Quando l'impostazione di accesso VLAN voce del PC è disabilitata, i Cisco IP Phone 7941/7961/7970 possono inserire tag VLAN (intestazione 802.1q) sui pacchetti in entrata dalla porta del PC. Il comportamento descritto in questo documento potrebbe interrompere il servizio di rete a un host collegato alla porta PC di un telefono se l'access-VLAN su una porta dello switch viene modificata in qualsiasi momento per qualche motivo.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Configurazione del routing tra VLAN, descrizione del funzionamento del routing tra VLAN
Collegamento tra switch e frame IEEE 802.1Q Formato frame IEEE 802.1Q
Guida all'amministrazione di Cisco Unified IP Phone per Cisco Unified CallManager 5.1 (SCCP), Cisco Unified 7961G/7961G-GE e 7941G/7941G-GE Security Configuration Menu
Guida all'amministrazione di Cisco Unified 7970G/7971G-GE IP Phone per il menu di configurazione della protezione di Cisco Unified CallManager 6.0 (SCCP e SIP)
Il documento può essere consultato per tutte le applicazioni software.
Le informazioni di questo documento si limitano ai seguenti tipi di modelli di telefoni IP Cisco:
Cisco IP Phone 7941, 7961, 7970
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.
La particolare architettura dello switch integrata dei tipi di telefono elencati in questo documento farà sì che il telefono inserisca i tag Voice VLAN nei pacchetti in entrata senza tag con l'intestazione Voice VLAN.1q quando il telefono è impostato su PC Access Voice VLAN disabilitata per evitare gli hop VLAN. Vedere il seguente diagramma:
Anche se questo documento fa riferimento alla documentazione 7971, questo comportamento non influisce su di esso.
In questa sezione viene descritta la soluzione al problema.
Attenersi alla seguente procedura:
Passare alla pagina Amministrazione di Cisco Unified Communications Manager (in precedenza CallManager), selezionare dispositivo > telefono e individuare il telefono in questione.
Impostare il parametro di accesso PC Voice VLAN su enabled.
Ciò significa che un PC è in grado di contrassegnare il traffico con un dot1q-tag, equivalente alla Voice-VLAN sullo switch, nel tentativo di lanciare un attacco. Si consiglia di utilizzare l'autenticazione in tali circostanze, ad esempio Multi-Domain-Authentication sugli switch Cisco Catalyst.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
11-Apr-2008 |
Versione iniziale |