識別Catalyst 5000 EARL版本和其他常見EARL問題
目錄
簡介
本文討論與Catalyst 5000交換機的802.1x漏洞問題有關的常見問題。本文還包括如何確定Catalyst 5000 EARL版本。有關802.1x漏洞的詳細資訊,請參閱以下安全建議:
http://www.cisco.com/warp/public/707/cisco-sa-20010413-cat5k-8021x.shtml
必要條件
需求
本文件沒有特定需求。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
什麼是EARL?
編碼位址識別邏輯(EARL)是一種集中處理引擎,用於根據Catalyst 5000 Supervisor Engine上的MAC位址學習和轉送封包。EARL儲存VLAN、MAC地址和埠關係。這些關係用於在硬體中進行交換決策。
從CLI確定EARL版本
要從命令列介面(CLI)確定EARL版本,請從Supervisor發出show module命令。下面是一個示例:
Console (enable) sh mod Mod Module-Name Ports Module-Type Model Serial-Num Status --- ------------------- ----- --------------------- --------- --------- ---- --- 1 2 100BaseFX MM Supervis WS-X5506 005441962 ok 2 48 10BaseT Ethernet WS-X5012A 010308246 ok 3 48 10BaseT Ethernet WS-X5012A 010308178 ok 4 24 3 Segment 100BaseTX E WS-X5223 005389389 ok 5 12 100BaseFX MM Ethernet WS-X5201R 008951252 ok Mod MAC-Address(es) Hw Fw Sw --- -------------------------------------- ------ ---------- --------------- -- 1 00-e0-f9-d6-64-00 to 00-e0-f9-d6-67-ff 1.0 2.2(2) 4.2(1) 2 00-90-6f-6e-75-c0 to 00-90-6f-6e-75-ef 1.0 4.2(1) 4.2(1) 3 00-90-6f-6e-5a-f0 to 00-90-6f-6e-5b-1f 1.0 4.2(1) 4.2(1) 4 00-e0-b0-fb-0a-29 to 00-e0-b0-fb-0a-2b 1.0 2.2(1) 4.2(1) 5 00-60-2f-39-3d-d4 to 00-60-2f-39-3d-df 1.1 4.1(1) 4.2(1) Mod Sub-Type Sub-Model Sub-Serial Sub-Hw --- -------- --------- ---------- ------ 1 EARL 1+ WS-F5511 0005442554 1.0
以上Supervisor發出的show module命令將在子型別欄位中指示EARL硬體版本。如果Supervisor是EARL 1、1.1或1+、1++,則系統受到802.1x漏洞的影響。子型別中指示的任何其他EARL版本(例如NFFC、NFFC+或NFFC II)都不是EARL 1s,不會受到802.1x漏洞的影響。
註:Supervisor IIG和IIIG不會列印子型別。Supervisor IIG和IIIG是EARL 3,不受802.1x漏洞的影響。
根據部件號矩陣確定EARL版本
模組化Supervisor Catalyst 5000系列監督器
| Supervisor部件號 | Supervisor型號 | Earl版本子型別 | EARL版本子模型型別 | 受802.1x漏洞影響 |
| X5005 | 管理引擎I | EARL 1 | WS-F5510 | 是 |
| X5006 | 管理引擎I | EARL 1 | WS-F5510 | 是 |
| X5009 | 管理引擎I | EARL 1 | WS-F5510 | 是 |
| X5505 | 管理引擎II | EARL 1+ | WS-F5511 | 是 |
| X5506 | 管理引擎II | EARL 1+ | WS-F5511 | 是 |
| X5509 | 管理引擎II | EARL 1+ | WS-F5511 | 是 |
| X5530-E1 | 監督員III | EARL 1++ | WS-F5520 | 是 |
| X5530-E2 | 管理引擎III NFFC | EARL 2(NFFC) | WS-F5521 | 否 |
| X5530-E2A | 管理引擎III NFFC-A | EARL 2(NFFC) | WS-F5521 | 否 |
| X5530-E3 | 監管員III NFFC II | EARL 3(NFFC II) | WS-F5531 | 否 |
| X5530-E3A | 管理引擎III NFFC II-A | EARL 3(NFFC II) | WS-F5531 | 否 |
| X5534 | 監督員III F | EARL 1++ | WS-F5520 | 是 |
| X5540 | 管理引擎II G | EARL 3(NFFC II) | WS-F5531 | 否 |
| X5550 | 監督員III G | EARL 3(NFFC II) | WS-F5531 | 否 |
固定設定Catalyst 5000系列交換器
| 交換機部件號 | Supervisor型號 | Earl版本子型別 | EARL版本子模型型別 | 受802.1x漏洞影響 |
| WS-C2901 | 管理引擎I | EARL 1 | WS-F5510 | 是 |
| WS-C2902 | 管理引擎I | EARL 1 | WS-F5510 | 是 |
| WS-C2926T | 管理引擎II | EARL 1+ | WS-F5511 | 是 |
| WS-C2926G | 管理引擎II | EARL 1+ | WS-F5511 | 是 |
| WS-C2926GS | 監管員III NFFC II | EARL 3(NFFC II) | WS-F5531 | 否 |
| WS-C2926GL | 監管員III NFFC II | EARL 3(NFFC II) | WS-F5531 | 否 |
注意:在早期的軟體版本中,EARL 3(NFFC II)可能稱為NFFC+。
通過SNMP確定EARL版本
EARL硬體版本可由簡易網路管理通訊協定(SNMP)釐定。 使用.iso.org.dod.internet.private.enterprises.cisco.workgroup.stack.moduleGrp.mo
duleTable.moduleEntry.moduleSubType
.1.3.6.1.4.1.9.5.1.3.1.1.16
返回值可以是:
-
其他(1)
-
空(2)
-
wsf5510(3)(EARL1)
-
wsf551(4)(EARL1+)
-
wsx5304(6)(RSM — 不在管理引擎上)
-
wsf5520(7)(EARL1++)
-
wsf5521(8)(EARL2/NFFC)
-
wsf5531(9)(EARL3/NFFCII)
Supervisor II G和IIIG不會返回值。Supervisor IIG和IIIG是EARL 3,不受802.1x漏洞的影響。
為什麼只影響Catalyst 5000 EARL 1版本?
EARL 1版本僅會受到影響,因為需要為每個保留的MAC地址分別程式設計EARL 1。所有其他EARL版本均使用範圍程式設計,因此不會轉發802.1x幀。
如果網路中沒有STP冗餘,我是否仍應升級?
無疑,Catalyst 5000軟體仍會在所有連線埠上轉送封包。交換器應該將這些訊框捨棄到傳入。儘管網路不會降級,除非存在STP冗餘,但交換機仍運行不正常。
Catalyst 4000和6000不受802.1x漏洞影響
唯一受影響的交換機是具有EARL 1的Catalyst 5000系列交換機。如果交換機位於STP路徑中,則所有其他交換機不會轉發該幀,實際上會停止STP環路的發生。
Windows 2000參與802.1x
目前,Windows XP(Whistler)是唯一支援802.1x的Microsoft作業系統。根據Microsoft的說法,Windows 2000的802.1x可能會在以後通過軟體升級或補丁新增。目前,Windows XP(Whistler)是唯一支援802.1x的Microsoft作業系統。根據Microsoft的說法,Windows 2000的802.1x可能會在以後通過軟體升級或補丁新增。
意見