O que acontece quando você configura um roteador Cisco via SSH e se desconecta?

Navegue suas respostas
1

Parte 1:
Se eu estiver configurando um roteador de ssh e estiver conectado através do IP da rota padrão nesse roteador, assim que eu mudar a rota padrão para outra interface / IP, estou pensando que as respostas começarão a ser roteadas interface.

Como as respostas terão um IP src diferente, acredito que seja o tcp (consulte pergunta ), ou o ssh não vai gostar disso, e eu vou me desconectar.

Parte 2:
Assumindo que minha lógica está correta na primeira parte, o que acontece se eu estiver configurando através do terminal (config t) e eu for desconectado quando eu alternar a rota padrão.

  • Será que posso me conectar ao IP da nova interface assumindo não há ACLs no lugar?
  • Eu imagino que não vai realmente retomar o meu sessão ssh, mas todas as mudanças Eu fiz até ser desconectado ainda estar na memória?
  • Existe um limite para 1 conexão? vou ter que esperar o tempo limite?
  • Mais alguma coisa a considerar?
por Kyle Brandt 03.09.2009 / 17:35

3 respostas

2

Para saber se sua sessão será desconectada - isso depende.

Você diz que está conectado por meio do IP da rota padrão; Eu entendo que você quer dizer que você está conectado ao endereço IP da interface física que compartilha um link com o próximo salto de sua rota padrão? por exemplo. se você tem a seguinte configuração: 

interface FastEthernet0/1
 ip address 10.10.10.1 255.255.255.0
!
interface FastEthernet0/2
 ip address 20.20.20.1 255.255.255.0
!

ip route 0.0.0.0 0.0.0.0 10.10.10.10

Então você está conectado à rota usando o endereço IP de destino 10.10.10.1?

Quando você diz que está mudando a rota padrão, está mudando o próximo salto da sua rota padrão? por exemplo: 

ip route 0.0.0.0 0.0.0.0 20.20.20.20
no ip route 0.0.0.0 0.0.0.0 10.10.10.10

(Note, adicione o novo padrão antes de remover o antigo!)

Ou você está mudando o endereço IP da interface? 

interface FastEthernet0/1
 ip address 10.10.10.50 255.255.255.0
!

No primeiro caso, supondo que sua estação de trabalho ainda esteja acessível via 20.20.20.20, sua sessão SSH pode travar por um momento ou dois, mas provavelmente não será desconectada. Como você ainda está se conectando ao mesmo endereço IP, o TCP não será desconectado; seus pacotes serão simplesmente roteados assimetricamente (entrando no roteador via Fa0 / 1 e saindo via Fa0 / 2).

No segundo caso, sua sessão SSH definitivamente será desconectada, pois o endereço IP que é o ponto final da sua sessão SSH não será mais configurado no roteador.

Se você estiver desconectado: * Você deve conseguir se conectar ao endereço IP da nova interface, desde que o roteamento bidirecional esteja em vigor entre sua estação de trabalho e o novo endereço IP. * Todas as alterações que você inseriu ainda estarão na configuração em execução; você precisará salvá-los digitando 'copy running-config startup-config'. * O número de conexões será limitado pelo número de linhas vty que você configurou. O padrão (eu acredito) é 16; algumas organizações reduzem isso por motivos de desempenho / segurança. Faça um 'show run | comece a linha vty 'para ver quantas linhas você configurou.

Sem saber mais sobre sua rede, é difícil sugerir melhorias; Uma coisa que eu diria é que, se você estiver executando qualquer tipo de IGP, provavelmente vale a pena gerenciar seus dispositivos usando interfaces Loopback. Isso diminui a desconexão ao fazer uma alteração que causa uma reconvergência de roteamento.

EDITAR: gerenciar via interfaces de loopback essencialmente significa assegurar que todo o tráfego de gerenciamento (telnet / SSH, syslog, SNMP, TACACS, etc.) use o endereço de loopback do seu roteador. Isso é vantajoso por algumas razões:

  1. Quando você tem uma falha que causa reconvergência em sua rede, as sessões de gerenciamento existentes não são interrompidas.
  2. Todo o tráfego de gerenciamento é endereçado a uma interface de loopback, o que significa que quaisquer políticas de ACLs / firewall que restrinjam o acesso de gerenciamento podem ser simplificadas.
  3. O reenvio de sua rede se torna mais fácil, pois adicionar / remover links não altera o endereço IP usado para gerenciar seus dispositivos; Enquanto houver um IGP configurado corretamente em execução, você poderá acessar seus dispositivos e gerenciá-los.
por 03.09.2009 / 19:08
1

Isso seria quase o mesmo que alterar o endereço da interface à qual você está conectado, o que já fiz várias vezes. Minha experiência é:

  • Sim, você será desconectado.

  • Sim, você poderá se conectar por meio da nova interface.

  • Sim, todas as alterações ainda estão na memória (running-config), desde que o roteador não tenha sido reinicializado (" copy running-config startup-config " para manter as alterações entre as reinicializações).

  • Sem limite de tempo limite de conexão (pelo menos eu nunca encontrei um :)).

por 03.09.2009 / 17:52
1

Eu normalmente teria comentado a resposta de Terje, mas como eu não tenho idade suficiente para serverfault.com comentar, deixarei uma resposta. Eu não sou tão familiarizado com os roteadores cisco como eu sou com seus ASA's, mas acredito que todos os comandos são os mesmos. Eu sempre usei "wr mem" para copiar a configuração atual para a memória. Apenas um pouco menos para lembrar:)

    
por 03.09.2009 / 18:16

Tags

Devo enviar downloads de arquivos grandes de um VPS ou Webhoster? Entre em contato com os administradores de TI para atualizações de sites [closed]