja powtorze jeszcze raz...zainteresuj sie ASA 5505 Security Plus. Jak juz bedzie dostepna to zmiescisz sie z 2 szt. w 8k pln a dodatkowo jak kiedys dokupisz modul bedziesz mial sporo fajnych bajerow...
Źródło: ccie.pl/viewtopic.php?t=2456
Temat: Studia Praca Inżynierska z Ipseca/VPN
Jezeli: - siec korporacyjna - urzadzenia cisco - zdalne lokalizacje - ipsec To chyba powinnismy rozmawiac wylacznie o DMVPN a nie o waniliowym IPsec'u. Jakiej dokladnie ksiazki o QoSie szukasz? Jezeli designer'skie aspekty to proponuje ksiazki do CCDA/CCDP. Jezeli sprawy implementacyjne to "configuration guide" na stronach Cisco. PIX niestety tylko jako jako serwer RA IPsec i Lan to Lan moze robic. Chociaz mozna pomyslec nawet o przepuszczeniu OSPF'a przez zestawiony IPsec (oczywscie nie po multicast'cie)...
Źródło: ccie.pl/viewtopic.php?t=10278
Temat: DMVPN, Spoke-to-Spoke (RSA) + EzVPN Server na Spoke'u
Witam, Stanalem przed problemem dolozenia do (dzialajacej) konfiguracji DMVPN Dual HUB, Spoke-to-Spoke (autoryzacja za pomoca certyfikatow) uslugi EzVPN Server na jednym ze spoke'ow (uzytkownicy autoryzuja sie za pomoca loginow i hasel w grupach VPN). Wydaje sie, ze wszystko skonfigurowalem OK - tzn EzVPN serwer dziala, Spoke'i lacza sie do Huba natomiast przestaly mi dzialac polaczenia pomiedzy Spoke'ami (na kazdym jest ustawiony multpoint gre - wczesniej dzialaly, po zainicjowaniu ruchu pomiedzy Spoke'ami). Ponizej...
Źródło: ccie.pl/viewtopic.php?t=6507
Temat: sh config i VPN przez pptp jak to przepuscic
Seba slabo przekonujesz do tej nudnej dokumentacji.Moze inaczej, bardziej lirycznie, moze wskazówka od wieszcza. Nie mam czasu na tworczosc literacka -> rozkladam DMVPN na atomy A kolega dostal juz wlasciwie wszystkie wskazowki potrzebne do wykonania konfiguracji... czy tutaj na forum, czy tez na GG W skrocie: 1 - zrob static 1 do 1 dla tego serwerka static (inside,outside) 192.168.1.2 192.168.1.2 netmask 255.255.255.255 2 - access-list na outside ustaw poczatkowo na "permit ip any any", a jak zadziala, to zacznij zaciesniac ACL zgodnie z przedstawionymi w tym watku zaleceniami 3 - ustaw static...
Źródło: ccie.pl/viewtopic.php?t=3869
Temat: MPLS i L3 VPN na CCIE RS lab
seba ja przeciwny nie jestem a link to tak informacyjnie Na bootcampie Narbik wspominał że z tego co widzi to FR zostanie przez MPLS'a na labie zastąpiony prędzej czy później PS już chciałbym DMVPN zamiast PPPoFR
Źródło: ccie.pl/viewtopic.php?t=8878
Temat: ISAKMP certyfikaty.
...da sie tez z tego trustpointa enrolnac nic ... 5. B: crypto pki trustpoint S-CA enrollment url http://172.3.0.99:80 revocation-check none rsakeypair S-CA ! crypto pki authenticate S-CA crypto pki enroll S-CA 6. A: crypto pki server S-CA grant 1 W efekcie mam to samo co mialem, czyli 2certy na spoke, jeden na hub i na hub ta nieszczesna informacja jak tylko podnosze iface tunelowy od DMVPN.
Źródło: ccie.pl/viewtopic.php?t=5594
Temat: ISAKMP certyfikaty.
Witam Probuje skonfigurowac DMVPN w oparciu o certyfikaty. I tak mam: - router A 1812-advipserv - jako CA certificate server oraz jako hub w
Źródło: ccie.pl/viewtopic.php?t=5594
Temat: problem z VPN z jednej strony
Działać powinno bo routing sobie z tym poradzi. Ostatnio konfigurowalem dmvpn i dawałem tryb transparentny, no ale jeśli chcesz chować sieci wewnętrzne to w sumie ok. Transparentny??? A moze jednak transportowy
Źródło: ccie.pl/viewtopic.php?t=6181
Temat: pytanie o EIGRP w DMVPN[solved]
W tym Twoim przypadku - z EIGRP - to tak jak napisałeś - "no ip next-hop-self eigrp". Ogólnie możesz jeszcze zainteresować się DMVPN Phase 3 ("ip nhrp shortcut" i "ip nhrp redirect"). Przykładowy dokument masz tutaj: "Migrating from Dynamic Multipoint VPN Phase 2 to Phase 3" http://www.cisco.com/en/U...hite_Paper.html
Źródło: ccie.pl/viewtopic.php?t=11110
Temat: Interface Goodbye received
- problem wystapil po dodaniu do topologii 128 spoke-a (wtedy tunele padaly i wstawaly non stop powodujec rowniez wdzwanianie backupu) gdzies czytalem ze cisco chwali sie ze dmvpn chula na 1000 spokach- hehe.
Źródło: ccie.pl/viewtopic.php?t=5773
Temat: windows 2008 CA / pki dla vpn
hej, czy ktos się może bawił w PKI opartym o win2008 CA (z usługą NDES) na potrzeby VPN (miedzy IOS 15.0(1)M2 a IOS-XE 12.2(33)XNF1 ? konfiguruje DMVPN z wykorzystaniem certyfikatów i jak postawie CA na IOS wszystko śmiga bez problemowo. Problem zaczyna się gdy za CA robi win2008. przykładowo: 1) server ma wszystkie klucze dl. 1024 Routery mają klucze defaultowe (tworzone 512 przy enroll) wszystko smiga 2) server ma wszystkie klucze dl. 1024 Routery maja klucze usage-key z label (1024) i w trustpoint definiuje jaki klucz ma wykorzystac ASR jak i router pokazuje ze niby...
Źródło: ccie.pl/viewtopic.php?t=12111
Temat: redundancja po GPRS
DMVPN przydaje się w przypadku, gdy oddziały mają mieć bezpośrednie połączenia między sobą. Jeśli nie, to zaoszczędzisz trochę klepania i pasma robiąc zwykłe RA (DVTI lub EZVPN). A jak jest problem z zasięgiem to się dostawia porządną antenę lub schodzi na starszy i wolniejszy tryb transmisji.
Źródło: ccie.pl/viewtopic.php?t=12066
Temat: VPN over IPv6
Może to: Cisco Virtual Office-Deploying DMVPN for IPv6 Anyconnect Enabling IPv6 VPN Access IPv6@Cisco
Źródło: ccie.pl/viewtopic.php?t=10217
Temat: DMVPN i EIGRP
Jestes juz ktoras z kolei osoba, ktora ma ten sam problem. Sam to kiedys zglebialem i o ile w labie wszysto dziala pieknie, to efekt skali powoduje czeste flapowanie. Czytalem na roznych forach ze to ludzią nie dziala. Z drugiej strony cisco chwali się ze DMVPN dziala dla 1000 spokow i wiecej. Jak masz topologię double hub&spoks to jak to skonfiugrowales: oba tunele do hubow w tej samej podsieci kazdy z tunelow w innej podsieci czy jakos inaczej? huby synchronizuja sie poprawnie ze spobą po NHRP?
Źródło: ccie.pl/viewtopic.php?t=5632
Temat: LAB CCSP / CCNP
Sugeruję zamienić ASA5505 na 5510. Trochę inaczej się je konfiguruje, a przy certach będziesz miał 5510 lub mocniejsze. 2960 wywal, zbędne. Zamiast tego pomyśl o przynajmniej jeszcze jednym routerze (sugerowane 2, jeśli starczy Ci kasy). HWICów w sumie potrzebujesz minimum 3, żeby przetestować np. DMVPN. Dzięki temu rzeczywiście zobaczysz, jak działa routing, redystrybucje, GRE multipoint itp. Jako terminal serwer może robić cokolwiek, stare 2500, digilab, nie musi być Cisco. Oszczędź na switchu do separowania tego wszystkiego. To się da zrobić na 3560 (tak się zresztą robi przy nauce do ccie).
