CCIE Security na kompie :) Temat rozwiązany

VIRL, Dynamips, Boson NetSim, Packet Tracert, Olive, UNL, EVE-NG
Wiadomość
Autor
horac

#46

#46 Post autor: horac »

Po za tym jak sie ma plyte glowna z vt-d to mozna robic takie rzeczy

Kod: Zaznacz cały

ciscoasa# show port-channel summary 
Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        U - in use      N - not in use, no aggregation/nameif
        M - not in use, no aggregation due to minimum links not met
        w - waiting to be aggregated
Number of channel-groups in use: 1
Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
1      Po1(U)            LACP    Gi1(P)   
ciscoasa# 
ciscoasa# 
ciscoasa# 
ciscoasa# ping 172.16.5.1           
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2 seconds:
!!!!!

ciscoasa# show interface gi1
Interface GigabitEthernet1 "", is up, line protocol is up
  Hardware is i82574L rev00, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
        Input flow control is unsupported, output flow control is off
        Active member of Port-channel1
        MAC address 0025.90a5.d95b, MTU 1500
        IP address unassigned
        693 packets input, 61844 bytes, 0 no buffer
        Received 42 broadcasts, 0 runts, 0 giants
        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
        0 pause input, 0 resume input
        0 L2 decode drops
        69 packets output, 8352 bytes, 0 underruns
        0 pause output, 0 resume output
        0 output errors, 0 collisions, 0 interface resets
        0 late collisions, 0 deferred
        0 input reset drops, 0 output reset drops
        input queue (blocks free curr/low): hardware (255/240)
        output queue (blocks free curr/low): hardware (255/252)

CCIE-SW#show etherchannel summary 
Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port


Number of channel-groups in use: 1
Number of aggregators:           1

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
1      Po1(SU)         LACP      Fa0/16(P)   

ciscoasa# show interface gi1
Interface GigabitEthernet1 "", is up, line protocol is up
  Hardware is i82574L rev00, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
        Input flow control is unsupported, output flow control is off
        Active member of Port-channel1
        MAC address 0025.90a5.d95b, MTU 1500
        IP address unassigned
        693 packets input, 61844 bytes, 0 no buffer
        Received 42 broadcasts, 0 runts, 0 giants
        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
        0 pause input, 0 resume input
        0 L2 decode drops
        69 packets output, 8352 bytes, 0 underruns
        0 pause output, 0 resume output
        0 output errors, 0 collisions, 0 interface resets
        0 late collisions, 0 deferred
        0 input reset drops, 0 output reset drops
        input queue (blocks free curr/low): hardware (255/240)
        output queue (blocks free curr/low): hardware (255/252)
Przekazac interfejs fizyczny przez pass-trough do ASA i miec pelna funkcjonalnosc

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

#47

#47 Post autor: PatrykW »

Jak ktos stawia vmware to jest oczywiste posiadanie pelnego wsparcie sprzetowego VT-d/VT-x :)

Inaczej sensu by nie bylo inwestowac w cos co nie bedzie spelnia podstwowe zalozenia :)
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

horac

#48

#48 Post autor: horac »

No ale jeden z kolegow uwaza ze lepiej kupic pudla i byc wyeksmitowanym przez zone z domu z powodu halasu :wink:

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

#49

#49 Post autor: lbromirs »

W warunkach domowych, nic nie pobije możliwości posiadania sprzętu na etapie, gdy trzeba się go nauczyć, albo wykorzystuje się funkcje (lub mierzy charakterystyki), które są dramatycznie inne lub wręcz niemierzalne na instancji programowej.

Wirtualizacja jest świetna dla małych labów, ale pokazuje potęgę przy szybkim budowaniu środowisk, symulacji całych środowisk (3000+ routerów? a proszę...) czy też zautomatyzowanych testach.

Zrozumienie OTV, VPLSa czy VPC wymaga sprzętu i godzin spędzonych w laboratorium.

Swoją drogą, IS-ISa też...

horac

#50

#50 Post autor: horac »

No dlatego najlepiej laczyc wirtualizacje z fizycznymi pudlami. Ale to co mozna zwirtualizowac bez utraty funkcjonalnosci to warto zrobic. Przykladowo ASA z fizycznymi interfejsami z pominieciem vswitcha to praktycznie to samo co bare metal. Elastycznosc polega na tym ze mozna te zonglowac Kartami miedzy wirtualkami.

Niestety nie wszystko dziala z vswitch, na przyklad Failover active/active badz zwykly multicontext z shared interface nie dziala. Przy wlaczeniu auto mac labo zmianie recznej MACa siada caly data plane nie da sie wtedy nawet zapingowac interfejsu ASA. Natomiast to samo po pass-trough i fizycznym dopieciu karty sieciowej pod interfejsy ASA + 3560 dziala bez problemu. Takze warto laczyc rozwiazania pudelko + wirtualki, zwlaszcza gdy chodzi o laby domowe.

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

#51

#51 Post autor: PatrykW »

horac pisze:No ale jeden z kolegow uwaza ze lepiej kupic pudla i byc wyeksmitowanym przez zone z domu z powodu halasu :wink:
Bez sens kupowanie racka z suszarka do wlosow. Da sie to zrobic po cichu.
Wystarczy pomyslec, samemu zbudowac serwer.

Ja mam Xeon E3/32GB/10 TB macierz w RAID6/ na przemian z 60 VM.

Calosc ciagnie 100/110W. W obudowe tower (fractal design) jest cicho i fajne.

A fajne jest to, ze wystarczy miec zewn IP (np vectra) i masz z kazdego miejsca dostep do laba :)

Ost siedzialem w pociagu i cos tam gmeralem :)

Do poznania wszystkiego co jest dostepne w wersji trial, interfejsc, CLI itd itp w sam raz.
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#52

#52 Post autor: mihu »

testowaliscie moze dyski SSHD? Zastanawiam sie jak sie mogą sprawdzać w domowym serwerze (VMWRE lub file server).
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

horac

#53

#53 Post autor: horac »

mihu pisze:testowaliscie moze dyski SSHD? Zastanawiam sie jak sie mogą sprawdzać w domowym serwerze (VMWRE lub file server).
Nie trenowalem, ale gdyby SSD nie byly takie drogie nie wiem czy w ogole mialbym HDD. Jednak SSD speedem wymiata. Na 4 HDD spietych w RAID 3 nie moge wyciagnac tego samego co na pojedynczym SSD. Tylko ze uzywam Storage Pool na w2012 wiec to RAID softwareowy ale 100Mb zapis odczyt ciagnie.

Dlatego maszyny ktore malo zajmuja siedza na SSD a ACSy i inne pozeracze miejsca na dysku na iSCSI

Jak przetrenujesz SSHD daj znac chetnie sie dowiem jak to bangla wydajnie

Marek607
wannabe
wannabe
Posty: 146
Rejestracja: 02 gru 2014, 10:38
Lokalizacja: Kutno
Kontakt:

#54

#54 Post autor: Marek607 »

EDIT; Fakt, musze doczytać bo nawet o raid 3 nie wiedziałem ;P

SSHD dają coś jeśli mają za sobą ssd robiący jako cache( np. flashcache).
Jako same szału nie robią i niezbyt więcej dają niż zwykłe talerzowce.

Teraz już dyski 256 GB SSD są za 430 PLN, 120 GB za 230 zł więc jest czym szaleć.
Fakt że na typowy storage cena/pojemność to wyłącznie HDD, ale patrząc na szybkość wole 2xSSD w raid1 niż 4xHDD w raid10.
Ostatnio zmieniony 06 mar 2015, 15:41 przez Marek607, łącznie zmieniany 1 raz.

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#55

#55 Post autor: mihu »

horac pisze:
Jak przetrenujesz SSHD daj znac chetnie sie dowiem jak to bangla wydajnie
wlasnie sie zastanwiam, ale nie wiem czy kasa nie w błoto, na początek odkupiłem sobie monitor ;), a teraz bedzie trzeba pomyslec o reszcie sprzetu, mozliwe ze kombinacja SSD 500GB i jakis SSHD, ale najpierw musze zdecydowac sie na cichy i prądo wydajny server.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

horac

#56

#56 Post autor: horac »

mihu pisze:
horac pisze:
Jak przetrenujesz SSHD daj znac chetnie sie dowiem jak to bangla wydajnie
wlasnie sie zastanwiam, ale nie wiem czy kasa nie w błoto, na początek odkupiłem sobie monitor ;), a teraz bedzie trzeba pomyslec o reszcie sprzetu, mozliwe ze kombinacja SSD 500GB i jakis SSHD, ale najpierw musze zdecydowac sie na cichy i prądo wydajny server.
Jak bedziesz mial plyte z IPMI albo innym OOB to nie potrzebny ci monitor. Polecam Supermicro x9drl-3f

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

#57

#57 Post autor: mihu »

horac pisze:
Jak bedziesz mial plyte z IPMI albo innym OOB to nie potrzebny ci monitor. Polecam Supermicro x9drl-3f
dzięki, tania nie jest ale widzę potencjał (2 NICi, IPMI, 64GB mx non-ECC i 256GB ECC!!!), do tego jeszcze musze dobrac wydajny (i pasywny) zasilacz, małą obudowę i troche RAMu (o procku zapomnialem ...)

server będzie tylko do labowania, bo domowy za file/print/media/etc server robi hp ProLiant MicroServer i tylko dyski w nim słychać

Monitor i tak będzie potrzebny do pierwszej konfiguracji, ale kupuję go bo czasem praca na 13" ekranie laptopa ( i tylko jednym) to mało wygodne długofalowe rozwiązanie.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

horac

#58

#58 Post autor: horac »

mihu pisze:
horac pisze:
Jak bedziesz mial plyte z IPMI albo innym OOB to nie potrzebny ci monitor. Polecam Supermicro x9drl-3f
dzięki, tania nie jest ale widzę potencjał (2 NICi, IPMI, 64GB mx non-ECC i 256GB ECC!!!), do tego jeszcze musze dobrac wydajny (i pasywny) zasilacz, małą obudowę i troche RAMu (o procku zapomnialem ...)

server będzie tylko do labowania, bo domowy za file/print/media/etc server robi hp ProLiant MicroServer i tylko dyski w nim słychać

Monitor i tak będzie potrzebny do pierwszej konfiguracji, ale kupuję go bo czasem praca na 13" ekranie laptopa ( i tylko jednym) to mało wygodne długofalowe rozwiązanie.
Jesli wrzucisz procek E5-x to polecam chlodzenie FERA2 dosc tanie chodzi mega cicho. A nazwy obudowy nie pamietam, jestem po za domem wroce to Ci podam na PM.

Zasilacz kup o mniejszej mocy ewentualnie niz ja mam ale polecam Seasonic Platinium ktorego po prostu nie slychac, a ma tryb hybrydowy wiec nawet nie musi sie wiatrak krecic zeby chlodzil. Zasilacz taki dlatego ze ma potrzebne piny. 2x8 + 24 do zasilenia plyty i jest modularny.

RAM do plyty kupisz w esus-it.

horac

#59

#59 Post autor: horac »

Update:

Zwalczylem ASA 8.4 jesli chodzi o Active/Active failover. Niestety Vswitch na ESXi sobie nie radzi, data plane nie dziala w ogole.

Kolejny problem Quad NIC na chispet i350 nie sa widoczne przez ASA 8.4 w opcji pass-trough

Jedyny ratunek.. i na szczescie z sukcesem A/A failover to w7 z quemu +GNS3. Jedyne ograniczenie to max 6 kart po pass-trough. Takze do pelnej topologii CCIE Sec zakladjac 4 ASA i IPS potrzeba 2x windows 7, 2xGNS3 + 2x quemu.

Do tego warto doinstalowac sobie Proset, bo mozna wtedy robic subinterfejsy na w7 i dzierzyc trunk od c3560.

radix
wannabe
wannabe
Posty: 172
Rejestracja: 12 sie 2009, 13:21
Lokalizacja: Warszawa

#60

#60 Post autor: radix »

horac
Czy możesz potwierdzić, że ASA 8.4 w A/A failover działa poprawnie z pass-through na ESXi bez potrzeby GNS/quemu? Przymierzam się do zakupu servera z obsługa VT-D .
Wcześniej pisałeś, że działa
Natomiast to samo po pass-trough i fizycznym dopieciu karty sieciowej pod interfejsy ASA + 3560 dziala bez problemu
a teraz
Kolejny problem Quad NIC na chispet i350 nie sa widoczne przez ASA 8.4 w opcji pass-trough
Rozumiem, że masz różne karty Quad NIC i na niektórych działa pass-through, tak?

Czyli jak dobrze rozumiem są dwie metody na odpalanie ASA 8.4 w A/A
1-pass-through(VT-D) bez GNS/quemu
2-vSwitch na ESXi i GNS/qemu?

ODPOWIEDZ