Dépannage de la récupération de mot de passe dans les routeurs Cisco IOS et Cisco IOS XE

Introduction

Ce document décrit le processus de récupération de mot de passe dans les routeurs Cisco IOS® et Cisco IOS® XE.

Conditions préalables

Exigences

• Ce document s'applique aux routeurs Cisco de la famille ISRG2, ISR4000, ASR1000 et ISR1000.
  Le processus peut être modifié pour les routeurs exécutant différentes familles Cisco IOS et Cisco IOS XE.
•  Pour effectuer une récupération de mot de passe, vous devez disposer d'une connexion de console de périphérique.

Remarque : la connexion à distance au périphérique (SSH ou Telnet) ne peut pas être utilisée pour effectuer le processus de récupération de mot de passe. Si le serveur Terminal Server est utilisé pour la connexion console, le processus ne peut pas fonctionner. Une connexion directe à la console est recommandée.

• Vous devez disposer d'un accès ou d'une disponibilité au périphérique physique pour gérer à distance la source d'alimentation du périphérique affecté.
• Vous devez utiliser un émulateur de terminal pour envoyer une séquence d'interruption.

Remarque : certains claviers d'ordinateur possèdent la touche d'interruption, qui peut être utilisée pour envoyer le signal.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Routeur ISR431 exécutant Cisco IOS XE 16.12.4
• Putty terminal session version 0.71

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Cette étape peut être utilisée pour récupérer le nom d'utilisateur et le mot de passe, ainsi que pour activer le mot de passe.
En fonction de la configuration actuelle du périphérique, le mot de passe peut être extrait ou simplement remplacé par un nouveau.

Les routeurs Cisco IOS et Cisco IOS XE enregistrent la configuration dans startup-config et running-config.

Par défaut, les fichiers de configuration initiale sont stockés dans la mémoire vive non volatile et la configuration en cours (configuration réelle du périphérique) dans la mémoire vive dynamique.

L'objectif principal du processus de récupération de mot de passe est de démarrer le périphérique avec une configuration par défaut, et une fois qu'il y a accès au périphérique, chargez la configuration actuelle et modifiez les informations d'identification.

Remarque : si le routeur est configuré sans fonction de récupération de mot de passe de service, la récupération de mot de passe ne peut pas être effectuée. Cette configuration peut être identifiée lors du démarrage du périphérique. Vous pouvez consulter ce document afin d'obtenir des détails supplémentaires concernant la fonctionnalité No Service Password-Recovery.

Récupération de mot de passe dans les routeurs Cisco IOS et Cisco IOS XE

Étape 1. Redémarrez le périphérique. Vous devez redémarrer le périphérique à partir de la source d'alimentation/du commutateur car vous n'avez pas accès au périphérique via la ligne de commande.

Étape 2. Pendant le démarrage du périphérique, vous devez émettre la séquence d'interruption.

Dans le cas de Putty, naviguez jusqu'à Special Command > Break option, comme montré dans l'image.

1. Vous devez envoyer plusieurs signaux d'interruption. Le signal d'interruption est reconnu après le passage du test POST et juste avant le démarrage de Cisco IOS :

Initializing Hardware ...

Checking for PCIe device presence...done
System integrity status: 0x610
Rom image verified correctly

System Bootstrap, Version 16.12(2r), RELEASE SOFTWARE
Copyright (c) 1994-2019 by cisco Systems, Inc.

Current image running: Boot ROM1

Last reset cause: LocalSoft
ISR4331/K9 platform with 4194304 Kbytes of main memory

........
Located isr4300-universalk9.16.12.04.SPA.bin
################################################################################ 

Failed to boot file bootflash:isr4300-universalk9.16.12.04.SPA.bin

.......
rommon 1 >

Étape 3. Connectez-vous au périphérique. En mode rommon, vous devez configurer le registre de configuration sur 0x2142 afin de démarrer dans le prochain rechargement avec la configuration par défaut.
Vous pouvez recharger avec la commande reset. Vous devez laisser le périphérique démarrer comme d'habitude.

rommon 1 > confreg 0x2142

You must reset or power cycle for new config to take effect
rommon 2 > reset

Resetting .......

Initializing Hardware ...

Checking for PCIe device presence...done
System integrity status: 0x610
Rom image verified correctly


System Bootstrap, Version 16.12(2r), RELEASE SOFTWARE
Copyright (c) 1994-2019 by cisco Systems, Inc.


Current image running: Boot ROM1

Last reset cause: LocalSoft
ISR4331/K9 platform with 4194304 Kbytes of main memory


........
Located isr4300-universalk9.16.12.04.SPA.bin
################################################################################

Package header rev 3 structure detected
IsoSize = 609173504
Calculating SHA-1 hash...Validate package: SHA-1 hash:
calculated 9E1353EB:8A02B6C4:C7B841DC:7A78BA24:5D48AA9B
expected 9E1353EB:8A02B6C4:C7B841DC:7A78BA24:5D48AA9B
RSA Signed RELEASE Image Signature Verification Successful.
Image validated

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

Cisco IOS Software [Gibraltar], ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.12.4, RELEASE SOFTWARE (fc5)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2020 by Cisco Systems, Inc.
Compiled Thu 09-Jul-20 21:44 by mcpre

This software version supports only Smart Licensing as the software licensing mechanism.

PLEASE READ THE FOLLOWING TERMS CAREFULLY. INSTALLING THE LICENSE OR
LICENSE KEY PROVIDED FOR ANY CISCO SOFTWARE PRODUCT, PRODUCT FEATURE,
AND/OR SUBSEQUENTLY PROVIDED SOFTWARE FEATURES (COLLECTIVELY, THE
"SOFTWARE"), AND/OR USING SUCH SOFTWARE CONSTITUTES YOUR FULL
ACCEPTANCE OF THE FOLLOWING TERMS. YOU MUST NOT PROCEED FURTHER IF YOU
ARE NOT WILLING TO BE BOUND BY ALL THE TERMS SET FORTH HEREIN.

Your use of the Software is subject to the Cisco End User License Agreement
(EULA) and any relevant supplemental terms (SEULA) found at
http://www.cisco.com/c/en/us/about/legal/cloud-and-software/software-terms.html.

You hereby acknowledge and agree that certain Software and/or features are
licensed for a particular term, that the license to such Software and/or
features is valid only for the applicable term and that such Software and/or
features may be shut down or otherwise terminated by Cisco after expiration
of the applicable license term (for example, 90-day trial period). Cisco reserves
the right to terminate any such Software feature electronically or by any
other means available. While Cisco may provide alerts, it is your sole
responsibility to monitor your usage of any such term Software feature to
ensure that your systems and networks are prepared for a shutdown of the
Software feature.

All TCP AO KDF Tests Pass
cisco ISR4331/K9 (1RU) processor with 1694893K/3071K bytes of memory.
Processor board ID FLM1922W1BZ
3 Gigabit Ethernet interfaces
32768K bytes of non-volatile configuration memory.
4194304K bytes of physical memory.
3223551K bytes of flash memory at bootflash:.
0K bytes of WebUI ODM Files at webui:.

Press RETURN to get started!

Étape 4. Le routeur dispose de la configuration par défaut à ce stade. Vous devez sauvegarder la configuration dans la configuration en cours, vous devez utiliser la configuration stockée dans le fichier startup-config ou un autre fichier.  Afin d'utiliser le fichier startup-config, vous devez copier le fichier dans la configuration en cours en mode global.

1.  Une fois la sauvegarde effectuée, vous pouvez passer en mode de configuration et modifier/réviser les informations d'identification.
2. Le registre de configuration doit être modifié en 0x2102. Ensuite, vous pouvez enregistrer les modifications et redémarrer le périphérique.

Router#copy startup-config running-config
Destination filename [running-config]?
% Please write mem and reload
% The config will take effect on next reboot

2793 bytes copied in 0.363 secs (7694 bytes/sec)

Router#show running-config | sec password
enable password cisco
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#enable password cisco123
Router(config)#config-register 0x2102

Router(config)#exit
Router#show running-config | sec password
enable password cisco123
Router#write
Building configuration...

[OK]
Router#reload

Étape 5. Afin de confirmer que le registre de configuration est correctement modifié, vous pouvez exécuter la commande show version et vérifier la dernière ligne du résultat de la commande show version.

Router#show version
Cisco IOS XE Software, Version 16.12.04
Cisco IOS Software [Gibraltar], ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.12.4, RELEASE SOFTWARE (fc5)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2020 by Cisco Systems, Inc.
Compiled Thu 09-Jul-20 21:44 by mcpre


Cisco IOS-XE software, Copyright (c) 2005-2020 by cisco Systems, Inc.
All rights reserved. Certain components of Cisco IOS-XE software are
licensed under the GNU General Public License ("GPL") Version 2.0. The
software code licensed under GPL Version 2.0 is free software that comes
with ABSOLUTELY NO WARRANTY. You can redistribute and/or modify such
GPL code under the terms of GPL Version 2.0. For more details, see the
documentation or "License Notice" file accompanying the IOS-XE software,
or the applicable URL provided on the flyer accompanying the IOS-XE
software.


ROM: 16.12(2r)

Router uptime is 19 minutes
Uptime for this control processor is 22 minutes
System returned to ROM by Reload Command at 21:14:19 UTC Tue Apr 13 2021
System image file is "bootflash:isr4300-universalk9.16.12.04.SPA.bin"
Last reload reason: Reload Command


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Suite License Information for Module:'esg'

--------------------------------------------------------------------------------
Suite Suite Current Type Suite Next reboot
--------------------------------------------------------------------------------
FoundationSuiteK9 None Smart License None
securityk9
appxk9

AdvUCSuiteK9 None Smart License None
uck9
cme-srst
cube


Technology Package License Information:

-----------------------------------------------------------------
Technology Technology-package Technology-package
Current Type Next reboot
------------------------------------------------------------------
appxk9 appxk9 Smart License appxk9
uck9 uck9 Smart License uck9
securityk9 None Smart License None
ipbase ipbasek9 Smart License ipbasek9

The current throughput level is 300000 kbps

Smart Licensing Status: UNREGISTERED/EVAL MODE

cisco ISR4331/K9 (1RU) processor with 1694893K/3071K bytes of memory.
Processor board ID FLM1922W1BZ
3 Gigabit Ethernet interfaces
32768K bytes of non-volatile configuration memory.
4194304K bytes of physical memory.
3223551K bytes of flash memory at bootflash:.
0K bytes of WebUI ODM Files at webui:.

Configuration register is 0x2142 (will be 0x2102 at next reload)

Remarque : un registre de configuration différent peut produire des comportements inattendus.

Simuler un signal d'interruption

La configuration série/console par défaut peut être revue dans la configuration Putty comme illustré dans l'image.

Si le signal de coupure ne peut pas être correctement reconnu par le routeur, vous pouvez simuler le signal avec Putty afin de passer en mode rommon.

Étape 1. Afin de simuler le signal d'interruption, vous devez définir la configuration série/console comme suit :

• Vitesse : 1200.
• Bits de données : 8.
• Bits de saut : 1.
• Parité : aucune.
• Contrôle de flux : aucun.

Cette configuration série est configurée comme indiqué dans l’image.

Une fois que vous avez connecté le périphérique à la configuration précédente, vous ne voyez plus aucun résultat de la console. C'est un comportement prévu.

Étape 2. Vous devez mettre le périphérique hors tension puis sous tension et appuyer sur la touche Espace pendant 10-15 secondes afin de générer le signal d'arrêt dans le routeur.

Après cela, le routeur est en mode rommon, mais vous ne pouvez pas voir l'invite rommon.

Étape 3. Ouvrez la session Putty avec les valeurs par défaut et essayez de vous reconnecter à la console. Elle affiche l'invite rommon.