この文書では、Catalyst 5000 スイッチの 802.1x 脆弱性問題に関する一般的な質問を取り扱います。また、この文書には、Catalyst 5000 EARL バージョンを判別する方法も含まれます。802.1x 脆弱性に関する詳しい情報については、次のセキュリティ報告をご覧ください。
http://www.cisco.com/warp/public/707/cisco-sa-20010413-cat5k-8021x.shtml
このドキュメントに特有の要件はありません。
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
EARL(Enhanced Address Recognition Logic)は、MACアドレスと非トランキング・ポートを対応づけるEARLテーブルに要求ホストのMACアドレスが存在すると、EARL転送テーブルにマルチキャスト転送エントリを作成します。そのポートと対応づけられたホストは、以降、そのマルチキャスト・グループ用のマルチキャスト・トラフィックを受信します。このように、EARLはCatalyst 5000 スーパーバイザ エンジンの MACアドレスに基づいてパケットを認識します。これらの関係は、ハードウェアのスイッチングの判別をするために使用されます。
コマンド ライン インターフェイス (CLI) から EARLのバージョンを判別するために、スーパーバイザから show module コマンドを発行します。次に例を示します。
Console (enable) sh mod Mod Module-Name Ports Module-Type Model Serial-Num Status --- ------------------- ----- --------------------- --------- --------- ---- --- 1 2 100BaseFX MM Supervis WS-X5506 005441962 ok 2 48 10BaseT Ethernet WS-X5012A 010308246 ok 3 48 10BaseT Ethernet WS-X5012A 010308178 ok 4 24 3 Segment 100BaseTX E WS-X5223 005389389 ok 5 12 100BaseFX MM Ethernet WS-X5201R 008951252 ok Mod MAC-Address(es) Hw Fw Sw --- -------------------------------------- ------ ---------- --------------- -- 1 00-e0-f9-d6-64-00 to 00-e0-f9-d6-67-ff 1.0 2.2(2) 4.2(1) 2 00-90-6f-6e-75-c0 to 00-90-6f-6e-75-ef 1.0 4.2(1) 4.2(1) 3 00-90-6f-6e-5a-f0 to 00-90-6f-6e-5b-1f 1.0 4.2(1) 4.2(1) 4 00-e0-b0-fb-0a-29 to 00-e0-b0-fb-0a-2b 1.0 2.2(1) 4.2(1) 5 00-60-2f-39-3d-d4 to 00-60-2f-39-3d-df 1.1 4.1(1) 4.2(1) Mod Sub-Type Sub-Model Sub-Serial Sub-Hw --- -------- --------- ---------- ------ 1 EARL 1+ WS-F5511 0005442554 1.0
スーパーバイザから発行された上記の show module コマンドは、[Sub-Type] としてEARL ハードウェアのバージョンを示します。スーパーバイザが EARL 1、1.1、または1+、1++であれば、システムは 802.1x 脆弱性の影響を受けます。EARL 1s ではなく、NFFC、NFFC+、または NFFC II などの [Sub-Type] で示される EARL の他のバージョンでは、802.1x の脆弱性の影響を受けません。
注:スーパーバイザ IIG と IIIG は [Sub-Type] を出力しません。スーパーバイザ IIG と IIIG は、EARL 3s なので 802.1x 脆弱性の影響を受けません。
スーパーバイザ部品番号 | スーパーバイザ モデル | EARL バージョン [Sub-Type] | EARL バージョン [Sub-Model Type] | 802.1x脆弱性の影響 |
WS-X5005 | スーパーバイザ I | EARL 1 | WS-F5510 | Yes |
WS-X5006 | スーパーバイザ I | EARL 1 | WS-F5510 | Yes |
WS-X5009 | スーパーバイザ I | EARL 1 | WS-F5510 | Yes |
WS-X5505 | スーパーバイザ II | EARL 1+ | WS-F5511 | Yes |
WS-X5506 | スーパーバイザ II | EARL 1+ | WS-F5511 | Yes |
WS-X5509 | スーパーバイザ II | EARL 1+ | WS-F5511 | Yes |
WS-X5530-E1 | スーパーバイザ III | EARL 1++ | WS-F5520 | Yes |
WS-X5530-E2 | スーパーバイザ III NFFC | EARL 2 (NFFC) | WS-F5521 | No |
WS-X5530-E2A | スーパーバイザ III NFFC-A | EARL 2 (NFFC) | WS-F5521 | No |
WS-X5530-E3 | スーパーバイザ III NFFC II | EARL 3 (NFFC II) | WS-F5531 | No |
WS-X5530-E3A | スーパーバイザ III NFFC II-A | EARL 3 (NFFC II) | WS-F5531 | No |
WS-X5534 | スーパーバイザ III F | EARL 1++ | WS-F5520 | Yes |
WS-X5540 | スーパーバイザ II G | EARL 3 (NFFC II) | WS-F5531 | No |
WS-X5550 | スーパーバイザ III G | EARL 3 (NFFC II) | WS-F5531 | No |
スイッチ部品番号 | スーパーバイザ モデル | EARL バージョン [Sub-Type] | EARL バージョン [Sub-Model Type] | 802.1x脆弱性の影響 |
WS-C2901 | スーパーバイザ I | EARL 1 | WS-F5510 | Yes |
WS-C2902 | スーパーバイザ I | EARL 1 | WS-F5510 | Yes |
WS-C2926T | スーパーバイザ II | EARL 1+ | WS-F5511 | Yes |
WS-C2926G | スーパーバイザ II | EARL 1+ | WS-F5511 | Yes |
WS-C2926GS | スーパーバイザ III NFFC II | EARL 3 (NFFC II) | WS-F5531 | No |
WS-C2926GL | スーパーバイザ III NFFC II | EARL 3 (NFFC II) | WS-F5531 | No |
注:初期のソフトウェアリビジョンでは、EARL 3(NFFC II)はNFFC+と呼ばれることがあります。
簡易ネットワーク管理プロトコル (SNMP:Simple Network Protocol) で EARL ハードウェアのバージョンを判別できます。 Using the .iso.org.dod.internet.private.enterprises.cisco.workgroup.stack.moduleGrp.mo
duleTable.moduleEntry.moduleSubType
.1.3.6.1.4.1.9.5.1.3.1.1.16
リターン値は次のとおりです。
other(1)
empty(2)
wsf5510(3) (EARL1)
wsf5511(4) (EARL1+)
wsx5304(6) (スーパーバイザではなく RSM)
wsf5520(7) (EARL1++)
wsf5521(8) (EARL2/NFFC)
wsf5531(9) (EARL3/NFFCII)
スーパーバイザ II G と IIIG は、値を返しません。スーパーバイザ IIG と IIIG は、EARL 3s なので 802.1x 脆弱性の影響を受けません。
EARL 1s は、エントリごとに MACアドレスを個別にプログラムする必要があるので、EARL 1 バージョンだけが影響を受けます。他のEARL バージョンでは、エントリの範囲でプログラムされるので、その結果802.1x フレームを転送しないので、脆弱性の影響を受けることはありません。
Catalyst 5000ソフトウェアは、すべてのポートでパケットを転送しています。スイッチは、これらのフレームを着信で廃棄している必要があります。STP 冗長性がない場合、ネットワークの機能は低下しませんが、スイッチが正しく作動しないので、アップグレードを推奨します。
EARL 1を搭載したCatalyst 5000シリーズスイッチだけが該当するスイッチです。STP パス内にあれば、Catalyst 4000 と 6000スイッチはフレームを転送せず、実質的に STP ループを止めて 802.1x 脆弱性の影響を受けません。
現在、802.1x をサポートする唯一のマイクロソフト オペレーティング システムが、Windows XP (Whistler) です。Microsoftによると、802.1x for Windows 2000は後でソフトウェアアップグレードまたはパッチを通じて追加される可能性があります。現在、Windows XP(Whistler)は802.1xをサポートする唯一のMicrosoftオペレーティングシステムです。Microsoftによると、802.1x for Windows 2000は、後でソフトウェアアップグレードまたはパッチを使用して追加される可能性があります。