Um Telefone IP 7941/7961/7970 da Cisco pode inserir tags de VLAN (cabeçalho 802.1q) em pacotes de entrada da porta do PC quando a configuração de acesso de VLAN de voz do PC estiver definida para desabilitar. O comportamento descrito neste documento pode interromper o serviço de rede para um host conectado à porta do PC de um telefone se o access-VLAN em uma porta do switch for alterado a qualquer momento por qualquer motivo.
A Cisco recomenda que você tenha conhecimento destes tópicos:
Configurando o roteamento entre VLANs, compreendendo como o roteamento entre VLANs funciona
Enlace entre Switches e Quadro IEEE 802.1Q Formato IEEE 802.1Q
Guia de administração do telefone IP Cisco Unified para Cisco Unified CallManager 5.1 (SCCP), Cisco Unified IP Phones 7961G/7961G-GE e 7941G/7941G-GE Security Configuration Menu
Manual de administração do telefone IP da Cisco Unified 7970G/7971G-GE para o menu de configuração de segurança do Cisco Unified CallManager 6.0 (SCCP e SIP)
Este documento não está restrito a software específico.
As informações neste documento estão restritas aos seguintes tipos de modelos de telefone IP da Cisco:
Telefone IP 7941, 7961, 7970 da Cisco
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
A arquitetura de switch embutida específica dos tipos de modelo de telefone listados neste documento fará com que o telefone insira as marcas de VLAN de voz em pacotes de entrada não marcados com o cabeçalho Voice VLAN.1q quando o telefone estiver configurado para PC access voice VLAN desabilitado para evitar saltos de VLAN. Veja este diagrama:
Embora este documento faça referência à documentação do 7971, ela não é afetada por esse comportamento.
Esta seção descreve a solução para este problema.
Conclua estes passos:
Navegue até a página do administrador do Cisco Unified Communications Manager (anteriormente chamado de CallManager), selecione dispositivo > telefone e localize o telefone em questão.
Defina o parâmetro de acesso VLAN de voz do PC como habilitado.
A implicação de fazer isso significa que um PC tem a capacidade de dot1q-tag traffic equivalente ao Voice-VLAN no switch em um esforço para iniciar um ataque. Recomenda-se empregar o uso da autenticação nessas circunstâncias, por exemplo, Multi-Domain-Authentication em switches Cisco Catalyst.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
11-Apr-2008 |
Versão inicial |