[Todo sobre Switches] Ejemplo de cómo conectar un Switch Serie S a un Teléfono IP.

99 0 0 0

1.1 Descripción de NAC

El control de admisión a la red (NAC) es un marco de acceso seguro de extremo a extremo e incluye la autenticación 802.1x, la autenticación de la dirección MAC y la autenticación del portal. El protocolo 802.1x es un protocolo de control de acceso a la red basado en la interfaz que autentica los dispositivos de acceso conectados a las interfaces de los dispositivos de control de acceso LAN, para controlar el acceso a los recursos de la red.

Los modos de autenticación NAC se clasifican en modo común y modo unificado. Los conmutadores en versiones anteriores a V200R005C00 solo admiten el modo común. Los conmutadores en V200R005C00 y versiones posteriores admiten ambos modos. El modo por defecto es el modo unificado.

 

1.2 Versión y modelo aplicables

 

Versión y modelo de Switch

Modelo de teléfono IP

Todos los   modelos de todas las versiones.

Los teléfonos   IP que admiten el protocolo 802.1x, como los teléfonos IP de Avaya y el   protocolo de descubrimiento de capa de enlace (LLDP), deben estar habilitados   en el conmutador

La configuración en este ejemplo se realiza en un interruptor en V200R006C00. Las diferencias entre las versiones se describen en la sección 1.8 Resumen.

 


1.3 Requisitos de red.

Los flujos de datos de voz de los servicios HSI, VoIP e IPTV se transmiten en una red. Los usuarios requieren alta calidad del servicio de VoIP. Los usuarios requieren alta calidad del servicio de voz. Por lo tanto, los flujos de datos de voz deben transmitirse con una alta prioridad para garantizar la calidad del servicio de voz. Los usuarios tienen altos requisitos de seguridad. Por lo tanto, solo los dispositivos de voz autenticados pueden acceder a la red.

Como se muestra en la siguiente figura, el teléfono IP admite la autenticación 802.1x y reenvía los paquetes 802.1p de voz con la prioridad predeterminada de 5. El conmutador utiliza la autenticación 802.1x para autenticar el teléfono IP y obtiene la ID de VLAN de voz configurada en el servidor de Servicio de usuario de marcación remota (RADIUS) de autenticación. Luego, el conmutador utiliza LLDP para asignar la ID de VLAN de voz al teléfono IP. La prioridad predeterminada de 802.1p en los paquetes de voz enviados por el teléfono IP es 5. El conmutador mantiene y confía en la prioridad de 802.1p de los paquetes de voz.

032629uw6s7ctccz5d8trn.png

                                                           

1.4  Flujo de  datos

 

Plan de VLAN: los flujos de voz (VoIP) se transmiten en VLAN 300 y los flujos de datos (HIS e IPTV) se transmiten en VLAN 500.

1.5 Mapa de configuración

La ruta de configuración es la siguiente:

l   Crear VLAN en las que se transmiten flujos de voz y flujos de datos.

l   Configure la autenticación 802.1x para autenticar el teléfono IP.

l   Configure el conmutador para utilizar LLDP para asignar una ID de VLAN de voz al teléfono IP.

1.6 Procedimiento

   Paso 1      Cree UN VLAN en los flujos de voz y en los flujos de datos que se transmitirán en el Switch.

 

<HUAWEI>   system-view

[HUAWEI] vlan batch   300 500

Paso 2 Configure el tipo de interfaz y la ID de la VLAN predeterminada del puerto (PVID) para el reenvío de flujo de datos. Agregue una interfaz de la VLAN de voz para el reenvío de flujo de voz.  

 

[HUAWEI] interface   gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1]   port link-type hybrid //Configure   the interface connecting the Switch to the IP phone to a hybrid interface so   that it can forward both voice and data flows.

[HUAWEI-GigabitEthernet1/0/1]   port hybrid pvid vlan 500 //Set   the default VLAN ID of the interface to 500. This configuration enables   GE1/0/1 to tag received untagged packets with VLAN 500 and forward the   packets in VLAN 500. This configuration is usually used for data packet   forwarding.

[HUAWEI-GigabitEthernet1/0/1]   port hybrid untagged vlan 500 //Configure GE1/0/1 to remove the VLAN tag from a packet whose VLAN ID   is 500 before sending the packet so that downstream users receive untagged   packets.

[HUAWEI-GigabitEthernet1/0/1]   port hybrid tagged vlan 300 //Add the interface to the voice VLAN so that the interface can forward   voice flows.

[HUAWEI-GigabitEthernet1/0/1]   quit

 

Paso 3 Configure la autenticación 802.1x para autenticar el teléfono IP.

 

1.    Configure the RADIUS server.

[HUAWEI]   radius-server template cmn //Create   the RADIUS server template cmn.

[HUAWEI-radius-cmn]   radius-server authentication 10.1.1.6 1812 //Configure the IP address and port number for the RADIUS server.

[HUAWEI-radius-cmn] quit

2.    Configure AAA authentication domain.

[HUAWEI] aaa //Enter the AAA view.

[HUAWEI-aaa] authentication-scheme   cmn //Create an AAA   authentication scheme cmn.

[HUAWEI-aaa-authen-cmn] authentication-mode   radius //Set the authentication   mode to RADIUS.

[HUAWEI-aaa-authen-cmn]   quit

[HUAWEI-aaa] domain   default //Use the default   authentication domain.

[HUAWEI-aaa-domain-default] authentication-scheme   cmn //Bind the configured   authentication scheme cmn to the domain.

[HUAWEI-aaa-domain-default] radius-server   cmn //Bind the configured   RADIUS server template cmn to the domain.

[HUAWEI-aaa-domain-default]   quit

[HUAWEI-aaa] quit

3.    Enable 802.1x authentication.

[HUAWEI] interface   gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1]   authentication dot1x

[HUAWEI-GigabitEthernet1/0/1]   quit

If the switch runs a   version earlier than V200R005C00 or uses common mode, run the following   command to enable 802.1x authentication. Run the display   authentication mode command to check NAC mode.

[HUAWEI] dot1x enable

[HUAWEI] interface   gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1]   dot1x enable

[HUAWEI-GigabitEthernet1/0/1]   quit

 Step 4     Configurar el servidor Radius.

 Nota: Configure el atributo device-traffic-class de la VLNA de voz en el servidor RADIUS. Cambien la VLAN sin etiquetar a VLAN etiquetada y configure ID de la VLAN en 300.

032655bts99xhzjhhsjw9h.png  

Paso 5 Habilite el LLDP para que el Switch pueda asignar la VLAN ID de voz que obtu****l teléfono IP.

 

[HUAWEI] lldp   enable

Paso 6  Configure la interfaz en trust y mantenga la prioridad de los paquetes en 802.1p.

 

[HUAWEI] interface   gigabitethernet 1/0/1

HUAWEI-GigabitEthernet1/0/1]   trust 8021p //Configure GE1/0/1 to   trust the 802.1p priority carried in packets. Run the trust 8021p inner command   on modular switches.

[HUAWEI-GigabitEthernet1/0/1]   quit

Paso 7 Configure la interfaz del enlace para transmitir libremente los flujos de datos y de voz de la VLAN 300 a la VLAN 500.

 

[HUAWEI] interface   gigabitethernet 1/0/2

[HUAWEI-GigabitEthernet1/0/2]   port link-type trunk //Configure the interface   as a trunk interface to transparently transmit VLAN packets.

[HUAWEI-GigabitEthernet1/0/2]   port trunk allow-pass vlan 300 500

[HUAWEI-GigabitEthernet1/0/2]   quit

Paso 8 Verificar la configuración.

l  Corra el comando display dot1x para verificar que la configuración de la autenticación 802.1x sea la correcta.

 

[HUAWEI] display   dot1x

  Global 802.1x is Enabled

  Authentication   method is CHAP

  Max   users: 16384

  Current   users: 0

  DHCP-trigger   is Disabled

  Handshake   is Disabled

  Quiet   function is Disabled

  Parameter   set:Dot1x Handshake   Period        60s   Reauthen   Period   3600s

                Arp   Handshake   Period           0s   Client   Timeout       5s

                Quiet   Period                  60s   Quiet-times          3

                Eth-Trunk   Handshake Period   120s

  dot1x   URL: Not configed.

  Dropped   EAPOL   Access Flow Control       : 0

            EAPOL   Check Sysmac Error        : 0

            EAPOL   Get Vlan ID Error         : 0

            EAPOL   Packet Flow Control       : 0

            EAPOL   Online User Reach Max     : 0

            EAPOL   Static or BlackHole Mac   : 0

            EAPOL   Get Vlan Mac Error        : 0

  Free-ip   configuration(IP/mask): Not configed.

                                                                               

 GigabitEthernet1/0/1 status: UP 802.1x protocol   is Enabled                 

  Port   control type is   Auto                                                    

  Authentication   mode is   MAC-based                                             

  Authentication   method is   CHAP                                                

  Reauthentication   is   disabled                                                 

  Maximum   users: 8192                                                          

  Current   users:   0                                                             

                                                                                

  Authentication   Success: 0          Failure:   0                                

  EAPOL   Packets: TX     :   0          RX     :   0                                

  Sent      EAPOL   Request/Identity Packets  :   0                                

            EAPOL   Request/Challenge Packets : 0                                

            Multicast   Trigger Packets       :   0                                

            EAPOL   Success   Packets           :   0                                 

            EAPOL   Failure   Packets           :   0                                

  Received  EAPOL   Start   Packets             :   0                                

            EAPOL   Logoff   Packets            :   0                                 

            EAPOL   Response/Identity Packets :   0                                

            EAPOL   Response/Challenge Packets:   0                                                     

l  El Teléfono IP puede ser usado para hacer llamadas. Revise la dirección MAC en el teléfono IP. Podrá darse cuenta que el ID de la VLAN es 300.

 

[HUAWEI] display   mac-address 00e0-bb00-1234

-------------------------------------------------------------------------------

MAC   Address    VLAN/VSI      Learned-From        Type       

-------------------------------------------------------------------------------

00e0-bb00-1234 300/-           GE0/0/1             dynamic    

                                                                               

-------------------------------------------------------------------------------

Total items displayed   = 1

1.7 Archivos de configuración.

 

 

Common mode

#

sysname HUAWEI

#

vlan batch 300 500

#

dot1x enable

#

lldp enable

#                                                                         

radius-server template   cmn                    

 radius-server authentication 10.1.1.6 1812 weight 80

aaa          

authentication-scheme   cmn                    

  authentication-mode   radius                  

domain   default                               

  authentication-scheme   cmn                   

  radius-server cmn  

#

interface GigabitEthernet1/0/1

port link-type hybrid

port hybrid pvid vlan 500

port hybrid tagged vlan 300

port hybrid untagged vlan 500

dot1x enable

trust 8021p

#

interface GigabitEthernet1/0/2

port link-type trunk

port trunk allow-pass vlan 300 500

#

return

Unified mode

#

sysname HUAWEI

#

vlan batch 300 500

#

lldp enable

#                                                                         

radius-server template   cmn                    

 radius-server authentication 10.1.1.6 1812 weight 80

aaa          

authentication-scheme   cmn                    

  authentication-mode   radius                  

domain   default                               

  authentication-scheme   cmn                   

  radius-server cmn  

#

interface GigabitEthernet1/0/1

port link-type hybrid

port hybrid pvid vlan 500

port hybrid tagged vlan 300

port hybrid untagged vlan 500

authentication dot1x

trust 8021p

#

interface GigabitEthernet1/0/2

port link-type trunk

port trunk allow-pass vlan 300 500

#

return

1.8 Resumen.

l  En este ejemplo, el modelo de teléfono IP es Avaya 9620 y el modelo de servidor RADIUS es CiscoSecure ACS. Si el temporizador del teléfono IP de Avaya se agota, es posible que el teléfono IP no pueda acceder a la red. Por lo tanto, aumente el valor del tiempo en el teléfono IP. Configure el temporizador de prueba VLAN en el siguiente procedimiento:

1.         Presione * e ingrese la contraseña para acceder al menú.

2.         Seleccione VLAN test y cambie el valor predeterminado (60 s) a 0 para que el temporizador no se agote.

l   Si el dominio de autenticación AAA no es el dominio predeterminado, ejecute el comando domain test para crear el dominio test.

 

 

[HUAWEI] domain test   //Create the domain test.

 

l  Este ejemplo utiliza la autenticación 802.1x. También se puede utilizar la autenticación de la dirección MAC. Cambie el comando para habilitar la autenticación 802.1x en el paso 3 al siguiente formato para configurar la autenticación de la dirección MAC.

l   

Common   mode:

[HUAWEI] vlan   batch 100 //Configure VLAN 100 as the   guest VLAN for MAC address authentication.

[HUAWEI] interface   gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1]   mac-authen

[HUAWEI-GigabitEthernet1/0/1]   authentication guest-vlan 100

[HUAWEI-GigabitEthernet1/0/1] mac-authen domain   default //Configure the default   domain as the default authentication domain for MAC address authenticaiton.

Unified   mode:

[HUAWEI] interface   gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1]   authentication mac-authen

 

 

 

 

 

 

 


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión