【交换机在江湖】交换机与IP话机对接典型案例(九)

digest [复制链接]
发表于 : 2014-12-9 15:05:51 最新回复:2015-07-04 14:52:24
3964 3
交换机在江湖
交换机在江湖 官方号

配置通过基于ACL的简化流策略方式实现IP话机接入交换机示例

简介

如果语音设备不支持LLDPDHCP协议,交换机就不能为其分配Voice VLAN。此时也可以通过流策略方式实现IP话机接入,通过流策略识别语音报文,并提升语音报文的优先级。由于各交换机形态对流策略的实现机制有所不同,需要根据具体的交换机形态选择相应的流策略方式。这里提供两种流策略方式:

l?? ACL方式,即通过在接口下配置port add-tag acl命令实现。

l?? 基于ACL的简化流策略方式,即通过在接口下配置traffic-remark inbound acl命令实现。

配置注意事项

l?? 本例适用于盒式所有版本的所有产品。

l?? 本例适用于框式V200R005C00版本及后续版本的所有产品。

适用的IP话机

下面话机是已经经过测试可以正常和交换机对接的话机,后续会根据测试结果持续刷新。

l?? Cisco

cisco7962Gcisco7975Gcisco7942Gcisco9951Gcisco7941Gcisco3905cisco7961Gcisco7971Gcisco8961cisco7945Gcisco7821Gcisco7965Gcisco7970cisco9971cisco7906Gcisco7937GciscoSPA942GciscoSPA508Gcisco8945cisco6945cisco8841ciscoSPA962cisco6941cisco8831

l?? Avaya

avaya1608-Iavaya9650avaya9611Gavaya9630Gavaya1692avaya1120Eavaya9620avaya9621avaya9608avaya1608avaya9641avaya1230avaya1210avaya9610avaya1220avaya9640G

l?? Polycom

Polycom330PolycomCX3000

l?? Mitel

Mitel5340

l?? Nortel

Nortel1140E

组网需求

1-12所示:

l?? IP话机仅支持发送Untagged的语音报文。

l?? 为了保证通话质量,需要识别语音报文并提升语音报文的优先级。

l?? 语音流使用VLAN 100进行通信。

l?? IP话机的IP地址和DHCP服务器的IP地址不在同一个网段。

l?? IP话机需要通过802.1x认证方式,接入交换机。

配置通过基于ACL的简化流策略方式实现IP话机接入交换机组网图

20170106135229416001.png

?

配置思路

采用如下的思路配置通过基于ACL的简化流策略方式实现IP话机接入交换:

1.???????? 接口以Untagged方式加入VLAN,实现语音报文的转发。

2.???????? 通过ACL规则识别语音报文,通过命令traffic-remark inbound acl为语音报文添加Voice VLAN并提升报文的优先级。

3.???????? 配置DHCP RelayDHCP Server功能,为IP话机分配IP地址。

4.???????? 配置IP话机按照802.1x认证方式进行认证。(如果不需要认证,这一步可以忽略)

操作步骤

步骤一 SwitchA的接口加入VLAN

# 创建VLAN100

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 100? //
语音流使用VLAN 100进行通信

# 把接口以Untagged方式加入VLAN 100

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type hybrid?? //
其中V200R005C00及之后版本,默认接口类型不是hybrid,需要手动配置
[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 100? //IP
话机发送的报文不带Tag,所以接口必须要以Untagged方式加入语音VLAN 100
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type hybrid
[SwitchA-GigabitEthernet1/0/2] port hybrid untagged vlan 100
[SwitchA-GigabitEthernet1/0/2] quit

步骤二 配置ACL规则识别语音报文,并为语音报文添加Voice VLAN和提升优先级

[SwitchA] acl 4000
[SwitchA-acl-L2-4000] rule permit source-mac 001d-a21a-0000 ffff-ffff-0000? //IP
话机的MAC地址,使用24位掩码
[SwitchA-acl-L2-4000] rule permit source-mac 0021-a08f-0000 ffff-ffff-0000? //
另一个IP话机的MAC地址
[SwitchA-acl-L2-4000] quit
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 100? //
接口收到的Untagged报文,打上PVID100Tag
[SwitchA-GigabitEthernet1/0/1] traffic-remark inbound acl 4000 8021p 6? //
在接口上配置基于ACL的重标记,对于该接口上匹配ACL 4000的报文,修改Tag802.1p优先级为6
[SwitchA-GigabitEthernet1/0/1] traffic-remark inbound acl 4000 dscp 46? //
对于该接口上匹配ACL 4000的报文,修改Tagdscp优先级为46
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2? //
接口GE1/0/2的配置和接口GE1/0/1一样
[SwitchA-GigabitEthernet1/0/2] port hybrid pvid vlan 100
[SwitchA-GigabitEthernet1/0/2] traffic-remark inbound acl 4000 8021p 6
[SwitchA-GigabitEthernet1/0/2] traffic-remark inbound acl 4000 dscp 46
[SwitchA-GigabitEthernet1/0/2] quit

