配置NAC認證 Voice VLAN實現IP話機接入交換機示例
NAC認證 Voice VLAN介紹
網絡中經常有數據、語音、視頻等多種流量同時傳輸。因為丟包和時延對通話質量的影響很大,用戶對語音的質量比數據或者視頻的質量更為敏感,因此在帶寬有限的情況下就需要優先保證通話質量。Voice VLAN是為用戶的語音流專門劃分的VLAN。通過配置Voice VLAN,交換機可識別語音流,將語音流加入到Voice VLAN中傳輸,并對其進行有針對性的QoS保障,當網絡發生擁塞時可以優先保證語音流的傳輸。
通過NAC認證,可以對接入用戶進行安全控制,提供了“端到端”的安全保證。
配置注意事項
本舉例適用于S系列交換機所有產品的所有版本。
組網需求
如圖1-13所示,Switch下行連接數據業務和語音業務,Switch使用VLAN200傳輸語音報文,使用VLAN100傳輸數據報文。IP Phone A和PC A串行接入Switch,IP Phone B單獨接入Switch,IP Phone支持802.1x協議且可通過LLDP協議獲取交換機上配置的Voice VLAN信息。用戶對語音通話質量較敏感,需要提高語音數據流的傳輸優先級,以保證用戶的通話質量。
配置NAC認證 Voice VLAN實現IP話機接入交換機示例圖
配置思路
可以在交換機上啟用NAC認證功能和Voice VLAN功能實現IP語音接入。采用如下的思路配置:
1.在Switch上創建VLAN,并配置各接口加入VLAN,實現二層互通。VLAN200作為語音VLAN,VLAN100作為數據VLAN且作為GE1/0/1的缺省VLAN。
2.配置Voice VLAN功能。
3.使能LLDP,實現IP Phone能通過LLDP協議獲取到Voice VLAN信息。
4.配置802.1x認證和AAA認證域。
5.配置RADIUS認證服務器,如配置PC和IP Phone的用戶名和密碼(如果不需要認證,這一步可忽略)。
l? 本舉例中使用的IP電話型號為Avaya 9620,RADIUS服務器為CiscoSecure ACS。
l? Avaya IP電話的定時器超時可能會導致IP電話不能正常接入,因此請在IP電話上設置定時器周期值為0(不超時),按如下步驟修改VLAN TEST定時器:1,按*鍵,輸入密碼,進入菜單項;2,選擇VLAN TEST項,修改默認值(60s)為0。
l? RADIUS模板內配置的IP地址和共享密碼要和RADIUS服務器上保持一致。
l? Switch1的配置與Switch類似,本舉例略。
操作步驟
步驟一 配置Switch的VLAN和接口
# 創建VLAN。
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 100 200
# 配置接口GE1/0/1的PVID及允許通過的數據VLAN。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type hybrid
[Switch-GigabitEthernet1/0/1] port hybrid pvid vlan 100
[Switch-GigabitEthernet1/0/1] port hybrid untagged vlan 100
[Switch-GigabitEthernet1/0/1] quit
步驟二 配置Voice VLAN和OUI地址,GE1/0/2的配置與GE1/0/1類似,不再贅述
[Switch] voice-vlan mac-address 0004-0D00-0000 mask ffff-ff00-0000?? //該OUI對應IP Phone的MAC地址,組網中請以實際為準
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] voice-vlan 200 enable? //配置語音VLAN為200
[Switch-GigabitEthernet1/0/1] port hybrid tagged vlan 200
[Switch-GigabitEthernet1/0/1] voice-vlan remark-mode mac-address? //配置Voice VLAN按照話機的MAC地址識別語音報文
[Switch-GigabitEthernet1/0/1] voice-vlan security enable? //配置接口為安全模式,對于該接口收到的其他MAC地址的報文丟棄
[Switch-GigabitEthernet1/0/1] quit
步驟三 使能LLDP
[Switch] lldp enable
步驟四 配置802.1x認證和AAA認證域
# 將NAC配置模式切換成傳統模式。
[Switch] undo authentication unified-mode
[Switch] quit
<Switch> save
系統會提示將當前配置保存至設備,是否繼續,輸入y即可。
# 重啟設備
<Switch> reboot
系統會提示即將重新啟動,是否繼續,輸入y即可。
V200R005C00及后續版本需要此配置。傳統模式與統一模式相互切換后,管理員必須重啟設備,新配置模式的各項功能才能生效。
# 使能802.1x認證。
<Switch> system-view
[Switch] dot1x enable
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x enable
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] dot1x enable
[Switch-GigabitEthernet1/0/2] quit
# 配置RADIUS服務器。
[Switch] radius-server template cmn? //創建名為cmn的RADIUS服務器模板
[Switch-radius-cmn] radius-server authentication 10.136.6.132 1812? //配置RADIUS認證服務器的IP地址和端口號
[Switch-radius-cmn] radius-server accounting 10.136.6.132 1813? //配置RADIUS計費服務器的IP地址和端口號
[Switch-radius-cmn] quit
# 配置AAA認證域。
[Switch] aaa
[Switch-aaa] authentication-scheme cmn? //創建名為cmn的認證方案
[Switch-aaa-authen-cmn] authentication-mode radius? //配置該認證方案的授權模式為RADIUS
[Switch-aaa-authen-cmn] quit
[Switch-aaa] accounting-scheme cmn? //創建名為cmn的計費方案
[Switch-aaa-accounting-cmn] accounting-mode radius? //配置該計費方案的計費模式為RADIUS
[Switch-aaa-accounting-cmn] quit
[Switch-aaa] domain default? //配置默認域的認證方案和計費方案以及RADIUS服務器
[Switch-aaa-domain-default] authentication-scheme cmn
[Switch-aaa-domain-default] accounting-scheme cmn
[Switch-aaa-domain-default] radius-server cmn
[Switch-aaa-domain-default] quit
[Switch-aaa] quit
步驟五 配置RADIUS服務器。對于主機與IP Phone串聯的場景,在認證服務器上IP Phone的用戶名和密碼需要綁定voice-vlan。如圖1-14所示
RADIUS認證服務器配置示意圖
在V200R006版本,進行了如下優化:
- 在V200R006之前版本,通過在RADIUS服務器上配置voice-vlan的屬性字段(device-traffic-class=voice)識別voice VLAN,進行語音業務的認證。如圖1-15所示。
在V200R006及之后版本,不再通過RADIUS服務器上voice-vlan的屬性字段識別voice VLAN,變更為通過在交換機上配置voice-vlan? X enable識別voice VLAN,進行語音業務的認證。
RADIUS認證服務器配置voice-vlan屬性示意圖
- 在V200R006之前版本,一個接口下同一個VLAN可以同時進行數據業務和語音業務的認證。而在V200R006及之后版本,一個接口下的一個VLAN要么進行數據業務的認證,要么進行語音業務的認證,不能同時既進行數據業務的認證,又進行語音業務的認證。
步驟六 驗證配置結果
IP Phone能正常上線并實現清晰的語音通話。
PC能正常上線。
----結束
配置文件
Switch的配置文件
#
sysname Switch
#
voice-vlan mac-address 0004-0d00-0000 mask ffff-ff00-0000
#
vlan batch 100 200
#
undo authentication unified-mode
#
dot1x enable
#
lldp enable
#
radius-server template cmn?????????????????????
?radius-server authentication 10.136.6.132 1812 weight 80
?radius-server accounting 10.136.6.132 1813 weight 80
#??
aaa???????????
?authentication-scheme cmn?????????????????????
? authentication-mode radius???????????????????
?accounting-scheme cmn?????????????????????????
? accounting-mode radius???????????????????????
?domain default??? ?????????????????????????????
? authentication-scheme cmn????????????????????
? accounting-scheme cmn????????????????????????
? radius-server cmn???
#
interface GigabitEthernet1/0/1
?port link-type hybrid
?voice-vlan 200 enable
?voice-vlan remark-mode mac-address
?voice-vlan security enable
?port hybrid pvid vlan 100?????
?port hybrid tagged vlan 200
?port hybrid untagged vlan 100????
?dot1x enable?
#
interface GigabitEthernet1/0/2
?port link-type hybrid
?voice-vlan 200 enable
?voice-vlan remark-mode mac-address
?voice-vlan security enable
?port hybrid tagged vlan 200
?dot1x enable?
#
return
