Cisco IP电话7941/7961/7970在来自PC端口的流入信息包上插入VLAN标记(802.1q报头)
简介
当PC语音VLAN访问设置设置为禁用时,Cisco IP电话7941/7961/7970可以在来自PC端口的入口数据包上插入VLAN标记(802.1q报头)。如果交换机端口上的access-VLAN随时因任何原因发生更改,本文档中概述的行为可能会中断连接到电话PC端口的主机的网络服务。
先决条件
要求
Cisco 建议您了解以下主题:
-
配置VLAN间路由,了解VLAN间路由的工作原理
-
交换机间链路和IEEE 802.1Q帧格式IEEE 802.1Q帧
-
适用于Cisco Unified CallManager 5.1(SCCP)、Cisco Unified IP电话7961G/7961G-GE和7941G/7941G-GE安全配置菜单的Cisco Unified IP电话管理指南
-
适用于Cisco Unified CallManager 6.0(SCCP和SIP)安全配置菜单的Cisco Unified IP电话7970G/7971G-GE管理指南
使用的组件
本文档不限于特定软件。
本文档中的信息仅限于以下Cisco IP电话型号类型:
-
思科IP电话7941、7961、7970
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
背景信息
本文档中列出的电话型号类型的特定内置交换机架构将导致电话在将电话设置为PC接入语音VLAN时禁用语音VLAN跳变,从而在无标记的入口数据包中插入语音VLAN标记,并带有语音VLAN.1q报头。请参阅下图:
虽然本文档提及7971文档,但此行为不会影响此文档。
解决方案
本节介绍此问题的解决方案。
解决方案 1
请完成以下步骤:
-
导航至Cisco Unified Communications Manager(以前称为CallManager)Admin页面,选择device > phone并找到有问题的电话。
-
将PC语音VLAN访问参数设置为启用。
这意味着PC能够dot1q标记与交换机上的语音VLAN等效的流量,以发动攻击。建议在这种情况下使用身份验证,例如Cisco Catalyst交换机上的多域身份验证。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
11-Apr-2008 |
初始版本 |
反馈