Rommon cisco что это
Восстановление Cisco ASA из режима ROMMON
Read the article CISCO ASA RECOVERY USING ROMMON MODE in 
English
К сожалению, иногда случается так, что оборудование выходит из строя. Конечно же, это происходит в самый неподходящий момент. В большинстве случаев, встречавшихся в моей практике, происходит следующее: по какой-либо причине (работы с электрооборудованием, гроза, плановое или аварийное отключение электричества) Cisco ASA выключается или перезагружается, а при запуске каналы связи, VPN и другие сервисы не восстанавливаются. Вариант, когда перестают моргать даже лампочки индикаторов на корпусе, я не рассматриваю –почти точно устройство направляется в утиль или на замену по гарантии. Рассмотрю вариант, когда Cisco ASA все еще работает, но не загружается до конца, а именно: не может загрузить образ операционной системы Cisco IOS. Есть шанс реанимировать устройство, как минимум на время, до замены на полностью исправное.
В этом случае стоит вспомнить принцип работы устройств Cisco:
Операционная система находится на неком носителе и загружается с него в оперативную память единожды при включении устройства. После этого система работает до следующей перезагрузки. В качестве носителя почти всегда используется внутренняя Flash память (Вероятнее всего вы читаете эту статью как раз потому, что этот модуль и вышел из строя), однако также возможно указать в качестве источника внешний ресурс, например — TFTP сервер.
Задача по восстановлению межсетевого экрана сводится к:
Для установки TFTP сервера достаточно скачать дистрибутив, запустить программу и выложить образ операционной системы в папку, указанную в окне приложения. Посоветую простой и бесплатный TFTPD. Скачать можно здесь.
Интерфейс программы прост и понятен и не должен вызвать какие-либо дополнительные трудности.
В папку C:\Program Files\Tftpd64, указанную в поле Current Directory, выкладываем образ IOS для межсетевого экрана. Советую при восстановлении использовать тот же, что был на момент выхода устройства из строя. Устанавливать более новую версию стоит не раньше, чем будет уверенность в надежной работе межсетевого экрана.
Важно!
Обратите внимание на интерфейс сервера. Если ip адрес сетевой карты ноутбука будет изменен, то в поле Server interfaces останутся старые настройки. Проверьте корректность этого поля и, если там указан старый адрес, перезагрузите TFTP сервер. Для примера будем использовать 192.168.1.2
Далее нужно соединить прямым патч кордом интерфейс ноутбука с TFTP сервером и интерфейс Ethernet 0/0 межсетевого экрана.
В консоли устройства (в режиме ROMMON) задается ip адрес (ADDRESS), порт (PORT), TFTP сервер (SERVER) с файлом образа (IMAGE).
Важно!
При вводе команд придется печатать их полностью — будьте аккуратны и внимательны.
rommon #1> ADDRESS= 192.168.1.1
rommon #2> PORT= Ethernet0/0
rommon #3> SERVER= 192.168.1.2
rommon #4> IMAGE= asa803-k8.bin
Важно!
В примере Cisco ASA и TFTP сервер с образом IOS подключены напрямую друг к другу и шлюз по умолчанию не требуется. Однако, если доступна внутренняя корпоративная сеть, то TFTP сервер можно поднять на любой доступной рабочей станции сети. В этом случае на Cisco ASA дополнительно потребуется указать шлюз по умолчанию(GATEWAY) и/или номер Vlan (VLAN).
rommon #5> GATEWAY= Х.Х.Х.Х
rommon #6> VLAN= Y
Вместо Х.Х.Х.Х введите значения ip адреса шлюза для сети, в которой находится межсетевой экран. Вместо Y – номер Vlan этой сети.
Проверить введенные данные можно проверить командой set
rommon #6> set
Доступность TFTP сервера проверяется командой ping server
rommon #7> ping server
Убедившись, что рабочая станция и Cisco ASA подключены и настроены корректно, введите команду tftp для загрузки IOS.
rommon #8> tftp
Важно!
При удачной загрузке советую тут же озаботиться заменой проблемного оборудования, так как его надежность остается под вопросом.
Напомню еще раз, что рассматривается случай аварийного восстановления Cisco ASA, успешность которого зависит от конкретного случая и степени повреждения компонентов устройства. Все вышеописанное будет работать в 100% случаев, если аппаратная часть исправна.
Компоненты коммутатора и маршрутизатора. Их назначение
Сегодня мы изучим операционную систему Cisco IOS (Internetwork Operating System).
Маршрутизаторы/Коммутаторы состоят из следующих компонентов памяти:
Хранит 4 системные утилиты:
Порядок загрузки ОС маршрутизатора
Весь процесс проходит через следующие стадии:
Порядок загрузки проиллюстрирован ниже:
Значения параметров регистра
Значение регистра указывает загрузчику (Bootstrap) откуда загружать IOS.
По умолчанию его значение равно 0х2102 (шестнадцатеричное число).
Возможны следующие значения:
С помощью нижеприведенных команд можно узнать подробные сведения о системе:
Router# show version
Команда показывает версию аппаратной платформы, текущую ОС, емкость памяти, а также значение регистрационного файла:
Список файлов в памяти FLASH:
Список файлов в памяти NVRAM:
Проводится только через консольный порт.
В маршрутизаторе все пароли находятся в конфигурационном файле startup-config. Поэтому необходимо загрузить систему без этого файла и поменять пароль.
Для этого последовательно выполним следующие действия:
1. Перезагрузить маршрутизатор и в течении первых 20с прервать загрузку нажатием на CTRL+C или CTRL+Break. Система перейдет в режим Rommon.
2. Поменять параметр регистра на 0х2142:
rommon> confreg 0x2142
3. Перезагрузить маршрутизатор
4. Проигнорировать режим первоначальной загрузки и ввести:
router# copy startup-config running-config
5. Теперь можно установить новый пароль
6. Вернуть параметр регистра на 0х2102:
router(config)# config-register 0x2102
Для коммутатора процедура немного другая:
1. Отключить питание. Нажать и удерживать кнопку Mode. Затем включить питание коммутатора. Кнопку удерживать, пока не перестанет мигать светодиод SYST:
3. Конфигурационный файл condif.text хранится в памяти Flash. Посмотрим содержимое памяти:
4. Конфигурационный файл config.text переименуем в config.bak:
switch: rename flash:/config.text flash:/config.bak
5. Теперь перезагрузим коммутатор:
6. Коммутатор после перезагрузки не содержит конфигурацию, так как не нашел файл config.text.
7. Копируем сохраненную конфигурацию в ОЗУ:
switch# copy flash:/config.bak running-config
Теперь можно менять пароли. Не забудь сохранить конфигурацию.
Описание загрузки образа ПО в маршрутизатор Cisco серий 2600/2800/3800 по протоколу TFTP, используя команду tftpdnld в режиме ROMmon
Параметры загрузки
Содержание
Общие сведения
Данный документ содержит описание загрузки образа программного обеспечения в маршрутизатор Cisco серий 2600/2800/3800 с помощью простейшего протокола передачи данных (TFTP) через первый порт локальной сети с помощью команды tftpdnld в режиме ROMmon.
Передача ROMmon TFTP работает только через первый порт локальной сети. Однако для маршрутизатора Cisco 2612 можно выбрать порт Token Ring или Fast Ethernet.
Файлы можно только загрузить в маршрутизатор. Получить файлы с маршрутизатора с помощью ROMmon TFTP нельзя.
Эта передача не поддерживает запараллеливание маршрута на портах Token Ring.
Предварительные условия
Требования
Для данного документа нет особых требований.
Используемые компоненты
Данный документ не ограничен отдельными версиями программного и аппаратного обеспечения.
Условные обозначения
Дополнительную информацию об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.
Действия
Прежде чем осуществлять загрузку по протоколу TFTP, необходимо настроить переменные среды ROMmon. Все имена переменных интерпретируются с учетом регистра символов.
Просмотреть переменные среды ROMmon можно с помощью команды set, как показано здесь:
Переменные, которые следует установить для tftpdnld, приведены далее:
Примечание. Как подробно описано в ошибке с идентификатором Cisco CSCdk81077 ( только для зарегистрированных клиентов ), для маршрутизаторов Cisco серий 2600 и 1720, выполняющих команду tftpdnld в режиме ROMmon, может возникать сообщение о неверной контрольной сумме при загрузке образов программного обеспечения Cisco IOS для ПО Cisco IOS Release 12.0(2.2)T или последующих.
Примечание. Для решения проблемы установите значение 0 для переменной TFTP_CHECKSUM в режиме ROMmon. Для этого задайте TFTP_CHECKSUM=0 в команде set в режиме ROMmon, а затем выполните команду tftpdnld.
Token Ring
Переменные, которые следует установить для Token Ring, приведены далее:
На маршрутизаторе Cisco 2612 эта переменная задает порт Token Ring или Ethernet.
0 = использовать порт Ethernet
1 = использовать порт Token Ring
Для порта Token Ring эта переменная задает скорость и дуплексный режим.
0 = 4 Мбит/с полудуплексный режим
1 = 4 Мбит/с полнодуплексный режим
2 = 16 Мбит/с полудуплексный режим
3 = 16 Мбит/с полнодуплексный режим
Fast Ethernet
Переменные, которые следует установить для Fast Ethernet, приведены далее:
0 = 10 Мбит/с полудуплексный режим
1 = 10 Мбит/с полнодуплексный режим
2 = 100 Мбит/с полудуплексный режим
3 = 100 Мбит/с полнодуплексный режим
Чтобы сохранить переменные среды ROMmon в энергонезависимом ОЗУ (NVRAM), используйте команду sync.
Hardware Installation Guide for Cisco 4000 Series Integrated Services Routers
Book Title
Hardware Installation Guide for Cisco 4000 Series Integrated Services Routers
Chapter Title
ROM Monitor Overview and Basic Procedures
View with Adobe Reader on a variety of devices
Results
Chapter: ROM Monitor Overview and Basic Procedures
ROM Monitor Overview and Basic Procedures
This chapter provides an overview of ROM Monitor concepts and operations.
This chapter includes the following main topics:
ROM Monitor Overview
The ROM Monitor is a bootstrap program that initializes the hardware and boots the Cisco IOS XE software when you power on or reload a router. When you connect a terminal to the router that is in ROM Monitor mode, the ROM Monitor command-line interface (CLI) prompt is displayed.
During normal operation, users do not use ROM Monitor mode. ROM Monitor mode is used only in special circumstances, such as reinstalling the entire software set, resetting the router password, or specifying a configuration file to use at startup.
Environmental Variables and the Configuration Register
Two primary connections exist between ROM Monitor and the Cisco IOS XE software: the ROM Monitor environment variables and the configuration register.
The ROM Monitor environment variables define the location of the Cisco IOS XE software and describe how to load it. After the ROM Monitor has initialized the router, it uses the environment variables to locate and load the Cisco IOS XE software.
The configuration register is a software setting that controls how a card starts up. One of the primary uses of the configuration register is to control whether the router starts in ROM Monitor mode or Administration EXEC mode. The configuration register is set in either ROM Monitor mode or Administration EXEC mode as needed. Typically, you set the configuration register using the Cisco IOS XE software prompt when you need to use ROM Monitor mode. When the maintenance in ROM Monitor mode is complete, you change the configuration register so the router reboots with the Cisco IOS XE software.
Accessing ROM Monitor Mode with a Terminal Connection
When the router is in ROM Monitor mode, you can access the ROM Monitor software only from a terminal connected directly to the console port of the card. Because the Cisco IOS XE software (EXEC mode) is not operating, nonmanagement interfaces are not accessible. Basically, all Cisco IOS XE software resources are unavailable. The hardware is available, but no configuration exists to make use of the hardware.
Network Management Access and ROM Monitor Mode
One area that can be confusing when using ROM Monitor and the Cisco IOS XE software is the area that defines the IP configuration for the Management Ethernet interface. Most users are comfortable with configuring the Management Ethernet interface in the Cisco IOS XE software. When the router is in ROM Monitor mode, however, the router does not run the Cisco IOS XE software, so that Management Ethernet interface configuration is not available.
When you want to access other devices, such as a TFTP server, while in ROM Monitor mode on the router, you must configure the ROM Monitor variables with IP access information.
Access ROM Monitor Mode
The following sections describe how to enter the ROMMON mode, and contains the following sections:
Checking the Current ROMmon Version
To display the version of ROMmon running on a router, use the show rom-monitor command or the show platform command.
Сброс пароля и базовая настройка Cisco 1941
Бывает так, что приходится сталкиваться с задачами, к решению которых ты вроде бы и не готов, а получить результат надо здесь и сейчас. Знакомо, да? Добро пожаловать в мир восточноевропейского менеджмента с соответствующей культурой управления.
Итак, допустим, ты представитель местечкового провайдера, уже знающий, как настроить какой-нибудь ASUS, но волею судьбы ещё не получивший сертификат CCNA. Рядом с тобой стоит местный админ, тоже без сертификата, глазами молящий ничего не «сбрасывать в ноль», ибо «всё работает, я просто не знаю пароль, только вы никому не говорите».
Подобные ситуации не редкость в наше ковидном мире, когда отделы со своей инфраструктурой тасуюся ежеквартально, директора направлений таинственно исчезают, а очередной управленец, дабы продемонстрировать собственную эффективность, ссорится с единственным цискарём в округе и заключает договора обслуживания при помощи сайта объявлений.
Проведём же вместе сеанс чёрной айтишной магии с последующим её разоблачением. А именно : сбросим пароль, настроим интерфейсы (локальный и внешний), соединим эти сети маршрутами и трансляцией адресов и прикроем(нет) фаерволом. Кирпич с фирменным шильдиком волшебным образом превратится в полезное сетевое устройство.
Устройство и нужные нам интерфейсы
Вот она, наша девочка. Как опытные ребята, подходим с правильной стороны:
Кабель «специальный» Cisco. Распайки есть везде.
По нынешним временам COM-порт есть далеко не в каждом ноуте, поэтому придётся к этому шнурку брать стандартный COM-USB переходник. Но можно присмотреться и увидеть, что рядом со «старым» консольным портом есть mini-usb порт с тем же назначением. Переходник в данном случае встроен в циску, и, да, на него нужны драйвера. Устанавливаем их, ребутимся и подключаемся снова. После подключения Cisco через кабель miniusb в списке оборудования в разделе Порты (COM и LPT) появился Cisco Serial (COM14) (не обязательно именно 14, ну что поделать). Для дальнейшей работы рекомендую терминальную программку Putty, ибо в ней есть всё, что необходимо, и она проста, как полено. На сегодня нам от неё нужно будет подключение по интерфейсу Serial (Com14) и впоследствии Telnet (TCP23).
Сбрасываем пароли
Включаем циску и подключаемся в Putty к порту Serial (название COM14, Baud Rate 9600). Убеждаемся, что коннект есть. Далее надо перезагрузить маршрутизатор в ROMMON – начальный загрузчик – совсем урезанную версию операционной системы, которая загружается до cisco IOS и используется для сервисных целей (обновление IOS, восстановление пароля). Чтобы перезагрузить маршрутизатор в ROMMON, нужно прервать обычный процесс загрузки в IOS – для этого в самом начале загрузки надо отправить сигнал прерывания.
Выключаем, и не разрывая консольный сеанс, Включаем Cisco 1941 и нажимаем клавишу Break (она же клавиша Pause) или комбинацию Ctrl+Break на клавиатуре (если в ноуте этого нет, в Putty по правой кнопке мыши можно вызвать special command – break). Полная таблица с сигналами прерывания для разных терминалов находится здесь.
Видим приглашение в режим rommon (ROM monitor) :
Вводим команду изменения конфигурации регистра командой confreg и после перезапускаем роутер командой reset
rommon 1 > confreg 0x2142
Повышаем привилегии командой enable или просто en И пароль она тут не просит 🙂
Копируем «запароленный» конфиг в память роутера:
Router1#copy startup-config running-config
После этого применится старый конфиг, который был запаролен, но при этом мы уже находимся в привилегированном режиме, откуда можем выставить новые пароли для привилегированного режима, telnet и консоли.
Router1(config)#line vty 0 4
Router1(config)#line console 0
Главное, в конце не забыть вернуть значения регистров по умолчанию. Если этого не сделать, то наш новый конфиг снова будет проигнорирован после перезагрузки роутера.
Router1(config)# config-register 0x2102
Копируем загруженный конфиг в стартовый и перезагружаемся:
Router1# copy running-config startup-config
Роутер теперь с новым паролем для консоли, телнета и привилегированного режима. Ура. Можно отдать циску просиявшему админу вместе с настройками «нового интернета» (мы же от провайдера приехали, помните?). Если во взгляде местного системного администратора затаились нерешительность и страх, то поможем бедолаге.
Настройка интерфейсов
Чтоб два раза не приезжать, пробежимся по всем нужным настройкам «чтоб взлетело». У циски два «жёлтых» интерфейса: GigabitEthernet0/0 и GigabitEthernet0/1. Обычно они должны смотреть в сторону WAN и LAN соответственно, да будет так.
Адресация в WAN, допустим 100.200.100.202/30 со шлюзом провайдера 100.200.100.201
Адресация в LAN, как водится, 192.168.1.1/24 с локальным интерфейсом циски 192.168.1.1
Всё делаем из под рута:
Настраиваем локальный интерфейс:
#ip address 192.168.1.1 255.255.255.0
#ip dhcp excluded-address 192.168.1.200 192.168.1.254
#ip dhcp excluded-address 192.168.1.1 192.168.1.50
#ip dhcp ping packets 4
#ip dhcp pool MY_DHCP_POOL_1
#network 192.168.1.0 255.255.255.0
Всё, после этой настройки можно подключаться телнетом из локалки при желании (удобно для проверок)
Настраиваем внешний интерфейс:
#ip address 100.200.100.202 255.255.255.252
#ip forward-protocol nd
#ip route 0.0.0.0 0.0.0.0 100.200.100.201
Тут от самой циски должен начать пинговаться 8.8.8.8
#ip domain timeout 2
#ip name-server 8.8.8.8
#ip name-server 77.88.8.8
Тут от самой циски должен начать пинговаться ya.ru
#copy running-config startup-config (или просто #wr )
В итоге мы настроили на циске две сети, в которых она будет жить и трудиться. Далее надо будет их соединить.
Его величество межсетевой экран
Собственно, его величество фаер. В ипостасях NAT и списков доступа (ACL)
Настройка NAT
Собираем локальную область для маскарадинга (да, я знаю, что это термин для iptables, но суть та же):
#ip access-list standard 10
#permit 192.168.1.0 0.0.0.255
Назначаем стороны маскарадинга (интерфейсы):
Cамое важное: включаем собственно правило (одной строкой):
#ip nat inside source list 10 interface gigabitethernet0/0 overload
Закрываемся от атаки по TCPSYN:
#ip tcp synwait-time 30
Пишем список (особое внимание – протоколу icmp)
#ip access-list extended 101
#deny tcp any any eq 23
#permit tcp any any
#permit udp any any
#permit icmp any any echo-reply
#permit icmp any any time-exceeded
#permit icmp any any unreachable
Вешаем список на вход во внешний интерфейс:
#ip access-group 101 in
#copy running-config startup-config (или просто #wr )
Так то список только базовую «защиту» обеспечивает, но это головная боль админа уже. После поднятия всех сервисов и их проверки, можно написать построже и применить.
У нас пингуется всё изнутри и циска снаружи. Интернет работает, почта ходит. Все счастливы, танцуют, обнимаются, деньги в карманы засовывают. Твой социальный рейтинг растёт на глазах.
P.S. Полезные команды
Собственно, включение чего-либо, например, интерфейса выглядит вот так:
Выведем на почитать/скопировать весь конфиг:
Можно посмотреть возможности команды show:
Просмотр сводной информации по интерфейсам:
#show ip interface brief
Просмотр информации по интерфейсам L2:
#show interface summary
Просмотр адресов, выданных по DHCP:
Удаление строк конфига:
Например, удалим шлюз по умолчанию:
#no ip default-gateway
Удаляем ВЕСЬ список доступа:
#no ip access-list extended 101
Удаление статического маршрута:
#no ip route [маршрут]
Что-ж для первого визита вполне достаточно. При помощи этой нехитрой магии ты заведёшь себе много друзей, юный падаван 🙂 И не забудь предупредить местного админа о том, что если он как следует не настроит ACL, их сетку могут в скором времени ждать крупные неприятности. Но это уже совсем другая история.
У нас быстрые серверы для любых экспериментов.
Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!