HomeBlog → Recuperação de Senha Switch Cisco

Esquecer a senha de um switch Cisco Catalyst é uma situação mais comum do que se imagina em ambientes corporativos. Seja por mudança de equipe, falta de documentação ou simplesmente perda da informação, a recuperação de senha é um procedimento crítico que todo administrador de redes deve dominar. Este guia completo apresenta o procedimento passo a passo para recuperar senhas em switches Cisco Catalyst sem perder as configurações existentes, abordando os modelos mais comuns no mercado brasileiro.

🔒 AVISO DE SEGURANÇA IMPORTANTE: O procedimento de recuperação de senha requer acesso físico ao equipamento e reinicialização do switch. Este processo deve ser realizado apenas por pessoal autorizado, em horários de manutenção programada, pois causará interrupção temporária do serviço. Sempre documente o procedimento e notifique as partes interessadas.

Pré-requisitos para Recuperação de Senha

Antes de iniciar o procedimento de password recovery, certifique-se de ter os seguintes recursos disponíveis:

Requisito Descrição Observação
Acesso físico Acesso direto ao switch no rack Necessário para pressionar botão MODE
Cabo console Cabo serial RJ45-DB9 ou USB Cabo azul Cisco original ou compatível
Software terminal PuTTY, SecureCRT, TeraTerm Configurar: 9600 baud, 8-N-1
Janela de manutenção 15-30 minutos de downtime Switch ficará offline durante processo
Autorização Aprovação formal da gerência Documentar em change management

Modelos de Switch Suportados

Este procedimento funciona na maioria dos switches Cisco Catalyst das séries 2960, 3560, 3650, 3750, 3850, 9200 e 9300. Cada série pode ter pequenas variações no processo de boot, mas o conceito geral permanece o mesmo. Os switches mais modernos (9000 series) utilizam o modo ROMMON, enquanto modelos mais antigos (2960, 3750) utilizam o botão MODE para interromper o boot.

📌 Nota sobre Stack: Se o switch faz parte de um stack, o procedimento deve ser realizado apenas no switch master. Os switches member herdarão a nova configuração após a sincronização do stack.

Procedimento Completo de Recuperação de Senha

Método 1: Switches Catalyst 2960/3750 (Botão MODE)

1 Conecte o cabo console ao switch

Conecte uma extremidade do cabo console à porta CONSOLE do switch e a outra ao computador. Abra o software de terminal (PuTTY, TeraTerm) com as seguintes configurações:

  • Baud rate: 9600
  • Data bits: 8
  • Parity: None
  • Stop bits: 1
  • Flow control: None

2 Desconecte o cabo de alimentação

Remova o cabo de força do switch. Se for um switch com fonte redundante, remova ambos os cabos. Aguarde 10 segundos para garantir que todos os capacitores descarreguem completamente.

3 Pressione e segure o botão MODE

Localize o botão MODE na parte frontal do switch (geralmente à esquerda dos LEDs). Pressione e mantenha pressionado o botão MODE enquanto realiza o próximo passo.

4 Reconecte a alimentação (mantendo MODE pressionado)

Enquanto mantém o botão MODE pressionado, reconecte o cabo de alimentação. Continue segurando o botão por aproximadamente 15 segundos até que o LED SYST pare de piscar em âmbar e fique verde sólido, ou até ver a mensagem no console.

5 Solte o botão MODE quando aparecer o prompt

No terminal, você verá mensagens de boot. Quando aparecer o prompt switch:, solte o botão MODE. Você está agora no modo ROMMON (ROM Monitor).

The system has been interrupted prior to initializing the flash filesystem. The following commands will initialize the flash filesystem, and finish loading the operating system software: flash_init load_helper boot switch:

6 Inicialize o sistema de arquivos flash

Digite os comandos abaixo exatamente como mostrado:

switch: flash_init Initializing Flash... flashfs[0]: 45 files, 3 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 32514048 flashfs[0]: Bytes used: 12345678 flashfs[0]: Bytes available: 20168370 flashfs[0]: flashfs fsck took 10 seconds. ...done Initializing Flash. switch: load_helper

