SX350X或SX550X交換機上的安全啟動
目標
本文的目的是解釋安全引導的過程,這是一種僅使用受信任軟體進行引導的方法。此功能從韌體版本2.4.0.91開始啟用。
適用裝置
SX350X
SX550X
軟體版本
2.4.0.91
簡介
安全引導是一種使用信任鏈來載入和運行安全映像的方式,可以避免載入不受信任的軟體。信任鏈通過分配私有金鑰映像並使用硬體和軟體機制驗證載入的映像來建立。這允許使用者確定在載入裝置韌體時,沒有其他人新增了安全違規代碼。
當使用者嘗試載入新映像時,新映像會被下載到臨時檔案,該檔案將被驗證。如果出現錯誤,將刪除臨時檔案。這樣,如果新映像無效,安裝過程將失敗並顯示一條警告消息。
如果交換器處於堆疊拓撲中
將2.4.0.91或可用的最新版本載入到活動(主)交換機時,它將載入堆疊的所有成員上的韌體。這與系列內的型號無關,因為要求所有裝置運行相同的韌體。堆疊將正常運作。
安全啟動過程
啟動期間,系統將在終端上列印安全啟動資訊。以下是安全啟動前裝置檢查的步驟。
啟動只讀儲存器(BootROM)驗證啟動
Booton驗證通用啟動(Uboot)
Uboot驗證ROS映像
如果安全啟動檢測到故障,它將阻止裝置啟動。如果發生這種情況,請聯絡您的思科合作夥伴或技術支援中心(TAC),確定在此情況下應採取的後續步驟。如果您需要尋找思科合作夥伴,請點選此處。
安全啟動系統日誌
啟動期間,系統將列印安全啟動資訊:
啟用/禁用安全引導 — 在沒有片上系統(SoC)電子可程式設計熔絲(eFuse)的裝置(例如最小系統單元(MSYS)中央處理器(CPU))中,或者未設定eFuse安全位時,列印輸出將為「禁用安全引導」。如果啟用了安全引導,列印輸出將為「已啟用安全引導」。
BootROM驗證啟動後,將列印驗證狀態(通過/失敗)。
booton驗證Uboot後,將列印驗證狀態(通過/失敗)。
Uboot驗證ros映像後,會列印驗證狀態(通過/失敗)。
附註:如果發生故障,引導過程將停止。
安全啟動輸出示例韌體版本2.4.0.91:
安全啟動輸出示例韌體版本2.5.0.83:
結論
您現在已熟悉Secure Boot及其如何幫助保護您的網路。
意見