系統安全概念

Cisco 路由器或交換機恢復密碼的方法

大多數 Cisco 路由器或交換機可以在不改變硬體跳線的情況下恢復密碼，但是所有情況都需要重新啟動路由器。密碼恢復僅能從 Console 連到路由器上才可以做到。

當路由器的密碼不幸被忘記或丟失，可以經由查看、改變密碼而恢復，如果是新設備則可以刪除原有設定重新開始。每種密碼恢復方法大致有以下幾個基本步驟:

1. 不讀儲存值，重新啟動路由器進行設定，這種有時被稱為測試系統模式、ROM 模式或 boot 引導模式
2. 重新啟動系統
3. 進入管理模式 (如你在測試系統模式，沒有密碼可以進入)
4. 查看、改變密碼或刪除原設定
5. 重新設定路由器後引導
6. 重新啟動系統

有時在進行密碼恢復時需要終端機給出一個 BREAK 信號，這要求你必須熟悉終端機或 PC 虛擬終端機怎樣給出這個信號。例如: Alt+B 可產生一個 BREAK 信號，在 Windows 終端上按 Break 或 Ctrl+Break，Windows 終端機上也可以定義一個作為 BREAK 功能鍵，通過按功能鍵來獲得一個 BREAK 信號，選擇特定符號 ^$B(Shift 6, Shift 4, 和大寫字母 B) 定義一個作為 BREAK 信號。

恢復方法一:

可採用該方法的相關設備有:
. Cisco 2000 系列
. Cisco 2500 系列
. Cisco 3000 系列
. 於 680x0 Cisco 4000 系列以及在 ROM 中執行 Cisco IOS 10.0 以上版本的 Cisco 7000 系列
. Cisco 7000/7010 有安裝 RP 卡時，可以引導 Cisco flash IOS 10.0 軟體

1. 連接路由器的 console port 到終端機或 PC 虛擬終端機。用無 modem 的直連線連接 PC 的串 serial port 到路由器的 console port
2. 用 show version 命令顯示並記錄設定的值，通常為 0x2102 或 0x102。如果用 show version 命令不能獲得有關提示，可以查看類似的路由器來獲得設定的值或用 0x2102 試試
3. 關閉路由器的電源，然後再打開
4. 在啟動的前 60 秒內按 Break 鍵，你將會看到“>”提示符號(無路由器名)，如果沒有看到“>”提示符號，說明你沒有正確發出 Break 信號，這時可檢查終端機或虛擬終端機的設定
5. 在“>”提示符號下輸入 o/r 0x42 從 Flash memory 中導出或輸入 o/r 0x41 從 ROM 中導出。如果它有 Flash 且原封沒動過，0x42 是最好的設定，因為它是預設值，僅當 Flash 被抹除或沒有安裝時使用 0x41。如果用 0x41，你可以查看或刪除原設定，但你不能改變密碼
6. 在“>”提示符下鍵入 i，路由器將重新啟動而忽略它保存的設定
7. 在設定中的所有問題都回答“no”
8. 在 Router > 提示符下鍵入 enable，你將進入管理用戶 Router# 提示
9. 選擇下列三選項之一: 　 查看密碼，鍵入 show config
   　 改變密碼(在密碼加密情況下)，作：
       a. 輸入 config mem 拷貝 NVRAM 到 memory 中
       b. 輸入 wr term
       c. 如果你作過 enable secret xxxx, 執行下列命令:
           輸入 config term 然後鍵入 enable secret 按 Ctrl+Z
           如果你沒有作過 enable secret xxxx，則輸入 enable password，Press Ctrl+Z
       d. 輸入 write mem 寫入記憶體；若刪除設定，鍵入 write erase
   
10. 在 Router# 提示符下鍵入 config term
11. 輸入 config-register0x2102，或輸入在第二步記錄的值
12. 按 Ctrl+Z 退出編輯
13. 在 Router# 提示符下輸入 reload，你不需要做 write memory

恢復方法二:

可採用該方法的相關設備有:
. Cisco 1003 系列
. Cisco 4500 系列
. Cisco 3600 系列，含 IDT Orion 處理器
. Cisco 2600 系列，含 Motorola 860 系列處理器

1. 連接路由器的 console port 與終端機或 PC 虛擬終端機
2. 用 show version 命令顯示並記錄設定儲存的值，通常為 0x2102 或 0x102
3. 關閉路由器的電源，然後再打開
4. 在啟動的前 60 秒內按 Break 鍵，你將會看到“>”提示符號(無路由器名)，如果沒有看到“>”提示符號，說明你沒有正確發出 Break 信號，這時可檢查終端機或虛擬終端機的設定
5. 在“rommon >”提示符號下輸入 confreg
6. Do you wish to change configuration[y/n]？提示時，回答 y
7. 在設定中的所有問題都回答“no”
8. 所有問題回答 n 直到 ignore system config info[y/n]？提示時，回答 y
9. 剩下的問題回答 n 直到 change boot characteristics[y/n]？提示時，回答 y
10. 在進入 boot: 提示時，type 2 需進行修改；如果 Flash 被抹除，type 1，如果所有 Flash 均被抹除，4500 路由器必須還回到 Cisco 服務中心處理。如果你用“1”，你可以查看或刪除舊設定，你不能改變密碼
11. 當出現設定問題，Do you wish to change configuration[y/n]？提示時，回答 no
12. 在 rommon> 提示符下輸入 reset，或重新啟動（power-cycle）4500 或 7500
13. 在它重新啟動後，對所有的設置均回答 no
14. 在 Router> 提示下輸入 enable，你將進入管理模式看到 Router# 提示