Problembehandlung bei der Kennwortwiederherstellung in Cisco IOS- und Cisco IOS XE-Routern

Einleitung

In diesem Dokument wird der Vorgang zur Kennwortwiederherstellung für Cisco IOS®- und Cisco IOS® XE-Router beschrieben.

Voraussetzungen

Anforderungen

• Dieses Dokument gilt für Cisco Router der Serien ISR G2, ISR4000, ASR1000 und ISR1000.
  Der Prozess kann sich bei Routern mit unterschiedlichen Cisco IOS- und Cisco IOS XE-Produktfamilien ändern.
•  Um eine Kennwortwiederherstellung durchzuführen, müssen Sie über eine Gerätekonsolenverbindung verfügen.

Hinweis: Eine Remote-Verbindung mit dem Gerät (SSH oder Telnet) kann nicht zur Kennwortwiederherstellung verwendet werden. Wenn der Terminalserver für die Konsolenverbindung verwendet wird, kann der Vorgang nicht ausgeführt werden. Eine direkte Konsolenverbindung wird empfohlen.

• Sie benötigen physischen Gerätezugriff oder -verfügbarkeit, um die Stromquelle des betroffenen Geräts remote zu verwalten.
• Sie müssen einen Terminalemulator verwenden, um eine Unterbrechungssequenz zu senden.

Hinweis: Einige PC-Tastaturen haben die Break-Taste, es kann verwendet werden, um das Signal zu senden.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Router ISR4331 mit Cisco IOS XE 16.12.4
• Putty Terminal Session Release 0.71

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Mit diesen Schritten können Benutzernamen und Kennwort wiederhergestellt und das Kennwort aktiviert werden.
Basierend auf der aktuellen Gerätekonfiguration kann das Kennwort extrahiert oder einfach durch ein neues ersetzt werden.

Cisco IOS- und Cisco IOS XE-Router speichern die Konfiguration in der Startkonfiguration und der Ausführungskonfiguration.

Standardmäßig werden die Startkonfigurationsdateien im NVRAM und die aktuelle Konfiguration (tatsächliche Gerätekonfiguration) im DRAM gespeichert.

Der Hauptzweck des Kennwortwiederherstellungsprozesses besteht darin, das Gerät mit einer Standardkonfiguration zu starten. Sobald der Zugriff auf das Gerät erfolgt ist, laden Sie die aktuelle Konfiguration und ändern Sie die Anmeldeinformationen.

Hinweis: Wenn der Router ohne Kennwortwiederherstellungsfunktion für den Dienst konfiguriert ist, kann die Kennwortwiederherstellung nicht durchgeführt werden. Diese Konfiguration kann während des Bootvorgangs erkannt werden. Sie können dieses Dokument lesen, um weitere Details bezüglich der Funktion No Service Password-Recovery zu erhalten.

Kennwortwiederherstellung in Cisco IOS- und Cisco IOS XE-Routern

Schritt 1: Das Gerät neu starten. Sie müssen das Gerät über die Stromquelle/den Switch neu starten, da Sie nicht über die Befehlszeile auf das Gerät zugreifen können.

Schritt 2: Während das Gerät bootet, müssen Sie die Unterbrechungssequenz eingeben.

Im Fall von Putty, navigieren Sie zu Special Command > Break Option, wie im Bild gezeigt.

1. Sie müssen mehrere Unterbrechungssignale senden. Das Unterbrechungssignal wird erkannt, nachdem der POST-Test bestanden wurde und kurz bevor das Cisco IOS startet:

Initializing Hardware ...

Checking for PCIe device presence...done
System integrity status: 0x610
Rom image verified correctly

System Bootstrap, Version 16.12(2r), RELEASE SOFTWARE
Copyright (c) 1994-2019 by cisco Systems, Inc.

Current image running: Boot ROM1

Last reset cause: LocalSoft
ISR4331/K9 platform with 4194304 Kbytes of main memory

........
Located isr4300-universalk9.16.12.04.SPA.bin
################################################################################ 

Failed to boot file bootflash:isr4300-universalk9.16.12.04.SPA.bin

.......
rommon 1 >

Schritt 3: Melden Sie sich beim Gerät an. Im ROMmon-Modus müssen Sie das Konfigurationsregister auf 0x2142 konfigurieren, um beim nächsten Neuladen mit der Standardkonfiguration zu starten.
Sie können mit dem Befehl reset neu laden. Sie müssen das Gerät wie gewohnt booten lassen.

rommon 1 > confreg 0x2142

You must reset or power cycle for new config to take effect
rommon 2 > reset

Resetting .......

