Сброс настроек Cisco до заводских настроек: пошаговое руководство

Всем привет! Сегодня столкнулся с такой проблемой – ко мне в руки попался Cisco 2960, и перед стандартной настройкой нужно выполнить сброс на заводскую конфигурацию. Никакой отдельной кнопки «reset», как на домашнем роутере, тут нет. Поэтому все делается чуть сложнее: через консольный порт, терминальную программу и команды Cisco IOS. Я решил написать два способа:

1. Когда вы знаете пароль от привилегированного пользователя.
2. Когда вы этот пароль забыли, или старый администратор забыл его сбросить.

Если возникнут какие-то трудности, то пишите свои вопросы в комментариях – постараемся разобраться вместе.

ВНИМАНИЕ! Делайте сброс только на своем оборудовании или на коммутаторе, который вам официально выдали для настройки. После сброса удаляется рабочая конфигурация: IP-адрес управления, VLAN, пароли, настройки портов, trunk/access, STP, Port Security, SSH, SNMP и другие параметры. Если это рабочий коммутатор в сети, после неосторожного сброса могут пропасть интернет, телефония, камеры, серверы и вся локальная сеть. Перед удалением конфигурации лучше сохранить ее копию, если у вас есть доступ.

Сразу уточню важный момент. Сброс к заводским настройкам и восстановление забытого пароля – это не всегда одно и то же. Если вам нужно именно очистить коммутатор и настроить его заново, можно удалить startup-config и vlan.dat. Если вам нужно только попасть внутрь и сохранить старую конфигурацию, не спешите стирать файлы. В таком случае конфигурацию лучше переименовать, загрузиться без нее, потом при необходимости скопировать старые настройки в running-config, поменять пароль и сохранить уже исправленную конфигурацию.

Подключение к терминалу

1. Подключаем компьютер или ноутбук к консольному порту через переходник. На некоторых новых моделях к подобному порту можно подключиться через USB. Или используем старый добрый COM-RJ-45.

2. Если на компе или ноуте нет COM-порта, то используем переходник на USB.

3. После подключения убедитесь, что COM-порт в диспетчере устройств определяется, и подключение есть. Иногда бывает, что устройство не определяется – это проблема с драйверами. Заходим в свойства нашего неопределенного устройства, переходим в «Сведения», ставим «Свойства» – «ИД оборудования» и ищем по VID и PID драйвер для вашего USB-COM переходника.

Для Windows 10 и Windows 11 «Диспетчер устройств» проще всего открыть так: нажмите правой кнопкой мыши по кнопке «Пуск» и выберите нужный пункт. Второй вариант – нажать Win + R, ввести команду:

devmgmt.msc

и нажать Enter. Нужный порт обычно находится в разделе «Порты (COM и LPT)». Там вы увидите что-то вроде USB Serial Port (COM3). Вот этот номер COM-порта и нужно будет указать в PuTTY или другой терминальной программе.

4. Далее используем любую удобную терминальную программу. Я использую PuTTY, так как на мой взгляд она наиболее удобна. Запускаем программу, смотрим, чтобы был установлен нужный порт, ставим галочку «Serial» и запускаем коннект.

Для Cisco 2960 обычно используются стандартные параметры консоли:

• Speed – 9600
• Data bits – 8
• Stop bits – 1
• Parity – None
• Flow control – None

Если в окне терминала вместо нормального текста идут непонятные символы, чаще всего выбрана неправильная скорость. Начинайте с 9600. Если устройство раньше настраивал другой администратор, скорость консоли могли изменить. Тогда придется попробовать другие варианты, например 19200, 38400, 57600 или 115200. Но для обычного заводского состояния Cisco 2960 почти всегда подходит 9600 8N1 без управления потоком.

5. Если вы видите, что система начала грузиться, и вы видите какие-то знакомые буковки, то значит все хорошо. Если в терминале ничего не отображается, то перезагрузите коммутатор, выдернув и снова подключив его в розетку.

Если после перезагрузки в терминале все равно пусто, проверьте три вещи. Во-первых, вы точно подключились в консольный порт, а не в обычный Ethernet-порт. Во-вторых, выбран правильный COM-порт в PuTTY. В-третьих, ваш кабель действительно консольный, а не обычный сетевой патч-корд. У старых Cisco часто используется голубой rollover-кабель RJ-45 – COM или RJ-45 – USB через адаптер. Обычный патч-корд в консольном подключении не заменяет правильный консольный кабель.

Как подключиться к коммутатору я рассказал, далее я вам поведаю, как выполнить сброс, когда мы знаем и когда не знаем пароль от системы.

Перед сбросом: что лучше сохранить

Если вы знаете пароль и можете зайти в привилегированный режим, перед сбросом я советую сначала посмотреть и сохранить текущую конфигурацию. Это особенно важно, если коммутатор уже стоял в рабочей сети. На нем могут быть настроены VLAN, trunk-порты, статические IP, доступ по SSH, пароли, Port Security, описание портов и другие полезные вещи. После полного сброса это все пропадет.

Для просмотра текущей конфигурации используется команда:

show running-config

Для просмотра загрузочной конфигурации:

show startup-config

Для просмотра VLAN:

show vlan brief

Для просмотра файлов во flash:

dir flash:

Текст из терминала можно просто скопировать и сохранить в обычный TXT-файл. Да, это не самый красивый способ резервного копирования, но для простого случая его достаточно. Если потом понадобится восстановить какую-то настройку, вы хотя бы будете видеть, что было раньше. Без копии после сброса придется вспоминать все вручную.

Я знаю пароль

1. Вводим команду «enable» и вписываем пароль.

Если вы попали в режим с приглашением вида:

Switch#

значит вы уже в привилегированном режиме. Если приглашение выглядит так:

Switch>

нужно выполнить:

enable

и ввести пароль. На некоторых устройствах пароль может не запрашиваться, если он не настроен. Но на рабочем коммутаторе обычно пароль есть.

2. Вписываем команду сброса той конфигурации, которая загружается при начальном запуске свитча:

erase startup-config

В некоторых версиях Cisco IOS можно использовать и другой вариант:

write erase

или:

erase nvram:

Смысл один – удалить сохраненную загрузочную конфигурацию. После ввода команды коммутатор может попросить подтверждение. Обычно достаточно нажать Enter. Если он задает вопрос, внимательно читайте, что именно просит система. Нам нужно удалить startup-config, но не нужно случайно сохранять текущую конфигурацию перед перезагрузкой.

3. Файл конфига мы удалили, но нам еще нужно удалить настройки с VLAN-ами:

delete vlan.dat

На части коммутаторов правильнее явно указать путь:

delete flash:vlan.dat

Если система спросит имя файла, подтверждение или «Delete filename [vlan.dat]?», нажимаем Enter, если имя указано верно. Файл vlan.dat хранит VLAN-базу. Если удалить только startup-config, старые VLAN могут остаться. Поэтому для настоящего сброса под чистую настройку обычно удаляют и startup-config, и vlan.dat.

ПРИМЕЧАНИЕ! На некоторых моделях и версиях IOS файла vlan.dat может не быть, или VLAN могут храниться иначе. Если команда отвечает, что файл не найден, проверьте содержимое flash командой dir flash:. Если vlan.dat действительно нет, просто переходите к перезагрузке.

4. Перезагружаемся:

reload

ПРИМЕЧАНИЕ! Перезапустить коммутатор можно и физически, отключив его от розетки. Но лучше использовать команду reload, потому что в терминале вы увидите все вопросы системы и сможете правильно ответить.

Если после команды reload коммутатор спросит:

System configuration has been modified. Save? [yes/no]

отвечаем:

no

Это очень важный момент. Если ответить yes, вы снова сохраните текущую конфигурацию, и часть сброса потеряет смысл. После этого на вопрос о продолжении перезагрузки нажимаем Enter. Когда коммутатор загрузится, он должен предложить начальную настройку или загрузиться с пустой конфигурацией.

КОРОТКО ПО КОМАНДАМ: если пароль известен, заходим в enable, выполняем erase startup-config, затем delete flash:vlan.dat, потом reload и на вопрос о сохранении отвечаем no. После перезагрузки получаем чистый коммутатор для новой настройки.

Я не знаю пароль

1. Полностью отключаем питание аппарата, выдернув шнур.

2. Подключаемся к консольному порту с помощью переходника, про это я уже написал в самом начале.
3. Нажимаем на кнопку «MODE», и, не отпуская, подключаем кабель питания. Ждем пока кнопка «SYST» не закончит мигать и остановится гореть зелененьким. Нужно будет подождать примерно секунд двенадцать. Отжимаем кнопку.

На разных Catalyst 2960 поведение индикаторов может немного отличаться. Главная цель – попасть не в обычную загрузку IOS, а в режим восстановления с приглашением вида:

switch:

Если коммутатор загрузился как обычно и снова просит пароль, значит момент с кнопкой MODE не получился. Выключаем питание и пробуем еще раз. Кнопку нужно держать именно во время подачи питания, пока устройство не прервет обычную загрузку.

4. Заходим через Putty в терминал.
5. В этот момент система запустилась в режиме восстановления. Немного объясню саму суть сброса. По сути наша Cisco – это огромный кусок крутого железа с операционной системой. Но сброс мы делаем именно конфигурационного файла. Его можно удалить, или, например, переименовать, чтобы он остался. Вводим две команды:

flash_init (запускаем инициализацию Flash-памяти)
rename flash:config.text flash:config.old

После команды flash_init можно выполнить:

dir flash:

Так вы увидите, какие файлы лежат во flash-памяти. Обычно нас интересуют config.text и vlan.dat. Первый файл – это сохраненная конфигурация. Второй – VLAN-база. Если файла config.text нет, возможно, устройство уже было сброшено или конфигурация называется иначе, но на Cisco 2960 чаще всего используется именно это имя.

6. Последней командой, мы просто взяли конфигурационный файл, который мы используем и просто его переименовали. Таким образом, система видит, что основного файла нет, и она дальше предложит вам заново настроить устройство. Но есть и второй путь – его можно просто удалить, если он вам не нужен.

del flash:config.text

Я бы не удалял config.text сразу, если вы не уверены, что конфигурация точно не нужна. Лучше сначала переименовать ее в config.old. Тогда файл останется во flash, и при необходимости его можно будет посмотреть или вернуть. Удаление подходит тогда, когда коммутатор точно нужно полностью очистить, а старая конфигурация не представляет ценности.

7. Но мы забыли про файлы VLAN-конфигурации. Их тоже можно как перезаписать, так и удалить:

rename flash:vlan.dat flash:vlan.old
или
del flash:vlan.dat

Если vlan.dat отсутствует, это не ошибка. Просто переходите дальше. Если файл есть, для полного сброса его лучше удалить или переименовать. Иначе после загрузки без старого config.text вы можете удивиться, что VLAN-ы частично остались.

8. Далее лучше загрузить коммутатор командой:

boot

После команды boot коммутатор начнет обычную загрузку IOS, но уже без старого файла конфигурации, если вы его переименовали или удалили. Можно сделать и физическую перезагрузку, как было написано раньше, но команда boot удобнее: вы сразу видите процесс в терминале и не дергаете питание лишний раз.

9. На этом все, коммутатор предложит вам настроить его заново.

Если система спросит:

Would you like to enter the initial configuration dialog? [yes/no]

можно ответить:

no

если вы хотите настраивать все вручную через CLI. Если вы новичок и хотите пройти мастер начальной настройки, можно ответить yes, но на практике многие администраторы делают базовую настройку вручную. После загрузки вы должны попасть в коммутатор без старого пароля, потому что старая конфигурация не была загружена.

Если нужно не стереть, а восстановить пароль

Бывает другая задача: конфигурацию удалять нельзя, но пароль забыли. Например, коммутатор стоял в рабочей сети, на нем настроены VLAN, trunk-порты, доступы и описания портов. В таком случае удалять config.text – плохая идея. Лучше загрузиться без старой конфигурации, потом подтянуть старый файл в running-config, поменять пароль и сохранить уже исправленную настройку.

Общая логика такая:

1. Загружаемся в режим switch: через кнопку MODE.
2. Выполняем flash_init.
3. Переименовываем config.text в config.old.
4. Загружаемся командой boot.
5. Отказываемся от initial configuration dialog.
6. Заходим в привилегированный режим.
7. Возвращаем старую конфигурацию в running-config.
8. Меняем пароли.
9. Сохраняем новую конфигурацию.

После загрузки можно выполнить:

enable

Затем вернуть старую конфигурацию в оперативную:

copy flash:config.old running-config

После этого вы снова увидите старые настройки, но уже сможете изменить пароль. Например:

configure terminal
enable secret NEW_STRONG_PASSWORD
line console 0
password NEW_CONSOLE_PASSWORD
login
exit
line vty 0 15
password NEW_VTY_PASSWORD
login
exit
end
copy running-config startup-config

Пароли из примера нужно заменить на свои. Не используйте слово password, название фирмы, номер кабинета или простые комбинации. Если на коммутаторе настроены пользователи через username, SSH, AAA или RADIUS/TACACS+, логика может отличаться. Но для простого старого Cisco 2960 такой подход часто позволяет сохранить конфигурацию и поменять доступ.

ВАЖНО! Этот раздел нужен именно для восстановления доступа без удаления рабочей конфигурации. Если ваша цель – полный заводской сброс, проще удалить или переименовать config.text и vlan.dat, а потом настроить коммутатор заново.

Что проверить после сброса

После сброса коммутатор не становится «настроенным». Он просто очищен. Это значит, что IP-адрес управления, шлюз, пароли, SSH, VLAN, trunk-порты, access-порты и остальные параметры нужно настроить заново. Если вы просто подключите его в сеть без настройки, он может работать как обычный L2-коммутатор в VLAN 1, но для нормальной управляемой сети этого часто мало.

Для проверки можно выполнить:

show running-config

и убедиться, что старой конфигурации нет. Потом:

show vlan brief

и проверить список VLAN. Если вы удаляли vlan.dat, старые VLAN должны исчезнуть. Команда:

show version

покажет модель, версию IOS и время работы после перезагрузки. Команда:

dir flash:

покажет файлы во flash, и вы сможете увидеть, остался ли config.old или vlan.old после переименования.

Если коммутатор после сброса планируется использовать в реальной сети, минимально я бы настроил:

• имя устройства;
• пароль enable secret;
• локального пользователя;
• IP-адрес управления;
• шлюз по умолчанию для управления;
• SSH вместо Telnet, если версия IOS это позволяет;
• нужные VLAN;
• порты access и trunk;
• отключение неиспользуемых портов;
• описание важных портов.

Если вам нужно просто подготовить коммутатор к продаже или передаче другому человеку, после сброса достаточно убедиться, что startup-config удален, vlan.dat удален, а старые пароли и IP больше не загружаются. Но если там были какие-то чувствительные баннеры, SNMP community, адреса серверов или старые config.old, их тоже лучше удалить.

Частые проблемы

В терминале пусто.

Проверьте COM-порт, консольный кабель, скорость 9600, питание коммутатора и правильный порт на корпусе. Иногда PuTTY открывает не тот COM-порт, особенно если у вас несколько USB-переходников. Посмотрите номер порта в «Диспетчере устройств». После открытия сессии нажмите Enter несколько раз. Если текста нет, перезагрузите коммутатор и смотрите, появляются ли сообщения загрузки.

В терминале непонятные символы.

Обычно это неправильная скорость консоли. Поставьте 9600, 8 data bits, 1 stop bit, parity none, flow control none. Если не помогло, попробуйте другие скорости, потому что старый администратор мог изменить параметр speed на console line. После успешного входа лучше вернуть стандартную скорость, чтобы потом не искать ее заново.

Команда delete vlan.dat не работает.

Попробуйте указать путь полностью:

delete flash:vlan.dat

Если файл не найден, выполните:

dir flash:

и посмотрите, есть ли он вообще. На некоторых устройствах VLAN-базы может не быть, если VLAN не создавали или они хранятся иначе. Если файла нет, просто продолжайте сброс.

После reload коммутатор снова загрузил старую конфигурацию.

Скорее всего, вы случайно сохранили running-config перед перезагрузкой или не удалили нужный startup-config. Повторите процедуру и на вопрос:

System configuration has been modified. Save? [yes/no]

ответьте:

no

Также проверьте, что команда erase startup-config действительно была выполнена без ошибки.

Кнопка MODE не выводит в режим switch:.

Вы могли отпустить кнопку слишком рано или слишком поздно. Полностью выключите питание, зажмите MODE, подайте питание и держите кнопку до нужного состояния индикатора. Следите за выводом в консоль. Если устройство все равно загружается обычно, попробуйте повторить несколько раз. На разных моделях семейства 2960 поведение индикаторов может немного отличаться.

После сброса нет доступа по сети.

Это нормально. Вы удалили IP-адрес управления и другие настройки. Подключаться нужно через консоль и заново назначать IP на интерфейс VLAN, настраивать default-gateway и доступ. Без этих настроек коммутатор может коммутировать трафик на L2, но управлять им по сети вы не сможете.

Минимальная настройка после сброса

Если вам нужно быстро подготовить коммутатор для простой лаборатории, можно сделать базовую настройку. Ниже пример, который нужно адаптировать под вашу сеть:

enable
configure terminal
hostname SW-2960
enable secret MyStrongEnablePassword
username admin secret MyStrongUserPassword
service password-encryption
interface vlan 1
ip address 192.168.1.2 255.255.255.0
no shutdown
exit
ip default-gateway 192.168.1.1
line console 0
login local
exit
line vty 0 15
login local
transport input ssh
exit
ip domain-name local.lan
crypto key generate rsa
end
copy running-config startup-config

Этот пример не универсален. IP-адрес, шлюз, имя домена, пароли и доступ по VTY нужно менять под свою сеть. Если ваша версия IOS не поддерживает SSH или команду crypto key generate rsa, используйте те возможности, которые есть в вашей прошивке. Telnet лучше не использовать в рабочих сетях, потому что он передает данные без нормального шифрования. Для лаборатории можно временно включить, но для нормальной эксплуатации лучше SSH.

Если у вас используются отдельные VLAN, не оставляйте все в VLAN 1 без понимания. Для простого дома это может быть не критично, а в рабочей сети VLAN 1 обычно стараются не использовать как основную пользовательскую. На Cisco 2960 все порты после сброса могут оказаться в стандартном состоянии. Поэтому перед подключением в реальную сеть проверьте, какие порты должны быть access, какие trunk, и какие VLAN разрешены на trunk.

FAQ

Можно ли сбросить Cisco 2960 кнопкой, как домашний роутер?

Нет, в привычном домашнем смысле отдельной кнопки «сбросить все» тут нет. Кнопка MODE используется для входа в режим восстановления при загрузке. Сам сброс делается через консоль и команды. Если пароль известен, проще выполнить erase startup-config, удалить vlan.dat и перезагрузить устройство.

 

Нужно ли удалять vlan.dat?

Если вы хотите полный сброс под чистую настройку, да, лучше удалить. Startup-config хранит основную конфигурацию, а vlan.dat может хранить VLAN-базу. Если удалить только startup-config, старые VLAN могут остаться. Поэтому обычно выполняют и очистку конфигурации, и удаление vlan.dat.

 

Что безопаснее – удалить config.text или переименовать?

Если вы не уверены, лучше переименовать. Например, config.text в config.old. Так старая конфигурация останется во flash, и ее можно будет посмотреть или восстановить. Удалять лучше только тогда, когда вы точно знаете, что старая конфигурация не нужна.

 

Почему после сброса коммутатор спрашивает initial configuration dialog?

Потому что он загрузился без сохраненной конфигурации. Это нормальное поведение. Можно ответить yes и пройти мастер, но чаще проще ответить no и настроить все вручную через CLI. Для обучения и нормальной настройки CLI обычно удобнее.

 

Можно ли восстановить пароль без потери настроек?

Да, можно. Для этого не нужно удалять конфигурацию. Обычно config.text переименовывают, загружаются без него, потом копируют старую конфигурацию в running-config, меняют пароли и сохраняют исправленную конфигурацию. Но делать это нужно аккуратно, чтобы случайно не стереть рабочие настройки.

 

Какие параметры ставить в PuTTY?

Обычно: Serial, скорость 9600, data bits 8, stop bits 1, parity none, flow control none. Также нужно выбрать правильный COM-порт. Номер COM-порта смотрим в «Диспетчере устройств». Если текст нечитаемый, пробуем проверить скорость консоли.

 

Что делать, если после reload настройки не стерлись?

Скорее всего, вы сохранили конфигурацию перед перезагрузкой или не удалили startup-config. Выполните erase startup-config еще раз, удалите flash:vlan.dat, выполните reload и на вопрос о сохранении отвечайте no. После загрузки проверьте результат командами show running-config и show vlan brief.

 

Можно ли просто выключить питание вместо reload?

Можно, но лучше использовать reload. Так вы видите вопросы системы и можете не сохранять старую конфигурацию. Физическое отключение питания оставьте для случаев, когда коммутатор завис или вы находитесь в режиме восстановления и понимаете, что делаете.

Видео

YouTube