ћы в Telegram - чате. “ы с нами? :)

—брос парол€ на коммутаторах и маршрутизаторах Cisco

—охран€ем спокойствие и восстанавливаем пароль

ћерион Ќетворкс

5 минут чтени€

—о всеми может произойти ситуаци€, когда забытый или потер€нный пароль не позвол€ет получить доступ к оборудованию. —егодн€ в статье мы расскажем про то, как сбросить пароль на маршрутизаторах и коммутаторах Cisco.

—тоит уточнить, что описанные способы подразумевают подключение к оборудованию только напр€мую через консольный кабель. ѕоэтому стоит уделить внимание безопасности и сделать так, чтобы в серверную или помещение, где находитс€ оборудование доступ имел только авторизованный персонал.

—уть этих методов заключаетс€ в том, чтобы загрузитьс€ без конфигурационного файла с забытым паролем, войти в привилегированный режим (Privileged EXEC), заменить новый конфигурационный файл на старый и помен€ть на нем все пароли.

≈сли вам нужно создать криптостойкий пароль, то можно воспользоватьс€ нашим онлайн генератором устойчивых паролей

—брос парол€ на маршрутизаторах Cisco

ѕрежде всего, нам нужно подключитьс€ к маршрутизатору при помощи консольного кабел€ (он еще называетс€ Rollover):

 онсольный кабель

ѕодключившись к нему, отправл€ем его в перезагрузку. ¬о врем€ загрузки IOS нам нужно отправить сигнал прерывани€, нажав клавиши [Ctrl]+[Break]:

System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.
Initializing memory for ECC
..
c2811 processor with 524288 Kbytes of main memory
Main memory is configured to 64 bit mode with ECC enabled
Readonly ROMMON initialized
Self decompressing the image :
##############
monitor: command "boot" aborted due to user interrupt
rommon 1 >

“аким образом, мы окажемс€ в режиме rommon (ROM monitor). “ут изменим конфигурацию регистра командной confreg 0x2142, в результате которой маршрутизатор при запуске не будет использовать конфигурационный файл, записанный во flash пам€ти. ѕосле этого перезапускаем маршрутизатор, введ€ команду reset.

rommon 1 > confreg 0x2142
rommon 2 > reset

“еперь мы загрузимс€ без конфига, и нам нужно загрузить старый конфигурационный файл. ƒелаем это командной copy startup-config running-config в привилегированном режиме.

Router>en
Router#copy startup-config running-config
Destination filename [running-config]? 
700 bytes copied in 0.416 secs (1682 bytes/sec)
Router1#
%SYS-5-CONFIG_I: Configured from console by console

ѕосле этого применитс€ старый конфиг, который был запаролен, но при этом мы уже находимс€ в привилегированном режиме, откуда можем выставить новые пароли дл€ привилегированного режима, telnet и консоли.

Router1#conf t
Router1(config)#enable password NewPassword 
Router1(config)#enable secret NewPassword 
Router1(config)#line vty 0 4
Router1(config-line)#password NewPassword
Router1(config-line)#login
Router1(config-line)#exit
Router1(config)#line console 0
Router1(config-line)#password NewPassword
Router1(config-line)#login

“еперь, когда мы сменили все пароли нам нужно вернуть старое значение конфигурационного регистра, введ€ из режима конфигурации команду config-register 0x2102

Router1(config)# config-register 0x2102

ѕосле этого сохран€ем наш новый конфиг и перезагружаемс€

Router1#copy running-config startup-config
Router1#reload

 огда роутер загрузитс€, то он возьмет сохраненный конфигурационный файл, с новыми парол€ми.

“акже, можно отключить возможность сброса парол€, использу€ команду no service password-recovery. Ќо как мы упом€нули ранее, дл€ этого метода восстановлени€ требуетс€ физический доступ к оборудованию.


—брос парол€ на коммутаторах Cisco Catalyst

ƒл€ того чтобы сбросить пароль на коммутаторе Cisco Catalyst нам также нужен физический доступ к оборудованию.

ѕодключаемс€ к свитчу консольным кабелем, выключаем его по питанию, а затем включаем, удержива€ нажатой кнопку Mode на лицевой панели.

 нопка Mode Cisco

“аким образом мы прервем обычный процесс загрузки.

Loading "flash:/c2960-lanbase-mz.122-25.FX.bin"...
#############################
Boot process terminated.
switch:

ѕосле этого мы вводим команды flash_init и load_helper. » теперь мы можем посмотреть содержимое нашей flash пам€ти, использу€ команду dir flash: (внимание Ц в конце команды должно сто€ть двоеточие)

switch: flash_init
Initializing Flash...
flashfs[0]: 3 files, 0 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 64016384
flashfs[0]: Bytes used: 3059643
flashfs[0]: Bytes available: 60956741
flashfs[0]: flashfs fsck took 1 seconds.
...done Initializing Flash.

switch: load_helper
switch: dir flash:
Directory of flash:/

1    -rw-  3058048                  c2950-i6q4l2-mz.121-22.EA4.bin
3    -rw-  979                      config.text
2    -rw-  616                      vlan.dat
60956741 bytes available (3059643 bytes used)

ћы видим содержимое нашей flash пам€ти и нам интересен файл config.text Ц файл конфигурации коммутатора. —ейчас нам нужно его переименовать, чтобы коммутатор загрузилс€ без него. ƒелаем это командой rename flash:config.text flash:config.old и затем можно сделать проверку.

switch: rename flash:config.text flash:config.old
switch: dir.flash
Directory of flash:/

1    -rw-  3058048                  c2950-i6q4l2-mz.121-22.EA4.bin
3    -rw-  979                      config.old
2    -rw-  616                      vlan.dat
60956741 bytes available (3059643 bytes used)

ѕосле этого возобновл€ем загрузку командой boot.

switch: boot

 оммутатор не найдет файл конфигурации и загрузитс€ без него. “еперь входим в привилегированный режим, и переименовываем обратно наш конфиг, выполнив команду rename flash:config.old flash:config.text, а затем загружаем его командой copy flash:config.text system:running-config

Switch>en
Switch#rename flash:config.old flash:config.text
Switch#copy flash:config.text system:running-config

“еперь после того как конфиг загружен мы можем задать новый пароль

Switch1#conf  t
Switch1(config)#enable secret NewPassword
Switch1(config)#enable password NewPassword
Switch1 (config)#line vty 0 4
Switch1 (config-line)#password NewPassword
Switch1 (config-line)#login
Switch1 (config-line)#exit
Switch1 (config)#line console 0
Switch1 (config-line)#password NewPassword
Switch1 (config-line)#login

» сохран€ем новую конфигурацию.

Switch1#copy running-config startup-config

√отово! “еперь после перезагрузки роутер будет загружать конфигурационный файл с измененными парол€ми.


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: