Dieses Dokument behandelt allgemeine Fragen zum 802.1x-Schwachstellenproblem bei Catalyst 5000-Switches. In diesem Dokument wird auch erläutert, wie Sie die Catalyst 5000 EARL-Version ermitteln. Weitere Informationen zur 802.1x-Schwachstelle finden Sie im folgenden Sicherheitsratgeber:
http://www.cisco.com/warp/public/707/cisco-sa-20010413-cat5k-8021x.shtml
Für dieses Dokument bestehen keine speziellen Anforderungen.
Dieses Dokument ist nicht auf bestimmte Software- und Hardwareversionen beschränkt.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).
Die Encoded Address Recognition Logic (EARL) ist eine zentrale Verarbeitungsengine zum Lernen und Weiterleiten von Paketen, die auf der MAC-Adresse der Catalyst 5000 Supervisor Engines basieren. Die EARL speichert das VLAN, die MAC-Adresse und die Port-Beziehungen. Diese Beziehungen werden verwendet, um Switching-Entscheidungen in der Hardware zu treffen.
Um die EARL-Version über die Befehlszeilenschnittstelle (CLI) zu ermitteln, führen Sie den Befehl show module vom Supervisor aus. Nachstehend finden Sie ein Beispiel:
Console (enable) sh mod Mod Module-Name Ports Module-Type Model Serial-Num Status --- ------------------- ----- --------------------- --------- --------- ---- --- 1 2 100BaseFX MM Supervis WS-X5506 005441962 ok 2 48 10BaseT Ethernet WS-X5012A 010308246 ok 3 48 10BaseT Ethernet WS-X5012A 010308178 ok 4 24 3 Segment 100BaseTX E WS-X5223 005389389 ok 5 12 100BaseFX MM Ethernet WS-X5201R 008951252 ok Mod MAC-Address(es) Hw Fw Sw --- -------------------------------------- ------ ---------- --------------- -- 1 00-e0-f9-d6-64-00 to 00-e0-f9-d6-67-ff 1.0 2.2(2) 4.2(1) 2 00-90-6f-6e-75-c0 to 00-90-6f-6e-75-ef 1.0 4.2(1) 4.2(1) 3 00-90-6f-6e-5a-f0 to 00-90-6f-6e-5b-1f 1.0 4.2(1) 4.2(1) 4 00-e0-b0-fb-0a-29 to 00-e0-b0-fb-0a-2b 1.0 2.2(1) 4.2(1) 5 00-60-2f-39-3d-d4 to 00-60-2f-39-3d-df 1.1 4.1(1) 4.2(1) Mod Sub-Type Sub-Model Sub-Serial Sub-Hw --- -------- --------- ---------- ------ 1 EARL 1+ WS-F5511 0005442554 1.0
Der oben vom Supervisor ausgegebene Befehl show module gibt die EARL-Hardwareversion im Feld Sub-Type (Subtyp) an. Wenn der Supervisor eine EARL 1, 1.1 oder 1+,1++ ist, ist das System von der 802.1x-Schwachstelle betroffen. Jede andere im Subtyp angegebene EARL-Version wie NFFC, NFFC+ oder NFFC II ist kein EARL 1s und wird von der 802.1x-Schwachstelle nicht betroffen.
Hinweis: Der Supervisor IIG und IIIG drucken den Untertyp nicht. Die Supervisor IIG und IIIG sind EARL 3s und werden von der 802.1x-Schwachstelle nicht betroffen.
Supervisor-Teilenummer | Supervisor-Modell | Earl-Version-Untertyp | Untermodelltyp der EARL-Version | Von 802.1x-Schwachstelle betroffen |
WS-X5005 | Supervisor I | Frühjahr 1 | WS-F5510 | Ja |
WS-X5006 | Supervisor I | Frühjahr 1 | WS-F5510 | Ja |
WS-X5009 | Supervisor I | Frühjahr 1 | WS-F5510 | Ja |
WS-X5505 | Supervisor II | Frühjahr 1+ | WS-F5511 | Ja |
WS-X5506 | Supervisor II | Frühjahr 1+ | WS-F5511 | Ja |
WS-X5509 | Supervisor II | Frühjahr 1+ | WS-F5511 | Ja |
WS-X5530-E1 | Supervisor III | AB 1+ | WS-F5520 | Ja |
WS-X5530-E2 | Supervisor III NFFC | EARL 2 (NFFC) | WS-F5521 | Nein |
WS-X5530-E2A | Supervisor III NFFC-A | EARL 2 (NFFC) | WS-F5521 | Nein |
WS-X5530-E3 | Supervisor III NFFC II | EARL 3 (NFFC II) | WS-F5531 | Nein |
WS-X5530-E3A | Supervisor III NFFC II-A | EARL 3 (NFFC II) | WS-F5531 | Nein |
WS-X5534 | Supervisor III F | AB 1+ | WS-F5520 | Ja |
WS-X5540 | Supervisor II G | EARL 3 (NFFC II) | WS-F5531 | Nein |
WS-X5550 | Supervisor III G | EARL 3 (NFFC II) | WS-F5531 | Nein |
Switch-Teilenummer | Supervisor-Modell | Earl-Version-Untertyp | Untermodelltyp der EARL-Version | Von 802.1x-Schwachstelle betroffen |
WS-C2901 | Supervisor I | Frühjahr 1 | WS-F5510 | Ja |
WS-C2902 | Supervisor I | Frühjahr 1 | WS-F5510 | Ja |
WS-C2926T | Supervisor II | Frühjahr 1+ | WS-F5511 | Ja |
WS-C2926G | Supervisor II | Frühjahr 1+ | WS-F5511 | Ja |
WS-C2926GS | Supervisor III NFFC II | EARL 3 (NFFC II) | WS-F5531 | Nein |
WS-C2926GL | Supervisor III NFFC II | EARL 3 (NFFC II) | WS-F5531 | Nein |
Hinweis: In frühen Softwarerevisionen kann EARL 3 (NFFC II) als NFFC+ bezeichnet werden.
Die EARL-Hardwareversion kann durch Simple Network Management Protocol (SNMP) bestimmt werden. Verwenden der Datei .iso.org.dod.internet.private.companies.cisco.workgroup.stack.moduleGrp.mo
moduleTable.moduleEntry.moduleSubType
.1.3.6.1.4.1.9.5.1.3.1.1.16
Folgende Rückgabewerte können verwendet werden:
Sonstige(1)
leer(2)
wsf5510(3) (EARL1)
wsf5511(4) (EARL1+)
wsx5304(6) (RSM - NICHT AUF SUPERVISOR)
wsf5520(7) (EARL1++)
wsf5521(8) (EARL2/NFFC)
wsf5531(9) (EARL3/NFFCII)
Der Supervisor II G und IIIG gibt keinen Wert zurück. Die Supervisor IIG und IIIG sind EARL 3s und werden von der 802.1x-Schwachstelle nicht betroffen.
EARL 1-Versionen sind nur betroffen, da EARL 1 für jede reservierte MAC-Adresse einzeln programmiert werden muss. Alle anderen EARL-Versionen wurden mit Bereichen programmiert und leiten daher den 802.1x-Frame nicht weiter.
Natürlich leitet die Catalyst 5000-Software die Pakete an allen Ports weiter. Der Switch muss diese Frames eingehend verwerfen. Obwohl das Netzwerk nur dann beeinträchtigt wird, wenn STP-Redundanz vorhanden ist, funktioniert der Switch immer noch nicht ordnungsgemäß.
Die Catalyst Switches der Serie 5000 mit EARL 1 sind die einzigen betroffenen Switches. Alle anderen Switches leiten den Frame nicht weiter und halten eine STP-Schleife sogar auf, wenn sich die Switches im STP-Pfad befinden.
Derzeit ist Windows XP (Whistler) das einzige Microsoft-Betriebssystem, das 802.1x unterstützt. Laut Microsoft kann 802.1x für Windows 2000 zu einem späteren Zeitpunkt durch ein Software-Upgrade oder einen Patch hinzugefügt werden.Derzeit ist Windows XP (Whistler) das einzige Microsoft-Betriebssystem, das 802.1x unterstützt. Laut Microsoft kann 802.1x für Windows 2000 zu einem späteren Zeitpunkt durch ein Software-Upgrade oder einen Patch hinzugefügt werden.