Toon posts:

Cisco 7960 verkeer uit voice vlan snifbaar op accesspoort

Pagina: 1
Acties:

zaterdag 18 juli 2009 09:59

Acties:
  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 30-06-2025

raymonvdm

Topicstarter
Ik heb hier de volgende setup:

- HP Procurve 2610-24PWR
- Cisco 7960 SIP
- Notebook achter de telefoon
- Asterisk 1.4 PBX

De telefoon zit in een voice vlan die tagged wordt aangeboden door de HP switch. De poort van de HP switch heeft standaard ook een untagged vlan voor de accesspoort van de Cisco. Dit werkt verder goed. De laptop krijgt een ip uit het access vlan. De cisco krijgt een ip uit het tagged voice vlan.

Nu is het probleem dat wanneer ik met tcpdump of ethereal ga sniffen ik al het ARP verkeer uit het voice VLAN ,maar ook mn eigen gesprekken kan sniffen op de LAN poort van de Cisco 7960. Dit zou volgens mij niet mogen. Mijn laptop zit namelijk in een ander VLAN.

Zijn er meer mensen waarbij dit probleem optreed. Het lijkt me namelijk een Cisco SIP issue ? Of zijn er mensen die dit ook voor me kunnen testen of hun netwerk/toestellen.

[ Voor 4% gewijzigd door raymonvdm op 18-07-2009 10:01 ]

zaterdag 18 juli 2009 10:02

Acties:
  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 10:46

DJSmiley

Kun je dat niet configureren? Ik heb diverse IP phones gezien waar de doorluspoort als 'mirror' kan dienen om zo sip-issues te monitoren. Kan me goed voorstellen dat, als dat aanstaat je dus kunt meelezen (en dat ie dan ook je voicelan default untagged op die poort, anders heb je er nog niets aan)

Staat er dus niet zoiets ergens aan in je cisco configs?

of de poort disablen in de config als dat kan

[ Voor 7% gewijzigd door DJSmiley op 18-07-2009 10:03 ]

zaterdag 18 juli 2009 10:09

Acties:
  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 30-06-2025

raymonvdm

Topicstarter
Ik heb dit nog niet gevonden wat we tot nu toe instellen is:

- Voice vlan (ingevuld op het toestel)

Via tftp:

image_version:
proxy1_address:
proxy_register:1
phone_label:
sntp_server:
sntp_mode:
telnet_level:
username
password

En nog een aantal andere zaken zoals b.v XML services

Hier staat dus niks bij over de security van de LAN poort. De poort disablen kan niet want dan werkt mn laptop niet meer.


Ik heb ook al gekeken naar LLDP-MED support. Op deze manier kan een HP switch een Cisco telefoon vertellen in welke voice vlan hij moet komen, maar dat lijkt niet te werken bij een Cisco 7960 volgens google.

[ Voor 27% gewijzigd door raymonvdm op 18-07-2009 12:46 ]

maandag 3 augustus 2009 15:40

Acties:

Verwijderd

Dit is op zich normaal. Juist om sniffing/moitoring apps te gebruiken, is het 'uitlezen' van het voice VLAN door de PC mogelijk. Er zijn wel een tweetal mogelijkheden dit tegen te gaan:

- Phone instellen zodat voice VLAN tagged traffic niet naar de PC wordt geforward. Dit moet op de telefoon zelf worden ingesteld. Deze instelling wordt door alle Cisco IP phones ondersteund.
- Uitschakelen 'Span to PC port' optie op de Cisco IP Phone. Resultaat is dat alleen untagged frames door de phone worden geforward. In jouw geval gaat dit niet werken, omdat de Cisco 7940 en 7960 dit nou net niet ondersteunen.

NB cisco 7912 ondersteund geen van beide opties.
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq