今天我们将讨论恢复路由器和交换机密码、更新、重新安装和恢复 IOS,以及 IOSv15 操作系统的 Cisco 许可系统。 这些是有关网络设备管理的非常重要的主题。
我怎样才能恢复我的密码? 您可能会问为什么需要这样做。 假设您设置了设备并设置了所有必要的密码:VTY、控制台、特权模式、Telnet 和 SSH 连接的密码,然后您忘记了这些密码。 有可能安装它们的公司员工辞职了并且没有给您记录,或者您在 eBay 上购买了路由器并且不知道前任所有者设置的密码,因此您无法访问该设备。
在这种情况下,您应该使用黑客技术。 您侵入了思科设备并重置了密码,但如果您拥有该设备,那么这并不是真正的黑客攻击。 这需要三件事:中断序列、配置寄存器和系统重新启动。
您使用开关,关闭路由器的电源并立即将其打开,以便路由器开始重新启动;“cisco 驱动程序”将此称为“弹跳”。 在解压IOS镜像时,需要使用启动中断,即通过控制台端口连接到设备并运行Break Sequence。 启动 Break Sequence 的组合键取决于您所使用的终端仿真程序,即,对于 Hyperterminal,中断下载由一个组合执行,对于 SeqreSRT - 由另一个组合执行。 在这个视频下面我提供了一个链接
当使用启动中断时,路由器将以ROMmon模式启动。 ROMmon 类似于计算机的 BIOS;它是一个基本的基本操作系统,允许您执行基本的服务命令。 在此模式下,您可以使用配置寄存器。 如您所知,在启动过程中,系统会检查启动设置是否存在,如果不存在,则会使用默认设置启动。
通常情况下,路由器配置寄存器的值为0x2102,这意味着开始启动配置。 如果将此值更改为 0x2142,则在 Break Sequence 期间,启动配置将被忽略,因为系统不会关注非易失性 NVRAM 的内容,并且将加载默认配置,对应于以下设置开箱即用的路由器。
因此,要使用默认设置启动,您需要将配置寄存器值更改为 0x2142,这实际上告诉设备:“请忽略所有启动时的启动配置!” 由于此配置包含所有密码,因此使用默认设置启动可以让您自由访问特权模式。 在此模式下,您可以重置密码、保存更改、重新启动系统并获得对设备的完全控制。
现在我将启动 Packet Tracer 并向您展示我刚才谈到的内容。 您会看到一个网络拓扑,其中包含需要重置密码的路由器、交换机和笔记本电脑。 在所有视频教程中,我单击 Packet Tracer 中的设备图标,转到 CLI 控制台选项卡并配置设备。 现在我想做不同的事情,并展示这是如何在真实设备上完成的。
我将用控制台电缆将笔记本电脑的RS-232串口连接到路由器的控制台端口;在程序中它是一根蓝色电缆。 我不需要配置任何 IP 地址,因为它们不需要与路由器的控制台端口通信。
在笔记本电脑上,我转到“终端”选项卡并检查参数:波特率 9600 bps、数据位 - 8、无奇偶校验、停止位 - 1、流量控制 - 无,然后单击“确定”,这使我可以访问路由器安慰。 如果您比较两个窗口中的信息 - R0 路由器的 CLI 和 Laptop0 笔记本电脑的屏幕上的信息,它将完全相同。
Packet Tracer 允许您做类似的事情,但实际上我们不会使用 CLI 路由器控制台窗口,而只会通过计算机终端进行工作。
因此,我们有一个需要重置密码的路由器。 您转到笔记本电脑终端,检查设置,转到路由器设置面板,然后看到访问被密码阻止! 到那里怎么走?
我转到路由器,转到显示为物理设备的选项卡,单击电源开关并立即将其重新打开。 您会看到终端窗口中出现一条有关自解压操作系统映像的消息。 此时您应该使用 Ctrl+C 组合键,这用于在 Packet Tracer 程序中进入 rommon 模式。 如果您通过超级终端登录,则需要按 Ctrl+Break。
你会看到屏幕上出现了一行标题为 rommon 1 的行,如果你输入一个问号,那么系统会给出一系列关于在此模式下可以使用哪些命令的提示。
boot 参数启动内部启动过程,confreg 启动注册表配置实用程序,这是我们感兴趣的命令。 我在终端行中输入confreg 0x2142。 这意味着,当您重新启动时,存储在 NVRAM 闪存中的信息将被忽略,路由器将以默认设置作为全新设备启动。 如果我输入命令confreg 0x2102,路由器将使用最后保存的启动参数。
接下来,我使用重置命令重新启动系统。 如您所见,加载后,系统没有像上次那样提示我输入密码,而是简单地询问我是否打算继续设置对话。 现在我们有了一个默认设置的路由器,无需任何用户配置。
我输入 no,然后回车,然后从用户模式进入特权模式。 由于我想查看启动配置,因此我使用 showstartup-config 命令。 您会看到 NwKing 路由器主机名、欢迎横幅和控制台密码“console”。 现在我知道了这个密码,可以复制它以免忘记,或者我可以将其更改为另一个密码。
我首先需要的是将启动配置加载到当前的路由器配置中。 为此,我使用复制启动配置运行配置命令。 现在我们当前的配置是之前的路由器配置。 您可以看到,此后命令行中的路由器名称从 Router 更改为 NwKingRouter。 使用show run命令,可以查看设备当前的配置,在这里可以看到控制台的密码是“console”两个字,我们没有使用启用密码,这是正确的。 您需要记住,恢复会终止特权模式,并且您将返回到用户命令提示符模式。
我们仍然可以对注册表进行更改,如果密码是保密的,即使用了启用保密功能,显然你无法解密它,所以你可以通过 config t 返回到全局配置模式并设置一个新密码。 为此,我键入命令启用秘密启用,或者我可以使用任何其他单词作为密码。 如果你输入show run,你会看到enable Secret功能被启用,现在的密码看起来不再像“enable”这个词,而是像一串加密的字符,你不必担心安全性,因为你只需自己设置并加密新密码。
以下是恢复路由器密码的方法。 需要注意的一件重要事情是,如果输入 show version 命令,您将看到配置寄存器值为 0x2142。 这意味着即使我使用复制运行到启动命令并重新启动路由器,系统也会再次加载默认设置,即路由器将恢复到出厂设置。 我们根本不需要这个,因为我们已经重置了密码,获得了设备的控制权并希望在生产模式下使用它。
因此,需要进入全局配置模式 Router(config)# 并输入命令 config-register 0x2102,然后才能使用该命令将当前配置复制到 boot copy run start。 您还可以使用 write 命令将当前设置复制到引导配置。 如果您现在输入 show version,您将看到配置寄存器的值现在为 0x2102,并且系统报告更改将在您下次重新启动路由器时生效。
因此,我们使用 reload 命令启动重新启动,系统重新启动,现在我们拥有所有配置文件、所有设置并知道所有密码。 这就是恢复路由器密码的方法。
让我们看看如何对交换机执行相同的过程。 路由器有一个开关,可以让你关闭电源然后再打开,但思科交换机没有这样的开关。 我们必须用控制台电缆连接到控制台端口,然后从交换机背面拔下电源线,10-15秒后将其插回并立即按住MODE按钮3秒。 这将自动将交换机置于 ROMmon 模式。 该模式下,需要初始化Flash上的文件系统,并重命名config.text文件,例如重命名为config.text.old。 如果你简单地删除它,交换机不仅会“忘记”密码,还会“忘记”之前的所有设置。 之后重新启动系统。
开关会发生什么情况? 重新启动时,它会访问配置文件 config.text。 如果在设备的闪存中找不到该文件,则会使用默认设置启动 IOS。 这就是区别:在路由器中,您必须更改寄存器设置,但在交换机中,您只需要更改启动设置文件的名称。 让我们看看在 Packet Tracer 程序中这是如何发生的。 这次我用控制台电缆将笔记本电脑连接到交换机的控制台端口。
我们不使用交换机的 CLI 控制台,而是模拟只能使用笔记本电脑访问交换机设置的情况。 我使用与路由器相同的笔记本电脑终端设置,然后按“Enter”键连接到交换机的控制台端口。
在 Packet Tracer 中,我无法像使用物理设备那样拔出电源线。 如果我有控制台密码,则可能会使交换机过载,因此我输入启用密码启用命令,为控制台的特权模式分配本地访问密码。
现在,如果我进入设置,我会看到系统要求输入我不知道的密码。 这意味着需要重新启动系统。 正如您所看到的,系统不接受重新加载命令,该命令来自用户模式下的用户设备,因此我必须使用特权模式。 正如我所说,在现实生活中,我只需拔掉交换机的电源线几秒钟即可强制重新启动,但由于这无法在程序中完成,因此我必须删除密码并直接从此处重新启动。 你明白我为什么这么做,对吗?
因此,我从 CLI 选项卡转到物理设备选项卡,当设备开始重新启动时,我按住 MODE 虚拟按钮 3 秒钟并进入 ROMmon 模式。 您会看到交换机的 CLI 窗口中的信息与笔记本电脑屏幕上的窗口中的信息相同。 我转到笔记本电脑,在窗口中显示交换机的ROMmon模式,然后输入flash_init命令。 该命令初始化闪存上的文件系统,之后我发出 dir_flash 命令来查看闪存的内容。
这里有两个文件 - 扩展名为 .bin 的 IOS 操作系统文件和我们必须重命名的 config.text 文件。 为此,我使用命令 rename flash:config.text flash:config.old。 如果您现在使用 dir_flash 命令,您可以看到 config.text 文件已重命名为 config.old。
现在我输入重置命令,交换机重新启动,系统启动后,它会进入默认设置。 通过将命令行上的设备名称从 NwKingSwitch 更改为简单的 Switch 即可证明这一点。 rename 命令存在于真实设备中,但不能在 Packet Tracer 中使用。 因此,我使用show running conf,可以看到,交换机使用了所有默认设置,并输入命令more flash:config.old。 技巧如下:您只需复制屏幕上显示的当前设备配置,进入全局配置模式并粘贴复制的信息。 理想情况下,绝对所有设置都会被复制,并且您会看到设备名称已更改并且交换机已切换到正常操作。
现在剩下的就是将当前配置复制到启动配置,即创建一个新的config.text 文件。 最简单的方法就是简单地将旧文件重命名回config.text,即将config.old的内容复制到当前配置中,然后另存为config.text。 这就是恢复交换机密码的方法。
现在我们来看看如何备份和恢复Cisco IOS操作系统。 备份包括将 IOS 映像复制到 TFTP 服务器。 接下来,我将告诉您如何将系统映像文件从该服务器传输到您的设备。 第三个主题是ROMmon模式下的系统恢复。 如果您的同事不小心删除了 iOS 并且系统停止启动,这可能是必要的。
我们将了解如何使用 ROMmod 模式从 TFTP 服务器获取系统文件。 有两种方法可以做到这一点,其中之一是 xmodem。 Packet Tracer 不支持 xmodem,因此我将简要解释它是什么,然后使用 Packet Tracer 展示如何使用第二种方法 - 通过 TFTP 进行系统恢复。
该图显示了设备 Router0,它被分配了 IP 地址 10.1.1.1。 该路由器连接到 IP 地址为 10.1.1.10 的服务器。 我忘记给路由器分配地址了,所以我现在就快速分配一下。 我们的路由器未连接到笔记本电脑,因此该程序不提供使用 CLI 控制台的功能,我必须修复此问题。
我使用控制台电缆将笔记本电脑连接到路由器,系统要求输入控制台密码,我使用“控制台”一词。 在全局配置模式下,我为 f0/0 接口分配所需的 IP 地址和子网掩码 255.255.255.0 并添加 no shutdown 命令。
接下来,我输入 show flash 命令,看到内存中有 3 个文件。 文件3是最重要的,这是路由器的IOS文件。 现在我需要配置 TFTP 服务器,因此我单击 Server0 设备图标并打开“服务”选项卡。 我们看到 TFTP 服务器已打开,并且包含来自许多 Cisco 操作系统的文件,包括我们的 c1841 路由器的 IOS - 这是列表中的第三个文件。 我需要从服务器中删除它,因为我要从我们的路由器 Router0 复制另一个 IOS 文件。 为此,我突出显示该文件并单击“删除文件”,然后转到笔记本电脑控制台选项卡。
在路由器控制台中,输入命令 copy flash tftp <源文件名> <目标地址/主机名>,然后复制并粘贴操作系统文件名。
接下来,在命令中,您需要指定应将此文件复制到的远程主机的地址或名称。 就像保存路由器的启动配置时一样,这里需要小心。 如果您错误地将当前配置复制到启动配置,而是相反地将启动配置复制到当前配置,那么在重新启动设备后,您将丢失所做的所有设置。 同样,在这种情况下,不应混淆源和目的地。 因此,首先我们指定需要复制到服务器的文件的名称,然后指定该服务器的IP地址10.1.1.10。
您看到文件传输已经开始,如果您查看 TFTP 文件列表,您可以看到这里出现了我们路由器的新 IOS 文件,而不是删除的文件。 这就是IOS复制到服务器的方式。
现在我们回到笔记本电脑屏幕上的路由器设置窗口,输入copy tftp flash命令,指定远程主机的地址10.1.1.10和源文件名Source filename,即需要复制到的IOS路由器闪存:c1841-ipbase-mz.123 -14.T7.bin。 接下来,指定目标文件名 Destination filename,在我们的例子中,它与源名称完全相同。 之后,我按“Enter”键,新的 IOS 文件就会复制到路由器的闪存中。 您会看到我们现在有两个操作系统文件:新的文件位于第 3 号,之前的原始文件位于第 4 号。
在 IOS 名称中,版本对我们来说很重要 - 在第一个文件中,数字 3,它是 124,在第二个文件中,数字 4,它是 123,即旧版本。 此外,advipservicesk9表明该版本的系统比ipbase功能更强大,因为它允许使用MPLS等。
另一种情况是您错误地删除了闪存 - 我输入删除闪存命令并指定要删除的IOS文件的名称。
但在此之前,我想说,现在默认情况下,在启动过程中,将使用3号系统文件,即c1841-advipservicesk9-mz.124-15.T1.bin。 假设由于某种原因,我希望下次启动系统时使用文件号 4 - c1841-ipbase-mz.123-14.T7.bin。 为此,我进入全局配置模式并键入引导系统闪存命令:с1841-ipbase-mz.123-14.T7.bin。
现在,下次启动时,该文件将用作默认操作系统,即使我们在闪存中存储了两个操作系统。
让我们回到删除操作系统并输入删除闪存命令:с1841-ipbase-mz.123-14.T7.bin。 之后,我们将使用删除闪存命令删除第二个操作系统:с1841-advipservicesk9-mz.124-15.T1.bin,这样路由器将丢失两个操作系统。
如果我们现在输入 show flash,我们可以看到现在我们根本没有任何操作系统。 如果我发出重新启动命令会发生什么? 可以看到,输入reload命令后,设备立即进入ROMmon模式。 正如我所说,启动设备时会查找操作系统文件,如果丢失,则会转到基本操作系统 rommon。
Packet Tracer 没有可在真实物理设备上使用的 xmodem 命令。 在那里输入 xmodem 并添加有关启动操作系统的必要选项。 如果您使用的是 SecureCRT 终端,则可以单击该文件,选择执行传输的选项,然后选择 xmodem。 选择 xmodem 后,您就可以选择操作系统文件。 假设该文件位于您的笔记本电脑上,然后输入 xmodem,指向该文件并发送它。 然而,xmodem 非常非常慢,传输过程可能需要 1-2 小时,具体取决于文件大小。
TFTP 服务器速度要快得多。 正如我已经说过的,Packet Tracer 没有 xmodem 命令,因此我们将使用 tftpdnld 命令加载 tftp,之后系统将提示如何通过 TFTP 服务器恢复系统映像。 您会看到下载操作系统文件时需要指定的各种参数。 为什么需要这些参数? 必须使用它们,因为在 rommon 模式下,该路由器不具备完整 IOS 设备的功能。 因此,我们必须首先使用参数IP_ADDRESS=10.1.1.1手动指定路由器的IP地址,然后子网掩码IP_SUBNET_MASK=255.255.255.0,默认网关DEFAULT_GATEWAY=10.1.1.10,服务器TFTP_SERVER=10.1.1.10和文件 TFTP_FILE= c1841-advipservicesk9-mz.124-15.T1.bin。
