Änderungen an Hardwarekomponenten und Fehlerbehebungen
#Verbesserungen
Funktionalität der Reset-Taste
Die Funktion der Reset-Taste wurde wie folgt aktualisiert:Die System-LED zeigt unterschiedliche Blinkzeichen für das regelmäßige Neuladen des Geräts und das Zurücksetzen auf die Werkseinstellungen an:
- Regelmäßiges Neuladen des Geräts (die Reset-Taste wird gedrückt und dann innerhalb von 6-10 Sekunden losgelassen) - die System-LED zeigt ein langsames Blinken an.
- Zurücksetzen des Geräts auf die Werkseinstellungen (die Rücksetztaste wird gedrückt und dann innerhalb von 16-20 Sekunden losgelassen) - die System-LED zeigt ein schnelles Blinken an.
Das Drücken der System-LED und das Loslassen innerhalb von 1-2 Sekunden bei SKUs, die PoE unterstützen, ergibt folgende Anzeige:
- Bei Ports, die Strom an angeschlossene PDs liefern, leuchtet die Port-LED 5 Sekunden lang durchgehend gelb.
Anzeige für 5 Sekunden. - Bei Ports, die keinen Strom an angeschlossene PDs liefern, zeigt die Port-LED 5 Sekunden lang keine
5 Sekunden lang keine Anzeige (LED ist aus).
Typ-C-USB-Schnittstelle
Das Gerät unterstützt eine Typ-C-USB-Schnittstelle, die sich an der Vorderseite des Geräts befindet. Diese bietet eine zusätzliche Konsolenschnittstelle neben der RJ45-Schnittstelle. Die Typ-C-USB-basierte Konsole hat die folgenden Eigenschaften:
- Die Konsole ist nur ab der OS-Initialisierungsphase und danach aktiv.
- Wenn sie aktiv ist, hat die Typ-C-USB-Konsole Vorrang vor der RJ45-Konsole.
- Die Typ-C-USB-Konsole ist unabhängig von der Einstellung der Baudrate.
Unterstützung für vertrauenswürdige Plattformmodule (TPM)AlleSKUs unterstützen eine TPM-Komponente. Das TPM bietet Schutz und Betrieb auf Hardwareebene für sicherheitsrelevante Funktionen wie Chip Guard und Boot Integrity Visibility. Das Gerät unterstützt die TPM 2.0-Spezifikation.
Bluetooth Management Interface
- Die aktuelle Version bietet Unterstützung für ein Bluetooth Management Interface, das IP-Konnektivität über Bluetooth ermöglicht. Dieses Gerätemanagement erfolgt über Bluetooth via Telnet, SSH oder HTTP/HTTPS GUI-Schnittstelle.
- Die Unterstützung von Bluetooth wird durch den Anschluss eines Bluetooth (BT)-Dongles an den USB-Port des Geräts erreicht. Das Gerät erkennt automatisch das Einstecken eines unterstützten BT-Dongles in den USB-Anschluss des Geräts und bietet Bluetooth
Host-Unterstützung. Das Gerät unterstützt die folgenden Bluetooth-Dongles.
Persistent PoE
Die Funktion PersistentPoE (auch als Always-OnPoE bezeichnet) minimiert die Abhängigkeit des PoE-Betriebs vom Status des Switches. Vor der Einführung dieser Funktion würde jede Unterbrechung des Switch-Betriebs, wie z. B.ein softwarebedingter Neustart, auch zu einer Unterbrechung des PoE-Betriebs, bis das Gerät wieder hochgefahren ist. Mit dem persistenten PoE-Feature werden warme Neustarts, wie sie durch den Befehl reloadwird der Betrieb des PoE in seinem aktuellen Zustand nicht unterbrochen, so dass die an den Switch angeschlossenen PoE-Geräte weiter betrieben werden können.
Auto Surveillance VLAN (ASV)
- Die Netzwerkkommunikation zwischen Überwachungsgeräten, wie z. B. Kameras und Überwachungsgeräten, sollte oft eine höhere Priorität haben, und es ist wichtig, dass die verschiedenen Geräte, aus denen die Überwachungsinfrastruktur in der Organisation besteht, für den Benutzer erreichbar sind.
Überwachungsinfrastruktur in der Organisation gehören, für einander erreichbar sind. - Normalerweise obliegt es dem Netzwerkadministrator, dafür zu sorgen, dass alle Überwachungsgeräte mit demselben VLAN verbunden sind, und dieses VLAN und die Schnittstellen so einzurichten, dass sie diesen Datenverkehr mit hoher Priorität ermöglichen.
- Die Funktion AutoSurveillance VLAN (ASV) automatisiert Aspekte dieser Einrichtung, indem sie Überwachungsgeräte im Netzwerk erkennt, sie einem VLAN zuweist und ihre Verkehrspriorität festlegt
MSTP-Verbesserungen
Die folgenden MSTP-bezogenen Erweiterungen wurden dieser Version hinzugefügt:
- Die Produktlinie Catalyst 1300 unterstützt 16 Instanzen.
- Die MSTP-Instanz-ID kann im Bereich von 0-4094 liegen.
Um den Bereich von 0-4094 für die MSTP-Instanz-ID zu unterstützen, muss der Benutzer eine MSTP-Instanz erstellen und ihr eine Instanz-ID zuweisen. Sobald die Instanz-ID erstellt ist, kann der Benutzer den erstellten Instanzen VLANs zuordnen(in früheren Versionen war es nicht notwendig, die Instanz vor der Zuordnung von VLANs zur Instanz zu erstellen.
Verbesserungen der Kennwortalterung
Die Kennwortalterung ermöglicht es dem Administrator, eine Änderung des Kennworts nach einem vordefinierten Zeitraum zu erzwingen. In der aktuellen Version wurden die folgenden Verbesserungen hinzugefügt:
- Nur ein Level 15-Benutzer kann Passwörter ändern. Ein Level-1-Benutzer wird über den (erwarteten) Ablauf des Kennworts informiert, hat aber nicht die Berechtigung, das Kennwort zu ändern.
- Ablauffrist (10 Tage vor Ablauf des Kennworts) - Bei der Anmeldung wird dem Benutzer (Stufe 15) die Möglichkeit geboten, das Kennwort zu ändern. Der Benutzer kann die Option ablehnen - in diesem Fall wird die Anmeldung ermöglicht - oder den Vorschlag annehmen, in diesem Fall kann er das Kennwort sofort ändern (in der früheren Version musste sich der Benutzer anmelden und dann den entsprechenden Konfigurationsmodus aufrufen).
Unterstützung von Attestierungszertifikaten und Schlüsselpaaren (AIK)
- Das Zertifikat und das Schlüsselpaar werden verwendet, um verschiedene Geräteinformationen zu validieren und die Ausgabe von Befehlen zu signieren, die sicherheitsrelevante Informationen anzeigen (z. B. Chip Guard und Boot integrity Visibility).
- In der aktuellen Version wurde die Unterstützung für ein zusätzliches Zertifikat und Schlüsselpaar hinzugefügt. Dabei handelt es sich um das Zertifikat- und Schlüsselpaar Attestation (auch bekannt als AIK - Attestation Identity Key). Das Attestationszertifikat und die Schlüssel gelten als sicherer als das SUDI-Zertifikat und die Schlüssel, da der Betrieb mit dem AIK-Zertifikat auf das TPM beschränkt ist, was ein höheres Vertrauen in die Gültigkeit der signierten Informationen bietet.
Sichtbarkeit der Boot-Integrität (BIV)
- Die Funktion Boot Integrity Visibility (BIV) ermöglicht es, die Software-Integritätsinformationen einer Plattform sichtbar und umsetzbar zu machen. Die Software-Integrität legt Messungen der Boot-Integrität offen, mit denen sich beurteilen lässt, ob die
Plattform gebootet hat und einen vertrauenswürdigen Code ausführt. BIV auf der Catalyst 1200- und 1300-Produktlinie nutzt die Funktionalitäten der TPM-Komponente. - Während des Bootvorgangs erstellt die Software einen Hash-Datensatz der verschiedenen Images, die an den Bootphasen beteiligt sind. Um die Integrität der Messungen zu gewährleisten, werden die Messungen in einer hardwaregeschützten Komponente namens TPM gespeichert und in PCRs (Platform Configuration Register) erweitert. Der Benutzer kann diese Datensätze dann (über CLI-Befehle) abrufen und sie mit den von Cisco verwalteten KGV-Datensätzen (Known Good Values) vergleichen. Wenn die Werte nicht übereinstimmen, läuft auf dem Gerät möglicherweise ein Software-Image, das entweder nicht von Cisco zertifiziert ist
zertifiziert ist oder von einer nicht autorisierten Partei geändert wurde. - Die CLI-Befehle ermöglichen die Anzeige der Hash-Messungen und der PCR-Quote für den Bootloader und das gesamte Image. Optional können diese Informationen auch mit SUDI oder Attestierungsschlüsseln signiert werden.
Dying Gasp
- Die Funktion "Dying Gasp" bietet einen Mechanismus, um Überwachungssysteme zu alarmieren, dass ein Gerät einen unerwarteten Stromverlust aufgrund eines HW-Fehlers (Trennung oder Unterbrechung der Stromquelle) erleidet.
- Wenn ein Stromausfall eintritt, verzögert ein Hardware-Kondensator das Herunterfahren des Geräts für eine kurze Zeit. Während dieser Zeit sendet das Gerät "Dying Gasp"-Meldungen. Die Meldungen können an SNMP-Server (als
Benachrichtigung) oder an Syslog-Server gesendet werden. - Diese Funktion wird nur von den 1300er Produktlinien (Standalone und Stacking) unterstützt. Sie wird nicht unterstützt von der
1200-Produktlinie nicht unterstützt.