Désactiver TLS 1.1 sur les commutateurs Catalyst 9000

Options de téléchargement

  • PDF     (247.9 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:13 juin 2025
ID du document:223097

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment désactiver la sécurité de la couche transport (TLS) 1.1 sur les commutateurs Catalyst 9000 dans les réseaux LAN.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Concepts de commutation LAN
    • Navigation dans l'interface de ligne de commande (CLI) de base
    • Compréhension des protocoles TLS

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Commutateur Catalyst 9000
    • Version du logiciel: 17.6.5

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Ce document fournit un guide technique pour localiser et désactiver TLS 1.1 sur les commutateurs Catalyst 9000.

    Problème

    Le problème implique la détection de TLS 1.1 sur le commutateur. Il est marqué pour plusieurs analyses de vulnérabilité,

    Étape 1 : Vérification de la présence de TLS 1.1

    Switch#show ip http server secure status
HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite:  rsa-aes-cbc-sha2 rsa-aes-gcm-sha2
        dhe-aes-cbc-sha2 dhe-aes-gcm-sha2 ecdhe-rsa-aes-cbc-sha2
        ecdhe-rsa-aes-gcm-sha2 ecdhe-ecdsa-aes-gcm-sha2 tls13-aes128-gcm-sha256
        tls13-aes256-gcm-sha384 tls13-chacha20-poly1305-sha256
HTTP secure server TLS version:  TLSv1.3 TLSv1.2 TLSv1.1                    <<< Presense of TLSv1.1 in the HTTP Server
HTTP secure server client authentication: Disabled
HTTP secure server PIV authentication: Disabled
HTTP secure server PIV authorization only: Disabled
HTTP secure server trustpoint: TP-self-signed-3889524895
HTTP secure server peer validation trustpoint:
HTTP secure server ECDHE curve: secp256r1
HTTP secure server active session modules: ALL

    Switch#show ip http client secure status
HTTP secure client ciphersuite:  rsa-aes-cbc-sha2 rsa-aes-gcm-sha2
        dhe-aes-cbc-sha2 dhe-aes-gcm-sha2 ecdhe-rsa-aes-cbc-sha2
        ecdhe-rsa-aes-gcm-sha2 ecdhe-ecdsa-aes-gcm-sha2 tls13-aes128-gcm-sha256
        tls13-aes256-gcm-sha384 tls13-chacha20-poly1305-sha256
HTTP secure client TLS version:  TLSv1.3 TLSv1.2 TLSv1.1                   <<< Presence of TLSv1.1 in the HTTP client  
HTTP secure client trustpoint:

    Solution

    Pour désactiver TLS 1.1 sur un commutateur Catalyst 9000, procédez comme suit :

    Étape 1 : Désactiver TLS 1.1 pour le serveur HTTP

    Switch#configure terminal
    Switch(config)#no ip http tls-version TLSv1.1

    Étape 2 : Désactiver TLS 1.1 pour le client HTTP

    Switch#configure terminal
    Switch(config)#no ip http client tls-version TLSv1.1

    Ces commandes permettent de s’assurer que TLS 1.1 est désactivé du côté serveur et du côté client du commutateur, atténuant ainsi les problèmes de sécurité associés aux protocoles obsolètes.

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    13-Jun-2025
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Alejandro Caral Ferro
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits