Porównaj ceny domen i usług IT, sprzedawców z całego świata

Co się stanie, jeśli skonfigurujesz router Cisco przez SSH i rozłączysz się?



Część 1:
Jeśli skonfiguruję router ssh i połączę się przez domyślny adres IP na tym routerze, jak tylko zmienię domyślną trasę na inny interfejs/adres IP, myślę, że odpowiedzi zaczną przekierowywać do tego innego interfejsu.
Ponieważ w odpowiedziach będzie inny adres IP źródła src, zakładam, że albo tcp (patrz.

to pytanie
https://serverfault.com/questi ... hanges), albo ssh się nie spodoba i rozłączę się.

Część 2:
Zakładając, że moja logika jest poprawna w pierwszej części, co się stanie, jeśli skonfiguruję przez terminal (config t) i rozłączę się przy zmianie trasy domyślnej.
  • Czy będę mógł po prostu połączyć się z adresem IP nowego interfejsu, pod warunkiem, że nie ma list ACL
  • Zgaduję, że tak naprawdę nie wznowi mojej sesji ssh, ale czy wszystkie zmiany, które wprowadziłem przed odłączeniem, nadal będą w pamięci
  • Czy istnieje limit 1 połączenia, czy będę musiał czekać na przekroczenie limitu czasu
  • Coś jeszcze do rozważenia

Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Jeśli chodzi o to, czy twoja sesja zostanie rozłączona, to zależy.
Mówisz, że łączysz się za pośrednictwem domyślnego adresu IP; Jak rozumiem, masz na myśli, że łączysz się z adresem IP interfejsu fizycznego, który korzysta z łącza następnego przeskoku na Twojej trasie domyślnej? na przykład, jeśli masz następującą konfigurację:
interface FastEthernet0/1
ip address 10.10.10.1 255.255.255.0
!
interface FastEthernet0/2
ip address 20.20.20.1 255.255.255.0
!ip route 0.0.0.0 0.0.0.0 10.10.10.10

Czy jesteś połączony z trasą przy użyciu docelowego adresu IP 10.10.10.1?
Kiedy mówisz, że zmieniasz trasę domyślną, czy zmieniasz następny przeskok trasy domyślnej? na przykład.:
ip route 0.0.0.0 0.0.0.0 20.20.20.20
no ip route 0.0.0.0 0.0.0.0 10.10.10.10

(Uwaga: dodaj nowe ustawienie domyślne przed usunięciem starego!)
A może zmieniasz adres IP interfejsu?
interface FastEthernet0/1
ip address 10.10.10.50 255.255.255.0
!

W pierwszym przypadku, jeśli Twoja stacja robocza jest nadal dostępna do 20.20.20.20, sesja SSH może zawiesić się na chwilę lub dwie, ale prawdopodobnie nie zostanie rozłączona. Ponieważ nadal łączysz się z tym samym adresem IP, protokół TCP nie rozłączy się; Twoje pakiety będą po prostu trasowane asymetrycznie (wchodzące do routera przez Fa0/1 i wychodzące przez Fa0/2).
W drugim przypadku sesja SSH na pewno się rozłączy, ponieważ adres IP będący punktem końcowym sesji SSH nie będzie już skonfigurowany na routerze.
Jeśli jesteś wyłączony: * Powinieneś być w stanie połączyć się z adresem IP nowego interfejsu, jeśli istnieje dwukierunkowy routing między twoją stacją roboczą a nowym adresem IP. * Wszystkie wprowadzone zmiany pozostaną w bieżącej konfiguracji; będziesz musiał je zapisać, wpisując „copy running-config startup-config”. * Liczba połączeń będzie ograniczona liczbą skonfigurowanych linii VTY. Wartość domyślna to (jak sądzę) 16; niektóre organizacje zmniejszają tę wartość ze względu na wydajność/bezpieczeństwo. Zrób pokaz | begin line vty ', aby zobaczyć, ile linii dostosowałeś.
Nie wiedząc więcej o swojej sieci, trudno jest zaproponować ulepszenia; Powiedziałbym, że jeśli używasz jakiegokolwiek rodzaju IGP, to prawdopodobnie warto kontrolować swoje urządzenia za pomocą interfejsów pętli zwrotnej. Zapobiega to rozłączaniu w przypadku wprowadzenia zmian, które powodują ponowną zbieżność routingu.
EDYCJA: Zarządzanie przez interfejsy sprzężenia zwrotnego zasadniczo oznacza zapewnienie, że cały ruch związany z zarządzaniem (telnet/SSH, syslog, SNMP, TACACS itp.) Korzysta z adresu pętli zwrotnej routera. Jest to korzystne z kilku powodów:
  • W przypadku awarii powodującej ponowną konwergencję w sieci istniejące sesje zarządzania nie są przerywane.
  • Cały ruch związany z zarządzaniem jest kierowany do interfejsu sprzężenia zwrotnego, co oznacza, że ​​można uprościć wszelkie zasady ACL/zapory ograniczające dostęp do zarządzania.
  • Przekierowanie sieci staje się łatwiejsze, ponieważ dodawanie/usuwanie łączy nie zmienia adresu IP, którego używasz do kontrolowania swoich urządzeń; Dopóki działa prawidłowo skonfigurowany protokół IGP, powinieneś mieć dostęp do swoich urządzeń i kontrolować je.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Zwykle skomentowałbym odpowiedź Terje, ale ponieważ nie jestem wystarczająco stary z serverfault.com, aby komentować, zostawię odpowiedź. Nie jestem tak zaznajomiony z routerami Cisco, jak z ich ASA, ale myślę, że wszystkie polecenia są takie same. Zawsze używałem "wr mem" do kopiowania aktualnej konfiguracji do pamięci. Pamiętaj trochę mniej :)
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Będzie to prawie to samo, co zmiana adresu interfejsu, z którym jesteś połączony, co robiłem wielokrotnie. Moje doświadczenie:
  • Tak, rozłączysz się.
  • Tak, będziesz mógł łączyć się za pośrednictwem nowego interfejsu.
  • Tak, wszystkie zmiany pozostają w pamięci (running-config) do momentu ponownego uruchomienia routera („
                 copy running-config startup-config           
    „zapisz zmiany między restartami).
  • Nie ma limitu czasu połączenia (przynajmniej nigdy tego nie spotkałem :)).

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się