完成此操作后,我运行 tftpdnld 命令,系统要求确认此操作,因为闪存中的所有现有数据都将丢失。 如果我回答“是”,您将看到路由器与服务器连接端口的颜色已变为绿色,即正在进行从服务器复制操作系统的过程。
文件下载完成后,我使用启动命令,然后开始解压系统映像。 您会看到,此后路由器进入工作状态,因为操作系统已返回到设备。 这就是恢复丢失操作系统的设备功能的方法。
现在我们来谈谈 Cisco IOS 许可。
在15版本之前,还有以前版本的License,比如12,之后15版本马上就发布了,别问13、14号哪去了。所以,当你买了Cisco设备,就具备了IOS IP的基本功能基本成本是 1000 美元。 这是安装了基本配置操作系统的硬件的最低价格。
假设您的朋友希望他的设备具有 Advance IP Services 的高级功能,那么价格就是 10 美元。 我给出随机数字只是为了给你一个想法。 虽然你们拥有相同的硬件,但唯一的区别是安装的软件。 没有什么可以阻止您向朋友索要他的软件的副本,并将其安装在您的硬件上,从而节省 9 美元。 即使你没有这样的朋友,随着现代互联网的发展,你也可以下载并安装盗版软件。 这是非法的,我不建议你这样做,但人们经常这样做。 这就是为什么思科决定实施一种机制来防止此类欺诈,并开发了包含许可的 IOS 15 版本。
在以前的iOS版本中,例如12.4,系统本身的名称表明了其功能,因此通过进入设备设置,您可以通过操作系统文件的名称来确定它们。 事实上,同一版本的操作系统有多种,就像有Windows Home、Windows Professional、Windows Enterprise等。
在版本 15 中,只有一种通用操作系统 - Cisco IOSv15,它有多个许可级别。 系统映像包含所有功能,但它们被锁定并分成包。
IP Base 软件包默认处于活动状态,具有终生有效期,任何购买 Cisco 设备的人都可以使用。 其余三个软件包(数据、统一通信和安全)只能使用许可证激活。 如果您需要数据包,您可以到该公司的网站上,支付一定的费用,思科会将许可证文件发送到您的电子邮件中。 您可以使用 TFTP 或其他方法将此文件复制到设备的闪存中,之后所有数据包功能将自动可用。 如果您需要加密、IPSec、VPN、防火墙等高级安全功能,您可以购买安全包许可证。
现在,我将使用 Packet Tracer 向您展示这是什么样的。 我转到路由器设置的 CLI 选项卡并输入 show version 命令。 您可以看到我们正在运行操作系统版本15.1,这是一个包含所有功能的通用操作系统。 如果向下滚动窗口,您可以看到许可证信息。
这意味着 ipbase 包是永久的,每次设备启动时都可用,而安全包和数据包则不可用,因为系统当前没有适当的许可证。
您可以使用 show license all 命令查看详细的许可证信息。 您还可以使用 showlicensedetail 命令查看当前许可证的详细信息。 可以使用 show license features 命令查看许可证功能。 这是思科许可系统的摘要。 您访问该公司的网站,购买所需的许可证,并将许可证文件插入系统中。 这可以在全局设置配置模式下使用许可证安装命令来完成。
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的内容? 通过下订单或推荐给朋友来支持我们, 在我们为您发明的独特的入门级服务器模拟上,Habr 用户可享受 30% 的折扣:
戴尔R730xd便宜2倍? 只有这里
来源: habr.com