Configuración del nuevo procedimiento de recuperación de contraseña en plataformas 8000 y NCS5500

Opciones de descarga

  • PDF     (500.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (367.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (266.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:16 de octubre de 2023
ID del documento:217291

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe un nuevo proceso de recuperación de contraseña para Cisco IOS® XR para las plataformas Cisco 8000 y NCS5500.

    Antecedentes

    Si un usuario olvida la contraseña raíz o se pierden las contraseñas de todos los usuarios en las plataformas XR7 LNT (Cisco 8000, NCS-540L) o eXR (ASR9K de 64 bits, NCS5K, NCS5500, NCS 540, NCS 560), el router se vuelve inaccesible para el usuario, ya que el inicio de sesión no es posible sin la combinación correcta de nombre de usuario y contraseña. Hoy en día, la recuperación de contraseña de dicho router es posible solamente a través de la recreación de la imagen del router con el uso del método de arranque USB o el arranque iPXE desde un servidor externo. La recreación de la imagen del router implica la instalación de nuevo del software del router y la carga de la configuración del dispositivo. La instalación del software de nuevo es un proceso que requiere mucho tiempo.

    A partir de la versión 7.3.16 para la plataforma Cisco serie 8000 y la versión 7.3.3 para la plataforma NCS serie 5500, Cisco ha ideado un nuevo método de recuperación de contraseñas sin necesidad de recrear imágenes del router. Este método de recuperación de contraseña no requiere que se vuelva a instalar el software, por lo que se ahorra tiempo y se permite el acceso al router después del restablecimiento de la contraseña. Este nuevo método de recuperación de contraseña cumple con los estándares de seguridad, ya que la información del usuario antiguo y los datos en tiempo de ejecución del usuario se eliminan antes de iniciar el proceso de recuperación de contraseña.

    Problema

    Hoy en día, la recuperación de contraseñas en las plataformas XR7 LNT (Cisco 8000, NCS-540L) o eXR (ASR9K de 64 bits, NCS5K, NCS5500, NCS 540, NCS 560) no es posible. La única alternativa disponible para restablecer la contraseña es volver a crear una imagen del router con el uso del método de arranque USB o el arranque iPXE desde un servidor externo. Este proceso lleva mucho tiempo, ya que implica volver a instalar el software del router y cargar la configuración del dispositivo. Se necesita un método más rápido y seguro para la recuperación de contraseñas en las plataformas Cisco XR7 y eXR.

    Solución

    A partir de la versión 7.3.16 para la plataforma Cisco serie 8000 y la versión 7.3.3 para la plataforma NCS serie 5500, Cisco ha ideado un nuevo método de recuperación de contraseñas sin necesidad de recrear imágenes del router. En el menú Grand Unified Bootloader (GRUB) de la pantalla de inicio del procesador de ruta (RP) se agrega una nueva opción: Cisco IOS XR-Recovery, que se crea explícitamente para el procedimiento de recuperación de contraseña. En la configuración del router, se crea un nuevo comando system recovery con el propósito de habilitar la nueva función de recuperación de contraseña. Esta es actualmente una función opcional y no está habilitada de forma predeterminada.

    Advertencias:

    • La opción de menú de pantalla GRUB de inicialización de la BIOS del RP Cisco IOS XR-recovery se puede ver independientemente del comando system recovery configurado o no configurado en la configuración del router. Si el comando system recovery no está presente en la configuración del router, y se intenta un nuevo método de recuperación de contraseña seleccionando la opción de menú de pantalla GRUB de bios Cisco IOS XR-recovery, el router puede abortar el proceso de recuperación de contraseña y arrancar con la configuración anterior. Por lo tanto, es obligatorio tener un comando de recuperación del sistema configurado en el router para que el método de recuperación de contraseña funcione.
    • La función de recuperación de contraseña está desactivada de forma predeterminada. 
    • La función de recuperación de contraseña debe habilitarse explícitamente a través de la interfaz de línea de comandos (CLI) de configuración. RP/0/RP0/CPU0:HOSTNAME(config)#recuperación del sistema.
    • Si el router se somete a un procedimiento de recuperación de contraseña, el comando system recovery se puede inhabilitar después del inicio del router ya que toda la configuración del router se borraría como parte del procedimiento de recuperación de contraseña. Los usuarios necesitan cargar la configuración del dispositivo nuevamente y configurar el comando de recuperación del sistema si no es parte de la configuración del dispositivo.
    • Aparte de la eliminación de la configuración del router, todos los archivos creados por el usuario, los archivos show tech y los archivos dumper se pueden borrar tanto del disco0 como del disco duro como parte del procedimiento de limpieza durante la recuperación de la contraseña.
    • Esta función es compatible actualmente con 7.3.16 y versiones posteriores en Cisco 8000, 7.3.3 y versiones posteriores en NCS5500, y para otras plataformas XR7 LNT y eXR, esta función puede estar disponible en versiones futuras.
    • Utilice el procedimiento dado para las plataformas donde ambas tarjetas RP están instaladas en el chasis. Traiga ambas tarjetas RP al menú BIOS GRUB. Luego, los procedimientos de recuperación de contraseña se deben realizar en cada tarjeta RP uno por uno. Este es un paso obligatorio para las plataformas RP duales, de lo contrario, llevaría a inconsistencia en la configuración y la limpieza de archivos.

    Nuevos pasos de recuperación de contraseña

    Requisito previo: la nueva función de recuperación de contraseña solo funciona si la CLI forma parte de la configuración del dispositivo. Si la CLI no está configurada, el nuevo mecanismo de recuperación de contraseña no puede funcionar debido a que falta la CLI de configuración.

    Habilitar la función de recuperación de contraseña:

    RP/0/RP0/CPU0:HOSTNAME(config)#system recovery

    Deshabilitar la función de recuperación de contraseña:

    RP/0/RP0/CPU0:HOSTNAME(config)#no system recovery

    El procedimiento de recuperación de contraseña debe realizarse solamente a través de la consola RP.

    Paso 1. Traiga la tarjeta RP al menú GRUB del BIOS. Para las plataformas en las que ambas tarjetas RP están instaladas en el chasis, ambas tarjetas RP deben ser bajadas al menú BIOS GRUB antes de iniciar el procedimiento de recuperación de contraseña. Este es un paso obligatorio. Esto se puede hacer mediante un ciclo de alimentación del dispositivo y luego presione la tecla ESC en ambas consolas RP para ingresar al menú GRUB de bios, o bien volviendo a colocar físicamente cada RP uno por uno y luego presione la tecla ESC en la consola RP para ingresar al menú GRUB de bios.

    Tarjeta RP0 y RP1:

    RP0 and RP1 card

    Tarjeta RP0 y RP1:

    RP0 and RP1 card IOS XR latest

    Paso 2. En la consola de la tarjeta RP0, seleccione la opción IOS XR-recovery del menú GRUB y presione Enter.

    Tarjeta RP0:

    On RP0 Card Console, Select the IOS XR-Recovery

    Paso 3. Seleccione la opción Cisco IOS XR-recovery del menú de GRUB y presione Enter en la consola de la tarjeta RP1 tan pronto como vea el mensaje Initiating IOS XR System Recovery... en la consola de la tarjeta RP0. No espere hasta que la tarjeta RP0 alcance la indicación Enter root-system username, de lo contrario la tarjeta RP1 puede recargarse automáticamente y salir del menú BIOS GRUB. La tarjeta RP0 puede arrancar como activa y la tarjeta RP1 puede arrancar como una tarjeta en espera después del proceso de recuperación.

    Tarjeta RP0:

    Select the IOS XR-Recovery from GRUB RP0 Card

    Tarjeta RP1:

    Select the IOS XR-Recovery from GRUB RP1 Card

    Paso 4. En la tarjeta RP0, cree un nuevo usuario raíz y contraseña. Intente iniciar sesión en el dispositivo con el uso del nuevo nombre de usuario y contraseña raíz.

    Tarjeta RP0:

    On RP0 card, Create a New Root User and Password

    Paso 5. El procedimiento de recuperación de contraseña ha finalizado en este momento.

    El router se inicia ahora con una configuración en blanco y con el nombre de usuario/contraseña raíz creado en el paso 4. Continúe con la configuración normal del router o cargue una configuración desde un archivo de respaldo (cualquier copia de respaldo de configuración almacenada en disk0 o disco duro se puede perder como parte del procedimiento de recuperación de contraseña, por lo tanto, guarde siempre la configuración en un servidor externo). Asegúrese de ver este mensaje en los registros de la consola RP0 para RP0 y RP1, como un paso de verificación para confirmar la recuperación de la contraseña y para verificar que toda la limpieza de datos del usuario anterior se haya completado con éxito para ambos RP. Si no es así, repita los pasos de requisito previo y los pasos 1 a 4 hasta que vea estos mensajes en los registros de la consola RP0. Si este mensaje no se ve para el RP en espera, debe repetir el paso de prerrequisito y los pasos 1 a 4 para el RP en espera solamente.

    RP/0/RP0/CPU0:Jul 8 06:13:24.551 CEST: sys_rec[1188]: %SECURITY-SYSTEM_RECOVERY-1-REPORT : System Recovery at 06:10:19 CEST Thu Jul 08 2021 was successful

    RP/0/RP1/CPU0:Jul 8 06:15:13.967 CEST: sys_rec[1188]: %SECURITY-SYSTEM_RECOVERY-1-REPORT : System Recovery at 06:11:23 CEST Thu Jul 08 2021 was successful

    Summary

    Este nuevo procedimiento de recuperación de contraseña se puede utilizar para restablecer de forma segura las contraseñas perdidas en la plataforma Cisco serie 8000 y la plataforma NCS serie 5500 en menos de 10 minutos.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    3.0
    16-Oct-2023
    Título actualizado, introducción, requisitos de marca, requisitos de estilo y formato.
    1.0
    05-Aug-2021
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Anilkumar Dantu
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos