Comments 36
Спасибо. Лично для меня смысл есть. В Англии, где я в данный момент проживаю, довольно большой спрос на CCIE. А многим системным интеграторам нужны специалисты такова уровня, для получения звания золотого партнерa Cisco например.
CCIE уже мало что значит. И я не могу назвать экзамен сложным, разве что в плане умения быстро набивать много конфигов. Материал там примитивный и довольно базовый.
Я вот как-то наткнулся на совершенно замечательный топик, в котором два CCIE утверждают занятные вещи: supportforums.cisco.com/thread/1002131
Я вот как-то наткнулся на совершенно замечательный топик, в котором два CCIE утверждают занятные вещи: supportforums.cisco.com/thread/1002131
«IP includes TCP/UDP/ICMP but GRE and ESP have their own protocol numbers at the IP layer.»
Человек не понимает, что у TCP, UDP и ICMP тоже есть «their own protocol numbers at the IP layer». TCP — это 6, UDP — 17 и так далее, и они ничем не лучше и не хуже, чем GRE, ESP и так далее. Соответственно, человек не понимает, как устроен стек TCP/IP. А это, между прочим, уровень CCNA, самые основы.
Т.е. два CCIE, поддакивая друг другу, написали бред, который в теории должен оспорить любой CCNA.
Вы увидите, что, разумеется, никогда не сработает ни одно L4 правило, находящееся под «permit ip».
Человек не понимает, что у TCP, UDP и ICMP тоже есть «their own protocol numbers at the IP layer». TCP — это 6, UDP — 17 и так далее, и они ничем не лучше и не хуже, чем GRE, ESP и так далее. Соответственно, человек не понимает, как устроен стек TCP/IP. А это, между прочим, уровень CCNA, самые основы.
Т.е. два CCIE, поддакивая друг другу, написали бред, который в теории должен оспорить любой CCNA.
Надо будет как-то проверить.
Вы увидите, что, разумеется, никогда не сработает ни одно L4 правило, находящееся под «permit ip».
вот они и написали, что «под IP в аксесс-листах подразумевается TCP/UDP/ICMP».
Под IP в ACL понимается, собственно, IP :)
Протоколы L4, будь то TCP или GRE, несущественны.
Барышня написала:
access-list blah permit 47 any any
access-l blah permit 50 any any
access-list blah permit ip any any
Как думаете, от удаления первых двух строк что-нибудь изменится?
Кстати, интересно ещё, как разные циски умеют обрабатывать acl аппаратно
И именно аппаратные особенности разных платформ — главное, чего на мой взгляд не хватает в CCIE.
Вот например для 4500 (в эту категорию обычно включают 4948) пишут:
www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/50sg/configuration/guide/secure.pdf
– For Supervisor Engine 2-Plus to V-10GE, the TCP flag combinations «rst ack» and «syn fin rst»
are processed in hardware. «rst ack» is equivalent to the keyword established. Other TCP flag
combinations are supported in software.
– For Supervisor Engine 6-E, the TCP flag combinations «rst ack», «syn fin rst», «urg» and «psh»
are processed in hardware. «rst ack» is equivalent to the keyword established. Other TCP flag
combinations are supported in software.
Но вы, скорее всего, превысили лимит L4Op для ACL.
И вообще говоря, слово «established» как раз включает в себя все кроме первого SYN. Вы, надеюсь, именно так настраивали?
Established немного вводит в заблуждение, это же не стейтфулл файрволл.
Но ваша задача-то («дропать SYN пакеты») решается ACL из одной строки вида «permit tcp any any established». Всё. Это должно работать аппаратно везде, где хоть что-то может работать аппаратно.
«Established» матчит все кроме SYN без ACK, т.е. входящее соединение не пройдет, а обратка по исходящему — запросто. Грязный, но вполне рабочий хак. Конечно, ни о какой стейтфульности на каталистах речи нет.
к фразе «должен оспорить любой CCNA» вспоминается шутка про вопрос о том, форвардит ли маршрутизатор броадкасты?
CCNA отвечает «нет», CCNP — «да», а CCIE — «it depends» :)
CCNA отвечает «нет», CCNP — «да», а CCIE — «it depends» :)
«коммуникаторa»
Вы меня извините, но я думал, что люди, которые работают с оборудованием Cisco, да еще и сдают на сертификаты, не должны делать таких ошибок.
Вы меня извините, но я думал, что люди, которые работают с оборудованием Cisco, да еще и сдают на сертификаты, не должны делать таких ошибок.
Не совсем понял, что не так. Объясните, если можно в личку, исправлю.
Для меня более привичнa терминалогия свитч и рутер. Слово комуникатор использовал для широкой аудитории хабрахабр.
Для меня более привичнa терминалогия свитч и рутер. Слово комуникатор использовал для широкой аудитории хабрахабр.
Человек проживает в Англии. Ему наверняка привычнее термин «switch». А как принято называть это устройство в России, ему простительно не знать.
Свою CCIE лабу я зарегистрировал на июль 2014
The last day to test for both the Written and Lab v4.0 exams will be June 3, 2014.
А в R&S v5 frame relay, например, уже совсем выкинули, говорят. Так что ваша топология уже немного неактуальна.
Да там много изменений. Мне нравится — неактуальный хлам выкинули, интересного добавили. Плюс новая, третья секция экзамена, судя по описанию, шикарна.
Старый written я уже давно заекспайрил — подумываю в июне в первых рядах сдать письменный v5, а в сентябре на первой же мобильной лабе в МСК — собственно лабу.
И конечно, готовиться надо только на IOU, потому что именно на нем и будет построена конфигурационная часть лабы (TS, разумеется, тоже). GNS3 пора на свалку истории.
Старый written я уже давно заекспайрил — подумываю в июне в первых рядах сдать письменный v5, а в сентябре на первой же мобильной лабе в МСК — собственно лабу.
И конечно, готовиться надо только на IOU, потому что именно на нем и будет построена конфигурационная часть лабы (TS, разумеется, тоже). GNS3 пора на свалку истории.
Хорошая статья. Я сам и многие мои знакомые прошли в свое время похожим путем. Еще пара рекомендаций:
1. GNS3 почему-то гораздо лучше работает в unix-like средах. Есть готовые образы виртуалок для всех распространенных гипервизоров.
2. Есть такой продукт — IOU (IOS on Unix). В отличие от Dynamips+GNS3 это не эмулятор железа, а IOS, собранный из исходных кодов для платформы Linux. Этот продукт был создан в глубинах компании Cisco для внутреннего использования и оттуда разошелся по Интернету. Cisco делает вид, что не знает о его существовании. Продукт интересен тем, что позволяет запустить на одной машине гораздо больше маршрутизаторов (до 20-30), а также есть в версии с эмуляцией многих возможностей коммутаторов. Для отработки заданий из секции Troubleshooting — самое то.
1. GNS3 почему-то гораздо лучше работает в unix-like средах. Есть готовые образы виртуалок для всех распространенных гипервизоров.
2. Есть такой продукт — IOU (IOS on Unix). В отличие от Dynamips+GNS3 это не эмулятор железа, а IOS, собранный из исходных кодов для платформы Linux. Этот продукт был создан в глубинах компании Cisco для внутреннего использования и оттуда разошелся по Интернету. Cisco делает вид, что не знает о его существовании. Продукт интересен тем, что позволяет запустить на одной машине гораздо больше маршрутизаторов (до 20-30), а также есть в версии с эмуляцией многих возможностей коммутаторов. Для отработки заданий из секции Troubleshooting — самое то.
Согласен, что на Unix GNS3 работает лучше, но и у себя на Windows машине я запускал до 15-ти рутеров, что меня устраивает. С IOU работать, пока что не приходилось. В новой RS они убрали Frame-Relay, FRTS, LFI, ZBF, IPS, RSVP, WCCP и добавили IOS-XE, VSS, ISIS, L2VPN, GETVPN.
Внесу свои 5 копеек.
1. Лаба переходит на пятую версию, так что большая часть статьи уже почти неактуальна.
2. GNS3 на данный момент плохо подходит для эмуляции большого числа маршрутизаторов 37xx, которые как раз и нужны для подготовки. Дело в драйвере сетевого адаптера FastEthernet Gt96k. При достаточно большом количестве таких адаптеров в виртуальной лабе, а это как минмум 14 роутеров 3725 для топологий INE, порты просто начинают блэкхолить трафик. Вы тратите уйму времени на поиск такого порта, делаете на нем shutdown / no shutdown, и все опять работает! Но при этом, в другом месте на вашей лабе точно так же сломался другой порт. В итоге, вместо того чтобы заниматься, вы носитесь по лабе в поисках очередного повисшего Gt96k. Известная проблема dynamips.
3. Недавно gns3.net проводил сбор средств, обещая много вкусных изменений, и, внимание, добавить поддержку эмуляции L2 коммутаторов на достаточном для сдачи NP RS/IE RS уровне. Правда, через L2IOU. Но что из этого выйдет, пока судить рано. Пруфы здесь: gns3.crowdhoster.com/become-an-early-release-member
1. Лаба переходит на пятую версию, так что большая часть статьи уже почти неактуальна.
2. GNS3 на данный момент плохо подходит для эмуляции большого числа маршрутизаторов 37xx, которые как раз и нужны для подготовки. Дело в драйвере сетевого адаптера FastEthernet Gt96k. При достаточно большом количестве таких адаптеров в виртуальной лабе, а это как минмум 14 роутеров 3725 для топологий INE, порты просто начинают блэкхолить трафик. Вы тратите уйму времени на поиск такого порта, делаете на нем shutdown / no shutdown, и все опять работает! Но при этом, в другом месте на вашей лабе точно так же сломался другой порт. В итоге, вместо того чтобы заниматься, вы носитесь по лабе в поисках очередного повисшего Gt96k. Известная проблема dynamips.
3. Недавно gns3.net проводил сбор средств, обещая много вкусных изменений, и, внимание, добавить поддержку эмуляции L2 коммутаторов на достаточном для сдачи NP RS/IE RS уровне. Правда, через L2IOU. Но что из этого выйдет, пока судить рано. Пруфы здесь: gns3.crowdhoster.com/become-an-early-release-member
Смотрю на аватарку коммента выше и думаю — когда я успел это все написать??
не проще устроится в контору где все это железо и навыки используются, и эффективно совместить приятное с полезным?
Sign up to leave a comment.
Подготовка к CCIE лабе в домашних условиях