Exemple de connexion de téléphones IP à des commutateurs à travers une ACL

12 0 0 0

Vue d'ensemble

Si un périphérique vocal ne prend pas en charge LLDP ou DHCP, un commutateur ne peut pas attribuer un ID de VLAN vocal au périphérique vocal. Vous pouvez configurer une politique de trafic sur le commutateur. Ensuite, le commutateur identifie les paquets vocaux en fonction de la politique de trafic et augmente la priorité des paquets vocaux. La mise en œuvre de la politique de trafic sur les modèles de commutateur est différente. Deux méthodes sont disponibles:

l    ACL: Exécutez la commande port add-tag acl sur une interface.

l    Stratégie de trafic simplifié basée sur la liste de contrôle d'accès: Exécutez la commande traffic-remark inbound acl sur une interface.

Notes de configuration

l    Si un téléphone IP envoie des paquets étiquetés et que l'ID de VLAN dans les étiquettes est 0, le commutateur n'ajoute pas l'ID de VLAN vocal aux paquets étiquetés. Par conséquent, le téléphone IP ne peut pas se connecter au commutateur.Vous pouvez modifier la configuration du téléphone IP ou configurer une politique de trafic ou un nouveau marquage pour connecter le téléphone IP au commutateur.

l    Si le téléphone Avaya ne parvient pas à obtenir une adresse IP via DHCP dans les 60 s et que le délai expire, le téléphone Avaya envoie les paquets étiquetés avec le VLAN 0 de manière continue. Le commutateur traite les paquets marqués avec le VLAN 0 de la même manière que les paquets non marqués. En d'autres termes, le commutateur traite les paquets étiquetés avec le VLAN 0 dans le VLAN spécifié par le PVID d'une interface et ces paquets ne sont pas traités dans le VLAN vocal. Par conséquent, le téléphone Avaya ne parvient pas à s'authentifier et ne peut pas se connecter au commutateur.

Vous pouvez utiliser l'une des méthodes suivantes pour résoudre le problème:

-            Dans les versions V200R003C00 et versions ultérieures, Voice-VLAN include-untagged est recommandé. Pour plus de détails, voir 1.11 Exemple de connexion de téléphones IP à des commutateurs via le VLAN voix basé sur OUI . Dans les versions V200R010 et supérieures, exécutez la commande voice-vlan vlan-id enable include-tag0pour permettre au commutateur de traiter les paquets marqués avec le VLAN voix 0 pour les périphériques modulaires S5720EI, S5720HI, S6720EI et S6720S-EI.

-            Modifiez la valeur de la minuterie VLAN TEST du téléphone IP: Appuyez sur la touche astérisque et entrez le mot de passe pour accéder au menu. Sélectionnez TEST VLAN et définissez la valeur par défaut sur 0. Une fois le téléphone Avaya redémarré, les paramètres du minuteur sont inefficaces et doivent être reconfigurés.

l    Les téléphones Cisco 7912, Cisco 7940G et Cisco 7960G sont des PD non standard. Si un commutateur est requis pour fournir une PoE, exécutez la commande poe legacy enable sur les interfaces du commutateur connecté aux téléphones IP pour activer la détection de compatibilité pour les PD sur le PSE.

l    Les téléphones Cisco SPA 303 et Linksys SPA 921 ne prennent pas en charge la technologie PoE. Vous devez donc connecter les téléphones Cisco SPA 303 et Linksys SPA 921 à des sources d'alimentation externes, puis les connecter à des commutateurs.

l    Pour les téléphones Mitel 5212, les options 128, 129, 130 et 131 doivent être configurées dans le groupe d'adresses du serveur DHCP. sinon, les téléphones Mitel 5212 ne peuvent pas identifier les paquets de l'offre DHCP envoyés par le serveur DHCP ni se mettre en ligne. La configuration sur le commutateur est la suivante:

<HUAWEI> system-view 
[HUAWEI] ip pool ip-phone 
[HUAWEI-ip-pool-ip-phone] option 128 ip-address 10.20.20.1 
[HUAWEI-ip-pool-ip-phone] option 129 ip-address 11.20.20.1 
[HUAWEI-ip-pool-ip-phone] option 130 ascii MITEL IP PHONE 
[HUAWEI-ip-pool-ip-phone] option 131 ip-address 11.20.20.1 

l    Ce qui suit décrit les modèles et versions de produits applicables.

Modèles et versions de produits applicables

Produit

modèle du produit

Une version de logiciel

S2700

S2752EI

V100R006C05

S3700

S3700SI et S3700EI

V100R006C05

S3700HI

V200R001C00

S5700

S5700EI

V200R001 (C00 et C01), V200R002C00, V200R003C00, V200R005 (C00 et C01, C02 et C03)

S5700HI

V200R001 (C00 et C01), V200R002C00, V200R003C00, V200R005 (C00SPC500 & C01 & C02)

S5710EI

V200R001C00, V200R002C00, V200R003C00, V200R005 (C00 & C02)

S5720EI

V200R007C00, V200R008C00, V200R009C00, V200R010C00

S5710HI

V200R003C00, V200R005 (C00 & C02 & C03)

S5720HI

V200R006C00, V200R007 (C00 et C10), V200R008C00, V200R009C00, V200R010C00

S6700

S6700EI

V200R001 (C00 et C01), V200R002C00, V200R003C00, V200R005 (C00 et C01)

S6720EI

V200R008C00, V200R009C00, V200R010C00

S6720S-EI

V200R009C00, V200R010C00

S7700

S7703, S7706 et S7712

V200R001 (C00 et C01), V200R002C00, V200R003C00, V200R005C00, V200R006C00, V200R007C00, V200R008C00, V200R009C00, V200R010C00

S9700

S9703, S9706 et S9712

V200R001 (C00 et C01), V200R002C00, V200R003C00, V200R005C00, V200R006C00, V200R007C00, V200R008C00, V200R009C00, V200R010C00

 

Remarque

Pour en savoir plus sur les mappages de logiciels, voir Recherche de mappage de versions pour les commutateurs Huawei Campus .

Téléphones IP applicables

Voir " 1.3 Modes d'interconnexion pris en charge par différents modèles de téléphones IP ".

Exigences Réseau

Dans la figure 1-12 :

l    Les téléphones IP ne peuvent envoyer que des paquets vocaux sans étiquette.

l    La priorité des paquets vocaux doit être accrue pour assurer la qualité de la communication.

l    Les paquets vocaux sont transmis dans le VLAN 100.

l    Les adresses IP des téléphones IP et l'adresse IP du serveur DHCP se trouvent sur des segments de réseau différents.

l    Les téléphones IP doivent se connecter aux commutateurs via l'authentification 802.1x.

Connexion de téléphones IP à des commutateurs via une liste de contrôle d'accès

20170322102817030002.png

 

Feuille de route de configuration

La feuille de route de configuration est la suivante:

1.          Ajoutez une interface à un VLAN en mode sans étiquette pour que les paquets vocaux soient transférés dans le VLAN.

2          Exécutez la commande port add-tag acl pour ajouter l'ID de VLAN voix aux paquets et augmenter la priorité des paquets.

3          Configurez les fonctions de relais et de serveur DHCP de sorte que les adresses IP soient attribuées aux téléphones IP.

4          Configurez l'authentification 802.1x pour les téléphones IP. (Cette étape peut être ignorée si l'authentification n'est pas requise.)

Procédure

Étape 1 Ajoutez une interface sur SwitchA à un VLAN.

# Créer un VLAN 100.

<HUAWEI> system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 100  //Configure VLAN 100 in which voice traffic is transmitted. 

# Ajouter une interface au VLAN 100 en mode sans étiquette.

[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] port link-type hybrid   //In V200R005C00 and later versions, the default link type of an interface is not hybrid, and needs to be manually configured. 
[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 100  //Packets sent by IP phones do not carry tags, so the interface must be join VLAN 100 in untagged mode. 
[SwitchA-GigabitEthernet1/0/1] quit 
[SwitchA] interface gigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] port link-type hybrid 
[SwitchA-GigabitEthernet1/0/2] port hybrid untagged vlan 100 
[SwitchA-GigabitEthernet1/0/2] quit 

Étape 2 Configurez une liste de contrôle d'accès pour identifier les paquets vocaux, ajoutez l'ID de VLAN vocal aux paquets vocaux et augmentez la priorité.

[SwitchA] acl 4000 
[SwitchA-acl-L2-4000] rule permit source-mac 001d-a21a-0000 ffff-ffff-0000  //The IP phone's MAC address uses the 24-bit mask. 
[SwitchA-acl-L2-4000] rule permit source-mac 0021-a08f-0000 ffff-ffff-0000  //This is the MAC address of another IP phone. 
[SwitchA-acl-L2-4000] quit 
[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] port add-tag acl 4000 vlan 100 remark-8021p 6  //Configure ACL 4000. The swith tags VLAN 100 to the packets that match ACL 4000 and changes the 802.1p priority to 6. 
[SwitchA-GigabitEthernet1/0/1] quit 
[SwitchA] interface gigabitethernet 1/0/2  //The configuration of GE1/0/2 is similar to the configuration of GE1/0/1. 
[SwitchA-GigabitEthernet1/0/2] port add-tag acl 4000 vlan 100 remark-8021p 6 
[SwitchA-GigabitEthernet1/0/2] quit

Étape 3 Configurez la fonction de relais DHCP et le serveur DHCP.

1. Configurez la fonction de relais DHCP sur SwitchA.

# Configurez la fonction de relais DHCP sur une interface.

[SwitchA] dhcp enable  //Enable DHCP globally. By default, DHCP is disabled. 
[SwitchA] interface Vlanif 100  //Create VLANIF 100. 
[SwitchA-Vlanif100] ip address 10.20.20.1 255.255.255.0  //Assign an IP address to VLANIF 100. 
[SwitchA-Vlanif100] dhcp select relay  //Enable the DHCP relay function on VLANIF 100. 
[SwitchA-Vlanif100] dhcp relay server-ip 10.10.20.2  //Configure the DHCP server address on the DHCP relay agent. 
[SwitchA-Vlanif100] quit 

# Créer VLANIF 200.

[SwitchA] vlan batch 200 
[SwitchA] interface Vlanif 200 
[SwitchA-Vlanif200] ip address 10.10.20.1 255.255.255.0  //Configure an IP address for VLANIF 200 for communication with SwitchB. 
[SwitchA-Vlanif200] quit 

# Ajoutez l'interface de liaison montante au VLAN 200.

[SwitchA] interface gigabitethernet 1/0/3 
[SwitchA-GigabitEthernet1/0/3] port link-type hybrid 
[SwitchA-GigabitEthernet1/0/3] port hybrid pvid vlan 200 
[SwitchA-GigabitEthernet1/0/3] port hybrid untagged vlan 200 
[SwitchA-GigabitEthernet1/0/3] quit 

# Configurez une route statique par défaut.

[SwitchA] ip route-static 0.0.0.0 0.0.0.0 10.10.20.2  //The next hop address of the route corresponds to the IP address of VLANIF 200 on SwitchB. 

2. Configurez SwitchB en tant que serveur DHCP pour attribuer des adresses IP aux téléphones IP.

# Configurez un pool d'adresses.

<HUAWEI> system-view 
[HUAWEI] sysname SwitchB 
[SwitchB] ip pool ip-phone  //Create an address pool. 
[SwitchB-ip-pool-ip-phone] gateway-list 10.20.20.1  //Configure the gateway address on the DHCP server. 
[SwitchB-ip-pool-ip-phone] network 10.20.20.0 mask 255.255.255.0  //Configure allocatable IP addresses in the IP address pool. 
[SwitchB-ip-pool-ip-phone] quit 

# Configurez la fonction du serveur DHCP.

[SwitchB] dhcp enable  //Enable DHCP globally. By default, DHCP is disabled. 
[SwitchB] vlan batch 200 
[SwitchB] interface Vlanif 200  //Create VLANIF 200. 
[SwitchB-Vlanif200] ip address 10.10.20.2 255.255.255.0  //Assign an IP address to VLANIF 200. 
[SwitchB-Vlanif200] dhcp select global  //Configure SwitchB to allocate IP addresses from the global IP address pool to the IP phone. 
[SwitchB-Vlanif200] quit 

# Ajoutez l’interface de liaison descendante au VLAN 200.

[SwitchB] interface gigabitethernet 1/0/3 
[SwitchB-GigabitEthernet1/0/3] port link-type hybrid 
[SwitchB-GigabitEthernet1/0/3] port hybrid pvid vlan 200 
[SwitchB-GigabitEthernet1/0/3] port hybrid untagged vlan 200 
[SwitchB-GigabitEthernet1/0/3] quit

# Configurez un itinéraire de retour.

[SwitchB] ip route-static 10.20.20.0 255.255.255.0 10.10.20.1

Étape 4 Configurez l'authentification 802.1x pour les téléphones IP.

1. Configurez un domaine d'authentification.

# Créer et configurer un modèle de serveur RADIUS.

[SwitchA] radius-server template cisco  //Create a RADIUS server template named cisco
[SwitchA-radius-cisco] radius-server authentication 192.168.6.182 1812  //Configure the IP address and port number of the RADIUS authentication server. 
[SwitchA-radius-cisco] radius-server accounting 192.168.6.182 1813  //Configure the IP address and port number of the RADIUS accounting server. 
[SwitchA-radius-cisco] quit 

# Configurez un schéma d'authentification.

[SwitchA] aaa 
[SwitchA-aaa] authentication-scheme radius  //Create an authentication scheme named radius
[SwitchA-aaa-authen-radius] authentication-mode radius  //Set the authentication mode to RADIUS. 
[SwitchA-aaa-authen-radius] quit 

# Créez un domaine d'authentification et liez le modèle de serveur RADIUS et le schéma d'authentification au domaine d'authentification.

[SwitchA-aaa] domain default  //Configure a domain named default
[SwitchA-aaa-domain-default] authentication-scheme radius  //Bind the authentication scheme radius to the domain. 
[SwitchA-aaa-domain-default] radius-server cisco  //Bind the RADIUS server template cisco to the domain. 
[SwitchA-aaa-domain-default] quit 
[SwitchA-aaa] quit

2. Configurez l'authentification 802.1x pour les téléphones IP.

-            V200R007C00 et versions antérieures, et V200R008C00

# Définissez le mode NAC sur unifié.

[SwitchA] authentication unified-mode // Par défaut, le commutateur utilise le mode unifié. Lorsque les modes traditionnel et unifié sont activés, l'administrateur doit enregistrer la configuration et redémarrer le commutateur pour que la configuration prenne effet.

# Activer l'authentification d'adresse MAC sur une interface.

[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] authentication dot1x  //Enable 802.1x authentication. 
[SwitchA-GigabitEthernet1/0/1] quit 
[SwitchA] interface gigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] authentication dot1x 
[SwitchA-GigabitEthernet1/0/2] quit 

-            V200R009C00 et versions ultérieures

# Définissez le mode NAC sur unifié.

[SwitchA] authentication unified-mode // Par défaut, le commutateur utilise le mode unifié. Lorsque les modes traditionnel et unifié sont activés, l'administrateur doit enregistrer la configuration et redémarrer le commutateur pour que la configuration prenne effet.

