داستان EPLD روی سوییچ‌های Nexus (تجربه واقعی تتیس‌نت)

بسیاری از مدیران شبکه تصور می‌کنند با آپگرید سیستم‌عامل NX-OS، تمامی اجزای سوییچ Nexus نیز به‌روزرسانی می‌شوند. اما واقعیت این است که لایه‌ای مهم به نام EPLD یا همان فریمور FPGA معمولاً در این فرایند نادیده گرفته می‌شود. همین موضوع می‌تواند باعث باقی ماندن آسیب‌پذیری‌های امنیتی، بروز مشکلات سخت‌افزاری و حتی عدم عملکرد صحیح برخی قابلیت‌های سوییچ شود. در این مقاله بررسی می‌کنیم EPLD چیست، چرا آپدیت آن اهمیت زیادی دارد و از نسخه 10.5(3) به بعد چه تغییراتی در نحوه به‌روزرسانی آن ایجاد شده است.

سناریوی آپگرید Nexus N9K؛ وقتی show version فریب می‌دهد

یه سوییچ Nexus N9K رو آپگرید می‌کنی. show version آخرین نسخه رو نشون می‌ده. خیالت راحته. ولی یه آسیب‌پذیری Secure Boot هنوز سرجاشه و یه قابلیت سخت‌افزاری هم درست کار نمی‌کنه. کجای کار می‌لنگه؟

EPLD همراه OS بالا نیومده.

EPLD چیست؟ منطق سخت‌افزاری برنامه‌پذیر روی سوپروایزر و لاین‌کارت

روی هر سوییچ Nexus، علاوه بر NX-OS، یکسری منطق سخت‌افزاری برنامه‌پذیر (FPGA/CPLD) روی سوپروایزر، لاین‌کارت‌ها و ماژول‌ها وجود داره که فریمور جدای خودشون رو دارن. سیسکو این‌ها رو تحت عنوان EPLD آپدیت می‌کنه تا یه باگ سخت‌افزاری وصله بشه یا قابلیت جدید فعال بشه.

تله رایج آپگرید EPLD؛ چرا FPGA قدیمی باقی می‌ماند

تله‌ای که خیلی‌ها توش می‌افتن

تا قبل از نسخه‌ی ۱۰.۵(۳)، ایمیج EPLD یه فایل کاملاً جدا از NX-OS بود. یعنی وقتی OS رو آپگرید می‌کردی، EPLD دست‌نخورده باقی می‌موند. باید جداگانه و دستی با install epld آپدیتش می‌کردی که یه عملیات disruptive هست و ماژول ریلود می‌شه. خیلی‌ها این مرحله رو فراموش می‌کنن و سال‌ها روی FPGA قدیمی می‌مونن بدون اینکه بدونن.

چرا آپدیت EPLD برای امنیت حیاتی است؟ (آسیب‌پذیری Secure Boot)

چرا اهمیت داره؟ آسیب‌پذیری معروف Secure Boot Hardware Tampering دقیقاً توی همین FPGA وصله می‌شه. پس ممکنه show version بگه آخرین نسخه‌ای، ولی از نظر امنیتی هنوز vulnerable باشی.

FPGA دو ناحیه‌ی Golden و Primary داره و برای وصله‌ی کامل این باگ باید هر دو آپدیت بشن ولی به‌صورت طراحی‌شده، در هر ریلود فقط یکی قابل آپدیته.

تغییر بزرگ از نسخه ۱۰.۵(۳)؛ باندل شدن EPLD داخل ایمیج NX-OS

تغییر بزرگ از نسخه ۱۰.۵(۳)

از این نسخه به بعد سیسکو ایمیج EPLD رو داخل خودِ ایمیج NX-OS باندل کرد. دیگه فایل جدا نداریم (و به همین خاطر حجم ایمیج بزرگ‌تر شده)، و آپگرید EPLD به‌صورت خودکار حین آپگرید سیستم انجام می‌شه. اگه به هر دلیلی نخوای انجام بشه، باید صراحتاً با skip-epld ردش کنی:

مقایسه آپدیت EPLD قبل و بعد از نسخه ۱۰.۵(۳)

جمع‌بندی و چک‌لیست آپگرید EPLD روی Nexus

• اگه روی نسخه‌های قبل از ۱۰.۵(۳) هستی: فرض نکن «آپگرید OS = آپگرید EPLD».
• بعد از هر آپگرید، چک کن چی نیاز به آپدیت داره:

• وضعیت EPLD رو با show install epld status ببین.
• آپگرید EPLD همیشه disruptive هست. حتماً تو پنجره‌ی maintenance انجامش بده.
• از ۱۰.۵(۳) به بعد، حواست باشه skip-epld ناخواسته نذاری.

نیاز به مشاوره یا خرید تجهیزات شبکه دارید؟

اگر برای خرید تجهیزات شبکه، لایسنس‌های اورجینال، تجهیزات دیتاسنتر، راهکارهای امنیت شبکه یا طراحی و پیاده‌سازی زیرساخت شبکه سازمان خود به مشاوره تخصصی نیاز دارید، کارشناسان تتیس نت آماده‌اند تا به‌صورت رایگان شما را راهنمایی کنند.

برای دریافت مشاوره رایگان، استعلام قیمت تجهیزات Cisco و سایر برندهای مطرح شبکه و همچنین بهره‌مندی از خدمات تخصصی در حوزه شبکه، دیتاسنتر و امنیت، با کارشناسان تتیس نت در تماس باشید.