Initializing Hardware ...

Checking for PCIe device presence...done
System integrity status: 0x610
Rom image verified correctly


System Bootstrap, Version 16.12(2r), RELEASE SOFTWARE
Copyright (c) 1994-2019 by cisco Systems, Inc.


Current image running: Boot ROM1

Last reset cause: LocalSoft
ISR4331/K9 platform with 4194304 Kbytes of main memory


........
Located isr4300-universalk9.16.12.04.SPA.bin
################################################################################

Package header rev 3 structure detected
IsoSize = 609173504
Calculating SHA-1 hash...Validate package: SHA-1 hash:
calculated 9E1353EB:8A02B6C4:C7B841DC:7A78BA24:5D48AA9B
expected 9E1353EB:8A02B6C4:C7B841DC:7A78BA24:5D48AA9B
RSA Signed RELEASE Image Signature Verification Successful.
Image validated

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

Cisco IOS Software [Gibraltar], ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.12.4, RELEASE SOFTWARE (fc5)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2020 by Cisco Systems, Inc.
Compiled Thu 09-Jul-20 21:44 by mcpre

This software version supports only Smart Licensing as the software licensing mechanism.

PLEASE READ THE FOLLOWING TERMS CAREFULLY. INSTALLING THE LICENSE OR
LICENSE KEY PROVIDED FOR ANY CISCO SOFTWARE PRODUCT, PRODUCT FEATURE,
AND/OR SUBSEQUENTLY PROVIDED SOFTWARE FEATURES (COLLECTIVELY, THE
"SOFTWARE"), AND/OR USING SUCH SOFTWARE CONSTITUTES YOUR FULL
ACCEPTANCE OF THE FOLLOWING TERMS. YOU MUST NOT PROCEED FURTHER IF YOU
ARE NOT WILLING TO BE BOUND BY ALL THE TERMS SET FORTH HEREIN.

Your use of the Software is subject to the Cisco End User License Agreement
(EULA) and any relevant supplemental terms (SEULA) found at
http://www.cisco.com/c/en/us/about/legal/cloud-and-software/software-terms.html.

You hereby acknowledge and agree that certain Software and/or features are
licensed for a particular term, that the license to such Software and/or
features is valid only for the applicable term and that such Software and/or
features may be shut down or otherwise terminated by Cisco after expiration
of the applicable license term (for example, 90-day trial period). Cisco reserves
the right to terminate any such Software feature electronically or by any
other means available. While Cisco may provide alerts, it is your sole
responsibility to monitor your usage of any such term Software feature to
ensure that your systems and networks are prepared for a shutdown of the
Software feature.

All TCP AO KDF Tests Pass
cisco ISR4331/K9 (1RU) processor with 1694893K/3071K bytes of memory.
Processor board ID FLM1922W1BZ
3 Gigabit Ethernet interfaces
32768K bytes of non-volatile configuration memory.
4194304K bytes of physical memory.
3223551K bytes of flash memory at bootflash:.
0K bytes of WebUI ODM Files at webui:.

Press RETURN to get started!

Schritt 4: Der Router hat zu diesem Zeitpunkt die Standardkonfiguration. Sie müssen die Konfiguration in der running-config sichern, Sie müssen die Konfiguration verwenden, die in der startup-config-Datei oder einer anderen Datei gespeichert ist.  Um die Datei "startup-config" zu verwenden, müssen Sie die Datei im globalen Modus in den Befehl "running-config" kopieren.

1.  Nach der Sicherung können Sie in den Konfigurationsmodus wechseln und die Anmeldeinformationen ändern/überprüfen.
2. Das Konfigurationsregister muss auf 0x2102 geändert werden. Anschließend können Sie die Änderungen speichern und das Gerät neu starten.

Router#copy startup-config running-config
Destination filename [running-config]?
% Please write mem and reload
% The config will take effect on next reboot

2793 bytes copied in 0.363 secs (7694 bytes/sec)

Router#show running-config | sec password
enable password cisco
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#enable password cisco123
Router(config)#config-register 0x2102

Router(config)#exit
Router#show running-config | sec password
enable password cisco123
Router#write
Building configuration...

[OK]
Router#reload

Schritt 5: Um zu überprüfen, ob das Konfigurationsregister korrekt geändert wurde, können Sie den Befehl show version ausführen und die letzte Zeile aus der Ausgabe von show version überprüfen.

Router#show version
Cisco IOS XE Software, Version 16.12.04
Cisco IOS Software [Gibraltar], ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.12.4, RELEASE SOFTWARE (fc5)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2020 by Cisco Systems, Inc.
Compiled Thu 09-Jul-20 21:44 by mcpre


Cisco IOS-XE software, Copyright (c) 2005-2020 by cisco Systems, Inc.
All rights reserved. Certain components of Cisco IOS-XE software are
licensed under the GNU General Public License ("GPL") Version 2.0. The
software code licensed under GPL Version 2.0 is free software that comes
with ABSOLUTELY NO WARRANTY. You can redistribute and/or modify such
GPL code under the terms of GPL Version 2.0. For more details, see the
documentation or "License Notice" file accompanying the IOS-XE software,
or the applicable URL provided on the flyer accompanying the IOS-XE
software.


ROM: 16.12(2r)

Router uptime is 19 minutes
Uptime for this control processor is 22 minutes
System returned to ROM by Reload Command at 21:14:19 UTC Tue Apr 13 2021
System image file is "bootflash:isr4300-universalk9.16.12.04.SPA.bin"
Last reload reason: Reload Command


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Suite License Information for Module:'esg'

--------------------------------------------------------------------------------
Suite Suite Current Type Suite Next reboot
--------------------------------------------------------------------------------
FoundationSuiteK9 None Smart License None
securityk9
appxk9

AdvUCSuiteK9 None Smart License None
uck9
cme-srst
cube


Technology Package License Information:

-----------------------------------------------------------------
Technology Technology-package Technology-package
Current Type Next reboot
------------------------------------------------------------------
appxk9 appxk9 Smart License appxk9
uck9 uck9 Smart License uck9
securityk9 None Smart License None
ipbase ipbasek9 Smart License ipbasek9

The current throughput level is 300000 kbps

Smart Licensing Status: UNREGISTERED/EVAL MODE

cisco ISR4331/K9 (1RU) processor with 1694893K/3071K bytes of memory.
Processor board ID FLM1922W1BZ
3 Gigabit Ethernet interfaces
32768K bytes of non-volatile configuration memory.
4194304K bytes of physical memory.
3223551K bytes of flash memory at bootflash:.
0K bytes of WebUI ODM Files at webui:.

Configuration register is 0x2142 (will be 0x2102 at next reload)

Hinweis: Ein anderes Konfigurationsregister kann zu unerwarteten Verhaltensweisen führen.

Break-Signal simulieren

Die Seriell-/Konsolen-Standardkonfiguration kann in der Putty-Konfiguration überprüft werden, wie im Bild gezeigt.

Wenn das Unterbrechungssignal vom Router nicht richtig erkannt werden kann, können Sie das Signal mit Putty simulieren, um in den ROMmon-Modus zu wechseln.

Schritt 1: Um das Unterbrechungssignal zu simulieren, müssen Sie die Seriell-/Konsolenkonfiguration wie folgt einstellen:

• Geschwindigkeit: 1200.
• Datenbits: 8.
• Bits entfernen: 1.
• Parität: keine.
• Flusssteuerung: keine.

Diese serielle Konfiguration wird wie im Bild dargestellt konfiguriert.

Sobald Sie das Gerät mit der vorherigen Konfiguration verbunden haben, wird keine Ausgabe von der Konsole mehr angezeigt. Dies ist ein erwartungsgemäßes Verhalten.

Schritt 2: Sie müssen das Gerät aus- und wieder einschalten und die Leertaste 10-15 Sekunden lang drücken, um das Unterbrechungssignal im Router zu generieren.

Danach befindet sich der Router im ROMmon-Modus, Sie können jedoch die ROMmon-Eingabeaufforderung nicht sehen.

Schritt 3: Öffnen Sie die Putty-Sitzung mit den Standardwerten, und versuchen Sie erneut, eine Verbindung zur Konsole herzustellen. Es zeigt die ROMmon-Eingabeaufforderung an.