Un téléphone IP Cisco 7941/7961/7970 peut insérer des balises VLAN (en-tête 802.1q) sur les paquets d'entrée à partir du port PC lorsque le paramètre d'accès VLAN voix du PC est désactivé. Le comportement décrit dans ce document peut interrompre le service réseau vers un hôte connecté au port PC d'un téléphone si le VLAN d'accès sur un port de commutateur est modifié à tout moment pour une raison quelconque.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Configuration du routage inter-VLAN, compréhension du fonctionnement du routage inter-VLAN
Liaison entre commutateurs et trame IEEE 802.1Q Format de trame IEEE 802.1Q
Guide d'administration des téléphones IP Cisco Unified pour Cisco Unified CallManager 5.1 (SCCP), menu de configuration de sécurité des téléphones IP Cisco Unified 7961G/7961G-GE et 7941G/7941G-GE
Guide d'administration du téléphone IP Cisco Unified 7970G/7971G-GE pour le menu de configuration de sécurité de Cisco Unified CallManager 6.0 (SCCP et SIP)
Ce document n'est pas limité à des logiciels spécifiques.
Les informations de ce document sont limitées aux types de modèles de téléphone IP Cisco suivants :
Téléphones IP Cisco 7941, 7961, 7970
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
L'architecture de commutation intégrée particulière des types de modèles de téléphone répertoriés dans ce document va amener le téléphone à insérer les balises VLAN voix dans les paquets d'entrée non balisés avec l'en-tête VLAN.1q voix lorsque le téléphone est configuré pour accéder au VLAN voix du PC désactivé pour éviter le saut de VLAN. Reportez-vous à ce schéma :
Bien que ce document fasse référence à la documentation 7971, ce comportement n'est pas affecté.
Cette section décrit la solution à ce problème.
Procédez comme suit :
Accédez à la page d'administration de Cisco Unified Communications Manager (anciennement CallManager), sélectionnez device > phone et localisez le téléphone en question.
Réglez le paramètre d'accès VLAN voix du PC sur Activé.
Cela signifie qu'un PC peut transmettre un trafic dot1q-tag équivalent au VLAN voix sur le commutateur afin de lancer une attaque. Il est recommandé d'utiliser l'authentification dans de telles circonstances, par exemple, Multi-Domain-Authentication sur les commutateurs Cisco Catalyst.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
11-Apr-2008 |
Première publication |