!guide_close_btn!

【交换机在江湖】交换机与IP话机对接典型案例(十)

[复制链接]
发表于 : 2014-12-18 15:00:37 最新回复:2017-11-20 11:37:58
5028 3
交换机在江湖 官方号

配置NAC认证 Voice VLAN实现IP话机接入交换机示例

NAC认证 Voice VLAN介绍

网络中经常有数据、语音、视频等多种流量同时传输。因为丢包和时延对通话质量的影响很大,用户对语音的质量比数据或者视频的质量更为敏感,因此在带宽有限的情况下就需要优先保证通话质量。Voice VLAN是为用户的语音流专门划分的VLAN。通过配置Voice VLAN,交换机可识别语音流,将语音流加入到Voice VLAN中传输,并对其进行有针对性的QoS保障,当网络发生拥塞时可以优先保证语音流的传输。

通过NAC认证,可以对接入用户进行安全控制,提供了端到端的安全保证。

配置注意事项

本举例适用于S系列交换机所有产品的所有版本。

组网需求

1-13所示,Switch下行连接数据业务和语音业务,Switch使用VLAN200传输语音报文,使用VLAN100传输数据报文。IP Phone APC A串行接入SwitchIP Phone B单独接入SwitchIP Phone支持802.1x协议且可通过LLDP协议获取交换机上配置的Voice VLAN信息。用户对语音通话质量较敏感,需要提高语音数据流的传输优先级,以保证用户的通话质量。

配置NAC认证 Voice VLAN实现IP话机接入交换机示例图

20170106141457600001.png

?

配置思路

可以在交换机上启用NAC认证功能和Voice VLAN功能实现IP语音接入。采用如下的思路配置:

1.???????? Switch上创建VLAN,并配置各接口加入VLAN,实现二层互通。VLAN200作为语音VLANVLAN100作为数据VLAN且作为GE1/0/1的缺省VLAN

2.???????? 配置Voice VLAN功能。

3.???????? 使能LLDP,实现IP Phone能通过LLDP协议获取到Voice VLAN信息。

4.???????? 配置802.1x认证和AAA认证域。

5.???????? 配置RADIUS认证服务器,如配置PCIP Phone的用户名和密码(如果不需要认证,这一步可忽略)。

说明

l? 本举例中使用的IP电话型号为Avaya 9620RADIUS服务器为CiscoSecure ACS

l? Avaya IP电话的定时器超时可能会导致IP电话不能正常接入,因此请在IP电话上设置定时器周期值为0(不超时),按如下步骤修改VLAN TEST定时器:1,按*键,输入密码,进入菜单项;2,选择VLAN TEST项,修改默认值(60s)为0

l? RADIUS模板内配置的IP地址和共享密码要和RADIUS服务器上保持一致。

l? Switch1的配置与Switch类似,本举例略。

操作步骤

步骤一 配置SwitchVLAN和接口

# 创建VLAN

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 100 200

# 配置接口GE1/0/1PVID及允许通过的数据VLAN

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type hybrid
[Switch-GigabitEthernet1/0/1] port hybrid pvid vlan 100
[Switch-GigabitEthernet1/0/1] port hybrid untagged vlan 100
[Switch-GigabitEthernet1/0/1] quit

?步骤二 配置Voice VLANOUI地址,GE1/0/2的配置与GE1/0/1类似,不再赘述

[Switch] voice-vlan mac-address 0004-0D00-0000 mask ffff-ff00-0000?? //OUI对应IP PhoneMAC地址,组网中请以实际为准
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] voice-vlan 200 enable? //
配置语音VLAN200
[Switch-GigabitEthernet1/0/1] port hybrid tagged vlan 200
[Switch-GigabitEthernet1/0/1] voice-vlan remark-mode mac-address? //
配置Voice VLAN按照话机的MAC地址识别语音报文
[Switch-GigabitEthernet1/0/1] voice-vlan security enable? //
配置接口为安全模式,对于该接口收到的其他MAC地址的报文丢弃
[Switch-GigabitEthernet1/0/1] quit

?步骤三 使能LLDP

[Switch] lldp enable

?步骤四 配置802.1x认证和AAA认证域

# NAC配置模式切换成传统模式。

[Switch] undo authentication unified-mode
[Switch] quit
<Switch> save

系统会提示将当前配置保存至设备,是否继续,输入y即可。

# 重启设备

<Switch> reboot

系统会提示即将重新启动,是否继续,输入y即可。

说明

V200R005C00及后续版本需要此配置。传统模式与统一模式相互切换后,管理员必须重启设备,新配置模式的各项功能才能生效。

# 使能802.1x认证。

<Switch> system-view
[Switch] dot1x enable
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x enable
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] dot1x enable
[Switch-GigabitEthernet1/0/2] quit

# 配置RADIUS服务器。

[Switch] radius-server template cmn? //创建名为cmnRADIUS服务器模板
[Switch-radius-cmn] radius-server authentication 10.136.6.132 1812? //
配置RADIUS认证服务器的IP地址和端口号
[Switch-radius-cmn] radius-server accounting 10.136.6.132 1813? //
配置RADIUS计费服务器的IP地址和端口号
[Switch-radius-cmn] quit

# 配置AAA认证域。

[Switch] aaa
[Switch-aaa] authentication-scheme cmn? //
创建名为cmn的认证方案
[Switch-aaa-authen-cmn] authentication-mode radius? //
配置该认证方案的授权模式为RADIUS
[Switch-aaa-authen-cmn] quit
[Switch-aaa] accounting-scheme cmn? //
创建名为cmn的计费方案
[Switch-aaa-accounting-cmn] accounting-mode radius? //
配置该计费方案的计费模式为RADIUS
[Switch-aaa-accounting-cmn] quit
[Switch-aaa] domain default? //
配置默认域的认证方案和计费方案以及RADIUS服务器
[Switch-aaa-domain-default] authentication-scheme cmn
[Switch-aaa-domain-default] accounting-scheme cmn
[Switch-aaa-domain-default] radius-server cmn
[Switch-aaa-domain-default] quit
[Switch-aaa] quit

?步骤五 配置RADIUS服务器。对于主机与IP Phone串联的场景,在认证服务器上IP Phone的用户名和密码需要绑定voice-vlan。如1-14所示

RADIUS认证服务器配置示意图

20170106141500897004.png

?

V200R006版本,进行了如下优化:

l?? V200R006之前版本,通过在RADIUS服务器上配置voice-vlan的属性字段(device-traffic-class=voice)识别voice VLAN,进行语音业务的认证。如1-15所示。

V200R006及之后版本,不再通过RADIUS服务器上voice-vlan的属性字段识别voice VLAN,变更为通过在交换机上配置voice-vlan? X enable识别voice VLAN,进行语音业务的认证。

RADIUS认证服务器配置voice-vlan属性示意图

20170106141501807005.png

?

l?? V200R006之前版本,一个接口下同一个VLAN可以同时进行数据业务和语音业务的认证。而在V200R006及之后版本,一个接口下的一个VLAN要么进行数据业务的认证,要么进行语音业务的认证,不能同时既进行数据业务的认证,又进行语音业务的认证。

?步骤六 验证配置结果

IP Phone能正常上线并实现清晰的语音通话。

PC能正常上线。

----结束

配置文件

Switch的配置文件

#
sysname Switch
#
voice-vlan mac-address 0004-0d00-0000 mask ffff-ff00-0000
#
vlan batch 100 200
#
undo authentication unified-mode
#
dot1x enable
#
lldp enable
#
radius-server template cmn?????????????????????
?radius-server authentication 10.136.6.132 1812 weight 80
?radius-server accounting 10.136.6.132 1813 weight 80
#??
aaa???????????
?authentication-scheme cmn?????????????????????
? authentication-mode radius???????????????????
?accounting-scheme cmn?????????????????????????
? accounting-mode radius???????????????????????
?domain default??? ?????????????????????????????
? authentication-scheme cmn????????????????????
? accounting-scheme cmn????????????????????????
? radius-server cmn???
#
interface GigabitEthernet1/0/1
?port link-type hybrid
?voice-vlan 200 enable
?voice-vlan remark-mode mac-address
?voice-vlan security enable
?port hybrid pvid vlan 100?????
?port hybrid tagged vlan 200
?port hybrid untagged vlan 100????
?dot1x enable?
#
interface GigabitEthernet1/0/2
?port link-type hybrid
?voice-vlan 200 enable
?voice-vlan remark-mode mac-address
?voice-vlan security enable
?port hybrid tagged vlan 200
?dot1x enable?
#
return

?

?????????????????????? 如需下载文档,请点击? S1720&2700&S3700&S5700&S6700&S7700&S9700 对接专题资料

?

?????????????????????????????????? 想要了解更多精彩内容,请猛戳我:交换机在江湖汇总贴

???????????????????

本帖最后由 交换机在江湖 于 2017-01-06 16:01 编辑

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
kargay
kargay   发表于 2015-1-3 18:48:54 已赞(0) 赞(0)

好资料,学习了。
  • x
  • 常规:

点评 回复

员Lemon  专家 发表于 2014-12-18 17:22:44 已赞(0) 赞(0)

好资料顶起来~~
  • x
  • 常规:

点评 回复

地蛋
地蛋   发表于 2017-11-20 11:37:58 已赞(0) 赞(0)

谢谢分享...12154347
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!

登录参与交流分享

登录

华为企业互动社区
华为企业互动社区
屏蔽
!block_confirm_cont!