思科交换机忘记密码,修改密码,配置文件部分解读
前言
公司的路由器期望改ip,但是并不知道账号密码。在后续的一轮密码破解中由于错误的操作导致配置丢失因此我重新录入了一遍。这次精力印象深刻,因此写一篇操作记录。
密码破解
如果忘记了密码是不能进入管理模式的,能到这一步,基本意味着你已经串口连接成功了设备但是困在了密码这一段。因此我从这里开始描述具体有效的操作。
简述串口连接需求:
9600波特率
第一步进入 ROMMON 模式
启动后的 60 秒内按下终端键盘上的ctrl+break
(break按键通常在键盘的方向键)
(或者是按住设备正面左下方的按键)
(不同设备有不同的进入方式)
持续这个动作直到命令行出现:
rommon 1>
第二步从闪存启动,无视登录配置
在
rommon 1>
提示符处键入
confreg 0x2142
,以便从闪存启动。
(此时命令行会变为
rommon 2>
)
在
rommon 2>
提示符处键入
reset
,路由器将重启但是无视登录配置。
(到此绕开了密码的需求)
第三步回到原始的配置
在每个设置问题后键入 no 或按 Ctrl-C,跳过初始设置过程
(会要求配置用户名ip什么的,一律跳过直到可以输入命令为止,此时出现
Router>
)
输入
enable
进入启用模式,此时可以看到
Router#
提示符。
(#表示启用模式,在这种模式下可以进入配置模式,但是先不进入,先恢复配置信息)
输入
copy startup-config running-config
(此时将出现:
Destination filename [running-config]?
直接
回车
!,不要输入任何内容,这句话的意思是是否确认文件名为
running-config
如果输入其他信息文件名将变化)
(执行完毕后命令行的将变为hostname,hostname指的是本机的名字,这是一个可以被配置的选项,将跟随原始配置,因此你的命令行上可能不叫这个名字)
(另外请勿键入
copy running-config startup-config
或
write
因为此时的配置为空如果进行写入,将导致配置丢失)
第四步进入config模式
键入
configure terminal
(此时将会显示 hostname(config)# 提示符)
第五步修改密码
键入
line console 0
表示修改console口的登录密码,如果是其他口连接的就输入其他口
键入
password passwd
意思为修改登录密码为
passwd
这个passwd是自定义的,可以根据自身需求来换
键入
login
键入
exit
此外还有全局密码,当从普通模式进入使能模式(enable)时可以根据这个密码来限制
需要在config模式下输入:
enable secret pwd
这个pwd是自定义的,可以根据自身需求来换
第六步关闭从寄存器启动
在config模式下输入:
config-register 0x2102
第七步离开config保存当前配置
输入end可以观察命令行变回hostname#
输入
write memory
或
copy running-config startup-config
,以提交更改。
此时重启设备后,就可以用新密码登录了
导入配置
由于某次操作失误的原因大概率是
copy running-config startup-config
导致原本的配置文件丢失了。后来重构了一个,我接手了这个配置文件的补全。我此时拥有一份旧的配置文件(sh run的打印)和一份需要比较的新配置文件。
下方是我的摸索记录,包含部分对于配置文件的解读,因此做一个记录方便后日参考。
6.2
16.55 我从这个网页中看了一篇文档讲如何配置思科路由器,但是只有基础操作
https://wenku.baidu.com/view/3d94e21c091c59eef8c75fbfc77da26924c59669.html
最终我是期望跟着某一个配置文件来进行配置的。
其次我需要能根据配置结果文件来反推理配置的过程。对此我需要理解配置的内容是什么。
6.3
我先进行了一下额外配置,我配置开启了启用本地登录以支持日志监控功能:
Router(config)# logging buffered 51200 warning
8.43 然后我本地期望的配置依据是3650路由器里的文件。
对比第一个缺失:
service tcp-keepalives-in
service tcp-keepalives-out
补充操作方案为
Router1# config term
Router1(config)# service tcp-keepalives-in
Router1(config)# service tcp-keepalives-out
Router1(config)# end
添加成功
对比第二个缺失
clock timezone BJ 8
操作补充方案为
这个缺失的意思为补充系统时钟为北京东8区
操作方案等同缺失1,直接输入。
对比第三个缺失
no ip source-route
意思为关闭无IP路由
修改方式参考1
对比第四个缺失
ip routing
意思为路由开启
修改方式同1(之后如果同1就不说了)
对比第五个缺失
no ip domain-lookup
告诉Router不要对它不知道的字符串做DNS解析,否则当你敲错命令的时候,它就会傻找
对比第六个缺失
ip domain-name AXE
ip domain-name 此命令是为路由器设置一个域名,也可以认为这个路由器是属于哪个域。
对比第七个缺失
ip dhcp excluded-address 192.168.10.1
ip dhcp excluded-address 192.168.12.1
ip dhcp excluded-address 192.168.14.1
表示某一段地址不由DHCP分配
对比第八个缺失
ip dhcp pool SS_4F_VLAN2
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 221.12.1.227
!
ip dhcp pool SS_3F_VLAN4
network 192.168.12.0 255.255.255.0
default-router 192.168.12.1
dns-server 221.12.1.227
!
ip dhcp pool SS_2F_VLAN6
network 192.168.14.0 255.255.255.0
default-router 192.168.14.1
dns-server 221.12.1.227
以1个为例
SS_4F_VLAN2 是pool name, 由用户指定
network 192.168.10.0 255.255.255.0 //本pool是global的子pool, 将从global pool继承domain-name等
option
default-router 192.168.10.1 //为客户机配置默认网关
dns-server 221.12.1.227 //为客户机配置dns服务器
对此尝试可否使用通用配置,尝试通过,可行。
对比第九个缺失
no ip dhcp snooping information option
无ip dhcp窥探信息选项
对比第十个缺失
login block-for 30 attempts 3 within 60
需求: 30秒内尝3次错误情况 下,锁定60秒
计划修改配置
spanning-tree mode pvst
配置RSTP模式配置是错误的
psvt模式相对落后期望配置为MISTP模式,但是不知道怎么配置,所以不修改了
spanning-tree mode pvst
就是启用基于VLAN的生成树模式,这是思科的独有用法,简单说就是一个VLAN一棵树,在一个网络里,不同的VLAN可以有不同的根桥,不同的阻塞端口等等,其主要目的是为了提高链路利用率(可以想象,如果所有VLAN都是同一棵树,必定有一部分线路处于完全的block状态)
spanning-tree extend system-id
启用扩展SID,首先,每个生成树实例都有一个bridge-id,根据刚才PVST的解释,一个VLAN可以拥有一棵树,在老机器里,VLAN号只支持到1024,后来扩展到4096,而bridge-id自然也需要支持到这么多,就需要这个命令.
对比第十一个缺失
spanning-tree vlan 1-4094 priority 8192
默认优先级8192
对比第十二个缺失
interface FastEthernet0/21
description down_link_SuShe_4F_2918_1
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust
!
interface FastEthernet0/22
description down_link_SuShe_3F_2918_1
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust
!
interface FastEthernet0/23
description down_link_SuShe_2F_2918_1
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust
!
interface FastEthernet0/24
description SuShe_1F_Router_1_G0/0
no switchport
ip address 192.168.17.2 255.255.255.252
直接命令行配置尝试
对比第十三处区别
interface Vlan1
no ip address
!
interface Vlan2
ip address 192.168.10.1 255.255.255.0
!
interface Vlan3
ip address 192.168.11.1 255.255.255.0
!
interface Vlan4
ip address 192.168.12.1 255.255.255.0
!
interface Vlan5
ip address 192.168.13.1 255.255.255.0
!
interface Vlan6
ip address 192.168.14.1 255.255.255.0
!
interface Vlan7
ip address 192.168.15.1 255.255.255.0
!
interface Vlan8
ip address 192.168.16.1 255.255.255.0
对比第十四处缺失
ip route 0.0.0.0 0.0.0.0 192.168.17.1
对比第十五处区别
no ip http server
no ip http secure-server
不开启HTTPserver。。核心交换机不启用HTTP
保存配置
先
write
再
copy running-config startup-config
这个命令的意思是把当前设备的运行配置保存到flash中去,以便下一次重启后系统能够还原到当前配置。
Destination filename [startup-config]? startup-config
意思为目标文件所应选择的默认名字。
默认为startup-config,
此处直接回车即可不要做任何的举动
最后,还有一处设计,需要修改这个设备的ip作为连接外部的ip
6.4
路由器配置完毕,做一个总结:
几乎所有的配置信息在有配置文档的情况下都是可以复刻的。配置文档可以在#模式下输入sh run 来打印,将这个文档保存起来供下一次使用。
具体的配置需要进入config模式下,然后直接按着配置文档输入即可,因此本次配置遇到的最大的问题在于丢失了账号密码,当重新配置密码后就可以复原配置信息了,操作时应该小心谨慎,特别是对于有文件操作的部分。
11.26。路由器启用失败。设备连接后,显示未识别的网络
13.42 另一台设备可用,但是本台设备不可用。原因也许在于没能设置成功
给接口配置IP地址:路由器的接口需要配置IP地址才能进行路由,该接口下所有主机都与此接口地址属于一个网段,对端路由器的接口IP也属于此网段。路由器接口地址为该接口网段的网关。
15.33调试得出当我按着规则去连接设备的0-0口时,电脑可以ping通0-0口的ip
17.14 DHCP功能是用于动态分配地址的,如果没有DHCP功能需要自行设定ip才能运行。
6.7
但从地址转发的路由角度考虑,是不需要DHCP功能的
当前,在网卡工作的情况下,我可以让设备ping通这个ip,172.20.123.9.并外部的同网段的也能pin通这个ip,说明这个ip是能对外通信的。
但是现在如果我期望我从192.168.17.3去找这个ip,也能找到,说明网络在这个层面上也是通的,
但是当我从192.168.17.3 试图连接172.20.0.1时,失败了,这是怎么一回事。因为目前已知这两个都是可以从外部连接到对方的ip,但是现在却无法联通外部那么这里冒出来的问题就是,有没有可能是我网关配置有问题?
12.40 但是此时网关还是ping不通,为什么?于是我取消了网关
12.45 进一步观察我意识到地址池可能有问题,于是我准备修改地址池
我加入了用于调试的地址池,单ip池。
13.00 成功联网了,不是ip池的问题,是用于对接外部网络的ip池没有包含这个本机ip所在的网段。
16.11总结一下,本次操作深入了了解了配置思科路由器,并且明白了一开始错误的原因。在技术层面上实现了进步和突破。现在整理一下自己对于路由设备的配置文件的解答。
配置文件
参考信息:
思考路由器静态ip设置
如果想要令路由器能够上网,在进入使用模式后(enable)先用
sh run
命令查看当前的配置文件信息。
然后使用
config term
进入全局配置模式(config)
再对于端口ip进行修改,如下方所示让对外的端口0/1的ip设定为ip address 123.134.234.198 255.255.255.252
并且如果配置文件中端口部分有shutdown,则应该输入no shutdown启用端口
!
interface FastEthernet0/0
description SuShe_2F__3560_F24
ip address 192.168.17.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description WAN
ip address 123.134.234.198 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list YF interface FastEthernet0/1 overload
!
ip route 0.0.0.0 0.0.0.0 123.134.234.197
ip route 192.168.0.0 255.255.0.0 192.168.17.2
!
ip access-list standard YF
permit 192.168.10.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
permit 192.168.12.0 0.0.0.255
permit 192.168.13.0 0.0.0.255
permit 192.168.14.0 0.0.0.255
permit 192.168.15.0 0.0.0.255
permit 192.168.17.0 0.0.0.255
!
!
记录关键的一段:
ip nat inside source list YF interface FastEthernet0/1 overload
这一段比较难以理解,意思是将访问控制列表YF和目标端口 interface FastEthernet0/1 进行绑定使能数据的传输。又由于YF中包含了interface FastEthernet0/0 端口所能接入的设备的IP。所以允许传输进行。
此时设备如果连接了interface FastEthernet0/0 口,由于本路由器并未设置DHCP功能,因此需要用固定ip才能上网。例如192.168.17.2
这一段配置是用于配合另一台交换机进行使用的:
ip route 192.168.0.0 255.255.0.0 192.168.17.2
那台机子的用于连接的IP就是192.168.17.2。
结语
知道怎么操作之后,思科路由器还是比较方便配置的,最初因为不了解网络构成期望单用一台设备进行上网导致了非常多的困难。后期也是通过对配置文件的理解才能使能单台设备可以联网。但是实际使用时,还是一台作为核心进网路由,一台作为核心交换机,一台作为DHCP服务器组网使用的。