Identifizierung der Catalyst 5000 EARL-Version und anderer häufig auftretender EARL-Fragen

Download-Optionen

  • PDF     (132.7 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (90.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (80.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:4. Oktober 2005
Dokument-ID:10590

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument behandelt allgemeine Fragen zum 802.1x-Schwachstellenproblem bei Catalyst 5000-Switches. In diesem Dokument wird auch erläutert, wie Sie die Catalyst 5000 EARL-Version ermitteln. Weitere Informationen zur 802.1x-Schwachstelle finden Sie im folgenden Sicherheitsratgeber:

http://www.cisco.com/warp/public/707/cisco-sa-20010413-cat5k-8021x.shtml

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardwareversionen beschränkt.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Was ist die EARL?

Die Encoded Address Recognition Logic (EARL) ist eine zentrale Verarbeitungsengine zum Lernen und Weiterleiten von Paketen, die auf der MAC-Adresse der Catalyst 5000 Supervisor Engines basieren. Die EARL speichert das VLAN, die MAC-Adresse und die Port-Beziehungen. Diese Beziehungen werden verwendet, um Switching-Entscheidungen in der Hardware zu treffen.

Ermitteln der FRA-Version von CLI

Um die EARL-Version über die Befehlszeilenschnittstelle (CLI) zu ermitteln, führen Sie den Befehl show module vom Supervisor aus. Nachstehend finden Sie ein Beispiel: 

Console (enable) sh mod
Mod Module-Name Ports Module-Type Model Serial-Num Status 
--- ------------------- ----- --------------------- --------- --------- ---- --- 
1 2 100BaseFX MM Supervis WS-X5506 005441962 ok 
2 48 10BaseT Ethernet WS-X5012A 010308246 ok 
3 48 10BaseT Ethernet WS-X5012A 010308178 ok 
4 24 3 Segment 100BaseTX E WS-X5223 005389389 ok 
5 12 100BaseFX MM Ethernet WS-X5201R 008951252 ok 

Mod MAC-Address(es) Hw Fw Sw 
--- -------------------------------------- ------ ---------- --------------- -- 
1 00-e0-f9-d6-64-00 to 00-e0-f9-d6-67-ff 1.0 2.2(2) 4.2(1) 
2 00-90-6f-6e-75-c0 to 00-90-6f-6e-75-ef 1.0 4.2(1) 4.2(1) 
3 00-90-6f-6e-5a-f0 to 00-90-6f-6e-5b-1f 1.0 4.2(1) 4.2(1) 
4 00-e0-b0-fb-0a-29 to 00-e0-b0-fb-0a-2b 1.0 2.2(1) 4.2(1) 
5 00-60-2f-39-3d-d4 to 00-60-2f-39-3d-df 1.1 4.1(1) 4.2(1) 

Mod Sub-Type Sub-Model Sub-Serial Sub-Hw 
--- -------- --------- ---------- ------ 
1 EARL 1+ WS-F5511 0005442554 1.0

Der oben vom Supervisor ausgegebene Befehl show module gibt die EARL-Hardwareversion im Feld Sub-Type (Subtyp) an. Wenn der Supervisor eine EARL 1, 1.1 oder 1+,1++ ist, ist das System von der 802.1x-Schwachstelle betroffen. Jede andere im Subtyp angegebene EARL-Version wie NFFC, NFFC+ oder NFFC II ist kein EARL 1s und wird von der 802.1x-Schwachstelle nicht betroffen.

Hinweis: Der Supervisor IIG und IIIG drucken den Untertyp nicht. Die Supervisor IIG und IIIG sind EARL 3s und werden von der 802.1x-Schwachstelle nicht betroffen.

Ermitteln der EARL-Version aus der Matrix der Teilenummern

Supervisor-Module der modularen Supervisor Catalyst Serie 5000

Supervisor-Teilenummer Supervisor-Modell Earl-Version-Untertyp Untermodelltyp der EARL-Version Von 802.1x-Schwachstelle betroffen
WS-X5005 Supervisor I Frühjahr 1 WS-F5510 Ja
WS-X5006 Supervisor I Frühjahr 1 WS-F5510 Ja
WS-X5009 Supervisor I Frühjahr 1 WS-F5510 Ja
WS-X5505 Supervisor II Frühjahr 1+ WS-F5511 Ja
WS-X5506 Supervisor II Frühjahr 1+ WS-F5511 Ja
WS-X5509 Supervisor II Frühjahr 1+ WS-F5511 Ja
WS-X5530-E1 Supervisor III AB 1+ WS-F5520 Ja
WS-X5530-E2 Supervisor III NFFC EARL 2 (NFFC) WS-F5521 Nein
WS-X5530-E2A Supervisor III NFFC-A EARL 2 (NFFC) WS-F5521 Nein
WS-X5530-E3 Supervisor III NFFC II EARL 3 (NFFC II) WS-F5531 Nein
WS-X5530-E3A Supervisor III NFFC II-A EARL 3 (NFFC II) WS-F5531 Nein
WS-X5534 Supervisor III F AB 1+ WS-F5520 Ja
WS-X5540 Supervisor II G EARL 3 (NFFC II) WS-F5531 Nein
WS-X5550 Supervisor III G EARL 3 (NFFC II) WS-F5531 Nein

Catalyst Switches der Serie 5000 mit fester Konfiguration

Switch-Teilenummer Supervisor-Modell Earl-Version-Untertyp Untermodelltyp der EARL-Version Von 802.1x-Schwachstelle betroffen
WS-C2901 Supervisor I Frühjahr 1 WS-F5510 Ja
WS-C2902 Supervisor I Frühjahr 1 WS-F5510 Ja
WS-C2926T Supervisor II Frühjahr 1+ WS-F5511 Ja
WS-C2926G Supervisor II Frühjahr 1+ WS-F5511 Ja
WS-C2926GS Supervisor III NFFC II EARL 3 (NFFC II) WS-F5531 Nein
WS-C2926GL Supervisor III NFFC II EARL 3 (NFFC II) WS-F5531 Nein

Hinweis: In frühen Softwarerevisionen kann EARL 3 (NFFC II) als NFFC+ bezeichnet werden.

Bestimmen der FRA-Version über SNMP

Die EARL-Hardwareversion kann durch Simple Network Management Protocol (SNMP) bestimmt werden. Verwenden der Datei .iso.org.dod.internet.private.companies.cisco.workgroup.stack.moduleGrp.mo

moduleTable.moduleEntry.moduleSubType

.1.3.6.1.4.1.9.5.1.3.1.1.16

Folgende Rückgabewerte können verwendet werden:

  • Sonstige(1)

  • leer(2)

  • wsf5510(3) (EARL1)

  • wsf5511(4) (EARL1+)

  • wsx5304(6) (RSM - NICHT AUF SUPERVISOR)

  • wsf5520(7) (EARL1++)

  • wsf5521(8) (EARL2/NFFC)

  • wsf5531(9) (EARL3/NFFCII)

Der Supervisor II G und IIIG gibt keinen Wert zurück. Die Supervisor IIG und IIIG sind EARL 3s und werden von der 802.1x-Schwachstelle nicht betroffen.

Warum sind nur die Catalyst 500 EARL 1-Versionen betroffen?

EARL 1-Versionen sind nur betroffen, da EARL 1 für jede reservierte MAC-Adresse einzeln programmiert werden muss. Alle anderen EARL-Versionen wurden mit Bereichen programmiert und leiten daher den 802.1x-Frame nicht weiter.

Wenn im Netzwerk keine STP-Redundanz vorhanden ist, sollte ich trotzdem ein Upgrade durchführen?

Natürlich leitet die Catalyst 5000-Software die Pakete an allen Ports weiter. Der Switch muss diese Frames eingehend verwerfen. Obwohl das Netzwerk nur dann beeinträchtigt wird, wenn STP-Redundanz vorhanden ist, funktioniert der Switch immer noch nicht ordnungsgemäß.

802.1x-Schwachstelle: Catalyst 4000 und 6000 nicht betroffen

Die Catalyst Switches der Serie 5000 mit EARL 1 sind die einzigen betroffenen Switches. Alle anderen Switches leiten den Frame nicht weiter und halten eine STP-Schleife sogar auf, wenn sich die Switches im STP-Pfad befinden.

Teilnahme von Windows 2000 an 802.1x

Derzeit ist Windows XP (Whistler) das einzige Microsoft-Betriebssystem, das 802.1x unterstützt. Laut Microsoft kann 802.1x für Windows 2000 zu einem späteren Zeitpunkt durch ein Software-Upgrade oder einen Patch hinzugefügt werden.Derzeit ist Windows XP (Whistler) das einzige Microsoft-Betriebssystem, das 802.1x unterstützt. Laut Microsoft kann 802.1x für Windows 2000 zu einem späteren Zeitpunkt durch ein Software-Upgrade oder einen Patch hinzugefügt werden.

Zugehörige Informationen

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren