今天我們將討論復原路由器和交換器密碼、更新、重新安裝和復原 IOS,以及 IOSv15 作業系統的 Cisco 授權系統。 這些是有關網路設備管理的非常重要的主題。
我怎樣才能恢復我的密碼? 您可能會問為什麼需要這樣做。 假設您設定了裝置並設定了所有必要的密碼:VTY、控制台、特權模式、Telnet 和 SSH 連線的密碼,然後您忘記了這些密碼。 有可能安裝它們的公司員工辭職了並且沒有給您記錄,或者您在 eBay 上購買了路由器並且不知道前任所有者設置的密碼,因此您無法訪問該設備。
在這種情況下,您應該使用駭客技術。 您入侵了思科設備並重設了密碼,但如果您擁有該設備,那麼這並不是真正的駭客攻擊。 這需要三件事:中斷序列、設定暫存器和系統重新啟動。
您使用開關,關閉路由器的電源並立即將其打開,以便路由器開始重新啟動;「cisco 驅動程式」將此稱為「彈跳」。 在解壓縮IOS鏡像時,需要使用啟動中斷,即透過控制台連接埠連接到裝置並執行Break Sequence。 啟動 Break Sequence 的組合鍵取決於您所使用的終端仿真程序,即,對於 Hyperterminal,中斷下載由一個組合執行,對於 SeqreSRT - 由另一個組合執行。 在這個視頻下面我提供了一個鏈接
當使用啟動中斷時,路由器將以ROMmon模式啟動。 ROMmon 類似於電腦的 BIOS;它是一個基本的基本作業系統,允許您執行基本的服務命令。 在此模式下,您可以使用設定暫存器。 如您所知,在啟動過程中,系統會檢查啟動設定是否存在,如果不存在,則會使用預設設定啟動。
通常情況下,路由器配置暫存器的值為0x2102,這表示開始啟動設定。 如果將此值變更為 0x2142,則在 Break Sequence 期間,啟動配置將被忽略,因為系統不會關注非揮發性 NVRAM 的內容,並且將載入預設配置,對應於下列設定開箱即用的路由器。
因此,要使用預設設定啟動,您需要將配置暫存器值變更為 0x2142,這實際上告訴裝置:“請忽略任何啟動時的啟動配置!” 由於此配置包含所有密碼,因此使用預設設定啟動可讓您自由存取特權模式。 在此模式下,您可以重設密碼、儲存變更、重新啟動系統並獲得對裝置的完全控制。
現在我將啟動 Packet Tracer 並向您展示我剛才談到的內容。 您會看到一個網路拓撲,其中包含需要重設密碼的路由器、交換器和筆記型電腦。 在所有影片教學中,我點擊 Packet Tracer 中的裝置圖標,前往 CLI 控制台標籤並配置裝置。 現在我想做不同的事情,並展示這是如何在真實設備上完成的。
我將用控制台電纜將筆記型電腦的RS-232串口連接到路由器的控制台連接埠;在程式中它是一條藍色電纜。 我不需要配置任何 IP 位址,因為它們不需要與路由器的控制台連接埠通訊。
在筆記型電腦上,我轉到“終端”選項卡並檢查參數:波特率9600 bps、數據位- 8、無奇偶校驗、停止位- 1、流量控制- 無,然後單擊“確定”,這使我可以訪問路由器安慰。 如果您比較兩個視窗中的信息 - R0 路由器的 CLI 和 Laptop0 筆記型電腦的螢幕上的信息,它將完全相同。
Packet Tracer 允許您做類似的事情,但實際上我們不會使用 CLI 路由器控制台窗口,而只會透過電腦終端進行工作。
因此,我們有一個需要重置密碼的路由器。 您轉到筆記型電腦終端,檢查設置,轉到路由器設定面板,然後看到訪問被密碼阻止! 到那裡怎麼走?
我轉到路由器,轉到顯示為實體設備的選項卡,點擊電源開關並立即將其重新打開。 您會看到終端機視窗中出現一條有關自解壓縮作業系統映像的訊息。 此時您應該使用 Ctrl+C 組合鍵,這用於在 Packet Tracer 程式中進入 rommon 模式。 如果您透過超級終端登錄,則需要按 Ctrl+Break。
你會看到螢幕上出現了一行標題為 rommon 1 的行,如果你輸入一個問號,那麼系統會給出一系列關於在此模式下可以使用哪些命令的提示。
boot參數啟動內部啟動過程,confreg啟動註冊表配置實用程序,這是我們感興趣的命令。 我在終端機行輸入confreg 0x2142。 這意味著,當您重新啟動時,儲存在 NVRAM 快閃記憶體中的資訊將被忽略,路由器將以預設設定作為全新裝置啟動。 如果我輸入指令confreg 0x2102,路由器將使用最後儲存的啟動參數。
接下來,我使用重置命令重新啟動系統。 如您所見,加載後,系統沒有像上次那樣提示我輸入密碼,而是簡單地詢問我是否打算繼續設定對話。 現在我們有了一個預設設定的路由器,無需任何使用者配置。
我輸入 no,然後回車,然後從使用者模式進入特權模式。 由於我想查看啟動配置,因此我使用 showstartup-config 命令。 您會看到 NwKing 路由器主機名稱、歡迎橫幅和控制台密碼「console」。 現在我知道了這個密碼,可以複製它以免忘記,或者我可以將其更改為另一個密碼。
我首先需要的是將啟動配置載入到目前的路由器配置中。 為此,我使用複製啟動配置來運行配置命令。 現在我們目前的設定是之前的路由器設定。 您可以看到,此後命令列中的路由器名稱從 Router 更改為 NwKingRouter。 使用show run指令,可以查看裝置目前的配置,在這裡可以看到控制台的密碼是「console」兩個字,我們沒有使用啟用密碼,這是正確的。 您需要記住,復原會終止特權模式,並且您將返回使用者命令提示字元模式。
我們仍然可以對登錄機碼進行更改,如果密碼是保密的,即使用了啟用保密功能,顯然你無法解密它,所以你可以透過 config t 返回全域設定模式並設定新密碼。 為此,我鍵入命令啟用秘密啟用,或者我可以使用任何其他單字作為密碼。 如果你輸入show run,你會看到enable Secret功能被啟用,現在的密碼看起來不再像“enable”這個詞,而是像一串加密的字符,你不必擔心安全性,因為你只需自己設定並加密新密碼。
以下是恢復路由器密碼的方法。 需要注意的一件重要事情是,如果輸入 show version 命令,您將看到配置寄存器值為 0x2142。 這意味著即使我使用複製運行到啟動命令並重新啟動路由器,系統也會再次加載預設設置,即路由器將恢復到出廠設定。 我們根本不需要這個,因為我們已經重置了密碼,獲得了設備的控制權並希望在生產模式下使用它。
因此,需要進入全域設定模式 Router(config)# 並輸入指令 config-register 0x2102,然後才能使用該指令將目前設定複製到 boot copy run start。 您也可以使用 write 指令將目前設定複製到引導配置。 如果您現在輸入 show version,您將看到配置暫存器的值現在為 0x2102,並且系統報告變更將在您下次重新啟動路由器時生效。
因此,我們使用 reload 命令啟動重新啟動,系統重新啟動,現在我們擁有所有設定檔、所有設定並知道所有密碼。 這就是恢復路由器密碼的方法。
讓我們看看如何對交換器執行相同的過程。 路由器有一個開關,可以讓你關閉電源然後再打開,但思科交換器沒有這樣的開關。 我們必須用控制台電纜連接到控制台端口,然後從交換機背面拔下電源線,10-15秒後將其插回並立即按住MODE按鈕3秒。 這將自動將交換器置於 ROMmon 模式。 在該模式下,需要初始化Flash上的檔案系統,並重新命名config.text文件,例如重新命名為config.text.old。 如果你簡單地刪除它,交換器不僅會「忘記」密碼,還會「忘記」之前的所有設定。 之後重新啟動系統。
開關會發生什麼狀況? 重新啟動時,它會存取設定檔 config.text。 如果在裝置的快閃記憶體中找不到該文件,則會使用預設設定啟動 IOS。 這就是區別:在路由器中,您必須更改寄存器設置,但在交換器中,您只需要更改啟動設定檔的名稱。 讓我們看看在 Packet Tracer 程式中這是如何發生的。 這次我用控制台電纜將筆記型電腦連接到交換器的控制台連接埠。
我們不使用交換器的 CLI 控制台,而是模擬只能使用筆記型電腦存取交換器設定的情況。 我使用與路由器相同的筆記型電腦終端設置,然後按“Enter”鍵連接到交換器的控制台連接埠。
在 Packet Tracer 中,我無法像使用實體設備那樣拔出電源線。 如果我有控制台密碼,則可能會使交換器過載,因此我輸入啟用密碼啟用命令,為控制台的特權模式分配本機存取密碼。
現在,如果我進入設置,我會看到系統要求輸入我不知道的密碼。 這意味著需要重新啟動系統。 正如您所看到的,系統不接受重新載入命令,該命令來自用戶模式下的用戶設備,因此我必須使用特權模式。 正如我所說,在現實生活中,我只需拔掉交換機的電源線幾秒鐘即可強制重新啟動,但由於這無法在程式中完成,因此我必須刪除密碼並直接從此處重新啟動。 你明白我為什麼這麼做,對嗎?
因此,我從 CLI 選項卡轉到實體設備選項卡,當設備開始重新啟動時,我按住 MODE 虛擬按鈕 3 秒鐘並進入 ROMmon 模式。 您會看到交換器的 CLI 視窗中的資訊與筆記型電腦螢幕上的視窗中的資訊相同。 我轉到筆記型電腦,在視窗中顯示交換器的ROMmon模式,然後輸入flash_init命令。 該命令初始化閃存上的檔案系統,之後我發出 dir_flash 命令來查看閃存的內容。
這裡有兩個檔案 - 副檔名為 .bin 的 IOS 作業系統檔案和我們必須重命名的 config.text 檔案。 為此,我使用命令 rename flash:config.text flash:config.old。 如果您現在使用 dir_flash 命令,您可以看到 config.text 檔案已重新命名為 config.old。
現在我輸入重置命令,交換器重新啟動,系統啟動後,它會進入預設值。 透過將命令列上的裝置名稱從 NwKingSwitch 更改為簡單的 Switch 即可證明這一點。 rename 指令存在於真實裝置中,但不能在 Packet Tracer 中使用。 因此,我使用show running conf,可以看到,交換器使用了所有預設設置,並輸入命令more flash:config.old。 技巧如下:您只需複製螢幕上顯示的目前裝置配置,進入全域設定模式並貼上複製的資訊。 理想情況下,絕對所有設定都會被複製,並且您會看到設備名稱已更改並且交換器已切換到正常操作。
現在剩下的就是將目前配置複製到啟動配置,也就是建立一個新的config.text 檔案。 最簡單的方法就是簡單地將舊檔案重新命名回config.text,即將config.old的內容複製到目前設定中,然後另存為config.text。 這就是恢復交換器密碼的方法。
現在我們來看看如何備份和還原Cisco IOS作業系統。 備份包括將 IOS 映像複製到 TFTP 伺服器。 接下來,我將告訴您如何將系統映像檔從該伺服器傳輸到您的裝置。 第三個主題是ROMmon模式下的系統恢復。 如果您的同事不小心刪除了 iOS 並且系統停止啟動,這可能是必要的。
我們將了解如何使用 ROMmod 模式從 TFTP 伺服器取得系統檔案。 有兩種方法可以做到這一點,其中之一是 xmodem。 Packet Tracer 不支援 xmodem,因此我將簡要解釋它是什麼,然後使用 Packet Tracer 展示如何使用第二種方法 - 透過 TFTP 進行系統復原。
該圖顯示了設備 Router0,它被指派了 IP 位址 10.1.1.1。 此路由器連接到 IP 位址為 10.1.1.10 的伺服器。 我忘記給路由器分配位址了,所以我現在就快速分配一下。 我們的路由器未連接到筆記型電腦,因此程式不提供使用 CLI 控制台的功能,我必須修復此問題。
我使用控制台電纜將筆記型電腦連接到路由器,系統要求輸入控制台密碼,我使用“控制台”一詞。 在全域設定模式下,我為 f0/0 介面指派所需的 IP 位址和子網路遮罩 255.255.255.0 並新增 no shutdown 指令。
接下來,我輸入 show flash 指令,看到記憶體中有 3 個檔案。 文件3是最重要的,這是路由器的IOS檔。 現在我需要配置 TFTP 伺服器,因此我按一下 Server0 裝置圖示並開啟「服務」標籤。 我們看到 TFTP 伺服器已打開,並且包含來自許多 Cisco 作業系統的文件,包括我們的 c1841 路由器的 IOS - 這是清單中的第三個文件。 我需要從伺服器中刪除它,因為我要從我們的路由器 Router0 複製另一個 IOS 檔案。 為此,我突出顯示該文件並單擊“刪除文件”,然後轉到筆記型電腦控制台選項卡。
在路由器控制台中,輸入指令 copy flash tftp <來源檔案名稱> <目標位址/主機名稱>,然後複製並貼上作業系統檔案名稱。
接下來,在命令中,您需要指定應將此檔案複製到的遠端主機的位址或名稱。 就像儲存路由器的啟動設定時一樣,這裡需要小心。 如果您錯誤地將目前配置複製到啟動配置,而是相反地將啟動配置複製到當前配置,那麼在重新啟動設備後,您將丟失所做的所有設定。 同樣,在這種情況下,不應混淆來源和目的地。 因此,首先我們指定需要複製到伺服器的檔案的名稱,然後指定該伺服器的IP位址10.1.1.10。
您看到文件傳輸已經開始,如果您查看 TFTP 文件列表,您可以看到這裡出現了我們路由器的新 IOS 文件,而不是刪除的文件。 這就是IOS複製到伺服器的方式。
現在我們回到筆記型電腦螢幕上的路由器設定窗口,輸入copy tftp flash指令,指定遠端主機的位址10.1.1.10和來源檔案名稱Source filename,即需要複製到的IOS路由器快閃記憶體:c1841-ipbase-mz.123 -14.T7.bin。 接下來,指定目標檔案名稱 Destination filename,在我們的範例中,它與來源名稱完全相同。 之後,我按下「Enter」鍵,新的 IOS 檔案就會複製到路由器的快閃記憶體中。 您會看到我們現在有兩個作業系統檔案:新的檔案位於第 3 號,之前的原始檔案位於第 4 號。
在 IOS 名稱中,版本對我們來說很重要 - 在第一個檔案中,數字 3,它是 124,在第二個檔案中,數字 4,它是 123,即舊版本。 此外,advipservicesk9顯示該版本的系統比ipbase功能更強大,因為它允許使用MPLS等。
另一種情況是您錯誤地刪除了閃存 - 我輸入刪除閃存命令並指定要刪除的IOS檔案的名稱。
但在此之前,我想說,現在預設情況下,在啟動過程中,將使用3號系統文件,即c1841-advipservicesk9-mz.124-15.T1.bin。 假設由於某種原因,我希望下次啟動系統時使用檔案編號 4 - c1841-ipbase-mz.123-14.T7.bin。 為此,我進入全域設定模式並鍵入引導系統快閃記憶體命令:с1841-ipbase-mz.123-14.T7.bin。
現在,下次啟動時,該檔案將用作預設作業系統,即使我們在快閃記憶體中儲存了兩個作業系統。
讓我們回到刪除作業系統並輸入刪除閃存命令:с1841-ipbase-mz.123-14.T7.bin。 之後,我們將使用刪除快閃記憶體指令刪除第二個作業系統:с1841-advipservicesk9-mz.124-15.T1.bin,這樣路由器就會遺失兩個作業系統。
如果我們現在輸入 show flash,我們可以看到現在我們根本沒有任何作業系統。 如果我發出重新啟動命令會發生什麼事? 可以看到,輸入reload指令後,裝置立即進入ROMmon模式。 正如我所說,啟動設備時會查找作業系統文件,如果丟失,則會轉到基本作業系統 rommon。
Packet Tracer 沒有可在真實實體裝置上使用的 xmodem 指令。 在那裡輸入 xmodem 並添加有關啟動作業系統的必要選項。 如果您使用的是 SecureCRT 終端,則可以按一下該文件,選擇執行傳輸的選項,然後選擇 xmodem。 選擇 xmodem 後,您就可以選擇作業系統檔案。 假設該檔案位於您的筆記型電腦上,然後輸入 xmodem,指向該檔案並發送它。 然而,xmodem 非常非常慢,傳輸過程可能需要 1-2 小時,具體取決於檔案大小。
TFTP 伺服器速度要快得多。 正如我已經說過的,Packet Tracer 沒有 xmodem 命令,因此我們將使用 tftpdnld 命令載入 tftp,之後系統將提示如何透過 TFTP 伺服器恢復系統映像。 您會看到下載作業系統檔案時需要指定的各種參數。 為什麼需要這些參數? 必須使用它們,因為在 rommon 模式下,該路由器不具備完整 IOS 設備的功能。 因此,我們必須先使用參數IP_ADDRESS=10.1.1.1手動指定路由器的IP位址,然後子網路遮罩IP_SUBNET_MASK=255.255.255.0,預設閘道DEFAULT_GATEWAY=10.1.1.10,FTPFTP_預設閘道DEFAULT_GATEWAY=10.1.1.10,FTPFTP_ advipservicesk1841-mz.9-124.T15.bin。
完成此操作後,我執行 tftpdnld 命令,系統要求確認此操作,因為快閃記憶體中的所有現有資料都將遺失。 如果我回答“是”,您將看到路由器與伺服器連接連接埠的顏色已變為綠色,即正在進行從伺服器複製作業系統的過程。
文件下載完成後,我使用啟動命令,然後開始解壓縮系統映像。 您會看到,此後路由器進入工作狀態,因為作業系統已返回到裝置。 這就是恢復遺失作業系統的裝置功能的方法。
現在讓我們來談談 Cisco IOS 授權。
在15版之前,還有以前版本的License,例如12,之後15版馬上就發布了,別問13、14號哪去了。所以,當你買了Cisco設備,就具備了IOS IP的基本功能基礎成本是1000 美元。 這是安裝了基本配置作業系統的硬體的最低價格。
假設您的朋友希望他的設備具有 Advance IP Services 的高級功能,那麼價格就是 10 美元。 我給隨機數字只是為了給你一個想法。 雖然你們擁有相同的硬件,但唯一的區別是安裝的軟體。 沒有什麼可以阻止您向朋友索取他的軟體的副本,並將其安裝在您的硬體上,從而節省 9 美元。 即使你沒有這樣的朋友,隨著現代網路的發展,你也可以下載並安裝盜版軟體。 這是非法的,我不建議你這樣做,但人們經常這樣做。 這就是為什麼思科決定實施一種機制來防止此類欺詐,並開發了包含許可的 IOS 15 版本。
在先前的iOS版本中,例如12.4,系統本身的名稱表明了其功能,因此透過進入裝置設置,您可以透過作業系統檔案的名稱來確定它們。 事實上,同一版本的作業系統有很多種,就像有Windows Home、Windows Professional、Windows Enterprise等。
在版本 15 中,只有一個通用作業系統 - Cisco IOSv15,它有多個授權等級。 系統映像包含所有功能,但它們被鎖定並分成包。
IP Base 軟體包預設為活動狀態,具有終身有效期,購買 Cisco 設備的人都可以使用。 其餘三個軟體包(資料、統一通訊和安全性)只能使用許可證啟動。 如果您需要資料包,您可以到該公司的網站上,支付一定的費用,思科會將許可證文件發送到您的電子郵件中。 您可以使用 TFTP 或其他方法將此檔案複製到裝置的快閃記憶體中,之後所有資料包功能將自動可用。 如果您需要加密、IPSec、VPN、防火牆等進階安全功能,您可以購買安全包許可證。
現在,我將使用 Packet Tracer 向您展示這是什麼樣的。 我轉到路由器設定的 CLI 標籤並輸入 show version 命令。 您可以看到我們正在運行作業系統版本15.1,這是一個包含所有功能的通用作業系統。 如果向下捲動窗口,您可以看到許可證資訊。
這表示 ipbase 包是永久的,每次裝置啟動時都可用,而安全包和資料包則不可用,因為系統目前沒有適當的許可證。
您可以使用 show license all 指令查看詳細的授權資訊。 您也可以使用 showlicensedetail 命令查看目前許可證的詳細資訊。 可以使用 show license features 指令查看授權功能。 這是思科許可系統的摘要。 您造訪該公司的網站,購買所需的許可證,並將許可證文件插入系統中。 這可以在全域設定配置模式下使用許可證安裝命令來完成。
感謝您與我們在一起。 你喜歡我們的文章嗎? 想看更多有趣的內容? 通過下訂單或推薦給朋友來支持我們, 在我們為您發明的獨特的入門級服務器模擬上,Habr 用戶可享受 30% 的折扣:
戴爾R730xd便宜2倍? 只有這裡
來源: www.habr.com