目次概要 概要この文書では、Catalyst 5000 スイッチの 802.1x 脆弱性問題に関する一般的な質問を取り扱います。 また、この文書には、Catalyst 5000 EARL バージョンを判別する方法も含まれます。 802.1x 脆弱性に関する詳しい情報については、次のセキュリティ報告をご覧ください。 http://www.cisco.com/warp/public/707/cisco-sa-20010413-cat5k-8021x.shtml 前提条件要件この文書に関する特別な要件はありません。 使用するコンポーネントこの文書は特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。 この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。 この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。 コマンドが実稼動中のネットワークに与える影響について理解しておいてください。 表記法ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。 EARL とはEARL(Enhanced Address Recognition Logic)は、MACアドレスと非トランキング・ポートを対応づけるEARLテーブルに要求ホストのMACアドレスが存在すると、EARL転送テーブルにマルチキャスト転送エントリを作成します。そのポートと対応づけられたホストは、以降、そのマルチキャスト・グループ用のマルチキャスト・トラフィックを受信します。 このように、EARLはCatalyst 5000 スーパーバイザ エンジンの MACアドレスに基づいてパケットを認識します。 これらの関係は、ハードウェアのスイッチングの判別をするために使用されます。 CLI から EARL バージョンを判別するコマンド ライン インターフェイス (CLI) から EARLのバージョンを判別するために、スーパーバイザから show module コマンドを発行します。 次に例を示します。 Console (enable) sh mod Mod Module-Name Ports Module-Type Model Serial-Num Status --- ------------------- ----- --------------------- --------- --------- ---- --- 1 2 100BaseFX MM Supervis WS-X5506 005441962 ok 2 48 10BaseT Ethernet WS-X5012A 010308246 ok 3 48 10BaseT Ethernet WS-X5012A 010308178 ok 4 24 3 Segment 100BaseTX E WS-X5223 005389389 ok 5 12 100BaseFX MM Ethernet WS-X5201R 008951252 ok Mod MAC-Address(es) Hw Fw Sw --- -------------------------------------- ------ ---------- --------------- -- 1 00-e0-f9-d6-64-00 to 00-e0-f9-d6-67-ff 1.0 2.2(2) 4.2(1) 2 00-90-6f-6e-75-c0 to 00-90-6f-6e-75-ef 1.0 4.2(1) 4.2(1) 3 00-90-6f-6e-5a-f0 to 00-90-6f-6e-5b-1f 1.0 4.2(1) 4.2(1) 4 00-e0-b0-fb-0a-29 to 00-e0-b0-fb-0a-2b 1.0 2.2(1) 4.2(1) 5 00-60-2f-39-3d-d4 to 00-60-2f-39-3d-df 1.1 4.1(1) 4.2(1) Mod Sub-Type Sub-Model Sub-Serial Sub-Hw --- -------- --------- ---------- ------ 1 EARL 1+ WS-F5511 0005442554 1.0 スーパーバイザから発行された上記の show module コマンドは、[Sub-Type] としてEARL ハードウェアのバージョンを示します。 スーパーバイザが EARL 1、1.1、または1+、1++であれば、システムは 802.1x 脆弱性の影響を受けます。 EARL 1s ではなく、NFFC、NFFC+、または NFFC II などの [Sub-Type] で示される EARL の他のバージョンでは、802.1x の脆弱性の影響を受けません。 注: Supervisor IIGおよびIIIGはサブタイプを印刷しません。 スーパーバイザ IIG と IIIG は、EARL 3s なので 802.1x 脆弱性の影響を受けません。 部品番号マトリクスから EARL バージョンを判別モジュラスーパバイザCatalyst 5000 シリーズスーパバイザ
設定が固定されている Catalyst 5000 シリーズ スイッチ
注: 初期のソフトウェア リビジョンでは、EARL 3 (NFFC II) は、NFFC+ と呼ばれる場合があります。 SNMP で EARL バージョンを判別簡易ネットワーク管理プロトコル (SNMP:Simple Network Protocol) で EARL ハードウェアのバージョンを判別できます。 .iso.org.do d.internet.private.enterprises.cisco.workgroup.stack.moduleGrp.moの使用 duleTable.moduleEntry.moduleSubType .1.3.6.1.4.1.9.5.1.3.1.1.16 リターン値は次のとおりです。
スーパーバイザ II G と IIIG は、値を返しません。 スーパーバイザ IIG と IIIG は、EARL 3s なので 802.1x 脆弱性の影響を受けません。 なぜ Catalyst 5000 EARL 1 バージョンだけが脆弱性の影響を受けるのですか?EARL 1s は、エントリごとに MACアドレスを個別にプログラムする必要があるので、EARL 1 バージョンだけが影響を受けます。 他のEARL バージョンでは、エントリの範囲でプログラムされるので、その結果802.1x フレームを転送しないので、脆弱性の影響を受けることはありません。 ネットワークで STP 冗長性がなくても、アップグレードする必要がありますか。もちろん、Catalyst 5000ソフトウェアはまだすべてのポートのパケットを転送しています。 スイッチは受信これらのフレームを廃棄する必要があります。 STP 冗長性がない場合、ネットワークの機能は低下しませんが、スイッチが正しく作動しないので、アップグレードを推奨します。 802.1x 脆弱性の影響を受けない Catalyst 4000 と 6000EARL 1が付いているCatalyst 5000シリーズ・スイッチは唯一の影響を受けたスイッチです。 STP パス内にあれば、Catalyst 4000 と 6000スイッチはフレームを転送せず、実質的に STP ループを止めて 802.1x 脆弱性の影響を受けません。 Windows 2000 の 802.1x への適用現在、802.1x をサポートする唯一のマイクロソフト オペレーティング システムが、Windows XP (Whistler) です。 Microsoftに従って、Windows 2000のための802.1xはソフトウェアアップグレードかパッチを通して後になって追加されるかもしれません。現在、802.1x をサポートする唯一のマイクロソフト オペレーティング システムが、Windows XP (Whistler) です。 Microsoftに従って、Windows 2000のための802.1xはソフトウェアアップグレードかパッチを通して後になって追加されるかもしれません。 関連情報
|
|