7 Renomeie o arquivo de configuração

Este é o passo crítico. Renomeie o arquivo config.text para evitar que o switch carregue a configuração antiga (que contém a senha esquecida):

switch: rename flash:config.text flash:config.old switch: dir flash: Directory of flash:/ 2 -rwx 12345678 Jan 1 2024 00:00:00 +00:00 c2960-lanbasek9-mz.150-2.SE11.bin 3 -rwx 5678 Jan 1 2024 00:00:00 +00:00 config.old 4 -rwx 2048 Jan 1 2024 00:00:00 +00:00 vlan.dat 32514048 bytes total (20168370 bytes free)
⚠️ ATENÇÃO: Certifique-se de que o arquivo foi renomeado corretamente usando o comando dir flash:. Se o arquivo config.text ainda aparecer, repita o comando rename.

8 Inicialize o sistema operacional

Agora inicie o boot normal do switch:

switch: boot Loading "flash:c2960-lanbasek9-mz.150-2.SE11.bin"... ################################################################ ################################################################ File "flash:c2960-lanbasek9-mz.150-2.SE11.bin" uncompressed and installed. Restricted Rights Legend

9 Aguarde o boot completo

O switch iniciará normalmente, mas como o arquivo config.text não existe, ele iniciará com configuração padrão (sem senha). Este processo pode levar 2-5 minutos. Quando aparecer o prompt, pressione Enter:

--- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: no Press RETURN to get started! Switch>

10 Entre no modo privilegiado e copie a configuração antiga

Agora você tem acesso total ao switch sem senha. Restaure a configuração antiga:

Switch> enable Switch# rename flash:config.old flash:config.text Destination filename [config.text]? Switch# copy flash:config.text system:running-config Destination filename [running-config]? 2048 bytes copied in 1.234 secs (1660 bytes/sec) Switch#
📌 Importante: Após copiar a configuração, o hostname do switch mudará para o nome original, e todas as configurações (VLANs, interfaces, etc.) serão restauradas, exceto as senhas.

11 Configure uma nova senha

Defina imediatamente uma nova senha forte:

Switch# configure terminal Switch(config)# enable secret Senh@Fort3!2024 Switch(config)# line console 0 Switch(config-line)# password C0ns0l3!2024 Switch(config-line)# login Switch(config-line)# exit Switch(config)# line vty 0 15 Switch(config-line)# password VTY!2024 Switch(config-line)# login Switch(config-line)# exit Switch(config)# exit Switch# write memory Building configuration... [OK] Switch#
✅ Boas práticas de senha:
  • Use no mínimo 12 caracteres
  • Combine letras maiúsculas, minúsculas, números e símbolos
  • Evite palavras do dicionário ou sequências óbvias
  • Documente a senha em local seguro (cofre de senhas)
  • Configure senhas diferentes para enable, console e VTY
  • Considere usar enable secret ao invés de enable password (criptografia MD5)

Método 2: Switches Catalyst 9300 (Modo ROMMON)

Os switches da série 9000 utilizam um processo ligeiramente diferente, baseado no modo ROMMON tradicional:

1. Conecte o cabo console e configure terminal (9600, 8-N-1) 2. Ligue o switch e pressione BREAK nos primeiros 60 segundos (Ctrl+Break no Windows, Ctrl+C no Mac/Linux) 3. Você verá o prompt: rommon 1 > 4. Digite: confreg 0x2142 5. Digite: reset 6. Aguarde o boot (não carregará config.text) 7. Digite 'no' no System Configuration Dialog 8. Entre em modo privilegiado: enable 9. Copie a configuração: copy startup-config running-config 10. Entre em modo de configuração: configure terminal 11. Restaure o registro: config-register 0x2102 12. Configure nova senha: enable secret SuaSenhaForte!2024 13. Salve: write memory 14. Reinicie: reload

Verificação Pós-Recuperação

Após concluir o procedimento de recuperação de senha, execute as seguintes verificações para garantir que tudo está funcionando corretamente:

Verificação Comando O que verificar
Configuração salva show startup-config Confirmar que config foi salva na NVRAM
VLANs ativas show vlan brief Todas as VLANs devem estar presentes
Interfaces up show ip interface brief Interfaces devem estar no estado correto
Spanning-tree show spanning-tree summary STP deve estar operacional
Trunks ativos show interfaces trunk Portas trunk devem estar funcionando
Teste de senha exit e tente login Nova senha deve funcionar

Troubleshooting: Problemas Comuns

Problema 1: Botão MODE não funciona

Sintoma: Ao pressionar MODE durante o boot, o switch não entra em modo ROMMON.

Solução: Certifique-se de pressionar o botão MODE antes de ligar o switch e mantê-lo pressionado por pelo menos 15 segundos. Em alguns modelos, você precisa pressionar o botão exatamente quando o LED SYST começa a piscar.

Problema 2: Arquivo config.text não existe

Sintoma: Ao tentar renomear config.text, recebe mensagem "file not found".

Solução: Use dir flash: para listar todos os arquivos. O arquivo pode estar em um subdiretório ou ter nome diferente. Procure por arquivos .cfg ou .conf.

Problema 3: Configuração perdida após reload

Sintoma: Após reiniciar, o switch volta à configuração padrão.

Solução: Você esqueceu de salvar a configuração. Execute write memory ou copy running-config startup-config antes de reiniciar.

Problema 4: Switch em loop de boot

Sintoma: Switch reinicia continuamente, não completa o boot.

Solução: Possível corrupção da imagem IOS. No modo ROMMON, use dir flash: para verificar se a imagem existe. Se necessário, faça upload de uma nova imagem via TFTP.

Considerações de Segurança

🔐 SEGURANÇA FÍSICA É CRÍTICA: Como este procedimento permite acesso total ao switch com apenas acesso físico, é essencial implementar controles de segurança física adequados:
  • Mantenha racks de rede em salas trancadas com acesso controlado
  • Implemente câmeras de segurança em data centers
  • Registre todos os acessos físicos aos equipamentos
  • Configure no service password-recovery em ambientes de alta segurança (desabilita este procedimento)
  • Use autenticação RADIUS/TACACS+ para auditoria de acessos

Documentação e Boas Práticas

Para evitar a necessidade de recuperação de senha no futuro, implemente as seguintes práticas:

✅ Checklist de boas práticas:
  1. Documente todas as senhas em um cofre de senhas corporativo (KeePass, LastPass Enterprise, CyberArk)
  2. Mantenha backups das configurações em servidor TFTP/FTP seguro
  3. Use senhas diferentes para console, enable e VTY
  4. Implemente AAA (Authentication, Authorization, Accounting) com RADIUS/TACACS+
  5. Configure banners de login com avisos legais
  6. Ative logging para auditoria de comandos executados
  7. Teste o procedimento de recuperação em ambiente de laboratório
  8. Documente o processo específico para seus modelos de switch
  9. Treine a equipe no procedimento de password recovery
  10. Estabeleça política de rotação de senhas (90-180 dias)

Conclusão

A recuperação de senha em switches Cisco Catalyst é um procedimento técnico que, quando executado corretamente, permite restaurar o acesso administrativo sem perda de configurações. Embora o processo seja relativamente simples, ele requer acesso físico ao equipamento, conhecimento técnico adequado e atenção aos detalhes. A chave para o sucesso está em seguir cada passo cuidadosamente, documentar o procedimento e implementar controles de segurança física para prevenir acessos não autorizados.

Lembre-se sempre de que a melhor estratégia é a prevenção: mantenha suas senhas documentadas de forma segura, faça backups regulares das configurações e implemente políticas de gestão de senhas robustas. Com essas práticas, a necessidade de recuperação de senha se tornará uma ocorrência rara em sua infraestrutura de rede.

Precisa de Suporte Técnico Especializado?

A Seta TEC oferece locação de switches Cisco Catalyst com suporte técnico 24/7 incluso. Nossa equipe certificada pode auxiliar em configurações, troubleshooting e recuperação de equipamentos.

💬 Falar com Especialista 🔧 Ver Switches Disponíveis

📚 Artigos Relacionados

💬

📧 Precisa de Ajuda Técnica Especializada?

Nossa equipe técnica está pronta para ajudar você a implementar, configurar ou resolver qualquer desafio de infraestrutura de TI. Preencha nosso formulário de contato e retornaremos em até 24 horas.

Preencher Formulário de Contato → 💬 Falar no WhatsApp