步骤三 配置DHCP RelayDHCP Server功能

1.配置SwitchADHCP Relay功能

# 配置接口的DHCP Relay功能。

[SwitchA] dhcp enable? //全局使能DHCP功能,缺省未使能
[SwitchA] interface Vlanif 100? //
创建VLANIF100
[SwitchA-Vlanif100] ip address 10.20.20.1 255.255.255.0? //
配置VLANIF100IP地址
[SwitchA-Vlanif100] dhcp select relay? //
使能VLANIF接口DHCP中继功能
[SwitchA-Vlanif100] dhcp relay server-ip 10.10.20.2? //
配置DHCP中继所代理的DHCP服务器地址
[SwitchA-Vlanif100] quit

# 创建VLANIF 200

[SwitchA] vlan batch 200
[SwitchA] interface Vlanif 200
[SwitchA-Vlanif200] ip address 10.10.20.1 255.255.255.0? //
配置VLANIF200IP地址,用于和SwitchB交互
[SwitchA-Vlanif200] quit

# 把上行接口加入VLAN 200

[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type hybrid
[SwitchA-GigabitEthernet1/0/3] port hybrid pvid vlan 200
[SwitchA-GigabitEthernet1/0/3] port hybrid untagged vlan 200
[SwitchA-GigabitEthernet1/0/3] quit

# 配置缺省静态路由。

[SwitchA] ip route-static 0.0.0.0 0.0.0.0 10.10.20.2? //该路由的下一跳对应SwitchB VLANIF200IP地址

2.配置SwitchBDHCP Server,为IP话机分配IP地址

# 配置地址池。

<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] ip pool ip-phone? //
创建一个地址池
[SwitchB-ip-pool-ip-phone] gateway-list 10.20.20.1? //
配置DHCP服务器的出口网关地址
[SwitchB-ip-pool-ip-phone] network 10.20.20.0 mask 255.255.255.0? //
配置该地址池可以分配的网段地址
[SwitchB-ip-pool-ip-phone] quit

# 配置DHCP Server功能。

[SwitchB] dhcp enable? //全局使能DHCP功能,缺省未使能
[SwitchB] vlan batch 200
[SwitchB] interface Vlanif 200? //
创建VLANIF200
[SwitchB-Vlanif200] ip address 10.10.20.2 255.255.255.0? //
配置VLANIFIP地址
[SwitchB-Vlanif200] dhcp select global? //
配置接口采用全局地址池方式为话机分配IP地址
[SwitchB-Vlanif200] quit

# 把下行接口加入VLAN 200

[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] port link-type hybrid
[SwitchB-GigabitEthernet1/0/3] port hybrid pvid vlan 200
[SwitchB-GigabitEthernet1/0/3] port hybrid untagged vlan 200
[SwitchB-GigabitEthernet1/0/3] quit

# 配置回程路由。

[SwitchB] ip route-static 10.20.20.0 255.255.255.0 10.10.20.1

步骤四 配置IP话机按照802.1x认证方式进行认证

1.配置AAA认证域

# 创建并配置RADIUS服务器模板。

[SwitchA] radius-server template cisco? //创建名为"cisco"RADIUS服务器模板
[SwitchA-radius-cisco] radius-server authentication 192.168.6.182 1812? //
配置RADIUS认证服务器的IP地址和端口号
[SwitchA-radius-cisco] radius-server accounting 192.168.6.182 1813? //
配置RADIUS计费服务器的IP地址和端口号
[SwitchA-radius-cisco] quit

# 配置认证方案。

[SwitchA] aaa
[SwitchA-aaa] authentication-scheme radius? //
创建AAA认证方案为“radius”
[SwitchA-aaa-authen-radius] authentication-mode radius? //
配置认证方式为RADIUS
[SwitchA-aaa-authen-radius] quit

# 创建AAA域并配置域的RADIUS服务器模板和认证方案。

[SwitchA-aaa] domain default? //配置default认证域
[SwitchA-aaa-domain-default] authentication-scheme radius? //
绑定AAA认证方案“radius”
[SwitchA-aaa-domain-default] radius-server cisco? //
绑定RADIUS服务器模板“cisco”
[SwitchA-aaa-domain-default] quit
[SwitchA-aaa] quit

2.配置IP话机按照802.1x方式进行认证

??????????? V200R007C00及其之前版本、V200R008C00

# NAC配置模式切换成统一模式。

[SwitchA] authentication unified-mode? //设备默认为统一模式。传统模式与统一模式相互切换后,管理员必须保存配置后重启设备,新配置模式的各项功能才能生效

# 在接口上使能MAC认证。

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] authentication dot1x? //
使能802.1x认证
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] authentication dot1x
[SwitchA-GigabitEthernet1/0/2] quit

??????????? V200R009C00及其之后版本

# NAC配置模式切换成统一模式。

[SwitchA] authentication unified-mode? //设备默认为统一模式。传统模式与统一模式相互切换后,管理员必须保存配置后重启设备,新配置模式的各项功能才能生效

# 配置接入模板。

[SwitchA] dot1x-access-profile name cisco? //创建802.1x接入模板“cisco”
[SwitchA-dot1x-access-profile-cisco] quit

# 配置认证模板。

[SwitchA] authentication-profile name cisco? //配置认证模板
[SwitchA-authen-profile-cisco] dot1x-access-profile cisco? //
绑定802.1x接入模板
[SwitchA-authen-profile-cisco] quit

# 在接口上应用认证模板。

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] authentication-profile cisco? //
绑定认证模板,使能802.1x认证
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] authentication-profile cisco
[SwitchA-GigabitEthernet1/0/2] quit

3.配置Agile ControllerAgile Controller界面显示版本间可能存在差异,请以实际为准。下面以V100R002C00SPC102版本为例,说明配置方法和配置步骤

a.???????? 登录Agile Controller

打开Internet Explorer浏览器,在地址栏输入Agile Controller的访问地址,并按“Enter”。

然后输入管理员帐号和密码。首次登录Agile Controller,请使用超级管理员帐号admin和密码Changeme123。首次登录之后请立即修改密码,否则无法使用Agile Controller

Agile Controller的访问地址支持以下形式:

访问方式

说明

https://Agile Controller-IP:8443

其中,“Agile Controller-IP”Agile ControllerIP地址。

Agile ControllerIP地址

如果在安装时启用了80端口,则允许不输入端口号。通过此种方式访问Agile ControllerURL地址将自动跳转为“https://Agile Controller-IP:8443”

?

b.???????? 增加普通账号。

i.????????? 选择“资源 > 用户 > 用户管理”。

ii.??????? 在右侧操作区域内单击“增加”,创建普通账号。

20170106135230446002.png

c.???????? Agile Controller中添加交换机SwitchA

i.????????? 选择“资源 > 设备 > 设备管理”。

ii.??????? 在右侧操作区域内单击“增加”,在“增加设备”页面,增加对IP话机进行认证的交换机SwitchA

20170106135231685003.png

d.???????? 添加认证规则。

选择“策略 > 准入控制 > 认证授权 > 认证规则”,并单击“增加”,分别创建认证规则。

20170106135232240004.png

e.???????? 添加授权结果。

选择“策略 > 准入控制 > 认证授权 > 授权结果”,并单击“增加”,创建授权结果。

20170106135233950005.png

f.????????? 增加授权规则。

认证阶段的检查通过后,用户的接入过程将进入授权阶段。授权阶段,Agile Controller通过授权规则授予用户权限。

选择“策略 > 准入控制 > 认证授权 > 授权规则”,并单击“增加”,创建授权规则。“业务类型”选择“接入业务”,“授权结果”选择为上一步骤创建的授权结果“允许接入voice-vlan 100”。

20170106135234657006.png

步骤五 检查配置结果

l?? IP话机可以正常获取到正确的语音VLANIP地址。

l?? SwitchA上执行命令display access-user,可以看到IP话机的接入信息。

----结束

配置文件

l?? SwitchA的配置文件(V200R007C00及其之前版本、V200R008C00

#
sysname SwitchA
#
vlan batch 100 200
#
dhcp enable
#
radius-server template cisco
?radius-server authentication 192.168.6.182 1812 weight 80
?radius-server accounting 192.168.6.182 1813 weight 80
#???????????????????????????????????????????????????????????????????????????????
acl number 4000?????????????????????????????????????????????????????????????????
?rule 5 permit source-mac 001d-a21a-0000 ffff-ffff-0000
?rule 10 permit source-mac 0021-a08f-0000 ffff-ffff-0000
#
aaa
?authentication-scheme radius
? authentication-mode radius
?domain default
? authentication-scheme radius
? radius-server cisco
#
interface Vlanif100
?ip address 10.20.20.1 255.255.255.0
?dhcp select relay
?dhcp relay server-ip 10.10.20.2
#
interface Vlanif200
?ip address 10.10.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1???????
?port link-type hybrid
?port hybrid pvid vlan 100?????????????? ????????????????????????????????????????
?port hybrid untagged vlan 100?????????????????????????????????????????????????????????????????
?traffic-remark inbound acl 4000 8021p 6????????????????????????????????????????
?traffic-remark inbound acl 4000 dscp ef
?authentication dot1x
#
interface GigabitEthernet1/0/2???????
?port link-type hybrid
?port hybrid pvid vlan 100??????????????????????????????????????????????????????
?port hybrid untagged vlan 100???????????????????????????????????????????????? ?????????????????
?traffic-remark inbound acl 4000 8021p 6????????????????????????????????????????
?traffic-remark inbound acl 4000 dscp ef
?authentication dot1x
#
interface GigabitEthernet1/0/3???????
?port link-type hybrid
?port hybrid pvid vlan 200
?port hybrid untagged vlan 200
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return

l?? SwitchA的配置文件(V200R009C00及其之后版本)

#
sysname SwitchA
#
vlan batch 100 200
#
authentication-profile name cisco
?dot1x-access-profile cisco
#
dhcp enable
#
radius-server template cisco
?radius-server authentication 192.168.6.182 1812 weight 80
?radius-server accounting 192.168.6.182 1813 weight 80
#???????????????????????????????????????????????????????????????????????????????
acl number 4000???????????? ?????????????????????????????????????????????????????
?rule 5 permit source-mac 001d-a21a-0000 ffff-ffff-0000
?rule 10 permit source-mac 0021-a08f-0000 ffff-ffff-0000
#
aaa
?authentication-scheme radius
? authentication-mode radius
?domain default
??authentication-scheme radius
? radius-server cisco
#
interface Vlanif100
?ip address 10.20.20.1 255.255.255.0
?dhcp select relay
?dhcp relay server-ip 10.10.20.2
#
interface Vlanif200
?ip address 10.10.20.1 255.255.255.0
#
interface GigabitEthernet1/0/1???????
?port link-type hybrid
?port hybrid pvid vlan 100??????????????????????????????????????????????????????
?port hybrid untagged vlan 100?????????????????????????????????????????????????????????????????
?traffic-remark inbound acl 4000 8021p 6????????????????????????????????????????
?traffic-remark inbound acl 4000 dscp ef
?authentication-profile cisco
#
interface GigabitEthernet1/0/2???????
?port link-type hybrid
?port hybrid pvid vlan 100??????????????????????????????????????????? ???????????
?port hybrid untagged vlan 100?????????????????????????????????????????????????????????????????
?traffic-remark inbound acl 4000 8021p 6????????????????????????????????????????
?traffic-remark inbound acl 4000 dscp ef
?authentication-profile cisco
#
interface GigabitEthernet1/0/3???????
?port link-type hybrid
?port hybrid pvid vlan 200
?port hybrid untagged vlan 200
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
dot1x-access-profile name cisco
#
return

l?? SwitchB的配置文件

#
sysname SwitchB
#
vlan batch 200
#
dhcp enable
#
ip pool ip-phone
?gateway-list 10.20.20.1?
?network 10.20.20.0 mask 255.255.255.0?
#
interface Vlanif200
?ip address 10.10.20.2 255.255.255.0
?dhcp select global
#
interface GigabitEthernet1/0/3
?port link-type hybrid
?port hybrid pvid vlan 200
?port hybrid untagged vlan 200
#
ip route-static 10.20.20.0 255.255.255.0 10.10.20.1
#
return

?

如需下载文档,请点击? S1720&2700&S3700&S5700&S6700&S7700&S9700 对接专题资料

?

??????????????????????????????????? 想要了解更多精彩内容,请猛戳我:交换机在江湖汇总贴

???????????????????

本帖最后由 交换机在江湖 于 2017-01-06 16:00 编辑

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
员Lemon
员Lemon  专家 发表于 2014-12-9 15:55:37 已赞(0) 赞(0)

好资料顶起来~

  • x
  • 常规:

点评 回复

kargay
kargay   发表于 2015-1-3 18:29:02 已赞(0) 赞(0)

好资料,学习一下。
  • x
  • 常规:

点评 回复

面对
面对   发表于 2015-7-4 14:52:24 已赞(0) 赞(0)

号资料值得学习。

  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录