Сброс пароля на маршрутизаторе cisco
Для сброса пароля на маршрутизаторе cisco, потребуется физический доступ к нему (подключение через консольный порт). Здесь вы можете прочесть о том, какие виды паролей бывают на маршрутизаторе. В маршрутизаторе есть так называемый конфигурационный регистр – это переменная, хранящаяся в энергонезависимой памяти и управляющая процессом загрузки. Стандартное значение конфигурационного регистра для большинства маршрутизаторов «0x2102».
Если есть доступ на маршрутизатор аналогичной модели, то можно проверить значение конфигурационного регистра в нормальном состоянии:
R1#show version Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2) … M860 processor: part number 0, mask 49 2 FastEthernet/IEEE 802.3 interface(s) 239K bytes of NVRAM. 62720K bytes of processor board System flash (Read/Write) Configuration register is 0x2102
Последняя строка содержит значение конфигурационного регистра. Опишем процедуру смены забытого пароля по шагам:
- Подключаемся по консоли и все дальнейшие действия выполняем через консольный порт.
- Маршрутизатор перезагружается в ROMMON – начальный загрузчик – совсем урезанная версия операционной системы, которая загружается до cisco IOS и используется для сервисных целей (обновленеи IOS, восстановление пароля). Чтобы перезагрузить маршрутизатор в ROMMON, нужно прервать обычный процесс загрузки в IOS – для этого в самом начале загрузки надо отправить сигнал прерывания. Как это сделать, зависит от терминала, который вы используете. Например, в hyperterminal-е надо нажать «Ctrl-Break», в teraterm – «Alt-B», чтобы выйти в ROMMON на эмуляторе Packet Tracer, надо нажать «Ctrl-Break» и т.д. Полная таблица с сигналами прерывания для разных терминалов находится здесь.
- В ROMMON-е меняем значение конфигурационного регистра на «0x2142», это значение говорит маршрутизатору, что при загрузке не надо брать стартовый конфиг, а надо начать работать с пустым. То есть, при запуске автоматически не копируется startup-config в running-config.
- Перезагружаем маршрутизатор – он запускается с пустым конфигом.
- Переходим в режим enable, пароль для этого не потребуется, так как running-config пуст.
- Копируем startup-config в running-config, чтобы старые настройки сохранились.
- Заходим в режим конфигурации и меняем пароль.
- Возвращаем значение конфигурационного регистра обратно на «0x2102», сохраняем конфиг (с новым паролем в нём) и перезагружаемся, чтобы убедиться, что всё прошло гладко.
Теперь, когда с теорией всё ясно, попробуем сделать это на практике.
Подключились по консоли, перезагружаем маршрутизатор, нажимая «Ctrl-Break»:
System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. cisco 2811 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory Self decompressing the image : ### monitor: command "boot" aborted due to user interrupt rommon 1 >
Попали в rommon, меняем конфигурационный регистр и перезагружаем маршрутизатор:
rommon 1 > confreg 0x2142 rommon 2 > reset System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. cisco 2811 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory Self decompressing the image : ######################################################## ... --- System Configuration Dialog --- Continue with configuration dialog? [yes/no]: no Press RETURN to get started! Router>
Как видно из стандартного имени маршрутизатора, того факта, что нас не спросили пароль и того, что предложили запустить System Configuration Dialog, маршрутизатор загрузился без конфига – пока всё идёт правильно. Переходим в enable и после перехода копируем startup-config в running-config:
Router>enable Router#copy startup-config running-config Destination filename [running-config]? 470 bytes copied in 0.416 secs (1129 bytes/sec) %SYS-5-CONFIG_I: Configured from console by console R1#
Как видно, приглашение маршрутизатора изменилось, то есть, конфиг применился и работает. Если мы сейчас напишем «disable», а затем снова «enable», то нас уже спросят пароль, так что не будем этого делать, а наоборот постараемся поменять пароли как можно быстрее. Для этого заходим в конфигурацию и меняем те пароли, которые забыли:
R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#enable password NEWPass1234 R1(config)#enable secret NEWPass1234 R1(config)#line vty 0 4 R1(config-line)#password NEWVTYPAssword1234 R1(config-line)#login R1(config-line)#exit
Возвращаем значение конфигурационного регистра обратно, чтобы после перезагрузки маршрутизатор снова начал подхватывать конфиг.
R1(config)#config-register 0x2102 R1(config)#exit R1# %SYS-5-CONFIG_I: Configured from console by console
Копируем конфиг с новыми паролями.
R1#copy running-config startup-config
Перезагружаемся и тестируем.
Сброс пароля на коммутаторах cisco catalyst происходит немного по-другому, подробнее об этом написано в этой статье.
Комментарии
Andrey (не проверено)
чт, 06/05/2014 - 18:26
Постоянная ссылка (Permalink)
Копируем конфиг с новыми паролями.
copy startup-config running-config
Автор ошибку совершил небольшую, вам нужно ввести команду:
copy running-config startup-config
а то вы получите пустой конфиг
Maxim (не проверено)
ср, 10/29/2014 - 12:14
Постоянная ссылка (Permalink)
Andrey, прежде чем писать бред, почитайте http://www.cisco.com/c/en/us/support/docs/routers/2600-series-multiservice-platforms/22188-pswdrec-2600.html
А то ведь немало баранов сделает так, как Вы предлагаете.
bfirdavs (не проверено)
чт, 07/17/2014 - 14:33
Постоянная ссылка (Permalink)
enable secret you have chosen is the same as your enable password cisco
bacek
пт, 08/08/2014 - 12:20
Постоянная ссылка (Permalink)
MukhtaR (не проверено)
пт, 11/07/2014 - 15:02
Постоянная ссылка (Permalink)
Enable secret и enable password не может быть одинаковым, то есть пароли должны быть разные. Если используете enable secret и enable password то будет использоваться только enable secret нет необходимости обоих.
bacek
вт, 11/11/2014 - 08:54
Постоянная ссылка (Permalink)
Но вообще, всё это слегка устарело и криво. С одной стороны команда enable secret размещает в конфиге хэш, с другой - итак есть service password encryption, который хэширует все пароли, с третьей - есть aaa new model и aaa сервера.
Добавить комментарий