在8000和NCS5500平台上配置新的密码恢复程序

简介

本文档介绍适用于Cisco 8000和NCS5500平台的Cisco IOS® XR的新密码恢复流程。

背景信息

如果用户忘记了根密码，或者所有用户的密码在XR7 LNT平台（思科8000、NCS-540L）或eXR平台（ASR9K 64位、NCS5K、NCS5500、NCS 540、NCS 560）上丢失，则路由器将无法为用户登录，因为如果没有正确的用户名/密码组合，将无法登录。如今，此类路由器的密码恢复只能通过使用USB引导方法或iPXE从外部服务器引导的路由器重新映像来实现。重新映像路由器涉及重新安装路由器软件并加载设备配置。重新安装软件是一个耗时的过程。

从Cisco 8000系列平台的7.3.16版和NCS5500系列平台的7.3.3版开始，Cisco提出了一种无需重新映像路由器的口令恢复新方法。这种口令恢复方法不需要重新安装软件，从而节省了时间并允许在口令重置后访问路由器。这种新的密码恢复方法符合安全标准，因为旧用户信息和用户运行时数据会在密码恢复过程启动之前被擦除。

问题

如今，在XR7 LNT平台（思科8000、NCS-540L）或eXR平台（ASR9K 64位、NCS5K、NCS5500、NCS 540、NCS 560）上无法进行密码恢复。重置密码的唯一可用替代方法是使用USB引导方法或从外部服务器进行iPXE引导来重新映像路由器。这是一个耗时的过程，因为它涉及重新安装路由器软件并加载设备配置。 在思科XR7和eXR平台上，需要更快、更安全的密码恢复方法。

解决方案

从Cisco 8000系列平台的7.3.16版和NCS5500系列平台的7.3.3版开始，Cisco提出了一种无需重新映像路由器的口令恢复新方法。在路由处理器(RP)启动屏幕的Grand Unified Bootloader(GRUB)菜单中，添加了一个新选项 — Cisco IOS XR-Recovery，该选项是为密码恢复过程显式创建的。在路由器配置中，会创建一个新命令system recovery，用于启用新的口令恢复功能。目前这是一项可选功能，默认情况下未启用。

注意事项:

• RP bios启动GRUB屏幕菜单选项Cisco IOS XR-recovery可以看到，无论路由器配置中是否配置了system recovery命令。如果路由器配置中没有system recovery命令，并且通过选择bios GRUB屏幕菜单选项Cisco IOS XR-recovery尝试新的口令恢复方法，则路由器可以中止口令恢复过程并使用旧配置进行引导。因此，必须在路由器上配置system recovery命令才能使口令恢复方法正常工作。
• 默认情况下禁用密码恢复功能。 
• 需要通过配置命令行界面(CLI)显式启用密码恢复功能。RP/0/RP0/CPU0:HOSTNAME(config)#系统恢复。

• 如果路由器执行密码恢复过程，则可以在路由器启动后禁用system recovery命令，因为在密码恢复过程中将擦除所有路由器配置。如果设备配置中不包含此命令，用户需要重新加载设备配置并配置system recovery命令。
• 除了删除路由器配置外，在口令恢复过程中，用户创建的所有文件、show tech files和dumper文件都可以从disk0和硬盘中擦除，这是清理过程的一部分。
• 目前，7.3.16及更高版本在Cisco 8000、7.3.3及更高版本上在NCS5500上支持此功能，对于其他XR7 LNT和eXR平台，此功能可在未来版本中提供。

• 对于两个RP卡都安装在机箱中的平台，请使用给定步骤。将两个RP卡下至bios GRUB菜单。然后，必须在每个RP卡上逐一执行密码恢复过程。对于双RP平台而言，这是强制性的步骤，否则，将导致配置和文件清理不一致。

新的密码恢复步骤

前提条件：只有当CLI是设备配置的一部分时，新的密码恢复功能才起作用。如果未配置CLI，则由于缺少配置CLI，新的密码恢复机制无法工作。

启用密码恢复功能：

RP/0/RP0/CPU0:HOSTNAME(config)#system recovery

禁用密码恢复功能：

RP/0/RP0/CPU0:HOSTNAME(config)#no system recovery

密码恢复过程只能通过RP控制台完成。

步骤1: 将RP卡降级到bios GRUB菜单。对于两个RP卡都安装在机箱中的平台，两个RP卡必须下拉到bios GRUB菜单才能开始密码恢复过程。这是强制步骤。这可以通过以下方法完成：重新通电设备，然后按两个RP控制台上的ESC键进入bios GRUB菜单，或者逐个物理地重新安放每个RP，然后在RP控制台上按ESC键进入bios GRUB菜单。

RP0和RP1卡：

RP0和RP1卡：

第二步：在RP0卡控制台上，从GRUB菜单中选择IOS XR-recovery选项，然后按Enter。

RP0卡：

第三步： 从GRUB菜单中选择Cisco IOS XR-recovery选项，在RP0卡控制台上看到“Initiating IOS XR System Recovery..”消息后，立即按Enter。不要等待RP0卡到达Enter root-system username提示符，否则RP1卡可以自动重新加载并退出bios GRUB菜单。RP0卡可以在恢复过程后作为主用卡启动，而RP1卡可以作为备用卡启动。

RP0卡：

RP1卡：

第四步： 在RP0卡上，创建新的根用户和密码。尝试使用新的根用户名和密码登录设备。

RP0卡：

第五步： 此时口令恢复过程已完成。

现在，路由器使用空白配置启动，并且使用步骤4中创建的根用户名/密码。继续执行正常的路由器配置，或者从备份文件加载配置（在口令恢复过程中，存储在disk0或硬盘中的任何配置备份都可能会丢失，因此请始终将配置保存在外部服务器上）。确保您在RP0和RP1的RP0控制台日志中看到此消息，作为确认密码恢复的验证步骤，以及验证是否已成功完成两个RP的所有旧用户数据清理操作。如果没有，请重复前提条件步骤和步骤1到4，直到RP0控制台日志中看到这些消息。如果看不到备用RP的此消息，则只需对备用RP重复前提条件步骤和步骤1到步骤4。

RP/0/RP0/CPU0:Jul 8 06:13:24.551 CEST: sys_rec[1188]: %SECURITY-SYSTEM_RECOVERY-1-REPORT : System Recovery at 06:10:19 CEST Thu Jul 08 2021 was successful

RP/0/RP1/CPU0:Jul 8 06:15:13.967 CEST: sys_rec[1188]: %SECURITY-SYSTEM_RECOVERY-1-REPORT : System Recovery at 06:11:23 CEST Thu Jul 08 2021 was successful

摘要

此新的密码恢复程序可用于在Cisco 8000系列平台和NCS5500系列平台上，在10分钟内安全地重置丢失的密码。