Phần này mô tả cách thức khôi phục lại password mà bạn quên hoặc khôi phục lại password từ một tình huống bị khóa (lockout) do những cài đặt AAA trước đó. Phần này sẽ gồm 2 mục nhỏ:

·Thực hiện khôi phục password cho ASA 5500 series.

·Cấm (disable) khôi phục password.

1. Thực hiện khôi phục password cho ASA 5500 series.

Để khôi phục lại password đã bị mất, chúng ta thực hiện những bước sau:

Bước 1: Kết nối với ASA thông qua port console.

Bước 2: Tắt nguồn (power off) ASA, và sao đó mở nguồn (power on) lại.

Bước 3: Trong quá trình khởi động, nhấn phím Escape để đi vào mode ROMMON.

Bước 4: Để cấu hình ASA bỏ qua startup configuration khi khởi động lại, ta phải thay đổi thanh ghi của ASA bằng câu lệnh sau:

ASA sẽ hiển thị giá trị cấu hình thanh ghi hiện tại, và hỏi xem bạn có muốn thay đổi giá trị này không:

Current Configuration Register: 0x00000011Configuration Summary: boot TFTP image, boot default image from Flash on netboot failureDo you wish to change this configuration? y/n [n]:
Bước 5: Ghi lại thị giá trị cấu hình thanh ghi hiện tại để sau này bạn có thể khôi phục lại.

Bước 6: Tại dấu nhắc (prompt), nhấn Y để thay đổi giá trị thanh ghi.

ASA sẽ hỏi bạn về giá trị thanh ghi mới.

Bước 7: Chấp nhận các giá trị mặc định (default) cho tất cả các cài đặt, ngoại trừ trường hợp “disable system configuration?”, tại dấu nhắc này chọn Y.

Bước 8: Khời động lại ASA bằng câu lệnh sau:

rommon #2> boot
ASA sẽ load cấu hình mặc định (default) thay vì load startup configuration.

Bước 9: Vào mode privileged EXEC bằng câu lệnh sau:

hostname> enable
Bước 10: Khi bị hỏi password, nhấn Enter dể vào mode privileged EXEC.

Theo cấu hình mặc định ban đầu của ASA thì password để vào mode privileged EXEC là password trắng (blank).

Bước 11: Load lại startup configuration bằng câu lệnh sau:

Bước 12: Vào mode global configuration bằng câu lệnh sau:

hostname# configure terminal
Bước 13: Thay đổi password trong cấu hình bằng các câu lệnh sau, nếu cần thiết:

Bước 14: Thay đổi cấu hình thanh ghi để load startup configuration trong lần reload tới bằng câu lệnh sau:

Với value là giá trị mà bạn đã ghi lại ở bước 5. 0x1 là giá trị cấu hình thanh ghi mặc định. Đây là bảng giá trị có thể cấu hình được của thanh ghi.


Bước 15: Lưu lại password mới vào startup configuration bằng câu lệnh sau:

2. Cấm khôi phục password

Bạn cũng có thể muốn cấm (không cho phép) khôi phục password để bảo đảm rằng những user không có thẩm quyền không thể sử dụng cơ chế khôi phục password để gây hại cho ASA. Để cấm khôi phục password, chúng ta sử dụng câu lệnh sau:

Trên ASA 5500 series, câu lệnh no service password-recovery sẽ ngăn không cho user vào mode ROMMON để thay đổi cấu hình. Khi user vào mode ROMMON, ASA sẽ yêu cầu user xóa tất cả các file hệ thống trong Flash. User sẽ không thể vào mode ROMMON nếu không thực hiện việc xóa file này. Nếu user chọn không xóa file hệ thống trong Flash, ASA sẽ reload lại. Bởi vì khôi phục password dựa trên việc sử dụng ROMMON và vẫn duy trì cấu hình hiện tại, nên việc xóa này sẽ ngăn cản bạn khôi phục password. Tuy nhiên, không cho phép khôi phục pasaword cũng ngăn cản những user không có thẩm quyền xem cấu hình hay chèn vào một password khác. Nếu trong trường hợp unauthorized user xóa tất cá các file hệ thống trong Flash thì để khôi phục lại hệ thống chúng ta phải load một IOS image mới và sử dụng file cấu hình backup (nếu có).