Hi!

"Eine weitere Sicherheitsmaßnahme ist mittels Identifizierung über die Ethernet oder IP Adressen die Schaffung von separaten Voice VLANs für alle Telefone wie in Bild 3 gezeigt. Dieses Konzept funktioniert bei Hardware Telefonen, macht aber Schwierigkeiten bei Softphones, da diese nicht anhand ihrer Ethernet oder IP Adresse als Telefon erkennbar sind. Da Telefon-Sessions nicht über feste Portnummern laufen, ist derzeit auch kein generisches Prinzip möglich, ein Voice VLAN auf Softphones auszudehnen.

Das würde ich nicht wirklich als Sicherheitsfeature ansehen, denn das Taggen von Paketen kann prinzipell auch ein PC und die MAC-Adresse fälschen ebenfalls. Das VLAN ist vor allem auch wegen der Paketpriorisierung wichtig. Sprachkommunikation reagiert empfindlicher auf Paketverlust und -laufzeiten als allgemeiner Datenverkehr.

Die Betriebskomplexität wird durch Voice VLAN‘s erhöht, da alle Etagenswitches, an denen Telefone und PC‘s angeschlossen sind, dann mit Tagging am Uplink konfiguriert werden müssen.

Ja, aber so ein großer Aufwand war das letztlich nun auch wieder nicht. Zumindest, wenn man sowieso schon VLANs für diverse netzwerktechnischen Dinge konfiguriert hat, fällt das bisschen Telefon-VLAN nicht ins Gewicht.

Lo!