Źródło: ccie.pl/viewtopic.php?t=12087
Temat: pppoe, dialer i DMVPN
sieć LAN ------ (tunel 0) ------LAN gdzie tunel 0 jest chroniony profilem IPsec Stworzyłem sieć WAN używając kilku cisco 1800 i 2800 jako huba - DMVPN. Na jednej z lokalizacji mam cisco 1800 z zestawionym do netii pppoe bba-group pppoe global sessions per-mac limit 1 ! ! interface Dialer1 description ADS Wan Dialer ip address negotiated ip access-group dostepzinternetu in ip access-group bogonnetworks out no ip unreachables ip accounting output-packets ip mtu 1488 ip nat enable ip...
Źródło: ccie.pl/viewtopic.php?t=8037
Temat: DMVPN EIGRP problem
- Jak nie chcesz, aby spokes gadaly ze soba to po co Ci DMVPN? - Pokaz konfiguracje routingu - chyba nie powiedziales wszystkiego o topologii (np. linia ip nhrp map <tunnel ip> <PIX nated> )
Źródło: ccie.pl/viewtopic.php?t=4725
Temat: co dalej?
garfield, czy to robisz sobie jakiegoś laba, czy też gdzieś na "produkcji"? Pytam, ponieważ jakis czas temu zastanawiałem się, żeby to drożyć w firmie dla zestawienia vpn'ów site-to-site przez internet. Tylko skoro przez internet, to gdzie ma stać CA? nawet jeśli wystawię to CA gdzieś w dmz i zabetonuję ACL"kami, IPS'ami, HIPS'ami itd... (nie mam dmvpn'ów), to i tak 'unencrypted enrollment over Internet' nie jest chyba rzeczą zbyt często używaną - nie spotkałem się z jakimiś opiniami. Dodatkowo jak posiadasz microsoftowe CA w firmie to pewnie jest w domenie, więc trzeba by oddzielną maszynę (lub wirtualkę) stawiać, co by była tylko od zestawiania vpn'ów i żeby była podrzędnym CA do tego głównego. W sumie lepiej aby takie coś nie było w domenie, nie wiem czy chciałbym...
Źródło: ccie.pl/viewtopic.php?t=9654
Temat: DMVPN + EzVPN
Witam, czy ktoś mógłby rzucić okiem na moj konfig czy wszystko z nim ok. Probuje zasymulowac siec dmvpn hub&spoke na symulatorze 7200.
Źródło: ccie.pl/viewtopic.php?t=3156
Temat: Interface Goodbye received
Gangrena, w odpowiedzi ktora udzielilem napisalem: Jest jeszcze mozliwosc ze do eigrp wzocone sa linki zewnetrzne i sieci wewnetrzne i tunel opada i podnosi sie. czyli dokladnie to co wskazales w linku, z tym ze jak zwykle nie chcialo mi sie rozpisywac (jak zwykle zreszta ) Z tym bandwith, hmm. spotkalem sie z tym ze w dmvpn nalezalo zwiekszyc ta wartosc na int tunelu. Wartosc ta nie tylko wplywa na qos, jak widac rowniez na routing EIGRP will use up to 50 percent of the bandwidth of a link, as defined by the bandwidth interface configuration command. This command may be used if some other fraction of the bandwidth is desired. Note that values greater than 100 percent may be configured. The configuration option may be useful if the bandwidth is set artificially low for other...
Źródło: ccie.pl/viewtopic.php?t=5773
Temat: IPSEC
...key xxx address 0.0.0.0 crypto isakmp keepalive 10 ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto map vpn 10 ipsec-isakmp set peer 194.9.67.218 set transform-set myset match address acl_any ! crypto map vpn 20 ipsec-isakmp set peer 217.153.171.50 set transform-set myset match address acl_any ! Zastanawialem sie jeszcze nad mGRE i Dynamic Multipoint VPN ( DMVPN), ale dwa wczesniej wymienione rozwiazania wydaja sie latwiejsze.
Źródło: ccie.pl/viewtopic.php?t=2975
Temat: Technologie VPN
Hej, ponadto to co wskazales wdrazam w miare czesto u klientow rowniez: EasyVPN, DMVPN (mGRE i p2p GRE) Jakie rozwiazanie zalezy w zasadzie od wymagan klienta i odpowiednio dobranej platformy. Pozdrawiam!!
Źródło: ccie.pl/viewtopic.php?t=8746
Temat: NHRP exploit
HOLA HOLA PEPER !!!!!!!!!!!!!! pomimo, że cie w sumie nie znam, to zawsze szanowałem i szanuje to co pisałeś na forum ale po to co robisz ostatnio to ciśnie mi się komentarz, który muszę wyrazić. XIS wyslal wczoraj linka z opisem buga NHRP i kod w C ktory korzystal z tej podatnosci. Praktycznie pomijajac struktury GRE i NHRP to kilka linijek textu. Atak to DOS- clue: nie wazne jakie key na gre jakie haslo- atak to wywalenie sesji DMVPN. NO i co zrobiłeś usunąłeś tą informacje!!! To co wkleiles to opis protokolu NHRP i nr buga- jak to sie ma do info od xis- nijak- roznie dobrze mogles skasowac caly topic. 1. dlaczego?, nie wiem czy masz jakies układy z cisco. Ja uwazam ze zamieszczenie dokładnych informacji o luce w bezpieczenstwie nie jest nielegalne czy nieetyczne 2. info o bugach i ich rozgłaszaniu wg mnie pomaga na ich szybkie usuwanie, lepiej o nich pisać niz...
Źródło: ccie.pl/viewtopic.php?t=4454
Temat: redundancja po GPRS
To co proponujesz w takim wypadku? Myślisz, że bardziej opłaci się DMVPN ? Chodzi o zapewnienie dodakowego łącza dla oddziałów.
Źródło: ccie.pl/viewtopic.php?t=12066
Temat: Hub and spoke + dynamic routing
czyli taki VPLS fajne to ale i tak każda firma będzie szyfrować sama ze względów na security a wtedy się używa np DMVPN'a, dynamiczny protokół routingu odpali bo jest wtedy szybkie przełączenie na np backupowe łącze (statici są toporne i nie skalowalne)
Źródło: ccie.pl/viewtopic.php?t=6046
Temat: IPSec VPN na dynamicznym adresie
DMVPN ale to tez Cisco... http://www.cisco.com/univ...13/ftgreips.htm
Źródło: ccie.pl/viewtopic.php?t=2068
Temat: redundancja po GPRS
a jaki masz sprzet na oddzialach? gprs to ciut leciwe... skoro i tak masz kupic karty 3g do routerow to lepiej sie zastanowic nad operatorem, ktory w Twoich lokalizacjach ma jakis hsdpa czy cos w te desen. Nie potrzebujesz publicznego ip na spoke'ach - zrob sobie porzadnie centrale tzn. 2 lacza, jakies bgp najlepiej do tego i jesli masz odpowiedni sprzet skorzystaj z dmvpn - dual hub and spoke.... mozesz tez zrobic 2 instancje
Źródło: ccie.pl/viewtopic.php?t=12066
Temat: VPN+MPLS+hardware
Hej, jak za pomoca prawdziwego MPLS to taka usluge oferuja operatorzy (zwana jest: Layer 3 VPN), wowczas dostarczaja oni takze urzadzenia i ty dostajesz port Eth/FastEth/Gig. Predkosc lacza zalezy od danej lokalizacji, zwykle jest to lacze symetryczne, ale nie zawsze. Gdybys jednak chcial sam to zrobic przy pomocy klasycznych VPN bez operatora (a u ISP tylko zamowic lacza) to dobrym rozwiazaniem beda routery 1841 do oddzialow, a 2851 do centrali. Technologia: DMVPN (mozliwe dynamiczne IP w oddzialach). Pozdrawiam!
Źródło: ccie.pl/viewtopic.php?t=10770
Temat: Oferta pracy firma IT dla CCNA/CCNP
...• bardzo dobra znajomość technologii i protokołów używanych w sieciach LAN (VLAN, spanning-tree, itp.), • znajomość technologii sieci WAN (ISDN, DSL, Frame Relay,), • doświadczenie w konfiguracji urządzeń firmy Cisco (switche, routery, ASA, telefonia IP), • dobra znajomość protokołów dynamicznego routingu (OSPF, EIGRP, itp.), • dobra znajomość IPSec oraz konfiguracji tuneli VPN (L2L , EzVPN , DMVPN) • dobra znajomość zagadnień związanych z bezpieczeństwem systemów oraz sieci - firewall, VPN , autoryzacji użytkowników • dobra znajomość języka angielskiego • mile widziane CCNA lub CCNP • prawo jazdy kategorii B. • mile widziana znajomość środowiska serwerów Windows Najchętniej chcielibyśmy zatrudnić kogoś na stałe, wówczas jednak wiązałoby się to z zadaniami...
Źródło: ccie.pl/viewtopic.php?t=8006
Temat: przygotowanie do egzaminu ?
nie chcialem nikogo urazic tylko dac do zrocumienia ze CCIE lab test jest latwy jak sie w tym pracuje. ja zdawalem security z ccie i pytania jakie milame to 70% pomoglo mi ze pracuje w IT security, takze pytania jak DMVPN, Network attacks, ASA mutiple context, PIX transparent, IDS, IDS custom signatures, i identity management nie byly dla mnie obce. Sam jak wspomnialem w moim email daje duzo szacunku dla www.ccbootcamp.com i www.proctorlabs.com poniewaz nie stac by nikogo z nas bylo na CCIE security equipment, a tam za $30 na 6 godzin mozesz sobie wynajac virtual racks. Co jeszcze proponuje jest http://www.securityie.com/ ktore jest zajebiste forum wszystko tam...
Źródło: ccie.pl/viewtopic.php?t=3671
Temat: Lab do Security
...rack po 11,5h z Internetwork Expert, z pelna topologia (6 rtr, 2 sw, vpn3k, pix515, 2*ASA5510, IPS, serwer ACS/CA/Syslog, test PC; no i w topologii sa 3 backbone routers)... Dla testowania pojedynczych rzeczy emulatory powinny byc ok, tylko jak pokazuje zycie i problemy niektorych z kolegow i kolezanek przedstawiane na tym forum, czasami rzeczy oczywiste moga nie dzialac poprawnie, a co dopiero jak zaczniemy rzezbic w bardziej zaawansowanych rzeczach jak np. DMVPN, skomplikowane zabawy z NAT czy CBAC. Tyle na poczatek...
Źródło: ccie.pl/viewtopic.php?t=4371
Temat: VPN bez NATa .. i nie wszystko lata :(
hmmm... pomysl pewnie dobry, jest tylko jedno male ale - Cisco, zaczelem sie bawic ledwie tydzien temu i konfiguracja, ktora przedstawilem to chyba na chwile obecna szczyt moich mozliwosci DMVPN ?, SPOKE ?, EIGRP ?! - nie znam tych slow Potrzebowalbym bardziej lopatologicznego wyjasnienia .... idee loopback'u jeszcze jestem w stanie pojac, wiec chyba z tym pokombinuje. Jesli ktos chcialby pomoc, to moze pomocne bede dodatkowe informacje, ktore zaobserwowalem: - host 172.23.48.47 odpowiada na zapytania clientow VPN - z sieci 172.23.49.0 moge spokojnie pingac clientow VPN - z sieci 172.23.48.0 pingi nie dochodza do vlientow...
Źródło: ccie.pl/viewtopic.php?t=8497
Temat: ISAKMP certyfikaty.
...1825 lifetime enrollment-request 24 cdp-url flash:S-CA.crl database url flash: ! crypto pki trustpoint S-CA revocation-check crl rsakeypair S-CA ! ! crypto pki certificate chain S-CA certificate ca 01 30820209 ... crypto isakmp policy 10 ! ! crypto ipsec transform-set S-STRONG esp-aes 256 esp-sha-hmac mode transport ! crypto ipsec profile S- DMVPN set transform-set S-STRONG set pfs group2 ! ! ! ! ! interface Tunnel0 ip address 10.0.0.1 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 1 ip nhrp authentication s-caca ip nhrp map multicast dynamic ip nhrp network-id 99 ip tcp adjust-mss 1360 no ip split-horizon eigrp 1 tunnel source FastEthernet0...
Źródło: ccie.pl/viewtopic.php?t=5594
Temat: ios licencje
Liczyłem dodatkowo na to, że cisco wreszcie przestanie licencjonować moim zdaniem podstawową funkcjonalność jak chociażby Standard IP Security (IPSec), Dynamic Multipoint VPN ( DMVPN) jak to jest u konkurencji.
Źródło: ccie.pl/viewtopic.php?t=12074
Temat: Sprzedam 2610
...- Dynamic Subnet Allocation API DHCP Client on WAN Interfaces DHCP Secured IP Address Assignment Dialer CEF Dialer Persistent Dialer Watch Connect Delay Diffie-Hellman Group 5 Digital J1 Voice Support Direct Inward Dial (DID) Distinguished Name Based Crypto Maps DLR Enhancements: PGM RFC-3208 Compliance DTMF Events Through SIP Signaling DTMF Relay for SIP Calls Using Named Telephone Events (NTE) Dynamic Multipoint VPN ( DMVPN) Phase 1 Easy VPN Remote Enhancements Easy VPN Server Encrypted Vendor Specific Attributes Enhanced Codec support for SIP using Dynamic Payloads Enhanced G.168 Echo Cancellation Enhanced ITU-T G.168 Echo Cancellation Enhanced Packet Marking Enhanced Password Security Enhanced Tracking Support Exporting and Importing RSA Keys Fast Fragmentation (Fast-Switched Fragmented IP Packets) Firewall...
Źródło: ccie.pl/viewtopic.php?t=908
Temat: 24-27 lipca Serock
...Usługi w sieciach (DHCP, NAT, HSRP/VRRP/GLBP) 16:00 – 16:50 - Lab #3 17:00 – 17:50 – Usługi bezpieczeństwa w routerach z Cisco IOS 18:00 – 18:50 – Lab #4 19:00 – 19:50 – Mechanizmy QoS w routerach z Cisco IOS 20:00 – 20:50 – Lab #5 Ten dzień skończyliśmy po 23 (w związku z opóźnieniami). 26.07: 08:00 – 08:50 – VPN – wprowadzenie (IPsec, IPsec+GRE, IPsec VTI, DMVPN, SSL VPN) 09:00 – 09:50 – Konfiguracja IPsec (+GRE, +VTI, +
Źródło: ccie.pl/viewtopic.php?t=4300
Temat: Interface Goodbye received
1. Topologia DMVPN - hub and spoke (w redundancji 2xhub) 2. Konfiguracja W konfiguracji jak wyzej posiadam IP-EIGRP(0) enabled on 7 interfaces, 274 neighbors present on 5 interfaces per hub 3. Problem Co jakis czas w logu widze jak ok 50 - 70 Neighbors is down "Feb 19 09:04:04.441 CET: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 100: Neighbor 10.3.1.4 (Tunnel1) is down: Interface Goodbye received" nastepnie za moment mam ponizszy log...
Źródło: ccie.pl/viewtopic.php?t=5773
Temat: Role Based CLI
...cpu Show c1800 information crypto Encryption module dampening Display dampening information data-corruption Show data errors debugging State of each debugging option decnet DECnet information derived-config Derived operating configuration dhcp Dynamic Host Configuration Protocol status diag Show diagnostic information for port adapters/modules dialer Dialer parameters and statistics dlsw Data Link Switching information dmvpn Display
Źródło: ccie.pl/viewtopic.php?t=12026
Temat: DMVPN EIGRP problem
Spokes nie komunikuja sie po eigrp dostaja tylko default route z huba - chyba dlatego ze nie ma no split-horizon w konfiguracji tunelu <pix ip nated> to zwykly statyczny nat na pix ktory zamienia adress <pix ip nated> na address tunnel source FastEthernet0/1 wiec tu nie powinno byc zadnego problemu jesli chodzi o routing protocol to zwykly eigrp 10.0.0.0 i static route 0.0.0.0/0 redistributed przez eigrp dla DMVPN oraz default passive oprocz tunnelu. Hub ma pelna routing table a spokes tylko default Moze zmienic ustawienia bandwidth na interfejsie dac wiecej bo tych tunneli aktualnie naliczylem ... okolo 70 ?
Źródło: ccie.pl/viewtopic.php?t=4725
Temat: przygotowanie do egzaminu ?
Jak wiesz o co chodzi i pracujesz z tym na codzien to zdasz. Przygotowanie to pare dni przed testem powtorzenie komend i tyle. Jak ja sie uczylem na swoj to dwa/trzy weekendy przed wynajalem virual racks i robilem wlasne scenarios uzywajac IPS, DMVPN, Itentity management, etc. Strasznie lube www.ccbootcamp.com, albo www.proctorlabs.com w ccbootcamp za $30 masz 6 godzin access do rack ktora ma wszystko, w proctor labs to samo tylko za $45.
Źródło: ccie.pl/viewtopic.php?t=3671
