Avvio sicuro su uno switch SX350X o SX550X

Opzioni per il download

  • PDF     (213.8 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (405.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (267.3 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:7 ottobre 2019
ID documento:1570471882825110

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Obiettivo

Lo scopo di questo articolo è quello di spiegare il processo di avvio protetto, un metodo per avviare con solo software attendibile. Questa funzione è abilitata a partire dalla versione firmware 2.4.0.91.

Se non si conoscono alcuni dei termini usati in questo documento, consultare Cisco Business: glossario dei nuovi termini.

Dispositivi interessati

  • SX350X

  • SX550X

Versione del software

  • 2.4.0.91

Introduzione

L'avvio protetto è un modo per caricare ed eseguire un'immagine protetta utilizzando una catena di attendibilità per evitare il caricamento di software non attendibile. Viene stabilita una catena di attendibilità assegnando immagini con chiavi private e utilizzando meccanismi hardware e software per verificare l'immagine caricata. In questo modo gli utenti possono essere certi che, quando caricano il firmware del dispositivo, nessun altro utente abbia aggiunto un codice che viola la sicurezza. 

Quando un utente tenta di caricare una nuova immagine, questa viene scaricata in un file temporaneo, che viene convalidato. In caso di errore, il file temporaneo viene eliminato. In questo modo, se la nuova immagine non è valida, il processo di installazione avrà esito negativo e verrà visualizzato un messaggio di avviso.

Se gli switch sono in una topologia in stack

Quando si carica la versione 2.4.0.91, o la versione più recente disponibile, sullo switch attivo (primario), il firmware viene caricato su tutti i membri dello stack. Ciò avviene indipendentemente dal modello della famiglia, poiché è necessario che tutti i dispositivi utilizzino lo stesso firmware. Lo stack funzionerà normalmente.

Processo di avvio protetto

Durante l'avvio, il sistema stampa le informazioni sull'avvio protetto sul terminale. Di seguito sono riportati i passaggi che i dispositivi devono eseguire prima dell'avvio protetto.

  • La memoria di sola lettura di avvio (BootROM) convalida l'avvio

  • L'avvio convalida l'avvio universale (Uboot)

  • Uboot convalida l'immagine ROS

Se l'avvio protetto rileva un errore, impedisce l'avvio del dispositivo. In questo caso, contattare il partner Cisco o il Technical Assistance Center (TAC) per stabilire le fasi successive da seguire in questa situazione. Per trovare un partner Cisco, fare clic qui.

Syslog di avvio protetto

Durante l'avvio, il sistema stampa le informazioni sull'avvio protetto:

  • Avvio protetto abilitato/disabilitato: nei dispositivi senza fusibili programmabili elettrici (eFuse) System-on-Chip (SoC), ad esempio CPU (Minimal SYS) Central Processing Unit (MSYS), o quando il bit di sicurezza eFuse non è impostato, la stampa sarà "Secure Boot disabled". Se l'opzione Secure Boot è abilitata, la stampa sarà "Secure Boot enabled".

  • Dopo la convalida dell'avvio da parte di BootROM, viene visualizzato lo stato di convalida (superato/non riuscito).

  • Una volta convalidato l'Uboot, l'avvio visualizza lo stato di convalida (superato/non riuscito).

  • Dopo la convalida dell'immagine Ro da parte di Uboot, viene visualizzato lo stato di convalida (superato/non riuscito).

Nota: In caso di errore, il processo di avvio verrà interrotto.

Esempio di output Secure Boot versione firmware 2.4.0.91:

Esempio di output Secure Boot versione firmware 2.5.0.83:

C:\Users\sparia\AppData\Local\Microsoft\Windows\INetCache\Content.Word\Secure boot on SX550X-24 with latest firmware 2.5.0.83.JPG

Conclusioni

L'utente ha acquisito familiarità con Secure Boot e con le modalità di protezione della rete.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti