Een Cisco IP-telefoon 7941/7961/7970 kan VLAN-tags (802.1q header) aan ingangspakketten toevoegen uit de PC-poort wanneer de instelling voor de toegang tot VLAN-spraak is ingesteld om uit te schakelen. Het in dit document geschetste gedrag kan de netwerkservice naar een host onderbreken die is aangesloten op de PC poort van een telefoon als het access-VLAN op een switch poort om wat voor reden dan ook wordt gewijzigd.
Cisco raadt kennis van de volgende onderwerpen aan:
InterVLAN-routing configureren, begrip van de werking van InterVLAN-routing
Inter-Switch Link en IEEE 802.1Q frame-indeling - IEEE 802.1Q frame
Cisco Unified IP-telefoon beheergids voor Cisco Unified CallManager 5.1 (SCCP), Cisco Unified IP-telefoons 7961G/7961G-GE en 7941G/7941G-GE security menu
Cisco Unified IP-telefoon 7970G/7971G-GE beheergids voor Cisco Unified CallManager 6.0 (SCCP en SIP) security menu
Dit document is niet beperkt tot specifieke software.
De informatie in dit document is beperkt tot deze Cisco IP-telefoonmodeltypes:
Cisco IP-telefoon 7941, 7961, 7970
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
De specifieke ingebouwde switch architectuur van de telefoonmodeltypes die in dit document worden opgesomd zal de telefoon ertoe aanzetten om de tags van Voice VLAN in niet-gelabelde IP-ingangspakketten met de Voice VLAN.1q-header in te voeren wanneer de telefoon wordt ingesteld op PC-toegangsspraak VLAN dat wordt uitgeschakeld om VLAN-hopping te voorkomen. Zie dit schema:
Hoewel in dit document wordt verwezen naar 7971 documentatie, wordt dit gedrag niet beïnvloed.
In dit gedeelte wordt de oplossing voor dit probleem beschreven.
Voer de volgende stappen uit:
Navigeer naar de Admin-pagina van Cisco Unified Communications Manager (voorheen CallManager), selecteer apparaat > telefoon en plaats de betreffende telefoon.
Stel de PC Voice VLAN-toegangsparameter in om deze aan te zetten.
De implicatie van dit te doen betekent dat een PC de mogelijkheid heeft om 1q-tag verkeer te doen equivalent aan de Voice-VLAN op de switch in een poging om een aanval te lanceren. Het wordt aanbevolen om het gebruik van verificatie in dergelijke omstandigheden te gebruiken, bijvoorbeeld Multi-Domain-Verificatie op Cisco Catalyst switches.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
11-Apr-2008 |
Eerste vrijgave |