Ejemplo para conectar los teléfonos IP de Cisco a los switches que utilizan HDP

Publicado 2019-1-22 10:16:17 54 0 0 0

Visión general

Un teléfono IP de Cisco puede obtener una ID de VLAN de voz a través del Protocolo de descubrimiento de Cisco (CDP) solamente, pero no LLDP o DHCP. Un interruptor de Huawei proporciona el Protocolo de descubrimiento de Huawei (HDP) para asignar una ID de VLAN de voz al teléfono de Cisco. Para proporcionar la función HDP, habilite LLDP compatible con CDP en la interfaz.

Notas de configuración

l   Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.

l   Los teléfonos Cisco 7912, Cisco 7940G y Cisco 7960G son PD no estándar. Si se requiere un switch para proporcionar PoE, ejecute el comando poe legacy enable en las interfaces del switch conectado a los teléfonos IP para habilitar la detección de compatibilidad para PD en el PSE.

l   Los teléfonos Cisco SPA 303 no son compatibles con PoE, por lo que debe conectar los teléfonos Cisco SPA 303 a fuentes de alimentación externas y luego conectarlos a los switchs.

Teléfonos IP aplicables

Consulte "1.3 Modos de interconexión admitidos por diferentes modelos de teléfonos IP".

Requerimientos de red

En la figura 1-7:

l   Los teléfonos IP de Cisco están desplegados. Pueden obtener una ID de VLAN de voz solo a través de CDP.

l   La prioridad de los paquetes de voz enviados por teléfonos IP es baja y debe aumentarse para garantizar la calidad de la comunicación.

l   Los paquetes de voz se transmiten en VLAN 100.

l   Las direcciones IP de los teléfonos IP y la dirección IP del servidor DHCP están en diferentes segmentos de red.

l   Los teléfonos IP deben conectarse a los switches a través de la autenticación 802.1x y la autenticación de la dirección MAC

 

Conexión de los teléfonos IP de Cisco a los switches que utilizan HDP.

001133dd99vuk4kwl4lkv6.png?image.png

Mapa de configuración.

El mapa de configuracion es el siguiente:

1.         Configure la función VLAN de voz para mejorar la prioridad de los paquetes de voz de los teléfonos IP.

2.         Active la LLDP compatible con CDP para que el switche asigne una ID de VLAN de voz a los teléfonos IP.

3.         Configure el relé DHCP y las funciones del servidor DHCP para que las direcciones IP se asignen a los teléfonos IP.

4.         Configure la autenticación 802.1x y la autenticación de la dirección MAC para teléfonos IP. (Este paso se puede ignorar si no se requiere autenticación).

Procedimiento

Paso 1 Habilitar la función VLAN de voz en SwitchA.

# Crear VLAN 100.

<HUAWEI> system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 100  //Configure VLAN 100 where voice packets are transmitted. 

# Agregar interfaces a la VLAN de voz.

[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] port link-type hybrid   //In V200R005C00 and later versions, the default link type of an interface is not hybrid, and needs to be manually configured. 
[SwitchA-GigabitEthernet1/0/1] port hybrid tagged vlan 100  //Add the interface to voice VLAN 100 in tagged mode. 
[SwitchA-GigabitEthernet1/0/1] quit 
[SwitchA] interface gigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] port link-type hybrid 
[SwitchA-GigabitEthernet1/0/2] port hybrid tagged vlan 100 
[SwitchA-GigabitEthernet1/0/2] quit 

# Habilitar la función VLAN de vozen la interfaz.

[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] voice-vlan 100 enable 
[SwitchA-GigabitEthernet1/0/1] quit 
[SwitchA] interface gigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] voice-vlan 100 enable 
[SwitchA-GigabitEthernet1/0/2] quit 
[SwitchA] voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000  //In earlier versins of V200R003, the OUI needs to be configured. The OUI corresponds to the IP phone's MAC address. In V200R003 and later versions, the OUI does not need to be configured. 
[SwitchA] voice-vlan mac-address 0021-a08f-0000 mask ffff-ffff-0000

Paso2  Habilitar en SwitchA.

[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] voice-vlan legacy enable 
[SwitchA-GigabitEthernet1/0/1] quit 
[SwitchA] interface gigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] voice-vlan legacy enable 
[SwitchA-GigabitEthernet1/0/2] quit 

Step3  Configurar DHCP relay function y DHCP server.

1. Configure DHCP relay function en SwitchA.

# Configure DHCP relay function en la interfaz.

[SwitchA] dhcp enable  //Enable DHCP globally. By default, DHCP is disabled. 
[SwitchA] interface Vlanif 100  //Create VLANIF 100. 
[SwitchA-Vlanif100] ip address 10.20.20.1 255.255.255.0  //Assign an IP address to VLANIF 100. 
[SwitchA-Vlanif100] dhcp select relay  //Enable the DHCP relay function on VLANIF 100. 
[SwitchA-Vlanif100] dhcp relay server-ip 10.10.20.2  //Configure the DHCP server address on the DHCP relay agent. 
[SwitchA-Vlanif100] quit 

# Crear VLANIF 200.

[SwitchA] vlan batch 200 
[SwitchA] interface Vlanif 200 
[SwitchA-Vlanif200] ip address 10.10.20.1 255.255.255.0  //Configure an IP address for VLANIF 200 for communication with SwitchB. 
[SwitchA-Vlanif200] quit 

# Agregar uplink interface en la  VLAN 200.

[SwitchA] interface gigabitethernet 1/0/3 
[SwitchA-GigabitEthernet1/0/3] port link-type hybrid 
[SwitchA-GigabitEthernet1/0/3] port hybrid pvid vlan 200 
[SwitchA-GigabitEthernet1/0/3] port hybrid untagged vlan 200 
[SwitchA-GigabitEthernet1/0/3] quit 

# Configure default static route.

[SwitchA] ip route-static 0.0.0.0 0.0.0.0 10.10.20.2  //The next hop address of the route corresponds to the IP address of VLANIF 200 on SwitchB. 

2. Configure el SwitchB como DHCP server para asignar IP addresses a los IP phones.

# Configure address pool.

<HUAWEI> system-view 
[HUAWEI] sysname SwitchB 
[SwitchB] ip pool ip-phone  //Create an address pool. 
[SwitchB-ip-pool-ip-phone] gateway-list 10.20.20.1  //Configure the gateway address on the DHCP server. 
[SwitchB-ip-pool-ip-phone] network 10.20.20.0 mask 255.255.255.0  //Configure allocatable IP addresses in the IP address pool. 
[SwitchB-ip-pool-ip-phone] quit 

# Configure funcion DHCP server.

[SwitchB] dhcp enable  //Enable DHCP globally. By default, DHCP is disabled. 
[SwitchB] vlan batch 200 
[SwitchB] interface Vlanif 200  //Create VLANIF 200. 
[SwitchB-Vlanif200] ip address 10.10.20.2 255.255.255.0  //Assign an IP address to VLANIF 200. 
[SwitchB-Vlanif200] dhcp select global  //Configure SwitchB to allocate IP addresses from the global IP address pool to the IP phone. 
[SwitchB-Vlanif200] quit 

# Agregar el downlink interface a la VLAN 200.

[SwitchB] interface gigabitethernet 1/0/3 
[SwitchB-GigabitEthernet1/0/3] port link-type hybrid 
[SwitchB-GigabitEthernet1/0/3] port hybrid pvid vlan 200 
[SwitchB-GigabitEthernet1/0/3] port hybrid untagged vlan 200 
[SwitchB-GigabitEthernet1/0/3] quit

# Configure return route.

[SwitchB] ip route-static 10.20.20.0 255.255.255.0 10.10.20.1

Paso4  Configure la autenticación 802.1x y MAC address authentication para los IP phones.

1. Configure un dominio de autenticación .

# Cree y configure un servidor RADIUS.

[SwitchA] radius-server template cisco  //Create a RADIUS server template named cisco
[SwitchA-radius-cisco] radius-server authentication 192.168.6.182 1812  //Configure the IP address and port number of the RADIUS authentication server. 
[SwitchA-radius-cisco] radius-server accounting 192.168.6.182 1813  //Configure the IP address and port number of the RADIUS accounting server. 
[SwitchA-radius-cisco] quit 

# Configure un esquema de autenticacion.

[SwitchA] aaa 
[SwitchA-aaa] authentication-scheme radius  //Create an authentication scheme named radius
[SwitchA-aaa-authen-radius] authentication-mode radius  //Set the authentication mode to RADIUS. 
[SwitchA-aaa-authen-radius] quit 

# Cree un dominio de autenticación y vincule la plantilla del servidor RADIUS y el esquema de autenticación al dominio de autenticación.

[SwitchA-aaa] domain default  //Configure a domain named default
[SwitchA-aaa-domain-default] authentication-scheme radius  //Bind the authentication scheme radiusto the domain. 
[SwitchA-aaa-domain-default] radius-server cisco  //Bind the RADIUS server template cisco to the domain. 
[SwitchA-aaa-domain-default] quit 
[SwitchA-aaa] quit 

2. Configure la autenticación 802.1x and autenticación MAC address para los IP phones.

           V200R007C00 y versiones anteriores, V200R008C00

# Configure NAC mode en tradicional.

[SwitchA] undo authentication unified-mode  //By default, the switch uses the unified mode. When the traditional and unified modes are switched, the administrator must save the configuration and restart the switch to make the configuration take effect.

# Habilite la autenticación 802.1x y la autenticación MAC address authentication en las interfaces.

[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] dot1x mac-bypass  //Enable MAC address bypass authentication. MAC address authentication is used when 802.1x authentication fails. 
[SwitchA-GigabitEthernet1/0/1] quit 
[SwitchA] interface gigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] dot1x mac-bypass 
[SwitchA-GigabitEthernet1/0/2] quit 

           V200R009C00 y versiones anteriores

# Configure NAC mode en unified.

[SwitchA] authentication unified-mode  //By default, the switch uses the unified mode. When the traditional and unified modes are switched, the administrator must save the configuration and restart the switch to make the configuration take effect.

# Configure los access profiles.

[SwitchA] dot1x-access-profile name cisco  //Create an 802.1x access profile named cisco
[SwitchA-dot1x-access-profile-cisco] quit 
[SwitchA] mac-access-profile name cisco  //Create a MAC access profile named cisco
[SwitchA-mac-access-profile-cisco] quit

# Configure los perfiles de autenticación.

[SwitchA] authentication-profile name cisco  //Configure an authentication profile. 
[SwitchA-authen-profile-cisco] dot1x-access-profile cisco  //Bind the 802.1x access profile cisco to the authentication profile. 
[SwitchA-authen-profile-cisco] mac-access-profile cisco  //Bind the MAC access profile cisco to the authentication profile. 
[SwitchA-authen-profile-cisco] quit

# Aplique los perfiles de autenticación en las interfaces.

[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] authentication-profile cisco  //Bind the authentication profile. 
[SwitchA-GigabitEthernet1/0/1] quit 
[SwitchA] interface gigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] authentication-profile cisco 
[SwitchA-GigabitEthernet1/0/2] quit 

3. Configure el Agile controller. La visualización del Agile controller varía según las versiones. V100R002C10SPC401 se utiliza como ejemplo.

a)       Log in en Agile Controller.

Abra Internet Explorer, ingrese la dirección de acceso de Agile Controller en la barra de direcciones y presione Entrar.

Introduzca el nombre de usuario y la contraseña del administrador. Si inicia sesión en el Agile Controller por primera vez, use el nombre de usuario admin y la contraseña Changeme123. Cambie la contraseña inmediatamente después de iniciar sesión. De lo contrario, no se puede utilizar el Agile Controller.

Se pueden utilizar los siguientes modos de acceso del Agile Controller.

 

Modo de Acceso

Descripción

https://Agile   Controller-IP:8443

Agile Controller-IP especifica la dirección IP del Agile   Controller.

IP de Agile   Controller

Si el puerto   80 está habilitado durante la instalación, puede acceder al Agile Controller   ingresando su dirección IP sin el número de puerto. La URL del Agile   Controller cambiará automáticamente a https: // Agile Controller-IP: 8443.

 

b)         Agregar una cuenta común.

 

        i.            Elija  Resource > User > User Management.

      ii.            Haga Click en Add en el área de operaciones en el lado derecho para crear una cuenta comun

 

001210v342glz6g31wl400.png?image.png

 

c.         Agregar el SwitchA dentro del Agile Controller.

                     i.            Elija Resource > Device > Device Management.

                   ii.            Haga Click en Add. En la pestaña Add Device ,agregue el SwitchA usando la autenticación de  IP phones.

001233chfhrih8cos9s6c5.png?image.png

d.          Agrege la regla de autenticacion

Elija  Policy > Permission Control > Authentication & Authorization > Authentication Rule y haga  click en Add para crear la regla de autenticación.

001248svcizzfrjprpbpih.png?image.png

Step5  Verificar la configuración.

l   ILos IP phones pueden obterne la VLAN ID de voz y una IP addresses.

l  La información de salida del comando display access-user en el SwitchA muestra la información de conexión sobre los IP phones.

----FIN

Archivos de Configuración

l   SwitchA archivo de configuración (V200R007C00 and posteriores versiones y V200R008C00)


sysname SwitchA 

voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000 
voice-vlan mac-address 0021-a08f-0000 mask ffff-ffff-0000 

vlan batch 100 200 

undo authentication unified-mode 
#   
dhcp enable 

radius-server template cisco 
 radius-server authentication 192.168.6.182 1812 weight 80 
 radius-server accounting 192.168.6.182 1813 weight 80 

aaa 
 authentication-scheme radius 
  authentication-mode radius 
 domain default 
  authentication-scheme radius 
  radius-server cisco 

interface Vlanif100 
 ip address 10.20.20.1 255.255.255.0 
 dhcp select relay 
 dhcp relay server-ip 10.10.20.2 

interface Vlanif200 
 ip address 10.10.20.1 255.255.255.0 

interface GigabitEthernet1/0/1        
 port link-type hybrid 
 voice-vlan 100 enable 
 voice-vlan legacy enable 
 port hybrid tagged vlan 100 
 dot1x mac-bypass 

interface GigabitEthernet1/0/2        
 port link-type hybrid 
 voice-vlan 100 enable 
 voice-vlan legacy enable 
 port hybrid tagged vlan 100 
 dot1x mac-bypass 

interface GigabitEthernet1/0/3        
 port link-type hybrid 
 port hybrid pvid vlan 200 
 port hybrid untagged vlan 200 

ip route-static 0.0.0.0 0.0.0.0 10.10.20.2 

return 

l   SwitchA archivo de configuración (V200R009C00 and anteriores versiones)


sysname SwitchA 

vlan batch 100 200 

authentication-profile name cisco 
 dot1x-access-profile cisco 
 mac-access-profile cisco 

dhcp enable 

radius-server template cisco 
 radius-server authentication 192.168.6.182 1812 weight 80 
 radius-server accounting 192.168.6.182 1813 weight 80 

aaa 
 authentication-scheme radius 
  authentication-mode radius 
 domain default 
  authentication-scheme radius 
  radius-server cisco 

interface Vlanif100 
 ip address 10.20.20.1 255.255.255.0 
 dhcp select relay 
 dhcp relay server-ip 10.10.20.2 

interface Vlanif200 
 ip address 10.10.20.1 255.255.255.0 

interface GigabitEthernet1/0/1        
 port link-type hybrid 
 voice-vlan 100 enable 
 voice-vlan legacy enable 
 port hybrid tagged vlan 100 
 authentication-profile cisco 

interface GigabitEthernet1/0/2        
 port link-type hybrid 
 voice-vlan 100 enable 
 voice-vlan legacy enable 
 port hybrid tagged vlan 100 
 authentication-profile cisco 

interface GigabitEthernet1/0/3        
 port link-type hybrid 
 port hybrid pvid vlan 200 
 port hybrid untagged vlan 200 

ip route-static 0.0.0.0 0.0.0.0 10.10.20.2 

dot1x-access-profile name cisco 

mac-access-profile name cisco 

return 

l   SwitchB archivo de configuración


sysname SwitchB 

vlan batch 200 

dhcp enable 

ip pool ip-phone 
 gateway-list 10.20.20.1  
 network 10.20.20.0 mask 255.255.255.0  

interface Vlanif200 
 ip address 10.10.20.2 255.255.255.0 
 dhcp select global 

interface GigabitEthernet1/0/3 
 port link-type hybrid 
 port hybrid pvid vlan 200 
 port hybrid untagged vlan 200 

ip route-static 10.20.20.0 255.255.255.0 10.10.20.1 

return 

 

 

 

 

 

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba