在SX350X或SX550X交换机上安全启动
目标
本文的目的是说明安全引导的过程,这是一种仅使用可信软件进行引导的方法。从固件版本2.4.0.91开始启用此功能。
适用设备
SX350X
SX550X
软件版本
2.4.0.91
简介
安全引导是使用信任链加载和运行安全映像以避免加载不受信任的软件的一种方式。通过使用私钥分配映像并使用硬件和软件机制来验证加载的映像来建立信任链。这允许用户确保在加载设备固件时,没有其他人添加安全违规代码。
当用户尝试加载新映像时,新映像将下载到临时文件,该临时文件将经过验证。如果出错,临时文件将被删除。这样,如果新映像无效,安装过程将失败并显示警告消息。
如果交换机处于堆叠拓扑中
当您将2.4.0.91或最新版本加载到主用(主)交换机上时,它将加载堆栈的所有成员上的固件。这与系列中的型号无关,因为要求所有设备运行相同的固件。堆栈将正常运行。
安全引导过程
在启动过程中,系统将在终端上打印安全启动信息。以下是设备在安全启动之前检查的步骤。
引导只读内存(BootROM)验证引导。
Booton验证通用引导(Uboot)
Uboot验证ROS映像
如果安全引导检测到故障,将阻止设备启动。如果发生这种情况,请联系您的思科合作伙伴或技术支持中心(TAC),确定在此情况下要遵循的后续步骤。如果您需要查找思科合作伙伴,请点击此处。
安全引导系统日志
在启动过程中,系统将打印安全启动信息:
启用/禁用安全引导 — 在无芯片系统(SoC)电可编程熔丝(eFuse)的设备(如最小系统项(MSYS)中央处理单元(CPU))中,或在未设置eFuse安全位时,打印输出将为“安全引导禁用”。如果启用安全引导,则打印输出将为“安全引导已启用”。
在BootROM验证启动后,它会打印验证状态(已通过/失败)。
启动验证Uboot后,它会打印验证状态(已通过/失败)。
Uboot验证ROS映像后,它将打印验证状态(已通过/失败)。
注意:如果失败,启动过程将停止。
安全引导输出示例固件版本2.4.0.91:
安全引导输出示例固件版本2.5.0.83:
结论
现在,您已经熟悉了安全引导以及它如何帮助保护您的网络。
反馈