Прости за ответный сарказм: изобилие ругательного сленга не прибавляет веса твоим очень правильным и разумным словам.
ИМХО, более взвешенная позиция меньше отталкивает.
Спорить не буду. Ибо много правильного: и про откаты, и про правку мелочей «на лету», и про то, что резервирование решает часть проблем.
Но чтобы как то уравновесить всёж скажу:
1. Не так часто надо ребутить циски при нормальных настройках. Это миф, рождённый виндолюбителями
2. упомянутый 6500 можно ребутить помодульно
3. Почти никакое недорогое железо не любит втыкания модулей «на лету»
4. Для неоставляния офиса без работы как раз и придуман метод со вторым route-map (crypto-map, ACL и т.д.) Либо через ребут можно откатить, либо через обратное применение старой конструкции, которая на время отладки остаётся в конфиге
Если надо поменять конфиг полностью, лучше залить его не в running, а как файл в startup и перегрузить железку.
В примерах я везде использую только кусочки небольшие, по несколько строчек. На практике бывает, что кусок текста более 50 строк не влезает полностью и начинается расколбас :(
Ниже верно написали: живое железо перегружать не всегда можно «по желанию», а сидеть до 3 часов ночи — не охота :)
Например, изменение sdm profile на коммутаторе, system mtu и др.
Второй пример: когда надо подстраховаться.
Меняем конфиг удалённо, на площадке нет квалифицированного персонала или доступа, что получится заранее неизвестно. Проще поставить reload in 10 (мин) и в случае пропадания связи через 10 минут получить обратно железку, чем долго рвать на себе волосы
Третий пример: на живом железе какой то незначительный сбой, требующий перезагрузки (подвисли терминальные сессии, не отвечает какой-нить сервис). Редко, но бывает…
Но перед тем, как возопить: «Боже, как глупа задача, как глуп составитель» напишите конфиг, где В ОБЕ СТОРОНЫ работает. А не только в одну. Вель дефолтных гейтвеев нет у обоих рутеров.
В этом и была ПРОСТАЯ задача, над которой в частности Вы бились несколько дней.
А условие поставлено корректно. То, что Вы в нем прочитали лишнее говорит о… ну, например, пририсовывании нимба мне :))
Не надо ругаться :) Если эта задача проста для Вас — прекрасно! Более сложная уже готова. А пока можете прочитать и попробовать без подсказки решить задачки с нашего форума «Задачки на сообразительность»
Вот. Это вторая половинка задачи. Если первая делается по большому счёту 2 командами и одним ACL на интерфейсе (ASA), а можно и вообще 2 командами обойтись, то вторая половинка — из разряда поразмышлять: как, когда возможно, а когда — нет.
Скажем так: относительно красивое решение есть, когда надо дать доступ из сети, у которой дефолтным шлюзом стоит НЕ ASA (или вообще нет шлюза) к хосту в другой сети.
Коллеги, вы уходите в сторону. Поэтому малость подскажу:
надо, чтобы крайние циски увидели друг друга. Т.е. если сидя на одной вам удалось попасть по телнету например, на другую, то вы победили.
Для этого ДОСТАТОЧНО настроить ТОЛЬКО ASA. (Ну или если вам приятнее вместо неё видеть рутер — пусть будет)
Мало того: тут спрашивали, можно ли вместо крайних ретов поставить линукс/виндовз. Можно, НО тогда у этих хостов НЕ ДОЛЖНО быть дефолтного шлюза (как у цисок нет дефолтного маршрута)
Не надо делать первый шаг.
Надо поменять название (или номер) ACL (удобно автозаменой в блокноте)
Тога 6 пункт просто применит новый ACL, а на время правки будет работать старый, не оставляя неприкрытой циску
ИМХО, более взвешенная позиция меньше отталкивает.
Спорить не буду. Ибо много правильного: и про откаты, и про правку мелочей «на лету», и про то, что резервирование решает часть проблем.
Но чтобы как то уравновесить всёж скажу:
1. Не так часто надо ребутить циски при нормальных настройках. Это миф, рождённый виндолюбителями
2. упомянутый 6500 можно ребутить помодульно
3. Почти никакое недорогое железо не любит втыкания модулей «на лету»
4. Для неоставляния офиса без работы как раз и придуман метод со вторым route-map (crypto-map, ACL и т.д.) Либо через ребут можно откатить, либо через обратное применение старой конструкции, которая на время отладки остаётся в конфиге
Всему своё время!
Если надо поменять конфиг полностью, лучше залить его не в running, а как файл в startup и перегрузить железку.
В примерах я везде использую только кусочки небольшие, по несколько строчек. На практике бывает, что кусок текста более 50 строк не влезает полностью и начинается расколбас :(
Например, изменение sdm profile на коммутаторе, system mtu и др.
Второй пример: когда надо подстраховаться.
Меняем конфиг удалённо, на площадке нет квалифицированного персонала или доступа, что получится заранее неизвестно. Проще поставить reload in 10 (мин) и в случае пропадания связи через 10 минут получить обратно железку, чем долго рвать на себе волосы
Третий пример: на живом железе какой то незначительный сбой, требующий перезагрузки (подвисли терминальные сессии, не отвечает какой-нить сервис). Редко, но бывает…
А потом обратно длину терминала менять? Не лень? :)
Мне проще ничего не меняя от так загнать.
Добавляйте, комментируйте, пишите про свой опыт!
Я при всём своём желании не могу знать и охватить все. Будем вместе расти над собой. Коллективный разум — это сила :)
2. Да, правильнее было бы добавить сразу. Сейчас добавлю про строки, забыл, увлекшись хинтом.
Новую задачку опубликую чуть позже. Она чуть сложнее. Пока же силы брошены на новую серию «Курса молодого бойца». Следите за анонсами :)
Но перед тем, как возопить: «Боже, как глупа задача, как глуп составитель» напишите конфиг, где В ОБЕ СТОРОНЫ работает. А не только в одну. Вель дефолтных гейтвеев нет у обоих рутеров.
В этом и была ПРОСТАЯ задача, над которой в частности Вы бились несколько дней.
А условие поставлено корректно. То, что Вы в нем прочитали лишнее говорит о… ну, например, пририсовывании нимба мне :))
Не надо ругаться :) Если эта задача проста для Вас — прекрасно! Более сложная уже готова. А пока можете прочитать и попробовать без подсказки решить задачки с нашего форума «Задачки на сообразительность»
WBR, Сергей
Скажем так: относительно красивое решение есть, когда надо дать доступ из сети, у которой дефолтным шлюзом стоит НЕ ASA (или вообще нет шлюза) к хосту в другой сети.
Но АРП ещё разослать надо.
Ведь нигде не сказано, что надо попасть по родному адресу :)
Это одна из любимых наколок в лабах CCIE Security :) Понятно, что эта задачка много проще, но хитрость именно в этом :)
Опишите, как настроить АСУ или рутер. Потом расскажу, откуда эта задачка родилась :)
надо, чтобы крайние циски увидели друг друга. Т.е. если сидя на одной вам удалось попасть по телнету например, на другую, то вы победили.
Для этого ДОСТАТОЧНО настроить ТОЛЬКО ASA. (Ну или если вам приятнее вместо неё видеть рутер — пусть будет)
Мало того: тут спрашивали, можно ли вместо крайних ретов поставить линукс/виндовз. Можно, НО тогда у этих хостов НЕ ДОЛЖНО быть дефолтного шлюза (как у цисок нет дефолтного маршрута)
А как быть, если IOS IP Base? Там не шифрования. Вообще. Включая ssh
Или на коммутаторах многих?
Не надо так категорично, хотя я согласен: там где есть такая возможность — ssh лучше
А в остальных случаях лучше городить OOB, или консольный сервер.
А чем Ф5 — прорыв? Козыри какие?