CHƯƠNG 3 : CẤU HÌNH HỆ ĐIỀU HÀNH MẠNG
3.4 | KHÔI PHỤC MẬT KHẨU CHO ROUTER VÀ SWITCH
3.4.1 KHÔI PHỤC MẬT KHẨU CHO ROUTER
Để thực hiện bảo mật cho thiết bị, người quản trị thường cài đặt các password như enable password, console password hay telnet password để ngăn chặn việc truy nhập không hợp lệ vào thiết bị. Tuy nhiên, vì một số lý do nào đó, người quản trị có thể quên mất các password này hoặc cấu hình sai một vài ký tự nào đó khi thiết lập các password dẫn đến không thể đăng nhập được vào thiết bị.
Chúng ta cùng nhau điểm qua cách thức khôi phục lại mật khẩu của Router trong những trường hợp như trên, giúp người quản trị có thể truy nhập lại được thiết bị của mình khi gặp sự cố.
Quá trình khởi động của router đã được định trước. Sau quá trình kiểm tra bật nguồn (POST) và nạp hệ điều hành IOS, router sẽ nạp cấu hình họat động trong NVRAM. Các cấu hình này khơng chỉ chứa thơng tin giao thức định tuyến, địa chỉ mà còn chứa mật khẩu của router.
Mật khẩu được phục hồi bằng cách bỏ qua nội dung file cấu hình trong NVRAM trong quá trình khởi động. Việc bỏ qua cấu hình được thực hiện bằng cách sửa đổi nội dung thanh ghi cấu hình (configuration register) của router. Lúc này router sẽ khơng cấu hình chứa mật khẩu cần phục hồi. Khi đã vào được router, người dùng có thể xem mật khẩu trong NVRAM và có thể sử dùng, xố hay thay đổi chúng. Kỹ thuật hồi phục mật khẩu khác nhau đối với các dòng router, tổng quát cách thực hiện:
1. Nối terminal vào console port. 2. Tắt router và bật lại.
4. Tại monitor mode, cấu hình router sao cho router khởi động mà khơng đọc nội dung file cấu hình trong NVRAM.
5. Khởi động lại router.
6. Sau khi router khởi động lại, mật khẩu sẽ khơng cịn tác dụng. Vào privileged
mode, xem, thay đổi, hay xoá NVRAM mật khẩu.
7. Vào configuration mode và đặt lại thanh ghi để router khởi động từ NVRAM.
8. Nạp lại router. Lúc này mật khẩu đã biết.
Lưu ý: Khôi phục mật khẩu chỉ có thể thực hiện trên terminal gắn với cổng console
của router. Các cách này không thể thực hiện được với cổng aux của router.
Hình 56: Sơ đồ kết nối
Thực hiện:
Đầu tiên, giả sử rằng, ta có dự định đặt password enable cho Router là “cisco”, tuy nhiên, vì thao tác gõ bàn phím khơng cẩn thận, ta lại gõ thành “ciscowrong” và lưu password sai này vào file cấu hình.
R1(config)#enable password ciscowrong R1#copy running-config startup-config
Sau một thời gian, khi từ mode User đi vào mode Privilege, ta được hỏi về enable password, vì đã ghi chú lại trong tài liệu về thiết bị rằng enable password là “cisco” nên ta đăng nhập bằng password này. Tuy nhiên, như đã đề cập ở trên, trước đó ta cấu hình sai nên Router khơng chấp nhận password đúng mà ta nhập.
Ta đã không thể đăng nhập được vào Router do mình quản lý. Vì vậy, ta phải thực hiện thao tác khôi phục mật khẩu cho Router.
Bước 1: Tắt router và bật trở lại.
Thực hiện tắt cứng Router bằng công tắc nguồn rồi bật lại công tắc nguồn để khởi động lại Router. Chú ý rằng, để đảm bảo an toàn điện cho Router, sau khi tắt xong, ta chờ một khoảng thời gian từ 15 đến 30 giây rồi hãy mở lại Router.
Bước 2: Sử dụng tổ hợp phím ngắt đưa router vào mode ROMMON
Trong khi Router đang khởi động, ta nhấn tổ hợp phím ngắt “Ctrl – Break” để đưa Router vào mode ROMMON. Ta khơng nên nhấn ngắt q sớm vì điều này có thể gây treo Router mà nên chờ khi màn hình Console hiện ra kích thước bộ nhớ chính thì hãy thực hiện ngắt.
rommon 1 >
Bước 3: Thay đổi giá trị thanh ghi cấu hình
Tại mode ROMMON, ta thực hiện thay đổi giá trị của thanh ghi cấu hình từ giá trị mặc định là 0x2102 thành giá trị mới là 0x2142 để đảm bảo bit 6 được chuyển thành giá trị 1. Câu lệnh để thiết lập giá trị thanh ghi cấu hình ở ROMMON là “confreg”. Sau khi thay đổi xong, ta phải thực hiện khởi động lại Router để giá trị mới được áp dụng. Câu lệnh để khởi động lại Router ở ROMMON là “reset”.
rommon 1 > confreg 0x2142 rommon 2 > reset
Bước 4: Chỉnh sửa password
Sau khi khởi động lại, vì giá trị thanh ghi cấu hình đã được đổi thành 0x2142 với bit số 6 = 1 nên ở bước thứ 4, Router sẽ bỏ qua file startup-config và đưa ra câu hỏi để chọn setup mode hoặc load vào một cấu hình trắng, ta chọn “no” như thường lệ để load vào một cấu hình trắng:
Router>
Ta đã bỏ qua được file cấu hình cũ có lưu password và đi được vào mode Privilege của Router khi sử dụng cấu hình trắng. Để thực hiện sửa lại password cũ cho đúng, chúng ta thực hiện load file cấu hình cũ vào Router bằng lệnh “copy startup-config running- config”:
Router>enable
Router#copy startup-config running-config
Tiến hành sửa lại password cho đúng, sau khi sửa xong, nhớ thực hiện lưu password mới này lại.
R1#configuration terminal
R1#write R1#
Bước 5: Trả lại giá trị thanh ghi cấu hình về mặc định
Sau khi hoàn tất xong việc chỉnh sửa password, ta thực hiện trả lại giá trị thanh ghi cấu hình về mặc định (0x2102). Câu lệnh để thay đổi lại giá trị thanh ghi cấu hình là “config-register” ở mode Global Configuration.
R1(config)#config-register 0x2102
Ta có thể kiểm tra sự thay đổi này bằng lệnh “show version” ở mode Privilege: R1#show version
Ta thấy rằng giá trị của thanh ghi cấu hình vẫn là 0x2142, nhưng sẽ được đổi thành 0x2102 ở lần khởi động kế tiếp. Vì vậy, để hồn tất tiến trình khơi phục mật khẩu cho Router, ta cần thực hiện lưu cấu hình rồi khởi động lại Router.
Cách khơi phục mật khẩu trên các dịng Router khác có thể có một vài khác biệt nhưng nguyên tắc cơ bản thì vẫn giống như đã trình bày.