Ситуация: есть большая сеть с десятками DGS-3610-26G с однотипными конфигами на всех. В приступе паранойи было принято решение уменьшить привилегии админам и ввести enable. Раньше у всех админов была привилегия 15 и никто не парился. В результате это операции, на одном коммутаторе привилегии уменьшили, а сказать enable secret забыли. Теперь имеем коммутатор, на который можно зайти с привилегией 5, но ни посмотреть конфиг, ни его изменить - невозможно. Физический доступ к телу есть.


sh ver
System description : DGS-3610-26G Gigabit Ethernet Switch
System start time : 2011-03-24 11:2:46
System uptime : 0:1:36:0
System hardware version : A1.0
System software version : v10.3(5), Release(70398)
System BOOT version : 10.3.70398
System CTRL version : 10.3.70398
Device information:
Device-1
Hardware version : A1.0
Software version : v10.3(5), Release(70398)
BOOT version : 10.3.70398
CTRL version : 10.3.70398


Вопрос: как исправить ситуацию ?
Полностью сбрасывать конфиг и вносить новый или можно как-то меньшей кровью обойтись ?

Спасибо

попробуйте зайти с консоли, если ее настройки по авторизации не трогали, то возможно получится попасть в enable без паролей, если нет, то без вариантов...

авторизацию не трогали.
были выполнены команды вида

username ххх privilege 5

до этого было

username ххх privilege 15

и, пожалуйста, распишите "без вариантов" как я понимаю, это - сброс в заводские установки. как наиболее корректно это сделать ?

аналогов, цисковского confreg 0x2142 нету ?

а на con0 какие настройки текущие?

аналога confreg нет

нужен доступ к консоли (rs232)
1) ребутим - reload
2) когда будет приглашение press CTRL+C нажимаем данное сочетание
3) попадаем в меню в котором можно удалить текущий файл конфигурации, удаляем (можно скопировать на tftp)
4) перезагружаемся и настраиваем заново

про консоль только одна строчка:

line con 0

настройки терминала стандартные - 9600-8-N-1 ?

3. а редактировать в этом меню текущий конфиг можно ?

Спасибо. завтра с утра поеду пробовать....

Тогда вам повезло, зайдете без всяких поролей...


да


нет нельзя

вот тут не совсем понятно. в циске, я цепляясь консолью , я все равно буду иметь привилегии того юзера, которым зашел. в том числе и без пароля enable не войду в режим конфигурирования. а в DGS-3610 по другому ?

почему по-другому??? все также
если вы не дали команду аутентификации то вас пустит без всяких логинов и поролей...
чтобы задать параметры аутентификации должно быть

или

если у вас aaa включено....
но у вас там пусто...

оно включено, но в другом месте же, не в описание con 0, а в основном конфиге:

aaa authorization exec default local
aaa authentication login default local

это меняет ситуацию ?

повторюсь еще раз, если в настройках консоли пусто, это означает, что авторизация на ней не включено, то что у вас сконфигурированов глобальном режиме значения не имеет

проверил... к сожалению я ошибся, доступ к консоли после включения aaa автоматически переключается на авторизацию с помощью aaa

проверил и еще одну интресную функцию, похоже вам везет....

залогинтесь с консоли под текущим рабочим юзером с привелегией 5 после чего введите команду

enable

т.е. с консоли он дает выполнить данную команду в любом случае, даже если пароль не задан

удачного вам дня...

в общем рассказываю, мож кому пригодится переборол свою лень, пошел на склад и взял "чистую" 3610. залил на нее наш типичный конфиг и далее сделал следующее:

1. повторил ситуацию - уменьшил привилегии, но не сделал enable secret
2. вход с консоли под юзером с sh priv = 5
3. набираем en, без пароля попадаем в режим enable
4. делаем enable secret с паролем, сохраняемся. выходим из консоли
5. повторяем п 2. говорим en и получаем требование ввести пароль. облом

но проблема была решена. порядок следующий:
1. подключаемся консолью
2. ребутим коммутатор
3. при появлении приглашения нажать Ctrl+C - жмем его и попадаем в меню
4. выбираем самый последний пункт, в новом меню - п.0 - посмотреть список файлов на флешке.
имя нашего файла конфига - config.text
5. поднимаемся на уровень меню выше и входим в меню передачи файлов по XModem
6. скачиваем текущий файл конфига (config.text) через XModem
7. редактируем его. добавляем строчку с правильным хешем enable secret
8. заливаем отредактированный файл по XModem назад на флешку
9. поднимаемся на уровень меню выше и выполняем Run Main - загружаем коммутатор в штатном режиме
10. логинимся, входим в enable, проверяем конфиг - все замечательно
11. отцепляем консоль, собираем монатки и уходим.

важный момент: я конфигуряю с ноутбука, на нем стоит Win-7 и нету штатного порта COM. поэтому использую переходник USB-COM, каковых тьма всяких разных. но засада была в другом - обычно использую putty (ну или kitty), а у putty вообще нет поддержки передачи файлов через серийный порт, а у kitty - только ZModem, который 3610 не умеет.

как быть ? пришлось выковыривать из Windows XP замечательную программку HyperTerminal и прилеплять ее в Win 7, потому что штатно в Win 7 этого утиля нету. ну а уж в это гипертерминале есть и X-, и Y-, и ZModem.

может, конечно, кому-то и пригодится сея метода. но лучше - конфигурять коммутаторы удаленно и правильно

Все логично вы задали новый пароль и система попросила вас его ввести в чем "облом" заключается????
И ради какой цели была вся дальнейшая процедура если у вас с консоли получилось попасть в en 15?

облом в том, что не пускает с тем, который правильный. допрос с пристрастием человека, который проводил операцию по внедрению пароля enable и уменьшения привилегий показал, что возможно, на этом 3610 в команде enable secret 5 был указан хэш от такой же команды, но для циски. в парке пол сотни цисок 3560 и почти столько же 3610, человек в запарке не то указал. в результате, пароль enable на 3610 установлен, но какому паролю соответствует тот хэш - одному Нео известно