Neues Kennwortwiederherstellungsverfahren für 8000- und NCS5500-Plattformen konfigurieren

Einleitung

Dieses Dokument beschreibt einen neuen Kennwortwiederherstellungsprozess für Cisco IOS® XR für Cisco 8000- und NCS5500-Plattformen.

Hintergrundinformationen

Wenn ein Benutzer das Root-Kennwort vergisst oder die Kennwörter aller Benutzer auf XR7 LNT-Plattformen (Cisco 8000, NCS-540L) oder eXR-Plattformen (ASR9K 64-Bit, NCS5K, NCS5500, NCS 540, NCS 560) verloren gehen, ist der Router nicht mehr erreichbar. für den Benutzer, da die Anmeldung ohne korrekte Kombination von Benutzername und Passwort nicht möglich ist. Heute ist die Passwort-Wiederherstellung eines solchen Routers nur über ein Router-Re-Image mit der Verwendung der USB-Boot-Methode oder iPXE-Boot von einem externen Server möglich. Ein Re-Image des Routers beinhaltet die erneute Installation der Router-Software und das Laden der Gerätekonfiguration. Die Neuinstallation von Software ist ein zeitaufwendiger Prozess.

Ab Version 7.3.16 für die Cisco Plattform der Serie 8000 und 7.3.3 für die Plattform der NCS5500-Serie hat Cisco eine neue Methode zur Kennwortwiederherstellung entwickelt, ohne dass ein erneutes Image des Routers erforderlich ist. Bei einer solchen Kennwortwiederherstellungsmethode muss keine Software neu installiert werden, wodurch Zeit gespart wird und der Zugriff auf den Router nach der Kennwortzurücksetzung möglich ist. Diese neue Kennwortwiederherstellungsmethode entspricht den Sicherheitsstandards, da alte Benutzerinformationen und Benutzerlaufzeitdaten vor dem Start des Kennwortwiederherstellungsvorgangs gelöscht werden.

Problem

Derzeit ist eine Kennwortwiederherstellung auf XR7 LNT-Plattformen (Cisco 8000, NCS-540L) oder eXR-Plattformen (ASR9K 64-Bit, NCS5K, NCS5500, NCS 540, NCS 560) nicht möglich. Die einzige Alternative zum Zurücksetzen des Kennworts besteht darin, ein neues Image des Routers mithilfe der USB-Boot-Methode oder des iPXE-Bootvorgangs von einem externen Server zu erstellen. Dies ist ein zeitaufwendiger Prozess, da die Router-Software erneut installiert und die Gerätekonfiguration geladen wird. Eine schnellere und sichere Methode zur Kennwortwiederherstellung auf Cisco XR7- und eXR-Plattformen ist erforderlich.

Lösung

Ab Version 7.3.16 für die Cisco Plattform der Serie 8000 und 7.3.3 für die Plattform der NCS5500-Serie hat Cisco eine neue Methode zur Kennwortwiederherstellung entwickelt, ohne dass ein erneutes Image des Routers erforderlich ist. Im GRUB-Menü (Grand Unified Bootloader) des Startbildschirms des Routing-Prozessors (RP) wird eine neue Option hinzugefügt: Cisco IOS XR-Recovery, die explizit für die Kennwortwiederherstellung erstellt wird. In der Router-Konfiguration wird ein neuer Befehl zur Systemwiederherstellung erstellt, um die neue Funktion zur Kennwortwiederherstellung zu aktivieren. Dies ist derzeit eine optionale Funktion, die nicht standardmäßig aktiviert ist.

Hinweise:

• RP BIOS Boot GRUB Bildschirm Menüoption Cisco IOS XR-recovery kann unabhängig vom Befehl system recovery gesehen werden, der in der Router-Konfiguration konfiguriert oder nicht konfiguriert ist. Wenn der Systemwiederherstellungsbefehl in der Routerkonfiguration nicht vorhanden ist und eine neue Kennwortwiederherstellungsmethode versucht wird, indem die Menüoption "Cisco IOS XR-recovery" im GRUB-Bildschirm für das BIOS ausgewählt wird, kann der Router den Kennwortwiederherstellungsvorgang abbrechen und mit der alten Konfiguration booten. Es ist daher zwingend erforderlich, einen Systemwiederherstellungsbefehl auf dem Router zu konfigurieren, damit die Kennwortwiederherstellungsmethode funktioniert.
• Die Kennwortwiederherstellungsfunktion ist standardmäßig deaktiviert. 
• Die Kennwortwiederherstellungsfunktion muss explizit über die Befehlszeilenschnittstelle (CLI) der Konfiguration aktiviert werden. RP/0/RP0/CPU0:HOSTNAME(config)#Systemwiederherstellung.

• Wenn der Router eine Kennwortwiederherstellung durchläuft, kann der Systemwiederherstellungsbefehl nach dem Booten des Routers deaktiviert werden, da alle Router-Konfigurationen im Rahmen der Kennwortwiederherstellung gelöscht werden. Benutzer müssen die Gerätekonfiguration erneut laden und den Systemwiederherstellungsbefehl konfigurieren, wenn er nicht Teil der Gerätekonfiguration ist.
• Abgesehen vom Löschen der Router-Konfiguration können alle vom Benutzer erstellten Dateien, Show-Tech-Dateien und Dumper-Dateien im Rahmen des Cleanup-Vorgangs bei der Kennwortwiederherstellung sowohl von disk0 als auch von der Festplatte gelöscht werden.
• Diese Funktion wird derzeit von 7.3.16 und höheren Versionen auf Cisco 8000, 7.3.3 und höheren Versionen auf NCS5500 unterstützt. Für andere XR7 LNT- und eXR-Plattformen kann diese Funktion in späteren Versionen verfügbar gemacht werden.

• Gehen Sie bei Plattformen, auf denen beide RP-Karten im Chassis installiert sind, wie folgt vor. Bringen Sie beide RP-Karten in das BIOS-GRUB-Menü. Anschließend müssen auf jeder RP-Karte Verfahren zur Kennwortwiederherstellung einzeln durchgeführt werden. Dies ist ein obligatorischer Schritt für duale RP-Plattformen, da es andernfalls zu Inkonsistenzen bei der Konfiguration und Dateibereinigung kommen würde.

Neue Schritte zur Kennwortwiederherstellung

Voraussetzung: Die neue Kennwortwiederherstellungsfunktion funktioniert nur, wenn die CLI Teil der Gerätekonfiguration ist. Wenn die CLI nicht konfiguriert ist, kann der neue Mechanismus zur Kennwortwiederherstellung aufgrund einer fehlenden CLI für die Konfiguration nicht ausgeführt werden.

Kennwortwiederherstellungsfunktion aktivieren:

RP/0/RP0/CPU0:HOSTNAME(config)#system recovery

Kennwortwiederherstellungsfunktion deaktivieren:

RP/0/RP0/CPU0:HOSTNAME(config)#no system recovery

Die Kennwortwiederherstellung darf nur über die RP-Konsole erfolgen.

Schritt 1: Bringen Sie die RP-Karte in das BIOS-GRUB-Menü. Bei Plattformen, auf denen beide RP-Karten im Chassis installiert sind, müssen beide RP-Karten im BIOS-GRUB-Menü angezeigt werden, bevor Sie mit der Kennwortwiederherstellung beginnen. Dies ist ein zwingender Schritt. Dies kann entweder durch Ein- und Ausschalten des Geräts und anschließendes Drücken der ESC-Taste auf beiden RP-Konsolen erfolgen, um in das GRUB-Menü für das BIOS zu gelangen, oder durch erneutes Einsetzen der einzelnen RPs und anschließendes Drücken der ESC-Taste auf der RP-Konsole, um in das GRUB-Menü für das BIOS zu gelangen.

RP0- und RP1-Karte:

RP0- und RP1-Karte:

Schritt 2: Wählen Sie auf der Konsole der RP0-Karte die Option IOS XR-recovery aus dem GRUB-Menü aus, und drücken Sie die Eingabetaste.

RP0-Karte:

Schritt 3: Wählen Sie die Option Cisco IOS XR-recovery aus dem GRUB-Menü aus und drücken Sie die Eingabetaste auf der RP1-Kartenkonsole, sobald Sie die Meldung Initiating IOS XR System Recovery... (IOS XR-Systemwiederherstellung initiieren...) auf der RP0-Kartenkonsole sehen. Warten Sie nicht, bis die RP0-Karte die Eingabeaufforderung Enter root-system username erreicht, andernfalls kann die RP1-Karte das BIOS-GRUB-Menü automatisch neu laden und verlassen. Die RP0-Karte kann als aktiv und die RP1-Karte als Standby-Karte nach dem Wiederherstellungsprozess gestartet werden.

RP0-Karte:

RP1-Karte:

Schritt 4: Erstellen Sie auf der RP0-Karte einen neuen Root-Benutzer und ein neues Kennwort. Versuchen Sie, sich mit dem neuen Root-Benutzernamen und -Kennwort beim Gerät anzumelden.

RP0-Karte:

Schritt 5: Die Kennwortwiederherstellung ist zu diesem Zeitpunkt abgeschlossen.

Der Router wird nun mit einer leeren Konfiguration und dem in Schritt 4 erstellten Root-Benutzernamen/Kennwort gestartet. Fahren Sie mit der normalen Router-Konfiguration fort, oder laden Sie eine Konfiguration aus einer Sicherungsdatei (jede auf disk0 oder Festplatte gespeicherte Konfigurationssicherung kann im Rahmen der Kennwortwiederherstellung verloren gehen und die Konfiguration daher immer auf einem externen Server speichern). Stellen Sie sicher, dass diese Meldung in den RP0-Konsolenprotokollen für RP0 und RP1 angezeigt wird. Dies dient als Verifizierungsschritt zum Bestätigen der Kennwortwiederherstellung und zum Überprüfen, ob die Bereinigung aller alten Benutzerdaten für beide RPs erfolgreich abgeschlossen wurde. Wenn nicht, wiederholen Sie die Schritte unter Erforderliche Komponenten und die Schritte 1 bis 4, bis diese Meldungen in den Protokollen der RP0-Konsole angezeigt werden. Wenn diese Meldung nicht für den Standby-RP angezeigt wird, müssen Sie die Schritte unter Voraussetzungen und die Schritte 1 bis 4 nur für den Standby-RP wiederholen.

RP/0/RP0/CPU0:Jul 8 06:13:24.551 CEST: sys_rec[1188]: %SECURITY-SYSTEM_RECOVERY-1-REPORT : System Recovery at 06:10:19 CEST Thu Jul 08 2021 was successful

RP/0/RP1/CPU0:Jul 8 06:15:13.967 CEST: sys_rec[1188]: %SECURITY-SYSTEM_RECOVERY-1-REPORT : System Recovery at 06:11:23 CEST Thu Jul 08 2021 was successful

Zusammenfassung

Dieses neue Verfahren zur Kennwortwiederherstellung kann verwendet werden, um verlorene Kennwörter auf der Plattform der Cisco Serie 8000 und der Plattform der NCS 5500 Serie in weniger als 10 Minuten sicher zurückzusetzen.