Ce document aborde les questions courantes concernant le problème de vulnérabilité 802.1x avec les commutateurs Catalyst 5000. Ce document explique également comment déterminer la version du Catalyst 5000 EARL. Pour plus d'informations sur la vulnérabilité 802.1x, consultez l'avis de sécurité suivant :
http://www.cisco.com/warp/public/707/cisco-sa-20010413-cat5k-8021x.shtml
Aucune spécification déterminée n'est requise pour ce document.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
La logique EARL (Encoded Address Recognition Logic) est un moteur de traitement centralisé pour l'apprentissage et le transfert de paquets basés sur l'adresse MAC sur les Supervisor Engine Catalyst 5000. L'EARL stocke les relations VLAN, adresse MAC et port. Ces relations sont utilisées pour prendre des décisions de commutation dans le matériel.
Pour déterminer la version EARL à partir de l'interface de ligne de commande (CLI), exécutez la commande show module à partir du superviseur. Voici un exemple :
Console (enable) sh mod Mod Module-Name Ports Module-Type Model Serial-Num Status --- ------------------- ----- --------------------- --------- --------- ---- --- 1 2 100BaseFX MM Supervis WS-X5506 005441962 ok 2 48 10BaseT Ethernet WS-X5012A 010308246 ok 3 48 10BaseT Ethernet WS-X5012A 010308178 ok 4 24 3 Segment 100BaseTX E WS-X5223 005389389 ok 5 12 100BaseFX MM Ethernet WS-X5201R 008951252 ok Mod MAC-Address(es) Hw Fw Sw --- -------------------------------------- ------ ---------- --------------- -- 1 00-e0-f9-d6-64-00 to 00-e0-f9-d6-67-ff 1.0 2.2(2) 4.2(1) 2 00-90-6f-6e-75-c0 to 00-90-6f-6e-75-ef 1.0 4.2(1) 4.2(1) 3 00-90-6f-6e-5a-f0 to 00-90-6f-6e-5b-1f 1.0 4.2(1) 4.2(1) 4 00-e0-b0-fb-0a-29 to 00-e0-b0-fb-0a-2b 1.0 2.2(1) 4.2(1) 5 00-60-2f-39-3d-d4 to 00-60-2f-39-3d-df 1.1 4.1(1) 4.2(1) Mod Sub-Type Sub-Model Sub-Serial Sub-Hw --- -------- --------- ---------- ------ 1 EARL 1+ WS-F5511 0005442554 1.0
La commande show module ci-dessus émise par le superviseur indique la version du matériel EARL dans le champ Sous-type. Si le superviseur est un EARL 1, 1.1 ou 1+,1+, le système est affecté par la vulnérabilité 802.1x. Toute autre version de l'EARL indiquée dans le sous-type tel que NFFC, NFFC+ ou NFFC II ne sont pas des 1 EARL et ne sont pas affectées par la vulnérabilité 802.1x.
Remarque : le Supervisor IIG et l'IIIG n'imprimeront pas le sous-type. Supervisor IIG et IIIG sont des EARL 3 et ne sont pas affectés par la vulnérabilité 802.1x.
Référence du superviseur | Modèle de superviseur | Sous-type de version Earl | Type de sous-modèle de version EARL | Affecté par la vulnérabilité 802.1x |
WS-X5005 | Superviseur I | EARL 1 | WS-F5510 | Oui |
WS-X5006 | Superviseur I | EARL 1 | WS-F5510 | Oui |
WS-X5009 | Superviseur I | EARL 1 | WS-F5510 | Oui |
WS-X5505 | Superviseur II | EARL 1+ | WS-F5511 | Oui |
WS-X5506 | Superviseur II | EARL 1+ | WS-F5511 | Oui |
WS-X5509 | Superviseur II | EARL 1+ | WS-F5511 | Oui |
WS-X5530-E1 | Superviseur III | EARL 1++ | WS-F5520 | Oui |
WS-X5530-E2 | Supervisor III NFFC | EARL 2 (NFFC) | WS-F5521 | Non |
WS-X5530-E2A | Supervisor III NFFC-A | EARL 2 (NFFC) | WS-F5521 | Non |
WS-X5530-E3 | Supervisor III NFFC II | EARL 3 (NFFC II) | WS-F5531 | Non |
WS-X5530-E3A | Supervisor III NFFC II-A | EARL 3 (NFFC II) | WS-F5531 | Non |
WS-X5534 | Superviseur III F | EARL 1++ | WS-F5520 | Oui |
WS-X5540 | Supervisor II G | EARL 3 (NFFC II) | WS-F5531 | Non |
WS-X5550 | Superviseur III G | EARL 3 (NFFC II) | WS-F5531 | Non |
Référence du commutateur | Modèle de superviseur | Sous-type de version Earl | Type de sous-modèle de version EARL | Affecté par la vulnérabilité 802.1x |
WS-C2901 | Superviseur I | EARL 1 | WS-F5510 | Oui |
WS-C2902 | Superviseur I | EARL 1 | WS-F5510 | Oui |
WS-C2926T | Superviseur II | EARL 1+ | WS-F5511 | Oui |
WS-C2926G | Superviseur II | EARL 1+ | WS-F5511 | Oui |
WS-C2926GS | Supervisor III NFFC II | EARL 3 (NFFC II) | WS-F5531 | Non |
WS-C2926GL | Supervisor III NFFC II | EARL 3 (NFFC II) | WS-F5531 | Non |
Note : Dans les premières révisions logicielles, la norme EARL 3 (NFFC II) peut être appelée NFFC+.
La version du matériel EARL peut être déterminée par le protocole SNMP (Simple Network Management Protocol). Utilisation de .iso.org.dod.internet.private.Enterprises.cisco.workgroup.stack.moduleGrp.mo
ModuleTable.moduleEntry.moduleSubType
.1.3.6.1.4.1.9.5.1.3.1.1.16
Les valeurs retournées peuvent être :
autre(1)
vide(2)
wsf5510(3) (EARL1)
wsf5511(4) (EARL1+)
wsx5304(6) (RSM - NON SUR SUPERVISOR)
wsf5520(7) (EARL1++)
wsf5521(8) (EARL2/NFFC)
wsf5531(9) (EARL3/NFFCII)
Le Supervisor II G et l'IIIG ne retourneront pas de valeur. Supervisor IIG et IIIG sont des EARL 3 et ne sont pas affectés par la vulnérabilité 802.1x.
Les versions EARL 1 ne sont affectées que parce que les versions EARL 1 doivent être programmées pour chaque adresse MAC réservée individuellement. Toutes les autres versions EARL ont été programmées avec des plages et ne transmettent donc pas la trame 802.1x.
Absolument, le logiciel Catalyst 5000 transfère toujours les paquets sur tous les ports. Le commutateur doit abandonner ces trames en entrée. Bien que le réseau ne connaisse aucune dégradation à moins d'une redondance STP, le commutateur fonctionne toujours de manière incorrecte.
Les commutateurs de la gamme Catalyst 5000 avec EARL 1 sont les seuls à être affectés. Tous les autres commutateurs ne transmettront pas la trame et empêcheront une boucle STP de se produire si les commutateurs sont situés dans le chemin STP.
Actuellement, Windows XP (Whistler) est le seul système d'exploitation Microsoft à prendre en charge 802.1x. Selon Microsoft, 802.1x pour Windows 2000 pourrait être ajouté ultérieurement par le biais d'une mise à niveau logicielle ou d'un correctif.Actuellement, Windows XP (Whistler) est le seul système d'exploitation Microsoft à prendre en charge 802.1x. Selon Microsoft, 802.1x pour Windows 2000 pourrait être ajouté ultérieurement par le biais d'une mise à niveau logicielle ou d'un correctif.