当PC语音VLAN访问设置设置为禁用时,Cisco IP电话7941/7961/7970可以在来自PC端口的入口数据包上插入VLAN标记(802.1q报头)。如果交换机端口上的access-VLAN随时因任何原因发生更改,本文档中概述的行为可能会中断连接到电话PC端口的主机的网络服务。
Cisco 建议您了解以下主题:
配置VLAN间路由,了解VLAN间路由的工作原理
交换机间链路和IEEE 802.1Q帧格式IEEE 802.1Q帧
适用于Cisco Unified CallManager 5.1(SCCP)、Cisco Unified IP电话7961G/7961G-GE和7941G/7941G-GE安全配置菜单的Cisco Unified IP电话管理指南
适用于Cisco Unified CallManager 6.0(SCCP和SIP)安全配置菜单的Cisco Unified IP电话7970G/7971G-GE管理指南
本文档不限于特定软件。
本文档中的信息仅限于以下Cisco IP电话型号类型:
思科IP电话7941、7961、7970
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
本文档中列出的电话型号类型的特定内置交换机架构将导致电话在将电话设置为PC接入语音VLAN时禁用语音VLAN跳变,从而在无标记的入口数据包中插入语音VLAN标记,并带有语音VLAN.1q报头。请参阅下图:
虽然本文档提及7971文档,但此行为不会影响此文档。
本节介绍此问题的解决方案。
请完成以下步骤:
导航至Cisco Unified Communications Manager(以前称为CallManager)Admin页面,选择device > phone并找到有问题的电话。
将PC语音VLAN访问参数设置为启用。
这意味着PC能够dot1q标记与交换机上的语音VLAN等效的流量,以发动攻击。建议在这种情况下使用身份验证,例如Cisco Catalyst交换机上的多域身份验证。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
11-Apr-2008 |
初始版本 |