Dnes budeme hovořit o obnově hesel směrovačů a přepínačů, aktualizaci, přeinstalaci a obnově IOS a licenčním systému Cisco pro operační systém IOSv15. Toto jsou velmi důležitá témata týkající se správy síťových zařízení.
Jak mohu obnovit své heslo? Můžete se zeptat, proč to může být potřeba. Řekněme, že jste nastavili zařízení a nastavili všechna potřebná hesla: pro VTY, pro konzoli, pro privilegovaný režim, pro připojení Telnet a SSH, a pak jste tato hesla zapomněli. Je možné, že zaměstnanec společnosti, který je nainstaloval, skončil a nedal vám záznamy, nebo jste router zakoupili na eBay a neznáte hesla, která nastavil předchozí majitel, takže k zařízení nemáte přístup.
V takových situacích byste měli používat hackerské techniky. Nabouráte se do zařízení Cisco a resetujete hesla, ale to není skutečné hackování, pokud zařízení vlastníte. To vyžaduje tři věci: Break Sequence, konfigurační registr a restart systému.
Použijete přepínač, vypnete napájení routeru a okamžitě jej zapnete, aby se router začal restartovat; „ovladače cisco“ tomu říkají slovo „bouncing“. V okamžiku rozbalení obrazu IOS je potřeba použít boot přerušení, tedy připojit se k zařízení přes konzolový port a spustit Break Sequence. Kombinace kláves, která spustí Break Sequence, závisí na programu emulace terminálu, který používáte, to znamená, že pro Hyperterminal se přerušení stahování provádí jednou kombinací, pro SequreSRT jinou. Pod tímto videem dávám odkaz , kde se můžete seznámit se všemi klávesovými zkratkami pro různé emulátory terminálu, různou kompatibilitu a různé operační systémy.
Při použití přerušení spouštění se router spustí v režimu ROMmon. ROMmon je podobný BIOSu počítače; je to základní základní OS, který vám umožňuje spouštět základní servisní příkazy. V tomto režimu můžete použít konfigurační registr. Jak víte, během procesu spouštění systém kontroluje přítomnost nastavení spouštění, a pokud tam nejsou, zavede se s výchozím nastavením.
Normálně je hodnota konfiguračního registru routeru 0x2102, což znamená spuštění konfigurace spouštění. Pokud tuto hodnotu změníte na 0x2142, pak během Break Sequence bude spouštěcí konfigurace ignorována, protože systém nebude věnovat pozornost obsahu energeticky nezávislé NVRAM a bude načtena výchozí konfigurace odpovídající nastavení router po vybalení z krabice.
Chcete-li tedy zavést systém s výchozím nastavením, musíte změnit hodnotu konfiguračního registru na 0x2142, což zařízení doslova říká: „prosím ignorujte konfiguraci spouštění při jakémkoli zavádění!“ Vzhledem k tomu, že tato konfigurace obsahuje všechna hesla, spuštění s výchozím nastavením vám umožní volný přístup do privilegovaného režimu. V tomto režimu můžete resetovat hesla, uložit změny, restartovat systém a získat plnou kontrolu nad zařízením.
Nyní spustím Packet Tracer a ukážu vám, o čem jsem právě mluvil. Vidíte topologii sítě sestávající z routeru, ve kterém je třeba resetovat hesla, přepínače a notebooku. Ve všech video tutoriálech jsem kliknul na ikonu zařízení v Packet Tracer, přešel na kartu konzoly CLI a nakonfiguroval zařízení. Nyní chci dělat věci jinak a ukázat, jak se to dělá na skutečném zařízení.
Sériový port notebooku RS-232 propojím konzolovým kabelem s konzolovým portem routeru, v programu je to modrý kabel. Nepotřebuji konfigurovat žádné IP adresy, protože nejsou potřeba ke komunikaci s konzolovým portem routeru.
Na notebooku přejdu na kartu Terminál a zkontroluji parametry: přenosová rychlost 9600 bps, datové bity - 8, žádná parita, stop bity - 1, řízení toku - žádné, a poté kliknu na OK, čímž získám přístup k routeru. řídicí panel. Pokud porovnáte informace v obou oknech - CLI routeru R0 a na obrazovce notebooku Laptop0, bude to úplně stejné.
Packet Tracer umožňuje podobné věci, ale v praxi nebudeme používat okno konzoly CLI routeru, ale bude fungovat pouze přes počítačový terminál.
Takže máme router, na kterém musíme resetovat heslo. Přejdete k terminálu notebooku, zkontrolujete nastavení, přejděte na panel nastavení routeru a uvidíte, že přístup je blokován heslem! Jak se tam dostat?
Jdu k routeru, na záložku, kde je zobrazen jako fyzické zařízení, kliknu na vypínač a hned ho zase zapnu. Vidíte, že se v okně terminálu objeví zpráva o samorozbalení obrazu operačního systému. V tomto okamžiku byste měli použít kombinaci kláves Ctrl+C, která se používá pro vstup do režimu rommon v programu Packet Tracer. Pokud jste se přihlásili přes Hyperterminal, musíte stisknout Ctrl+Break.
Vidíte, že se na obrazovce objevil řádek s nadpisem rommon 1, a pokud zadáte otazník, systém vám poté poskytne řadu tipů, jaké příkazy lze v tomto režimu použít.
Zaváděcí parametr spustí vnitřní proces spouštění, config spustí obslužný program pro konfiguraci registru a toto je příkaz, který nás zajímá. Do terminálového řádku zadám confreg 0x2142. To znamená, že po restartu budou informace uložené ve flash paměti NVRAM ignorovány a router se spustí s výchozím nastavením jako zcela nové zařízení. Pokud bych zadal příkaz confreg 0x2102, router by použil poslední uložené parametry spouštění.
Dále používám příkaz reset k restartování systému. Jak vidíte, po načtení se mě systém místo výzvy k zadání hesla jako minule pouze zeptá, zda hodlám pokračovat v dialogu nastavení. Nyní máme router s výchozím nastavením, bez jakékoli uživatelské konfigurace.
Napíšu ne, potom vstoupím a přejdu z uživatelského režimu do privilegovaného režimu. Protože chci zobrazit konfiguraci spouštění, používám příkaz show startup-config. Zobrazí se název hostitele routeru NwKing, uvítací banner a heslo konzoly „console“. Nyní toto heslo znám a mohu si ho zkopírovat, abych nezapomněl, nebo ho mohu změnit na jiné.
Nejprve potřebuji načíst konfiguraci spuštění do aktuální konfigurace routeru. K tomu používám příkaz copy startup-config running-config. Nyní je naše aktuální konfigurace předchozí konfigurací routeru. Můžete vidět, že poté se název routeru v příkazovém řádku změnil z Router na NwKingRouter. Pomocí příkazu show run můžete zobrazit aktuální konfiguraci zařízení, kde vidíte, že heslo pro konzoli je slovo „console“, nepoužili jsme heslo pro povolení, je to správné. Musíte si uvědomit, že obnovení ukončí privilegovaný režim a jste zpět v režimu příkazového řádku uživatele.
Stále můžeme provádět změny v registru, a pokud by heslo bylo tajné, to znamená, že byla použita funkce enable secret, evidentně byste jej nemohli dešifrovat, takže se můžete vrátit do režimu globální konfigurace pomocí config t a nastavit nové heslo. K tomu napíšu příkaz enable secret enable nebo mohu jako heslo použít jakékoli jiné slovo. Pokud napíšete show run, uvidíte, že je povolena funkce enable secret, heslo nyní nevypadá jako slovo „enable“, ale jako řetězec zašifrovaných znaků, a nemusíte se starat o bezpečnost, protože stačí nastavit a zašifrovat nové heslo sami.
Zde je návod, jak obnovit heslo routeru. Jedna důležitá věc, kterou je třeba poznamenat, je, že pokud zadáte příkaz show version, uvidíte, že hodnota konfiguračního registru je 0x2142. To znamená, že i když použiji příkaz copy running to startup a restartuji router, systém znovu načte výchozí nastavení, to znamená, že se router vrátí do továrního nastavení. To vůbec nepotřebujeme, protože jsme resetovali heslo, získali kontrolu nad zařízením a chceme ho používat v produkčním režimu.
Proto je potřeba vstoupit do globálního konfiguračního režimu Router(config)# a zadat příkaz config-register 0x2102 a teprve poté pomocí příkazu zkopírovat aktuální konfiguraci do boot copy run start. Aktuální nastavení můžete také zkopírovat do spouštěcí konfigurace pomocí příkazu write. Pokud nyní zadáte show version, uvidíte, že hodnota konfiguračního registru je nyní 0x2102 a systém hlásí, že změny se projeví při příštím restartu routeru.
Proto příkazem reload zahájíme restart, systém se restartuje a nyní máme všechny konfigurační soubory, všechna nastavení a známe všechna hesla. Takto se obnovují hesla routeru.
Podívejme se, jak provést stejný postup pro přepínač. Router má vypínač, který umožňuje vypnout a znovu zapnout napájení, ale přepínač Cisco takový vypínač nemá. Ke konzolovému portu se musíme připojit konzolovým kabelem, poté odpojit napájecí kabel ze zadní strany přepínače, po 10-15 sekundách jej zasunout zpět a ihned stisknout a podržet tlačítko MODE po dobu 3 sekund. Tím se přepínač automaticky přepne do režimu ROMmon. V tomto režimu musíte inicializovat souborový systém na flashce a přejmenovat soubor config.text například na config.text.old. Pokud jej jednoduše smažete, přepínač „zapomene“ nejen hesla, ale i všechna předchozí nastavení. Poté restartujete systém.
Co se stane s přepínačem? Při restartu přistupuje ke konfiguračnímu souboru config.text. Pokud tento soubor nenajde ve flash paměti zařízení, spustí IOS s výchozím nastavením. To je rozdíl: u routeru musíte změnit nastavení registru, ale u přepínače stačí změnit název souboru s nastavením spouštění. Podívejme se, jak se to děje v programu Packet Tracer. Tentokrát připojuji notebook konzolovým kabelem do konzolového portu přepínače.
Nepoužíváme CLI konzolu přepínače, ale simulujeme situaci, kdy je možné přistupovat k nastavení přepínače pouze pomocí notebooku. Používám stejné nastavení terminálu notebooku jako v případě routeru a stisknutím „Enter“ se připojuji ke konzolovému portu přepínače.
V Packet Tracer nemohu odpojit a odpojit napájecí kabel jako u fyzického zařízení. Pokud bych měl heslo konzoly, mohl bych přetížit přepínač, takže zadám příkaz enable password enable, abych přiřadil heslo pro místní přístup k privilegovanému režimu konzoly.
Nyní, když přejdu do nastavení, vidím, že systém žádá o heslo, které neznám. To znamená, že je nutné zahájit restart systému. Jak vidíte, systém neakceptuje příkaz reload, který přišel ze zařízení uživatele v uživatelském režimu, takže musím použít privilegovaný režim. Jak jsem řekl, v reálném životě bych jednoduše odpojil napájecí kabel přepínače na několik sekund, abych vynutil restart, ale protože to nelze v programu provést, musím odstranit heslo a restartovat přímo odtud. Chápete, proč to dělám, že?
Přejdu tedy z karty CLI na kartu Fyzické zařízení, a když se zařízení začne restartovat, podržím na 3 sekundy virtuální tlačítko MODE a vstoupím do režimu ROMmon. Vidíte, že informace v okně CLI přepínače jsou stejné jako v okně na obrazovce notebooku. Jdu k notebooku, v jehož okně je zobrazen režim ROMmon přepínače, a zadám příkaz flash_init. Tento příkaz inicializuje souborový systém na flash disku, poté vydám příkaz dir_flash pro zobrazení obsahu flash.
Jsou zde dva soubory – soubor operačního systému IOS s příponou .bin a soubor config.text, který musíme přejmenovat. K tomu používám příkaz rename flash:config.text flash:config.old. Pokud nyní použijete příkaz dir_flash, můžete vidět, že soubor config.text byl přejmenován na config.old.
Nyní zadám příkaz reset, přepínač se restartuje a po naběhnutí systému přejde do výchozího nastavení. Svědčí o tom i změna názvu zařízení na příkazovém řádku z NwKingSwitch na jednoduše Switch. Příkaz rename existuje ve skutečném zařízení, ale nelze jej použít v Packet Tracer. Proto používám show running conf, jak vidíte, přepínač používá všechna výchozí nastavení a zadejte příkaz more flash:config.old. Zde je hack: musíte jednoduše zkopírovat aktuální konfiguraci zařízení zobrazenou na obrazovce, přejít do režimu globální konfigurace a vložit zkopírované informace. V ideálním případě se zkopírují úplně všechna nastavení a vidíte, že se změnil název zařízení a přepínač se přepnul do normálního provozu.
Nyní zbývá pouze zkopírovat aktuální konfiguraci do bootovací konfigurace, tedy vytvořit nový soubor config.text. Nejjednodušší způsob je jednoduše přejmenovat starý soubor zpět na config.text, tedy zkopírovat obsah config.old do aktuální konfigurace a poté jej uložit jako config.text. Takto obnovíte heslo k přepínači.
Nyní se podíváme na to, jak zálohovat a obnovit operační systém Cisco IOS. Zálohování spočívá ve zkopírování obrazu IOS na server TFTP. Dále vám řeknu, jak přenést soubor obrazu systému z tohoto serveru do vašeho zařízení. Třetí téma je obnovení systému v režimu ROMmon. To může být nutné, pokud váš kolega omylem smazal iOS a systém přestal bootovat.
Podíváme se na to, jak získat systémový soubor ze serveru TFTP pomocí režimu ROMmod. Existují 2 způsoby, jak to udělat, jedním z nich je xmodem. Packet Tracer nepodporuje xmodem, takže stručně vysvětlím, co to je a poté pomocí Packet Tracer ukážu, jak se používá druhý způsob - obnovení systému přes TFTP.
Diagram ukazuje zařízení Router0, kterému je přidělena IP adresa 10.1.1.1. Tento router je připojen k serveru s IP adresou 10.1.1.10. Zapomněl jsem routeru přidělit adresu, tak to teď rychle udělám. Náš router není připojen k notebooku, takže program neposkytuje možnost používat konzolu CLI a budu to muset opravit.
Připojím notebook k routeru konzolovým kabelem, systém požádá o heslo konzole a já použiji slovo konzole. V režimu globální konfigurace přidělím rozhraní f0/0 požadovanou IP adresu a masku podsítě 255.255.255.0 a přidám příkaz no shutdown.
Dále napíšu příkaz show flash a zjistím, že v paměti jsou 3 soubory. Soubor číslo 3 je nejdůležitější, jedná se o soubor IOS routeru. Nyní potřebuji nakonfigurovat TFTP server, takže kliknu na ikonu zařízení Server0 a otevřu kartu SERVICES. Vidíme, že TFTP server je zapnutý a obsahuje soubory z mnoha operačních systémů Cisco, včetně IOS pro náš router c1841 – toto je třetí soubor v seznamu. Potřebuji jej odstranit ze serveru, protože sem zkopíruji další soubor IOS z našeho routeru, Router0. Chcete-li to provést, zvýrazním soubor a kliknu na Odebrat soubor a poté přejděte na kartu konzoly notebooku.
Z konzole routeru zadám příkaz copy flash tftp <název zdrojového souboru> <cílová adresa/název hostitele>, poté zkopíruji a vložím název souboru operačního systému.
Dále v příkazu musíte zadat adresu nebo název vzdáleného hostitele, na který má být tento soubor zkopírován. Stejně jako při ukládání bootovací konfigurace routeru, i zde je potřeba být opatrný. Pokud omylem zkopírujete nikoli aktuální konfiguraci do spouštěcí, ale naopak spouštěcí do aktuální, ztratíte po restartu zařízení všechna provedená nastavení. Stejně tak by v tomto případě nemělo dojít k záměně zdroje a cíle. Nejprve tedy zadáme název souboru, který je třeba zkopírovat na server, a poté IP adresu tohoto serveru 10.1.1.10.
Vidíte, že přenos souborů začal, a když se podíváte na seznam souborů TFTP, můžete vidět, že místo smazaného souboru se zde objevil nový soubor IOS našeho routeru. Takto se IOS zkopíruje na server.
Nyní se vrátíme do okna nastavení routeru na obrazovce notebooku a zadáme příkaz copy tftp flash, specifikujeme adresu vzdáleného hostitele 10.1.1.10 a název zdrojového souboru Source filename, tedy IOS, který je potřeba zkopírovat do flash routeru: c1841-ipbase-mz.123 -14.T7.bin. Dále zadejte název cílového souboru, název souboru, který bude v našem případě přesně stejný jako název zdroje. Poté stisknu "Enter" a nový soubor IOS se zkopíruje do flash paměti routeru. Vidíte, že nyní máme dva soubory operačního systému: nový na čísle 3 a předchozí původní na čísle 4.
V označení IOS je pro nás důležitá verze - v prvním souboru číslo 3 je 124 a ve druhém čísle 4 je 123, tedy starší verze. Advipservicesk9 navíc naznačuje, že tato verze systému je funkčnější než ipbase, protože umožňuje použití MPLS a podobně.
Další scénář je, že jste omylem smazali flash - napíšu příkaz delete flash a uvedu název souboru IOS, který se má smazat.
Předtím ale chci říci, že nyní bude standardně při bootování použit systémový soubor číslo 3, tedy c1841-advipservicesk9-mz.124-15.T1.bin. Řekněme, že z nějakého důvodu chci, aby se při příštím spuštění systému použil soubor číslo 4 - c1841-ipbase-mz.123-14.T7.bin. Za tímto účelem přejdu do režimu globální konfigurace a napíšu příkaz boot system flash: с1841-ipbase-mz.123-14.T7.bin.
Nyní při příštím spuštění bude tento soubor použit jako výchozí OS, i když máme dva operační systémy uložené ve flashi.
Vraťme se k mazání OS a zadejte příkaz delete flash: с1841-ipbase-mz.123-14.T7.bin. Poté smažeme druhý OS příkazem delete flash: с1841- advipservicesk9-mz.124-15.T1.bin, takže router přijde o oba operační systémy.
Pokud nyní napíšeme show flash, vidíme, že nyní nemáme vůbec žádný OS. Co se stane, když dám příkaz k restartu? Vidíte, že po zadání příkazu reload zařízení okamžitě přejde do režimu ROMmon. Jak jsem řekl, při spouštění zařízení hledá soubor OS a pokud chybí, přejde do základního OS rommon.
Packet Tracer nemá příkazy xmodem, které lze použít na skutečném fyzickém zařízení. Tam zadáte xmodem a přidáte potřebné možnosti týkající se bootování OS. Pokud používáte SecureCRT terminál, můžete kliknout na soubor, vybrat možnost, která provede přenos, a poté vybrat xmodem. Jakmile vyberete xmodem, vyberete soubor operačního systému. Předpokládejme, že tento soubor je na vašem notebooku, pak zadáte xmodem, nasměrujete tento soubor a odešlete jej. Nicméně xmodem je velmi, velmi pomalý a proces přenosu v závislosti na velikosti souboru může trvat 1-2 hodiny.
TFTP server je mnohem rychlejší. Jak jsem již řekl, Packet Tracer nemá příkazy xmodem, takže načteme tftp příkazem tftpdnld, po kterém nám systém dá rady, jak obnovit obraz systému přes TFTP server. Vidíte různé parametry, které budete muset zadat pro stažení souboru OS. Proč jsou tyto parametry potřebné? Musí být použity, protože v režimu rommon tento router nemá funkce plného zařízení IOS. Proto musíme nejprve ručně zadat IP adresu našeho routeru pomocí parametru IP_ADDRESS=10.1.1.1, poté masku podsítě IP_SUBNET_MASK=255.255.255.0, výchozí bránu DEFAULT_GATEWAY=10.1.1.10, server TFTP_SERVER=10.1.1.10. soubor TFTP_FILE= c1841- advipservicesk9-mz.124-15.T1.bin.
Poté, co jsem to udělal, spustím příkaz tftpdnld a systém požádá o potvrzení této akce, protože všechna existující data ve flashi budou ztracena. Pokud odpovím „Ano“, uvidíte, že se barva portů pro připojení routeru a serveru změnila na zelenou, to znamená, že probíhá proces kopírování operačního systému ze serveru.
Po dokončení stahování souboru použiji příkaz boot, který poté začne rozbalovat obraz systému. Vidíte, že poté router přejde do funkčního stavu, protože operační systém je vrácen do zařízení. Takto se obnoví funkčnost zařízení, které ztratilo operační systém.
Nyní si povíme něco málo o licencování Cisco IOS.
Před verzí 15 existovaly předchozí verze licencí, například 12, po které byla okamžitě vydána verze 15, neptejte se, kam se poděla čísla 13 a 14. Takže, když jste si koupili zařízení Cisco, se základní funkcionalitou IOS IP Základní to stálo řekněme 1000 dolarů. To byla minimální cena za hardware s nainstalovaným operačním systémem se základní konfigurací.
Řekněme, že váš přítel chtěl, aby jeho zařízení mělo pokročilé funkce Advance IP Services, pak byla cena, řekněme, 10 tisíc dolarů. Dávám náhodná čísla jen pro představu. I když máte oba stejný hardware, jediným rozdílem je nainstalovaný software. Nic vám nemohlo zabránit v tom, abyste požádali přítele o kopii jeho softwaru, nainstalovali jej na váš hardware a ušetřili tak 9 15 $. I když takového přítele nemáte, s moderním rozvojem internetu si můžete stáhnout a nainstalovat pirátskou kopii softwaru. Je to nelegální a nedoporučuji vám to dělat, ale lidé to dělají hodně. Proto se Cisco rozhodlo implementovat mechanismus, který takovým podvodům zabrání, a vyvinulo verzi IOS XNUMX, která zahrnuje licencování.
V předchozích verzích iOS, například 12.4, samotný název systému naznačoval jeho funkčnost, takže když přejdete do nastavení zařízení, můžete je určit podle názvu souboru OS. Ve skutečnosti existovalo několik operačních systémů stejné verze, stejně jako Windows Home, Windows Professional, Windows Enterprise atd.
Ve verzi 15 je pouze jeden univerzální operační systém – Cisco IOSv15, který má několik úrovní licencování. Obraz systému obsahuje všechny funkce, ale jsou uzamčené a rozdělené do balíčků.
Balíček IP Base je ve výchozím nastavení aktivní, má doživotní platnost a je dostupný každému, kdo si zakoupí zařízení Cisco. Zbývající tři balíčky, Data, Unified Communication a Security, lze aktivovat pouze s licencí. Pokud potřebujete balíček Data, můžete přejít na webové stránky společnosti, zaplatit určitou částku a Cisco vám pošle licenční soubor na váš e-mail. Tento soubor zkopírujete do flash paměti vašeho zařízení pomocí TFTP nebo jiného způsobu, po kterém jsou všechny funkce datového balíčku automaticky dostupné. Pokud potřebujete pokročilé funkce zabezpečení, jako je šifrování, IPSec, VPN, firewall atd., zakoupíte si licenci na bezpečnostní balíček.
Nyní vám pomocí Packet Tracer ukážu, jak to vypadá. Přejdu na záložku CLI nastavení routeru a zadám příkaz show version. Můžete vidět, že používáme OS verze 15.1, jedná se o univerzální OS, který obsahuje všechny funkce. Pokud rolujete v okně dolů, můžete vidět licenční informace.
To znamená, že balíček ipbase je trvalý a dostupný při každém spuštění zařízení a bezpečnostní a datové balíčky nejsou dostupné, protože systém aktuálně nemá příslušné licence.
Pro zobrazení podrobných informací o licenci můžete použít příkaz show license all. Podrobnosti o aktuální licenci můžete zobrazit také pomocí příkazu zobrazit podrobnosti licence. Funkce licence lze zobrazit pomocí příkazu show license features. Toto je shrnutí licenčního systému Cisco. Přejdete na web společnosti, zakoupíte požadovanou licenci a vložíte licenční soubor do systému. To lze provést v režimu konfigurace globálního nastavení pomocí příkazu license install.
Děkujeme, že s námi zůstáváte. Líbí se vám naše články? Chcete vidět více zajímavého obsahu? Podpořte nás objednávkou nebo doporučením přátelům, 30% sleva pro uživatele Habr na unikátní obdobu entry-level serverů, kterou jsme pro vás vymysleli: (k dispozici s RAID1 a RAID10, až 24 jader a až 40 GB DDR4).
Dell R730xd 2x levnější? Pouze zde V Nizozemsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 $! Číst o
Zdroj: www.habr.com