Cisco IOS 4 - reset, password recovery -> SAMURAJ-cz.com

Středa, 25.04.2007 17:34 | Samuraj - Petr Bouška | Cisco admin

V další části popisu Cisco IOSu se věnuji metodám, jak vymazat existující konfiguraci switche, a tedy dostat jej do výchozího stavu. V druhé části je sepsán postup pro obnovu hesla, pokud to původní zapomeneme.

Reset do továrního nastavení

Je mnoho důvodů, proč bychom mohli potřebovat provést reset zařízení (jeho konfigurace) do výchozího nastavení. Pokud se týče switchů, tak máme k dispozici dvě metody hardwarovou (potřebujeme fyzický přístup ke switchi) a softwarovou (potřebujeme se přihlásit s dostatečným oprávněním).

Pozn.: Než switche zresetujete, tak se doporučuje provést zálohu konfigurace. Také bych doporučil udělat si pro každý switch (nebo spíše produktovou řadu) zálohu IOSu (jak je pospáno v druhém díle).

Hardwarová metoda

Tuto metodu bych doporučil, zdá se mi jednodušší.

Na switchi stiskneme a držíme tlačítko MODE. Po cca 3 vteřinách začnou LED diody blikat.
Po cca 7 vteřinách přestanou diody blikat, pustíme tlačítko a switche se restartuje.
Po nastartování je konfigurace smazána.

Softwarová metoda

Pro zresetování switche potřebujeme vymazat jeho konfiguraci. Ta je uložena v NVRAM paměti v startup-config, plus informace o VLANech je uložena v souboru vlan.dat. Mazání můžeme provést několika způsoby a zohlednit také to co vše chceme smazat.

Pro mazání souborů ve flash paměti (souborovém systému) slouží příkaz delete, pro mazaní souborového systému máme příkaz erase, pomocí něj můžeme mazat bootflash:, flash: či nvram:.

Pozn.: Při mazání souborů se tyto pouze označí jako smazané a můžeme je obnovit příkazem undelete, případně příkazem squeeze opravdu vymazat. Ale po použití příkazu erase je vše opravdu smazáno.

Dříve se používaly tyto dva příkazy

SWITCH#erase startup-config   // smaže pouze startup konfiguraci
SWITCH#write erase            // smaže nvram paměť

ty jsou většinou stále funkční, ale byly nahrazeny příkazem

SWITCH#erase nvram:           // smaže nvram paměť

Příkazem erase můžeme také vymazat flash paměť, kde je uložen IOS a konfigurace VLAN. Je asi jen málo situací, kdy toto potřebujeme. Ještě jednou upozorňuji, že použitím následujícího příkazu si vymažeme IOS a switch tedy po restartu nabootuje pouze do omezeného prostředí RxBoot!

SWITCH#erase flash:           // kompletní smazání flash paměti

Pokud potřebujeme, tak vymažeme konfiguraci VLAN z flash paměti

SWITCH#delete vlan.dat        // smaže soubor vlan.dat

Po tom, co smažeme konfiguraci switche, jej potřebujeme restartovat. To můžeme provést příkazem

SWITCH#reload                 // restart switche

Pozn.: Pokud se vás systém při reloadu zeptá, zda chcete uložit změny v konfiguraci, musíte zvolit ne. Jinak by se aktuální běžící konfigurace uložila do startovací.

Password recovery - ztracené heslo

Může se stát, že zapomeneme heslo ke switchi a potřebujeme se k němu přihlásit. Přitom samozřejmě nechceme přijít o aktuální konfiguraci. Následující postup je pro Catalyst řady 2900, 3500, 3700 (ale může fungovat i jinde). Potřebujeme mít fyzický přístup ke switchi.

Principielně jde o to, že:

nastartujeme switch bez startup konfigurace
přihlásíme se do privilegovaného módu (bez hesla)
zkopírujeme naši původní konfiguraci do běžící
nastavíme heslo
konfiguraci uložíme

Zde je přesnější postup:

se switchem se spojíme konzolově (sériovým kabelem)
vypojíme napájení ze switche
stiskneme a držíme tlačítko MODE
zapojíme napájení
switch se zastaví v úvodu bootování
následně zadáme tyto příkazy

SWITCH:flash_init
SWITCH:load_helper
SWITCH:dir flash:                                   // výpis paměti
SWITCH:rename flash:config.text flash:config.old    // přejmenujeme startovací konfiguraci
SWITCH:boot                                         // nabootujeme
SWITCH>enable                                       // nastartovali jsme bez hesla a konfigu, privilegovaný mód
SWITCH#rename flash:config.old flash:config.text    // přejmenujeme zpět
SWITCH#copy flash:config.text system:running-config // zkopírujeme do běžící konfigurace (připojí se)
Switch#configure terminal
Switch(config)#no enable secret                     // zrušíme heslo (případně i password)
Switch(config)#enable secret Cisco                  // nastavíme nové
Switch(config)#exit
Switch#copy running-config startup-config           // uložíme konfiguraci

Z bezpečnostního hlediska můžeme chtít tuto možnost obnovy hesla zakázat. Na novějších verzích IOSu je i toto možné pomocí příkazu:

Switch(config)#no service password-recovery

Potom, pokud se někdo pokusí o postup obnovy hesla, se vymaže paměť.

zobrazeno: 53588krát | Komentáře [15]

Autor: Petr Bouška

Související články:

Cisco IOS

Velký seriál o operačním systému aktivních prvků firmy Cisco.

Cisco IOS 1 - úvod, příkaz show [08.03.2007 13:00]
Cisco IOS 2 - verze, upgrade a záloha IOSu [16.03.2007 14:28]
Cisco IOS 3 - nastavení interface/portu - access, trunk, port security [09.04.2007 11:09]
Cisco IOS 4 - reset, password recovery [25.04.2007 17:34] ...... právě čtete
Cisco IOS 5 - komunikace se switchem [16.05.2007 16:15]
Cisco IOS 6 - úvodní konfigurace switche [08.06.2007 17:31]
Cisco IOS 7 - konfigurace VLAN, VTP [18.06.2007 14:12]
Cisco IOS 8 - ACL - Access Control List [10.08.2007 15:40]
Cisco IOS 9 - Spanning Tree Protocol [20.08.2007 17:55]
Cisco IOS 10 - Rapid Spanning Tree Protocol [01.09.2007 14:11]
Cisco IOS 11 - IEEE 802.1x, autentizace k portu, MS IAS [10.10.2007 14:38]
Cisco IOS 12 - IEEE 802.1x a pokročilejší funkce [24.10.2007 16:42]
Cisco IOS 13 - DHCP služby na switchi [06.01.2008 11:24]
Cisco IOS 14 - tipy pro běžnou práci [29.02.2008 08:15]
Cisco IOS 15 - zálohy a obnovy konfigurace a obrazů [13.03.2008 09:43]
Cisco IOS 16 - HSRP - Hot Standby Routing Protocol [27.05.2008 16:05]
Cisco IOS 17 - více switchů jako Stack - technologie StackWise [29.07.2008 20:27]
Cisco IOS 18 - inter-VLAN routing a ACL - směrování mezi VLANy [24.12.2008 11:50]
Cisco QoS 1 - úvod do Quality of Service a DiffServ [18.01.2009 13:31]
Cisco QoS 2 - Classification and Marking, Modular QoS CLI [26.01.2009 17:21]
Cisco QoS 3 - omezování rychlosti - Policing, Shaping [01.02.2009 12:20]
Cisco QoS 4 - garance rychlosti - řazení do front - Queuing [08.02.2009 13:13]
Cisco QoS 5 - QoS na switchi, MLS, SRR, Auto QoS [14.02.2009 14:55]
Cisco QoS 6 - praktické příklady použití QoSu [28.02.2009 16:33]
TCP/IP - Internet Protocol Version 6 - IPv6 [05.03.2009 15:41]
TCP/IP - skupinové vysílání IP Multicast a Cisco [10.03.2009 20:05]
Cisco Routing 1 - obecné vlastnosti směrovacích protokolů [20.03.2009 14:43]
Cisco Routing 2 - EIGRP - Enhanced Interior Gateway Routing Protocol [29.03.2009 19:04]
Cisco Routing 3 - OSPF - Open Shortest Path First [03.04.2009 10:54]
Cisco Routing 4 - IS-IS - Intermediate System to Intermediate System [09.04.2009 08:48]
Cisco Routing 5 - BGP - Border Gateway Protocol [18.04.2009 13:50]
Cisco Routing 6 - srovnání routovacích protokolů [28.04.2009 16:27]
Cisco IOS 19 - Private VLAN a Protected Port [20.05.2009 18:41]
Cisco IOS 20 - VLAN access-map - VLAN map - VACL [29.05.2009 15:05]
Cisco IOS 21 - EtherChannel, Link Agregation, PAgP, LACP, NIC Teaming [08.06.2009 09:41]
Běžné útoky na switche, Cisco Dynamic ARP Inspection [18.06.2009 10:15]
Cisco - Router Switching metody a související termíny - CAM, FIB, CEF [28.06.2009 17:15]
Cisco IOS 22 - monitoring/kontrola/zrcadlení provozu - SPAN a RSPAN [15.07.2009 11:52]
Cisco IOS 23 - Autentizace uživatele na switchi vůči Active Directory [15.09.2009 17:09]
Cisco QoS 7 - doplňující informace [05.11.2009 09:31]
Novinky ve switchích řady Catalyst 3750X a 2960S [10.02.2011 17:30]
Cisco NX-OS 1 - Virtual Port Channel [25.08.2016 17:14]
Cisco IOS 24 - zabezpečení komunikace na portech [19.10.2016 11:01]
Cisco NX-OS 2 - zabezpečení komunikace na portech [03.11.2016 14:18]
Cisco IOS 25 - StackWise Virtual [11.11.2020 14:13]
Cisco IOS 26 - upgrade IOS XE - samostatný přepínač, stack i ISSU [12.11.2020 08:29]

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

[1] rocmen

Vyborna serie clanku, jen tak dal!
- na komentář odpověděl [2]Samuraj
Pondělí, 14.05.2007 11:35 | odpovědět
[2] Samuraj

odpověď na [1]rocmen: Děkuji . Mám naplánovaných ještě min. 5 částí, jen je potřeba najít čas na psaní.

Pondělí, 14.05.2007 11:42 | odpovědět
[3] joshik

[3]Koupili jsme do firmy Cisco Catalyst řadu 4500 a vaše stránka mi moc pomohla. Jen tak dál

Neděle, 03.06.2007 11:14 | odpovědět
[4] Koumes

Taky se mi to moc líbí.
Zatím jsem tady našel jen pár nových informací a pár neúplných asi z důvodu zjednodušení, ale v dalších kapitolách bude určitě víc věcí co mi pomůžou s BCMSN.
Dík za ně

Úterý, 11.09.2007 09:31 | odpovědět
[5] _knight

Chyba mi tu password recovery v routroch, rommon,confreg 0x2142,boot,copy start running,enable secret ...,default confreg=0x2102,reload:>
- na komentář odpověděl [6]_knight
Neděle, 10.08.2008 21:31 | odpovědět
[6] _knight

odpověď na [5]_knight: dufam,ze nedate dafault confreg=0x2102 :)

Neděle, 10.08.2008 21:32 | odpovědět
[7] Karel

Velice opatrně na "no password-recovery". Doporučuji odexperimentovat na konkrétním zařízení, u některých typů opravdu není cesta zpět (bez zásahu Cisca). Vůbec se nedostanete do ROM monitoru.

Pondělí, 01.09.2008 10:11 | odpovědět
[8] Alex

Jestli tomu dobře rozumím v návodu, při reset hesla, musím mít jakousi zazálohovanou konfiguraci? Když ji nemám?
Děkuji za info...
- na komentář odpověděl [9]Samuraj
Pátek, 04.09.2009 12:53 | odpovědět
[9] Samuraj

odpověď na [8]Alex: Kdepak. Pokud nemám heslo do zařízení, tak mohu provést Hard Reset, ale pak přijdu o aktuální konfiguraci. Pokud o ni nechci přijít (to znamená, že ji mám uloženou v zařízení), tak provedu postup na Password Recovery, kde se kopíruje ta konfigurace uvnitř zařízení a přepíše se v ní heslo.

Pátek, 04.09.2009 13:14 | odpovědět
[10] Alex

O.K. výborně, děkuji za info...budu muset postup vyzkoušet, jeden switch (Cisco 2900 XL) jsem si zahesloval až moc!
Ještě prosím o informaci, mám pocit, že jsem mu nastavil, zákaz přístupu přes TelNet, jakým příkazem dát enable acces TelNet...upsss ještě jeden dotaz na jaký port (číslo) se budu přes sériový port ke switchi připojovat, a v aplikaci psát příkazy Hyperterminál?
Děkuji!
hezký den!
- na komentář odpověděl [11]Samuraj
Pátek, 04.09.2009 13:30 | odpovědět
[11] Samuraj

odpověď na [10]Alex: Konfiguraci připojení přes telnet popisuji v 5 díle seriálu. Při připojení přes sériový port (třeba pomocí Hyperterminálu) se nepoužívají žádné porty, prostě se čte a zapisuje přímo do streamu (daného portu).

Pátek, 04.09.2009 13:56 | odpovědět
[12] Alex

Dobře děkuji za cenné info...
Vyzkouším....

Pátek, 04.09.2009 14:02 | odpovědět
[13] Alex

Postup vyzkoušen a heslo změněno, TelNet také zapnut Jste borec

Neděle, 06.09.2009 20:27 | odpovědět
[14] johny

Zravim,
V clanku IOS 1 sa pise, ze startup-config sa nacita z NVRAM. Preco potom pri pass recovery, menime nazov cfg vo FLASH a nie v NVRAM?

Sobota, 09.03.2013 11:08 | odpovědět
[15] Dominik

Po recovery mě to vypíše:
Username:
Password:
Pro jakého uživatele se změní heslo?

Čtvrtek, 20.08.2020 12:37 | odpovědět

www.SAMURAJ-cz.com

Kategorie článků

Nástroje

Hledání

Články