# Configurez les profils d'accès.

[SwitchA] dot1x-access-profile name cisco // Créez un profil d'accès 802.1x nommé cisco . 
[SwitchA-dot1x-access-profile-cisco] quit

# Configurez un profil d'authentification.

[SwitchA] authentication-profile name cisco  //Configure an authentication profile. 
[SwitchA-authen-profile-cisco] dot1x-access-profile cisco  //Bind the 802.1x access profile cisco to the authentication profile. 
[SwitchA-authen-profile-cisco] quit

# Appliquez le profil d'authentification à l'interface.

[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] authentication-profile cisco  //Bind the authentication profile and enable 802.1x authentication. 
[SwitchA-GigabitEthernet1/0/1] quit 
[SwitchA] interface gigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] authentication-profile cisco 
[SwitchA-GigabitEthernet1/0/2] quit 

3. Configurez le contrôleur agile. L'affichage du contrôleur Agile varie selon les versions. V100R002C10SPC401 est utilisé à titre d'exemple.

une.          Connectez-vous au contrôleur Agile.

Ouvrez Internet Explorer, entrez l'adresse d'accès à Agile Controller dans la barre d'adresse et appuyez sur Entrée .

Entrez le nom d'utilisateur et le mot de passe de l'administrateur. Si vous vous connectez au contrôleur Agile pour la première fois, utilisez le nom d'utilisateur super administrateur admin et le mot de passe Changeme123 . Modifiez le mot de passe immédiatement après vous être connecté. Sinon, Agile Controller ne peut pas être utilisé.

Les modes d’accès suivants du contrôleur Agile peuvent être utilisés.

Mode d'accès

La description

https: // Agile Controller-IP: 8443

Agile Controller-IP spécifie l'adresse IP du contrôleur Agile.

Adresse IP du contrôleur agile

Si le port 80 est activé lors de l'installation, vous pouvez accéder au contrôleur Agile en entrant son adresse IP sans le numéro de port. L'URL du contrôleur Agile passera automatiquement à https: // Agile Controller-IP: 8443.

 

b.          Ajouter un compte commun.

je.           Choisissez Ressource > Utilisateur > Gestion des utilisateurs .

ii.         Cliquez sur Ajouter dans la zone d'opération à droite pour créer un compte commun.

20170322102818077003.png

c.          Ajoutez SwitchA au contrôleur Agile.

je.           Choisissez Ressource > Périphérique > Gestion des périphériques .

ii.         Cliquez sur Ajouter . Sur la page Ajouter un périphérique , ajoutez SwitchA utilisé pour authentifier les téléphones IP.

20170322102818525004.png

ré.          Ajouter une règle d'authentification.

Choisissez Stratégie > Contrôle des autorisations > Authentification et autorisation > Règle d'authentification, puis cliquez sur Ajouter pour créer une règle d'authentification.

20170322102819387005.png

e.          Ajouter un résultat d'autorisation.

Choisissez Stratégie > Contrôle des autorisations > Authentification et autorisation > Résultat de l'autorisation, puis cliquez sur Ajouter pour créer un résultat d'autorisation.

20170322102820894006.png

F.           Ajouter une règle d'autorisation.

Une fois la vérification effectuée lors de la phase d'authentification, la phase d'autorisation commence. Au cours de la phase d'autorisation, Agile Controller attribue des droits aux utilisateurs en fonction de règles d'autorisation.

Choisissez Stratégie > Contrôle des autorisations > Authentification et autorisation > Règle d'autorisation,puis cliquez sur Ajouter pour créer une règle d'autorisation. Sélectionnez Type de service comme accès , sélectionnez Voice-VLAN 100 créé à l'étape précédente.

20170322102821438007.png

Étape 5 Vérifiez la configuration.

l    Les téléphones IP peuvent obtenir l'ID de VLAN vocal et les adresses IP.

l    La sortie de commande display access-user sur SwitchA affiche les informations de connexion relatives aux téléphones IP.

----End

Fichiers de configuration

l    Fichier de configuration SwitchA (versions V200R007C00 et antérieures et V200R008C00)


sysname SwitchA 

vlan batch 100 200 

dhcp enable 

radius-server template cisco 
 radius-server authentication 192.168.6.182 1812 weight 80 
 radius-server accounting 192.168.6.182 1813 weight 80 
#                                                                                
acl number 4000                                                                  
 rule 5 permit source-mac 001d-a21a-0000 ffff-ffff-0000 
 rule 10 permit source-mac 0021-a08f-0000 ffff-ffff-0000 

aaa 
 authentication-scheme radius 
  authentication-mode radius 
 domain default 
  authentication-scheme radius 
  radius-server cisco 

interface Vlanif100 
 ip address 10.20.20.1 255.255.255.0 
 dhcp select relay 
 dhcp relay server-ip 10.10.20.2 

interface Vlanif200 
 ip address 10.10.20.1 255.255.255.0 

interface GigabitEthernet1/0/1        
 port link-type hybrid 
 port hybrid untagged vlan 100                                                   
 port add-tag acl 4000 vlan 100 remark-8021p 6 
 authentication dot1x 

interface GigabitEthernet1/0/2        
 port link-type hybrid 
 port hybrid untagged vlan 100                                                   
 port add-tag acl 4000 vlan 100 remark-8021p 6 
 authentication dot1x 

interface GigabitEthernet1/0/3        
 port link-type hybrid 
 port hybrid pvid vlan 200 
 port hybrid untagged vlan 200 

ip route-static 0.0.0.0 0.0.0.0 10.10.20.2 

return 

l    Fichier de configuration SwitchA (V200R009C00 et versions ultérieures)


sysname SwitchA 

vlan batch 100 200 

authentication-profile name cisco 
 dot1x-access-profile cisco 

dhcp enable 

radius-server template cisco 
 radius-server authentication 192.168.6.182 1812 weight 80 
 radius-server accounting 192.168.6.182 1813 weight 80 
#                                                                                
acl number 4000                                                                  
 rule 5 permit source-mac 001d-a21a-0000 ffff-ffff-0000 
 rule 10 permit source-mac 0021-a08f-0000 ffff-ffff-0000 

aaa 
 authentication-scheme radius 
  authentication-mode radius 
 domain default 
  authentication-scheme radius 
  radius-server cisco 

interface Vlanif100 
 ip address 10.20.20.1 255.255.255.0 
 dhcp select relay 
 dhcp relay server-ip 10.10.20.2 

interface Vlanif200 
 ip address 10.10.20.1 255.255.255.0 

interface GigabitEthernet1/0/1        
 port link-type hybrid 
 port hybrid untagged vlan 100                                                   
 port add-tag acl 4000 vlan 100 remark-8021p 6 
 authentication-profile cisco 

interface GigabitEthernet1/0/2        
 port link-type hybrid 
 port hybrid untagged vlan 100                                                   
 port add-tag acl 4000 vlan 100 remark-8021p 6 
 authentication-profile cisco 

interface GigabitEthernet1/0/3        
 port link-type hybrid 
 port hybrid pvid vlan 200 
 port hybrid untagged vlan 200 

ip route-static 0.0.0.0 0.0.0.0 10.10.20.2 

dot1x-access-profile name cisco 

return 


l    Fichier de configuration SwitchB


sysname SwitchB 

vlan batch 200 

dhcp enable 

ip pool ip-phone 
 gateway-list 10.20.20.1  
 network 10.20.20.0 mask 255.255.255.0  

interface Vlanif200 
 ip address 10.10.20.2 255.255.255.0 
 dhcp select global 

interface GigabitEthernet1/0/3 
 port link-type hybrid 
 port hybrid pvid vlan 200 
 port hybrid untagged vlan 200 

ip route-static 10.20.20.0 255.255.255.0 10.10.20.1 

return 

  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page