Antonio Perez

User Tools

Site Tools

Trace:
aruba_networks:switch:2930f:2930f_configuration

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
aruba_networks:switch:2930f:2930f_configuration [2025/12/28 12:18] – [Switch Aruba 2930F] aperezaruba_networks:switch:2930f:2930f_configuration [2026/06/09 16:26] (current) – [Verification] aperez
Line 1157: Line 1157:
 ---- ----
 ---- ----
- --- //[[gm@itclatam.com|Antonio Perez]] 2025/12/07 22:16//+ 
 +{{ :aruba_networks:switch:2930f:aruba_2930f_troubleshooting_report_sp.pdf |}} 
 + 
 +{{pdfjs 46em >:aruba_networks:switch:2930f:aruba_2930f_troubleshooting_report_sp.pdf }} 
 + 
 +---- 
 +---- 
 + 
 +{{ :aruba_networks:switch:2930f:aruba_2930f_troubleshooting_report_en.pdf |}} 
 + 
 +{{pdfjs 46em >:aruba_networks:switch:2930f:aruba_2930f_troubleshooting_report_en.pdf }} 
 + 
 +---- 
 +---- 
 + 
 +====== Password Recovery on Aruba 2930F via Remote Console ====== 
 + 
 +This procedure allows resetting the administrator (manager) password on an Aruba 2930F switch using a remote console connection. This method does not require physical access to press the hardware buttons and **preserves the existing network configuration**. 
 + 
 +===== Executed Steps ===== 
 + 
 +==== 1. Accessing the Monitor ROM ==== 
 +  Reboot the switch using the active manager session or by cycling the system. 
 +  When the boot menu (**Boot Profiles**) appears, select the Monitor ROM option: 
 +<code> 
 +Boot Profiles: 
 + 
 +0. Monitor ROM Console 
 +1. Primary Software Image [WC.16.08.0003] 
 +2. Secondary Software Image [WC.16.05.0007] 
 + 
 +Select profile (primary): 0 
 +</code> 
 + 
 +==== 2. Deleting the Credentials File ==== 
 +Because the ''clear password'' and ''pwrecover'' features were explicitly disabled by security policies in the global configuration, the password file was deleted directly from the ROM filesystem (at the `=>` prompt): 
 + 
 +<code> 
 +=> cd cfa0 
 +=> rm mgrinfo.txt 
 +=> boot 
 +</code> 
 +^ Command ^ Description ^ 
 + 
 +| **cd cfa0** | Accesses the root flash directory of the system storage. | 
 +| **rm mgrinfo.txt** | Deletes exclusively the file that stores local user passwords. | 
 +| **boot** | Boots the switch normally using the primary software image. | 
 + 
 +==== 3. Setting the New Password ==== 
 +Once the switch finished booting, it allowed direct access to the CLI without prompting for credentials (keeping all VLANs, IPs, and routing intact). The configuration mode was accessed to set the new password using the correct AOS-S syntax: 
 + 
 +<code> 
 +2930F-Temp# configure terminal 
 +2930F-Temp(config)# password manager 
 +New password: <enter_new_password> 
 +Confirm new password: <confirm_new_password> 
 +2930F-Temp(config)# write memory 
 +</code> 
 + 
 +NOTE: The correct syntax requires the ''manager'' keyword (privilege level) rather than appending the username directly to the end of the password command. 
 + 
 +===== Verification ===== 
 +  * Verified that the ''write memory'' command successfully regenerated the encrypted ''mgrinfo.txt'' file. 
 +  * The switch remains fully operational with its configuration intact and the new administrative password applied. 
 + 
 + 
 + 
 +---- 
 +---- 
 + 
 + 
 +====== Base de Conocimiento: Recuperación de Contraseña y Configuración de SSH en Aruba 2930F ====== 
 + 
 +Este documento detalla el procedimiento técnico para recuperar el acceso de administración en un switch Aruba 2930F mediante consola remota sin acceso físico, así como la resolución de problemas de negociación criptográfica de SSH (versión de software WC.16.11). 
 + 
 +^ Fecha ^ Autor ^ Plataforma/Modelo ^ Versión OS ^ 
 + 
 +[%date%] | Soporte TI | Aruba 2930F (JL253A/JL254A) | ArubaOS-S WC.16.11.0015 | 
 + 
 +===== Escenario 1: Recuperación de Contraseña de Administrador ===== 
 + 
 +==== Problema ==== 
 +Pérdida de la contraseña de administrador (privilegio ''manager''). No hay posibilidad de presionar físicamente los botones ''Reset'' y ''Clear'' del switch. La característica ''pwrecover'' por CLI de software se encuentra deshabilitada globalmente (''no password-recovery''). 
 + 
 +==== Solución Aplicada ==== 
 +Eliminación directa del archivo de contraseñas locales desde el sistema de archivos del Monitor ROM (BootROM). Este método **mantiene intacta** la configuración de red (VLANs, ruteo, interfaces). 
 + 
 +=== Pasos Ejecutados === 
 +  - Reiniciar el switch por consola. En el menú de perfiles de arranque (**Boot Profiles**), ingresar ''0'' para entrar a la consola del Monitor ROM: 
 +<code> 
 +Boot Profiles: 
 +0. Monitor ROM Console 
 +1. Primary Software Image [WC.16.08.0003] 
 +2. Secondary Software Image [WC.16.05.0007] 
 + 
 +Select profile (primary): 0 
 +</code> 
 +  - En el prompt de la ROM (`=>`), ejecutar los siguientes comandos para borrar el archivo indexador de credenciales e iniciar el equipo: 
 +<code> 
 +=> cd cfa0 
 +=> rm mgrinfo.txt 
 +=> boot 
 +</code> 
 +  - Tras el arranque completo, el switch permitirá el ingreso directo a la CLI de manera vacía. Configurar la nueva contraseña utilizando la sintaxis correcta del privilegio ''manager'' (**Nota:** No concatenar el nombre de usuario directamente al comando password): 
 +<code> 
 +2930F-Temp# configure terminal 
 +2930F-Temp(config)# password manager 
 +New password: <ingresar_nueva_contraseña> 
 +Confirm new password: <confirmar_nueva_contraseña> 
 +2930F-Temp(config)# write memory 
 +</code> 
 + 
 +===== Escenario 2: Error de Negociación SSH (No Matching Key Exchange) ===== 
 + 
 +==== Problema ==== 
 +Al intentar conectarse vía SSH desde un switch o cliente moderno, se genera el siguiente error de rechazo criptográfico por algoritmos obsoletos ofrecidos por el switch (SHA1): 
 +<code> 
 +CS-2P-MDFHA-A# ssh admin@172.16.28.51 
 +Unable to negotiate with 172.16.28.51 port 22: no matching key exchange method found.  
 +Their offer: diffie-hellman-group14-sha1 
 +</code> 
 + 
 +==== Solución Aplicada ==== 
 +Habilitar explícitamente algoritmos modernos basados en curvas elípticas (ECDH) y ciphers CTR soportados nativamente por el firmware WC.16.11. 
 + 
 +=== Pasos Ejecutados === 
 +Ingresar al switch vía consola y aplicar las directivas de robustecimiento para el servicio SSH: 
 + 
 +<code> 
 +2930F-Temp(config)# ip ssh kex ecdh-sha2-nistp256 
 +2930F-Temp(config)# ip ssh kex ecdh-sha2-nistp384 
 +2930F-Temp(config)# ip ssh cipher aes128-ctr 
 +2930F-Temp(config)# ip ssh cipher aes256-ctr 
 +2930F-Temp(config)# write memory 
 +</code> 
 + 
 +=== Notas Técnicas Limitaciones del Firmware === 
 +  * Algoritmos como ''diffie-hellman-group16-sha512'' o ciphers basados en GCM (''aes128-gcm'', ''aes256-gcm'') **no son soportados** por la arquitectura de este switch y retornarán el mensaje ''Invalid input''. Las directivas CTR y NIST listadas arriba son suficientes para clientes modernos de SSH. 
 + 
 +===== Diagnóstico y Comandos Útiles ===== 
 +Para verificar la versión de sistema operativo y los parámetros vigentes de SSH, usar: 
 +<code> 
 +2930F-Temp# show version 
 +2930F-Temp# show ip ssh 
 +</code> 
 + 
 + 
 +---- 
 +----
aruba_networks/switch/2930f/2930f_configuration.1766924286.txt.gz · Last modified: by aperez
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki