[Tout sur les commutateurs] Exemple pour connecter un commutateur de série S à un téléphone IP Us

84 0 0 0

[Tout sur les commutateurs] Exemple pour connecter un commutateur de série S à un téléphone IP Us

 

 

1.1 Vue d'ensemble du NAC

Network Admission Control (NAC) est un cadre d'accès sécurisé de bout en bout et comprend l'authentification 802.1x, l'authentification d'adresse MAC et l'authentification Portal. Le protocole 802.1x est un protocole de contrôle d'accès au réseau basé sur l'interface qui authentifie des dispositifs d'accès connectés à des interfaces de dispositifs de contrôle d'accès LAN, de manière à contrôler l'accès aux ressources de réseau.

Les modes d'authentification NAC sont classés en mode commun et en mode unifié. Les commutateurs dans les versions antérieures à V200R005C00 ne supportent que le mode commun. Les commutateurs dans V200R005C00 et les versions ultérieures supportent les deux modes. Le mode par défaut est un mode unifié.

1.2 Version et modèle applicables

Version et modèle de commutateur

Modèle de téléphone IP

Tous les modèles de toutes les versions

Les téléphones IP qui prennent en charge le protocole 802.1x tel que les téléphones IP Avaya et Link Layer Discovery Protocol (LLDP) doivent être activés sur le commutateur

 

La configuration dans cet exemple est exécutée sur un commutateur dans V200R006C00 Les différences entre les versions sont décrites à la section1.8 Sommaire.

1.3 Exigences de réseaux

Les flux de données vocales des services HSI, VoIP et IPTV sont transmis sur un réseau. Les utilisateurs exigent une qualité élevée du service VoIP. Les utilisateurs exigent une haute qualité du service vocal. Par conséquent, les flux de données vocales doivent être transmis avec une haute priorité pour assurer la qualité du service vocal. Les utilisateurs ont des exigences de sécurité élevées. Par conséquent, seuls les dispositifs vocaux authentifiés peuvent accéder au réseau.

Comme indiqué dans la figure suivante, le téléphone IP prend en charge l'authentification 802.1x et transmet les paquets vocaux avec la priorité par défaut 802.1p de 5. Configurez NAC sur le commutateur. Le commutateur utilise l'authentification 802.1x pour authentifier le téléphone IP, et obtient l'ID de VLAN vocal configuré sur le serveur Remote Authentication Dial In User Service (RADIUS). Le commutateur utilise ensuite LLDP pour attribuer l'ID de VLAN vocal au téléphone IP. La priorité par défaut 802.1p dans les paquets vocaux envoyés par le téléphone IP est 5. Le commutateur maintient et confie la priorité 802.1p des paquets vocaux.

https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2015/0924/15/5603ac6dc3d27.png

1.4 Plan de données

Plan de VLAN : Les flux vocaux (VoIP) sont transmis dans VLAN 300 et les flux de données (HIS et IPTV) sont transmis dans VLAN 500.

1.5 Plan de configuration

Le plan de configuration est le suivant :

l   Créer des VLAN dans lesquels les flux vocaux et les flux de données sont transmis.

l   Configurez l'authentification 802.1x pour authentifier le téléphone IP.

l   Configurez le commutateur pour utiliser LLDP pour attribuer un ID de VLAN vocal au téléphone IP.

1.6 Procédure

 Etape 1 : Créer les VLANs dans lesquels les flux vocaux et les flux de données sont transmis sur le commutateur.

<HUAWEI> system-view

[HUAWEI] vlan batch 300 500

 

Etape 2 : Configurer le type d'interface et le défaut VLAN ID de port (PVID) pour le transfert de flux de données.

Ajoutez une interface au VLAN vocal pour le transfert vocal.

[HUAWEI] interface gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1] port link-type hybrid // Configurer l'interface reliant le commutateur au téléphone IP à une interface hybride de sorte qu'elle puisse transmettre à la fois les flux vocaux et les flux de données.

[HUAWEI-GigabitEthernet1/0/1] port hybrid pvid vlan 500 // Établir l'ID VLAN par défaut de l'interface à 500. Cette configuration permet GE1/0/1 à d'étiqueter les paquets non étiquetés reçus avec VLAN 500 et transmettre les paquets dans le 500 VLAN. Cette configuration est généralement utilisée pour le transfert de paquets de données.

[HUAWEI-GigabitEthernet1/0/1] port hybrid untagged vlan 500 // Configurer GE1/0/1 pour supprimer l'étiquette VLAN d'un paquet dont l'ID de VLAN est 500 avant d'envoyer le paquet de sorte que les utilisateurs en aval reçoivent des paquets non étiquetés.

[HUAWEI-GigabitEthernet1/0/1] port hybrid tagged vlan 300 // Ajouter l'interface au VLAN de voix de sorte que l'interface puisse transmettre les flux vocaux.

[HUAWEI-GigabitEthernet1/0/1] quit

 

Etape 3 : Configurer l’authentification 802.1x pour authentifier le téléphone IP.

1.     Configurer le serveur RADIUS.

[HUAWEI] radius-server template cmn // Créer le serveur RADIUS de template cmn.

[HUAWEI-radius-cmn] radius-server authentication 10.1.1.6 1812 // Configurer l'adresse IP et le numéro de port pour le serveur RADIUS.

[HUAWEI-radius-cmn] quit

2.     Configurer le domaine d'authentification AAA.

[HUAWEI] aaa / / Entrer la vue AAA.

[HUAWEI-aaa] authentication-scheme cmn // Créer un schéma d'authentification AAA cmn.

[HUAWEI-aaa-authen-cmn] authentication-mode radius // Mettre le mode d'authentification à RADIUS.

[HUAWEI-aaa-authen-cmn] quit

[HUAWEI-aaa] domain default // Utilisez le domaine d'authentification par défaut.

[HUAWEI-aaa-domain-default] authentication-scheme cmn // Lier le schéma d'authentification configuré avec le domaine.

[HUAWEI-aaa-domain-default] radius-server cmn //Lier le modèle de serveur RADIUS configuré cmn avec le domaine.

[HUAWEI-aaa-domain-default] quit

[HUAWEI-aaa] quit

 

3.     Activer l'authentification 802.1x.

[HUAWEI] interface gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1] authentication dot1x

[HUAWEI-GigabitEthernet1/0/1] quit

Si le commutateur exécute une version antérieure à V200R005C00 ou utilise un mode commun, exécutez la commande suivante pour activer l'authentification 802.1x. Exécutez la commande display authentication mode pour vérifier le mode NAC.

[HUAWEI] dot1x enable

[HUAWEI] interface gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1] dot1x enable

[HUAWEI-GigabitEthernet1/0/1] quit

 

Etape 4 : Configurer le serveur RADIUS. Note : Définissez l'attribut device-traffic-class du VLAN vocal au voice sur le serveur RADIUS. Changez le VLAN non étiqueté autorisé pour VLAN étiqueté et définissez l'ID de VLAN vocal à 300.

https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2015/0924/15/5603ac6de1e3f.png

 

Etape 5 : Activer LLDP de sorte que le commutateur puisse attribuer un ID de VLAN vocal obtenu au téléphone IP.

[HUAWEI] lldp enable

 

Etape 6 : Configurer l'interface pour faire confiance et maintenir la priorité 802.1p des paquets.

[HUAWEI] interface gigabitethernet 1/0/1

HUAWEI-GigabitEthernet1/0/1] trust 8021p // Configurer GE1/0/1 pour faire confiance à la priorité 802.1p transportée dans les paquets. Exécutez la commande trust 8021p inner sur les commutateurs modulaires.

[HUAWEI-GigabitEthernet1/0/1] quit

 

Etape 7 : Configurer l'interface de liaison montante pour transmettre de manière transparente les flux vocaux et les flux de données à partir de VLAN 300 et VLAN 500.

[HUAWEI] interface gigabitethernet 1/0/2

[HUAWEI-GigabitEthernet1/0/2] port link-type trunk // Configurer l'interface comme interface trunk pour transmettre de manière transparente les paquets VLAN.

[HUAWEI-GigabitEthernet1/0/2] port trunk allow-pass vlan 300 500

[HUAWEI-GigabitEthernet1/0/2] quit

 

Etape 8: Vérifier la configuration.

·       Exécuter la commande display dot1x  pour vérifier si la configuration de l’authentification 802.1x est correcte.

  [HUAWEI] display dot1x

  Global 802.1x is Enabled

  Authentication method is CHAP

  Max users: 16384

  Current users: 0

  DHCP-trigger is Disabled

  Handshake is Disabled

  Quiet function is Disabled

  Parameter set:Dot1x Handshake Period        60s   Reauthen Period   3600s

                Arp Handshake Period           0s   Client Timeout       5s

                Quiet Period                  60s   Quiet-times          3

                Eth-Trunk Handshake Period   120s

  dot1x URL: Not configed.

  Dropped   EAPOL Access Flow Control       : 0

            EAPOL Check Sysmac Error        : 0

            EAPOL Get Vlan ID Error         : 0

            EAPOL Packet Flow Control       : 0

            EAPOL Online User Reach Max     : 0

            EAPOL Static or BlackHole Mac   : 0

            EAPOL Get Vlan Mac Error        : 0

  Free-ip configuration(IP/mask): Not configed.

                                                                               

 GigabitEthernet1/0/1 status: UP 802.1x protocol is Enabled                 

  Port control type is Auto                                                    

  Authentication mode is MAC-based                                             

  Authentication method is CHAP                                                

  Reauthentication is disabled                                                 

  Maximum users: 8192                                                          

  Current users: 0                                                             

                                                                                

  Authentication Success: 0          Failure: 0                                

  EAPOL Packets: TX     : 0          RX     : 0                                

  Sent      EAPOL Request/Identity Packets  : 0                                

            EAPOL Request/Challenge Packets : 0                                

            Multicast Trigger Packets       : 0                                

            EAPOL Success Packets           : 0                                 

            EAPOL Failure Packets           : 0                                

  Received  EAPOL Start Packets             : 0                                

            EAPOL Logoff Packets            : 0                                 

            EAPOL Response/Identity Packets : 0                                

            EAPOL Response/Challenge Packets: 0                                                    

 

l   Le téléphone IP peut être utilisé pour effectuer des appels téléphoniques. Vérifiez l'entrée MAC du téléphone IP. Vous pouvez voir que l'ID de VLAN est 300.

[HUAWEI] display mac-address 00e0-bb00-1234

-------------------------------------------------------------------------------

MAC Address    VLAN/VSI      Learned-From        Type       

-------------------------------------------------------------------------------

00e0-bb00-1234 300/-           GE0/0/1             dynamic    

                                                                               

-------------------------------------------------------------------------------

Total items displayed = 1

1.7 Fichiers de configuration

Mode commun

#

sysname HUAWEI

#

vlan batch 300 500

#

dot1x enable

#

lldp enable

#                                                                         

radius-server template cmn                    

 radius-server authentication 10.1.1.6 1812 weight 80

aaa          

authentication-scheme cmn                    

  authentication-mode radius                  

domain default                               

  authentication-scheme cmn                   

  radius-server cmn  

#

interface GigabitEthernet1/0/1

port link-type hybrid

port hybrid pvid vlan 500

port hybrid tagged vlan 300

port hybrid untagged vlan 500

dot1x enable

trust 8021p

#

interface GigabitEthernet1/0/2

port link-type trunk

port trunk allow-pass vlan 300 500

#

return

Mode unifié

#

sysname HUAWEI

#

vlan batch 300 500

#

lldp enable

#                                                                         

radius-server template cmn                    

 radius-server authentication 10.1.1.6 1812 weight 80

aaa          

authentication-scheme cmn                    

  authentication-mode radius                  

domain default                               

  authentication-scheme cmn                   

  radius-server cmn  

#

interface GigabitEthernet1/0/1

port link-type hybrid

port hybrid pvid vlan 500

port hybrid tagged vlan 300

port hybrid untagged vlan 500

authentication dot1x

trust 8021p

#

interface GigabitEthernet1/0/2

port link-type trunk

port trunk allow-pass vlan 300 500

#

return

 

1.8 Sommaire

l   Dans cet exemple, le modèle de téléphone IP est Avaya 9620 et le modèle de serveur RADIUS est CiscoSecure ACS. Si le minuteur sur le téléphone IP Avaya est sorti, le téléphone IP peut manquer d'accéder au réseau. Par conséquent, augmentez la valeur de minuteur sur le téléphone IP. Configurez le minuteur de test de VLAN dans la procédure suivante :

1. Press * et entrez le mot de passe pour accéder au menu.

2. Select VLAN Test et change la valeur par défaut (60s) à 0 de sorte que le minuteur ne sera pas chronométré.

·       Si le domaine d’authentification AAA n’est pas le domaine par défaut, exécuter la commande domain test pour créer le domaine test.

[HUAWEI] domain test // créer le domaine test.

 

l   Cet exemple utilise l'authentification 802.1x. L'authentification de l'adresse MAC peut également être utilisée. Changez la commande pour activer l'authentification 802.1x dans l'étape 3 au format suivant pour configurer l'authentification d'adresse MAC.

 Mode commun :

 [HUAWEI] vlan batch 100 // Configurer le VLAN 100 comme VLAN invité pour l'authentification d'adresse MAC.

[HUAWEI] interface gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1] mac-authen

[HUAWEI-GigabitEthernet1/0/1] authentication guest-vlan 100

[HUAWEI-GigabitEthernet1/0/1] mac-authen domain default // Configurer le domaine par défaut comme domaine d'authentification par défaut pour l'authentification d'adresse MAC.

Mode unifié :

 [HUAWEI] interface gigabitethernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1] authentication mac-authen

 

  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier