Technical documentation
发布日期:2023-11-06 浏览次数:1836 来源:岳亿
安全CCIE培训Security课程-ASA Rommon模式笔记-WOLFLAB岳亿
思科安全CCIE培训Security课程咨询可联系WOLF-LAB网络技术实验室
一、 Rommon模式介绍:
1. Rommon模式 类似一种维护模式,能够使 ASA 在设备无法正常使用时进行维护,其实正常工作;
2. Rommon模式 恢复 IOS:
1) Rommon模式 可以从远程服务器中加载 IOS 镜像,但属于临时加载并不会保存 IOS 镜像;
2) 需要进入 IOS 后 将 IOS镜像保存至闪存;
3. Rommon 模式恢复密码:
1) ASA 默认启用密码恢复机制,并且可以访问 Console;
2) 允许空配置启动 ASA;
3) 在关闭密码恢复功能时,当用户进入 ROMMON 模式时 ASA 会提示用户删除所有 Flash 文件系统;
4) 寄存器值:0x1 = 加载配置启动;
5) 寄存器值:0x41 = 不加载配置启动;
二、 Rommon模式恢复 IOS:
1. 在启动过程中,当系统提示进入 ROMMON 模式时,请按 Escape 键;
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot interrupted.
Management0/0
Link is UP
MAC Address: e00e.dabe.f6d8
Use ? for help.
rommon #0>
2. 在 ROMMOM 模式下,定义 ASA 的接口设置,包括 IP 地址、TFTP 服务器地址、网关地址、软件映像文件和端口( ASA 5506-X、ASA 5508-X 和 ASA 5516-X 从管理 1/1 接口对这些平台执行 TFTP 恢复);
rommon #1> interface gigabitethernet0/0
rommon #2> address 10.86.118.4
rommon #3> server 10.86.118.21
rommon #4> gateway 10.86.118.21
rommon #5> file asa961-smp-k8.bin
3. 验证设置:
rommon #6> set
ROMMON Variable Settings:
ADDRESS=10.86.118.3
SERVER=10.86.118.21
GATEWAY=10.86.118.21
PORT=GigabitEthernet0/0
VLAN=untagged
IMAGE=asa961-smp-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
4. ping 测试TFTP 服务器连通性:
rommon #7> ping serverSending 20, 100-byte ICMP Echoes to server 10.86.118.21, timeout is 4 seconds:
Success rate is 100 percent (20/20)
5. 保存网络设置(方便将来使用):
rommon #8> sync
Updating NVRAM Parameters...
6. 加载软件映像:
rommon #9> tftpdnld
ROMMON Variable Settings:
ADDRESS=10.86.118.3
SERVER=10.86.118.21
GATEWAY=10.86.118.21
PORT=GigabitEthernet0/0
VLAN=untagged
IMAGE=asa961-smp-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
tftp asa961-smp-k8.bin@10.86.118.21 via 10.86.118.21
Received 14450688 bytes
Launching TFTP Image...
Cisco ASA Security Appliance admin loader (3.0) #0: Mon Mar 5 16:00:07 MST 2016
Loading...
7. 成功加载软件映像后,ASA 会自动退出 ROMMON 模式;从 ROMMON 模式启动 ASA 不会在重新加载时保留系统映像;需要将 IOS 映像下载到闪存并指定默认启动 IOS 镜像;
ciscoasa# copy tftp://10.86.118.21/asa961-smp-k8.bin flash:
ciscoasa# configure terminal
ciscoasa(config)# boot system flash:asa961-smp-k8.bin
三、 Rommon模式恢复密码:
1. 在启动过程中,当系统提示进入 ROMMON 模式时,请按 Escape 键;
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot interrupted.
Management0/0
Link is UP
MAC Address: e00e.dabe.f6d8
Use ? for help.
rommon #0>
2. 修改寄存器值,使 ASA 不加载配置启动:
rommon #0> confreg 0x41
Update Config Register (0x41) in NVRAM...
3. 启动 IOS:
rommon #1> boot
Launching BootLoader...
Default configuration file contains 1 entry.
Searching / for images to boot.
Loading /asa922-4-smp-k8.bin...
4. 空配置进入特权模式后将启动配置复制到运行配置并配置密码:
ciscoasa> enable
Password: //默认无密码(新版本会强制要求配置新密码)
ciscoasa# configure terminal
ciscoasa(config)# copy startup-config running-config
ciscoasa(config)# enable password cisco
ciscoasa(config)# username admin password cisco privilege 15
5. 修改寄存器值,使 ASA 加载配置启动:
ciscoasa(config)# config-register 0x1
或者
ciscoasa(config)# no config-register
6. 检查寄存器值:
ciscoasa# show version
------
Serial Number: FCH2016703R
Running Permanent Activation Key: 0xbf19e76f 0x5c87d725 0xb1e09858 0xd8a864ec 0xc72ac8ac
Configuration register is 0x40 (will be 0x1 at next reload)
Configuration last modified by enable_15 at 13:44:19.649 UTC Mon Oct 23 2023
7. 保存配置:
ciscoasa# copy running-config startup-config
WOLFLAB官方微信:17316362402
WOLFLAB官方QQ:2569790740
思科安全CCIE培训Security课程咨询可联系WOLF-LAB网络技术实验室