Dit document behandelt gemeenschappelijke vragen rond de 802.1x kwetsbaarheidskwestie met Catalyst 5000 switches. Ook in dit document is te vinden hoe u de Catalyst 5000 EARL-versie kunt bepalen. Zie het volgende veiligheidsadvies voor meer informatie over de kwetsbaarheid van 802.1x:
http://www.cisco.com/warp/public/707/cisco-sa-20010413-cat5k-8021x.shtml
Er zijn geen specifieke vereisten van toepassing op dit document.
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
The Encoded Address Recognition Logic (EARL) is een gecentraliseerde verwerkingsmachine voor het leren en verzenden van pakketten op basis van het MAC-adres van Catalyst 5000 Supervisor Engine. Het EARL slaat de VLAN-, MAC-adres en poortrelaties op. Deze relaties worden gebruikt om overstapbeslissingen in hardware te nemen.
Om de EARL versie van de interface van de opdrachtregel (CLI) te bepalen, geeft u de opdracht shows module van de supervisor uit. Hieronder wordt een voorbeeld gegeven:
Console (enable) sh mod Mod Module-Name Ports Module-Type Model Serial-Num Status --- ------------------- ----- --------------------- --------- --------- ---- --- 1 2 100BaseFX MM Supervis WS-X5506 005441962 ok 2 48 10BaseT Ethernet WS-X5012A 010308246 ok 3 48 10BaseT Ethernet WS-X5012A 010308178 ok 4 24 3 Segment 100BaseTX E WS-X5223 005389389 ok 5 12 100BaseFX MM Ethernet WS-X5201R 008951252 ok Mod MAC-Address(es) Hw Fw Sw --- -------------------------------------- ------ ---------- --------------- -- 1 00-e0-f9-d6-64-00 to 00-e0-f9-d6-67-ff 1.0 2.2(2) 4.2(1) 2 00-90-6f-6e-75-c0 to 00-90-6f-6e-75-ef 1.0 4.2(1) 4.2(1) 3 00-90-6f-6e-5a-f0 to 00-90-6f-6e-5b-1f 1.0 4.2(1) 4.2(1) 4 00-e0-b0-fb-0a-29 to 00-e0-b0-fb-0a-2b 1.0 2.2(1) 4.2(1) 5 00-60-2f-39-3d-d4 to 00-60-2f-39-3d-df 1.1 4.1(1) 4.2(1) Mod Sub-Type Sub-Model Sub-Serial Sub-Hw --- -------- --------- ---------- ------ 1 EARL 1+ WS-F5511 0005442554 1.0
De opdracht regenmodule tonen hierboven van de supervisor zal de versie van de AARL hardware in het Subtype Veld aangeven. Als de supervisor 1, 1.1 of 1+.1+ is, wordt het systeem beïnvloed door de 802.1x kwetsbaarheid. Een andere versie van de EARL die in het subtype is aangegeven, zoals NFFC, NFFC+ of NFFC II, zijn niet EARL 1s en worden niet beïnvloed door de kwetsbaarheid van 802.1x.
Opmerking: De supervisor IIG en IIIG zullen het subtype niet afdrukken. De supervisor IIG en IIIG zijn AL 3s en worden niet beïnvloed door de 802.1x kwetsbaarheid.
Supervisor Onderdeelnummer | Supervisor Model | Earl versie subtype | AARL-type versie submodel | beïnvloed door 802.1x kwetsbaarheid |
WS-X5005-software | supervisor I | 1 | WS-F5510 | Ja |
WS-X5006-software | supervisor I | 1 | WS-F5510 | Ja |
WS-X509-software | supervisor I | 1 | WS-F5510 | Ja |
WS-X5505-software | supervisor II | ARTIKEL 1+ | WS-F551 | Ja |
WS-X5506-software | supervisor II | ARTIKEL 1+ | WS-F551 | Ja |
WS-X5509-software | supervisor II | ARTIKEL 1+ | WS-F551 | Ja |
WS-X5530-E1 router | supervisor III | Extra spoelen | WS-F5520 | Ja |
WS-X5530-E2 switch | Supervisor III NFFC | ARTIKEL 2 (NFFC) | WS-F5521 | Nee |
WS-X5530-E2A switch | supervisor III NFFC-A | ARTIKEL 2 (NFFC) | WS-F5521 | Nee |
WS-X5530-E3-E3 router | Supervisor III NFFC II | ARTIKEL 3 (NFFC II) | WS-F5531 | Nee |
WS-X5530-E3A | supervisor III NFFC II-A | ARTIKEL 3 (NFFC II) | WS-F5531 | Nee |
WS-X5534-software | supervisor III F | Extra spoelen | WS-F5520 | Ja |
WS-X5540-software | supervisor II G | ARTIKEL 3 (NFFC II) | WS-F5531 | Nee |
WS-X550-software | supervisor III G | ARTIKEL 3 (NFFC II) | WS-F5531 | Nee |
Onderdeelnummer switch | Supervisor Model | Earl versie subtype | AARL-type versie submodel | beïnvloed door 802.1x kwetsbaarheid |
WS-C2901 | supervisor I | 1 | WS-F5510 | Ja |
WS-C2902 | supervisor I | 1 | WS-F5510 | Ja |
WS-C2926T switch | supervisor II | ARTIKEL 1+ | WS-F551 | Ja |
WS-C2926G | supervisor II | ARTIKEL 1+ | WS-F551 | Ja |
WS-C2926GS | Supervisor III NFFC II | ARTIKEL 3 (NFFC II) | WS-F5531 | Nee |
WS-C2926GL | Supervisor III NFFC II | ARTIKEL 3 (NFFC II) | WS-F5531 | Nee |
Toelichting: In vroege softwareherzieningen kan de ARL 3 (NFFC II) worden aangeduid als een NFFC+.
De EARL-hardwareversie kan worden bepaald door Simple Network Management Protocol (SNMP). Het gebruik van de .iso.org.do.d.internet.private.prises.cisco.werkgroup.stack.moduleGrp.mo
ModuleTable.moduleEntry.moduleSubtype
.1.3.6.1.4.1.9.5.1.3.1.1.16
De return waardes kunnen zijn:
andere(1)
leeg(2)
WSF5510(3) (EARL1)
WSF551(4) (EARL1+)
WSX5304(6) (RSM-NIET OP SUPERVISOR)
WSF5520(7) (EARL1++)
WSF5521(8) (EARL2/NFFC)
WSF5531(9) (EARL3/NFCII)
Supervisor II G en IIIG zullen geen waarde teruggeven. De supervisor IIG en IIIG zijn AL 3s en worden niet beïnvloed door de 802.1x kwetsbaarheid.
Eerdere versies worden alleen beïnvloed omdat EARL 1s voor elk gereserveerd MAC-adres afzonderlijk moet worden geprogrammeerd. Alle andere EARL versies waren geprogrammeerd met marges en verzenden dus niet het frame 802.1x.
Absoluut, de software van Catalyst 5000 wordt nog steeds verzonden de pakketten op alle havens. De switch zou deze beelden naar binnen moeten laten vallen. Hoewel het netwerk geen degradatie zal hebben tenzij er STP redundantie is, werkt de switch nog steeds niet correct.
De Catalyst 5000 Series switches met de EARL 1 zijn de enige getroffen switch. Alle andere switches zullen het frame niet doorsturen en zullen feitelijk stoppen met een STP-lus als de switches zich in het STP-pad bevinden.
Op dit moment is Windows XP (Klokler) het enige Microsoft-besturingssysteem dat 802.1x ondersteunt. Volgens Microsoft kan 802.1x voor Windows 2000 op een later tijdstip worden toegevoegd via een softwareupgrade of -patch.Momenteel is Windows XP (Klokler) het enige Microsoft-besturingssysteem dat 802.1x ondersteunt. Volgens Microsoft kan er in 2000 802.1x voor Windows 2000 op een later tijdstip via een software-upgrade of -pleister worden toegevoegd.