Exemple de connexion de téléphones IP à des commutateurs via l'authentification NAC et le VLAN voix
Vue d'ensemble
Les services de données, voix et vidéo sont souvent transmis simultanément sur un réseau. La perte et le retard de paquets affectent gravement la qualité de la communication vocale, qui nécessite une priorité de transmission supérieure à celle des services de données ou vidéo. Les données vocales doivent recevoir une préférence de transmission lorsque la bande passante est limitée. Un VLAN voix est utilisé pour transmettre des flux de données vocales. Vous pouvez configurer un VLAN voix sur le commutateur afin que les flux de voix soient transmis dans le VLAN voix. La qualité de service peut être configurée dans le VLAN voix afin que les flux vocaux soient transmis de manière préférentielle en cas d'encombrement.
L'authentification NAC contrôle l'accès aux utilisateurs et fournit une garantie de sécurité de bout en bout.
Notes de configuration
Cet exemple s’applique à toutes les versions de tous les commutateurs de la série S.
Exigences de mise en réseau
Dans la figure 1-1, le commutateur se connecte à des téléphones IP et à un PC et transmet les paquets vocaux et de données dans le VLAN 200 et le VLAN 100 respectivement. Les téléphones IP A et PC A se connectent au commutateur en mode intégré et le téléphone IP B se connecte au commutateur. Les téléphones IP prennent en charge 802.1x et obtiennent des informations de VLAN voix sur le commutateur via LLDP. Les flux de données vocales doivent être transmis avec une priorité élevée pour garantir la qualité des appels VoIP demandée par les utilisateurs.
Figure 1-1 Connexion des téléphones IP aux commutateurs via l'authentification NAC et le VLAN voix
Configuration Roadmap
La configuration roadmap est la suivante:
Créez des VLAN sur le commutateur et ajoutez des interfaces à ces derniers pour implémenter la connectivité de couche 2. Configurez le VLAN 200 en tant que VLAN voix et le VLAN 100 en tant que VLAN de données et VLAN par défaut de GE1/0/1.
Configurez la fonction VLAN voix.
Activez le protocole LLDP pour que les téléphones IP puissent obtenir des informations sur le VLAN vocal via le protocole LLDP.
Configurez l'authentification 802.1x et AAA.
Configurez le serveur RADIUS, par exemple, les noms d'utilisateur et les mots de passe des PC et des téléphones IP. (Si l'authentification n'est pas requise, ignorez cette étape.)
Cet exemple utilise Avaya 9620 en tant que téléphone IP et Cisco Secure ACS en tant que serveur RADIUS.
Lorsque le délai du téléphone IP Avaya expire, il est possible que le téléphone IP ne soit pas connecté. La valeur de VLAN TEST sur le téléphone IP doit être définie sur 0, ce qui indique que la minuterie ne va pas expirer. Modifiez la valeur de la minuterie VLAN TEST du téléphone IP: Appuyez sur la touche étoile (*) et entrez le mot de passe pour accéder au menu. Sélectionnez VLAN TEST et définissez la valeur par défaut sur 0.
Assurez-vous que l'adresse du serveur RADIUS et la clé partagée du modèle de serveur RADIUS sont identiques aux paramètres du serveur RADIUS.
La configuration de Switch1 est similaire à celle du commutateur.
Procédure
Étape 1 Configurez les VLAN et les interfaces sur le commutateur.
#Créer des VLAN.
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 100 200
# Définissez le PVID et le VLAN autorisés par GE1/0/1.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type hybrid
[Switch-GigabitEthernet1/0/1] port hybrid pvid vlan 100
[Switch-GigabitEthernet1/0/1] port hybrid untagged vlan 100
[Switch-GigabitEthernet1/0/1] quit
Étape 2 Configurez le VLAN voix et le OUI. La configuration de GE1 / 0/2 est similaire à celle de GE1/0/1.
[Switch] voice-vlan mac-address 0004-0D00-0000 mask ffff-ff00-0000 //It refers to the IP phone's MAC address corresponding to the OUI.
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] voice-vlan 200 enable //Configure voice VLAN 200.
[Switch-GigabitEthernet1/0/1] port hybrid tagged vlan 200
[Switch-GigabitEthernet1/0/1] voice-vlan remark-mode mac-address //Configure the switch to identify voice packets in the voice VLAN based on MAC addresses of IP phones.
[Switch-GigabitEthernet1/0/1] voice-vlan security enable //Configure the secure mode. The interface discards packets of which the MAC addresses do not match the OUIs.
[Switch-GigabitEthernet1/0/1] quit
Étape 3 Activer le protocole LLDP.
[Switch] lldp enable
Étape 4 Configurez l'authentification 802.1x et AAA.
#Basculez le mode NAC en mode traditionnel
[Switch] undo authentication unified-mode
[Switch] quit
<Switch> save
Le système vous demande de sauvegarder la configuration sur le périphérique et de poursuivre l'opération. Entrez y.
# Redémarrez l'appareil.
<Switch> reboot
Le système affiche un message indiquant que le système va redémarrer et vous demande si vous souhaitez poursuivre l'opération. Entrez y.
Cette configuration est obligatoire pour V200R005C00 et les versions ultérieures. Une fois que le mode unifié est passé en mode traditionnel, redémarrez le périphérique pour que la configuration prenne effet.
# Activer l'authentification 802.1x.
<Switch> system-view
[Switch] dot1x enable
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x enable
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] dot1x enable
[Switch-GigabitEthernet1/0/2] quit
# Configurez le modèle de serveur RADIUS.
[Switch] radius-server template cmn //Create a RADIUS server template named cmn.
[Switch-radius-cmn] radius-server authentication 10.136.6.132 1812 //Configure the IP address and port number of the RADIUS authentication server.
[Switch-radius-cmn] radius-server accounting 10.136.6.132 1813 //Configure the IP address and port number of the RADIUS accounting server.
[Switch-radius-cmn] quit
# Configurez AAA.
[Switch] aaa
[Switch-aaa] authentication-scheme cmn //Create an authentication scheme named cmn.
[Switch-aaa-authen-cmn] authentication-mode radius //Set the authentication mode to RADIUS.
[Switch-aaa-authen-cmn] quit
[Switch-aaa] accounting-scheme cmn //Create accounting scheme named ancmn.
[Switch-aaa-accounting-cmn] accounting-mode radius //Set the accounting mode to RADIUS.
[Switch-aaa-accounting-cmn] quit
[Switch-aaa] domain default //Configure the authentication and accounting schemes of the default domain and the RADIUS server.
[Switch-aaa-domain-default] authentication-scheme cmn
[Switch-aaa-domain-default] accounting-scheme cmn
[Switch-aaa-domain-default] radius-server cmn
[Switch-aaa-domain-default] quit
[Switch-aaa] quit
Étape 5 Configurez le serveur RADIUS.
Lorsque les hôtes sont connectés à des téléphones IP en mode intégré, liez les noms d'utilisateur et les mots de passe des téléphones IP au VLAN voix sur le serveur RADIUS, comme illustré à la figure 1-2.
Figure 1-2 Mise en réseau du serveur RADIUS
V200R006 fournit l'optimisation suivante:
Dans les versions antérieures de V200R006, l'attribut VLAN voix (device-traffic-class = voice) est configuré sur le serveur RADIUS pour identifier le VLAN voix et authentifier les services vocaux, comme illustré à la figure 1-3.
Dans les versions V200R006 et ultérieure, l'attribut VLAN voix (classe de trafic de périphérique = voix) n'a pas besoin d'être configuré. La commande «voice-vlan X enable» est configurée sur le commutateur pour identifier le VLAN voix et authentifier les services vocaux.
Figure 1-3 Configuration de l'attribut VLAN voix (device-traffic-class = voice) sur le serveur RADIUS
- Dans les versions antérieures de V200R006, les services de données et les services vocaux d'un VLAN sur une interface peuvent être authentifiés simultanément. Dans les versions V200R006 et supérieures, l'authentification est effectuée une à la fois.
Étape 6 Vérifiez la configuration.
Les téléphones IP peuvent aller en ligne et mettre en œuvre une communication vocale.
Les PC peuvent aller en ligne.
--Fin--
Fichiers de configuration
Fichier de configuration du switch
#
sysname Switch
#
voice-vlan mac-address 0004-0d00-0000 mask ffff-ff00-0000
#
vlan batch 100 200
#
undo authentication unified-mode
#
dot1x enable
#
lldp enable
#
radius-server template cmn
radius-server authentication 10.136.6.132 1812 weight 80
radius-server accounting 10.136.6.132 1813 weight 80
#
aaa
authentication-scheme cmn
authentication-mode radius
accounting-scheme cmn
accounting-mode radius
domain default
authentication-scheme cmn
accounting-scheme cmn
radius-server cmn
#
interface GigabitEthernet1/0/1
port link-type hybrid
voice-vlan 200 enable
voice-vlan remark-mode mac-address
voice-vlan security enable
port hybrid pvid vlan 100
port hybrid tagged vlan 200
port hybrid untagged vlan 100
dot1x enable
#
interface GigabitEthernet1/0/2
port link-type hybrid
voice-vlan 200 enable
voice-vlan remark-mode mac-address
voice-vlan security enable
port hybrid tagged vlan 200
dot1x enable
#
return