交換機實戰案例-交換機與IP話機對接典型案例5

對接原理&配置通過LLDP實現IP話機接入交換機示例

基本概念

VoIP

VoIP(Voice over Internet Protocol)，即指在IP網絡上使用IP協議以數據包的方式傳輸語音。使用VoIP協議，不管是因特網、企業內部互連網還是局域網都可以實現語音通信。在使用VoIP協議的網絡中，語音信號經過數字化，壓縮並轉換成IP包，然後在IP網絡中進行傳輸。VoIP信令協議用於建立和取消呼叫，傳輸用於定位用戶以及協商能力所需的信息。

相比於通過電信運營商網絡的專線進行點對點連接的語音通信，使用VoIP協議傳輸語音通信具有投資省、價格低的優勢，數據、語音和視頻在同一網絡上進行傳輸。

OUI地址

OUI（Organizationally Unique Identifier）指的是MAC地址的前24位（二進制），是IEEE（Institute of Electrical and Electronics Engineers，電氣和電子工程師學會）為不同設備供應商分配的一個全球唯一的標識符。

各設備廠商的MAC地址是需要向IEEE申請的，一般IEEE分配前24位，即一個地址段，設備廠商生產的設備再從這個地址段中分配地址。所以根據OUI可以識別話機，也就是根據話機廠商申請的MAC段來識別哪些報文是話機發送的，以此來判斷哪些報文屬於語音報文。當然這個OUI由用戶來配置，而且可以使用掩碼，即不需要一定是24位掩碼的，掩碼長度用戶可以自己指定。

802.1Q

802.1Q定義了VLAN TAG的格式，如下圖所示：

VLAN TAG總計有兩個字節，即16bit，其中VID佔12bits，PRI佔3bits（PRI經常被稱為COS優先級或者802.1p優先級），CFI佔1bit。

按照報文對VLAN Tag的填充情況，可以分為如下幾種：

• 報文中不帶VLAN TAG，即UNTAG報文。
• 報文雖然攜帶VLAN TAG，但是VLAN ID為0，即沒有VLAN ID。一般稱為優先級TAG報文。
• 報文攜帶VLAN TAG，且VLAN ID非0，稱為TAG報文。
• 所以按照802.1Q的報文定義，IP話機發送的語音流量的報文可以為TAG報文、優先級TAG報文、UNTAG報文三種。同時由於語音報文的COS值需要為高優先級(一般為5)，以提高語音流的轉發優先級。一般主流廠商的IP電話機(例如Cisco的7960系列)，其發送的語音流量是TAG的報文，且COS值默認是5。但是IP話機類型眾多，可能會存在部分話機的語音流無法將COS置為5的情況(如COS為0)。

綜合考慮，電話機發送的報文有如下5種情況：

• 攜帶VLAN TAG且COS 5
• 攜帶VLAN TAG且COS 0
• 攜帶優先級TAG且COS 5
• 攜帶優先級TAG且COS 0
• 不攜帶VLAN TAG，即UNTAG方式

說明：華為換機對優先級TAG的報文，目前都是按照Untagged的報文處理的，即接口對收到的優先級TAG報文打上PVID的VLAN Tag。

Voice VLAN

專門用於轉發語音報文的VLAN，叫做Voice VLAN。華為交換機的Voice VLAN功能只能指定某個VLAN為語音VLAN，而不會把該語音VLAN分配給語音設備，需要藉助於LLDP、DHCP等協議，才可以把指定的Voice VLAN分配給語音設備。

IP話機接入部署方式

IP話機介紹

以Cisco的7960話機為例，IP話機內部構成如圖1-1所示。IP話機內部集成了一個三端口的交換芯片，其中：

1. 接口用於連接上行的交換機或者其他數通設備
2. 接口連接內部的Phone ASIC，用於承載語音流量
3. 接口用於連接PC機或者其他數據通訊設備

IP話機內部構成圖

不同型號的IP話機對接方式支持情況彙總

不同型號的IP話機支持的對接方式不同，本表所示的IP話機是已經經過測試可以正常和交換機正常對接的話機，後續會根據測試結果持續刷新。

不同型號的IP話機對接方式支持情況彙總（本表格適用於V200R009和V200R010版本的交換機）

IP話機接入部署方式

根據圖1-1可知，IP話機外部一般有兩個可見的接口，一個用於連接上行的交換機，一個用於連接PC機。因此IP話機和PC同時部署時，一般有兩種部署方式：

一種部署方式是PC掛在IP話機之下，如圖1-2所示。這種部署的好處是隻佔用交換機的一個端口。對於一般的辦公場景，辦公桌面只需要出一個網口即可以滿足語音和數據業務。

PC掛在IP話機之下組網圖

另一種部署方式是PC和IP話機分別連接到交換機，如圖1-3所示。這種部署的好處是語音流和數據流分開部署，更易於管理和維護。

PC和IP話機分別連接到交換機組網圖

交換機與IP話機對接典型配置方法

交換機與IP話機對接的配置方法有很多種。根據話機類型和交換機支持情況，可以分為幾種，如表1-1所示。

交換機與IP話機對接的配置方法彙總

配置通過LLDP實現IP話機接入交換機示例

簡介

如果語音設備支持LLDP協議，可以在交換機上啟用LLDP和Voice VLAN功能實現IP話機接入。通過LLDP協議為語音設備分配Voice VLAN，然後再通過Voice VLAN功能提升語音報文的優先級。

配置注意事項

• 適用的產品和版本：除S2700SI和S2710SI外，其他版本所有形態均支持。
• Avaya話機60秒內獲取DHCP地址失敗導致定時器超時後，話機就開始一直髮送Tag0的報文。而交換機對Tag0的報文按照Untagged報文處理，在接口的PVID內轉發認證，這樣話機就無法使用Voice VLAN進行認證，最終導致IP話機認證失敗，無法正常接入交換機。

可以使用下面兩種方法規避：

• V200R003C00及之後版本，建議使用Voice-VLAN include-untagged方式進行規避。具體配置方法，請參見“1.9 配置通過Voice-VLAN include-untagged方式實現IP話機接入交換機示例”。
• 按如下步驟修改IP話機的VLAN TEST定時器：1，按*鍵，輸入密碼，進入菜單項；2，選擇VLAN TEST項，修改默認值為0。注意話機重啟後，定時器的設置將不生效，需要重新配置。

適用的IP話機

下面話機是已經經過測試可以正常和交換機對接的話機，後續會根據測試結果持續刷新。

• Cisco

cisco7962G、cisco7975G、cisco7942G、cisco9951G、cisco3905、cisco7971G、cisco7961G、cisco7941G、cisco7911G、cisco8961、cisco7945G、cisco7821G、ciscoSPA525G、ciscoSPA504G、cisco7965G、cisco9971、cisco7906G、cisco7937G、ciscoSPA508G、cisco8945、cisco6945、cisco8841、cisco6941、cisco8831

• Avaya

avaya1608-I、avaya9650、avaya9611G、avaya4621、avaya1616-I、avaya9630G、avaya1692、avaya9620、avaya9621、avaya9608、avaya1608、avaya9641、avaya1230、avaya1210、avaya9610、avaya1220、avaya9640G

• Snom

Snom821

• Polycom

Polycom330、PolycomCX3000

• Mitel

Mitel5340

• Nortel

Nortel1140E

組網需求

如圖1-4所示：

• IP話機支持LLDP協議，可以通過LLDP協議獲取語音VLAN。
• IP話機發送的語音報文，優先級比較低，為了保證通話質量，需要提升報文的優先級。
• 語音流使用VLAN 100進行通信，PC數據流使用VLAN 101進行通信。
• IP話機的IP地址和DHCP服務器的IP地址不在同一個網段。
• IP話機需要通過MAC認證接入交換機。

配置通過LLDP實現IP話機接入交換機組網圖

配置思路

採用如下的思路配置通過LLDP實現IP話機接入交換機：

1.全局和接口使能LLDP功能，為IP話機分配語音VLAN。

2.配置Voice VLAN功能，為IP話機發送的語音報文提升優先級。

3.配置DHCP Relay和DHCP Server功能，為IP話機分配IP地址。

4.配置IP話機按照MAC認證方式進行認證。(如果不需要認證，這一步可以忽略)

• 操作步驟

步驟一 使能SwitchA的LLDP功能

<huawei> system-view
[HUAWEI] sysname SwitchA
[SwitchA] lldp enable? //全局使能LLDP後，所有接口默認自動使能LLDP/<huawei>

步驟二 配置SwitchA轉發數據流功能

# 創建VLAN101。

[SwitchA] vlan batch 101? //數據流使用VLAN 101進行通信

# 設置接口的PVID為VLAN 101。

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type hybrid //其中V200R005C00及之後版本，默認接口類型不是hybrid，需要手動配置
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 101

# 接口以Untagged方式加入VLAN 101。

[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 101
[SwitchA-GigabitEthernet1/0/1] quit

步驟三 配置SwitchA的Voice VLAN功能

# 創建VLAN100。

[SwitchA] vlan batch 100? //語音流使用VLAN 100進行通信

# 把接口加入語音VLAN。

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type hybrid?? //其中V200R005C00及之後版本，默認接口類型不是hybrid，需要手動配置

# 使能接口的Voice VLAN功能。

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] voice-vlan 100 enable ?
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] voice-vlan 100 enable ?
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000? //V200R003之前版本，需要配置OUI地址，該OUI對應IP話機的MAC地址。V200R003及之後版本不需要
[SwitchA] voice-vlan mac-address 0021-a08f-0000 mask ffff-ffff-0000

步驟四 配置DHCP Relay和DHCP Server功能

1.配置SwitchA為DHCP Relay功能

# 配置接口的DHCP Relay功能。

[SwitchA] dhcp enable? //全局使能DHCP功能，缺省未使能
[SwitchA] interface Vlanif 100? //創建VLANIF100
[SwitchA-Vlanif100] ip address 10.20.20.1 255.255.255.0? //配置VLANIF100的IP地址
[SwitchA-Vlanif100] dhcp select relay? //使能VLANIF接口DHCP中繼功能
[SwitchA-Vlanif100] dhcp relay server-ip 10.10.20.2? //配置DHCP中繼所代理的DHCP服務器地址
[SwitchA-Vlanif100] quit

# 創建VLANIF 200。

[SwitchA] vlan batch 200
[SwitchA] interface Vlanif 200
[SwitchA-Vlanif200] ip address 10.10.20.1 255.255.255.0? //配置VLANIF200的IP地址，用於和SwitchB交互
[SwitchA-Vlanif200] quit

# 把上行接口加入VLAN 200。

[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type hybrid
[SwitchA-GigabitEthernet1/0/3] port hybrid pvid vlan 200
[SwitchA-GigabitEthernet1/0/3] port hybrid untagged vlan 200
[SwitchA-GigabitEthernet1/0/3] quit

# 配置缺省靜態路由。

[SwitchA] ip route-static 0.0.0.0 0.0.0.0 10.10.20.2? //該路由的下一跳對應SwitchB VLANIF200的IP地址

2.配置SwitchB為DHCP Server，為IP話機分配IP地址

# 配置地址池。

<huawei> system-view
[HUAWEI] sysname SwitchB
[SwitchB] ip pool ip-phone? //創建一個地址池
[SwitchB-ip-pool-ip-phone] gateway-list 10.20.20.1? //配置DHCP服務器的出口網關地址
[SwitchB-ip-pool-ip-phone] network 10.20.20.0 mask 255.255.255.0? //配置該地址池可以分配的網段地址
[SwitchB-ip-pool-ip-phone]

# 配置DHCP Server功能。

[SwitchB] dhcp enable? //全局使能DHCP功能，缺省未使能
[SwitchB] vlan batch 200
[SwitchB] interface Vlanif 200? //創建VLANIF200
[SwitchB-Vlanif200] ip address 10.10.20.2 255.255.255.0? //配置VLANIF的IP地址
[SwitchB-Vlanif200] dhcp select global? //配置接口採用全局地址池方式為話機分配IP地址
[SwitchB-Vlanif200] quit

# 把下行接口加入VLAN 200。

[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] port link-type hybrid
[SwitchB-GigabitEthernet1/0/3] port hybrid pvid vlan 200
[SwitchB-GigabitEthernet1/0/3] port hybrid untagged vlan 200
[SwitchB-GigabitEthernet1/0/3] quit

# 配置回程路由。

[SwitchB]

步驟五 配置AAA認證域，並配置IP話機按照MAC認證方式進行認證

1.配置AAA認證域

# 創建並配置RADIUS服務器模板。

[SwitchA] radius-server template cisco? //創建名為"cisco"的RADIUS服務器模板
[SwitchA-radius-cisco] radius-server authentication 192.168.6.182 1812? //配置RADIUS認證服務器的IP地址和端口號
[SwitchA-radius-cisco] radius-server accounting 192.168.6.182 1813? //配置RADIUS計費服務器的IP地址和端口號
[SwitchA-radius-cisco] quit

# 配置認證方案。

[SwitchA] aaa
[SwitchA-aaa] authentication-scheme radius? //創建AAA認證方案為“radius”
[SwitchA-aaa-authen-radius] authentication-mode radius? //配置認證方式為RADIUS
[SwitchA-aaa-authen-radius] quit

# 創建AAA域並配置域的RADIUS服務器模板和認證方案。

[SwitchA-aaa] domain default? //配置default認證域
[SwitchA-aaa-domain-default] authentication-scheme radius? //綁定AAA認證方案“radius”
[SwitchA-aaa-domain-default] radius-server cisco? //綁定RADIUS服務器模板“cisco”
[SwitchA-aaa-domain-default] quit
[SwitchA-aaa] quit

2.配置PC和IP話機按照MAC方式進行認證

V200R007C00及其之前版本、V200R008C00

# 將NAC配置模式切換成統一模式。

[SwitchA] authentication unified-mode? //設備默認為統一模式。傳統模式與統一模式相互切換後，管理員必須保存配置後重啟設備，新配置模式的各項功能才能生效

# 在接口上使能MAC認證。

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] authentication mac-authen? //使能MAC認證
[SwitchA-GigabitEthernet1/0/1] quit

V200R009C00及其之後版本

# 將NAC配置模式切換成統一模式。

[SwitchA] authentication unified-mode? //設備默認為統一模式。傳統模式與統一模式相互切換後，管理員必須保存配置後重啟設備，新配置模式的各項功能才能生效

# 配置接入模板。

[SwitchA] mac-access-profile name cisco? //創建MAC接入模板“cisco”
[SwitchA-mac-access-profile-cisco] quit

# 配置認證模板。

[SwitchA] authentication-profile name cisco? //配置認證模板
[SwitchA-authen-profile-cisco] mac-access-profile cisco? //綁定MAC接入模板
[SwitchA-authen-profile-cisco] quit

# 在接口上應用認證模板。

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] authentication-profile cisco? //綁定認證模板，使能MAC認證
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] authentication-profile cisco
[SwitchA-GigabitEthernet1/0/2] quit

3.配置Agile Controller。Agile Controller界面顯示版本間可能存在差異，請以實際為準。下面以V100R002C00SPC102版本為例，說明配置方法和配置步驟

a.登錄Agile Controller。

打開Internet Explorer瀏覽器，在地址欄輸入Agile Controller的訪問地址，並按“Enter”。

然後輸入管理員帳號和密碼。首次登錄Agile Controller，請使用超級管理員帳號admin和密碼Changeme123。首次登錄之後請立即修改密碼，否則無法使用Agile Controller。

Agile Controller的訪問地址支持以下形式：

b. 增加MAC賬號。

• 選擇“資源 > 用戶 > 用戶管理”。
• 在左側導航中選擇“所有賬號”。
• 在右側操作區域內單擊“增加”，創建兩個MAC賬號。其中，第一個“MAC賬號”使用的是IP話機的MAC地址，第二個“MAC賬號”使用的是PC的MAC地址。

c. 在Agile Controller中添加交換機SwitchA。

• 選擇“資源 > 設備 > 設備管理”。
• 在右側操作區域內單擊“增加”，在“增加設備”頁面，增加對IP話機進行認證的交換機SwitchA。

d.在Agile Controller中添加終端IP話機。

• 選擇“資源 > 終端 > 終端列表”。
• 在右側操作區域內單擊“增加”，進入“增加設備組”頁面。
• 在“增加設備組”頁面，增加終端IP話機組。

• 單擊左側導航中的設備組，選擇創建的設備組“cisco_ipphone”，然後選擇“設備列表”，單擊“增加”，添加IP話機。

e.在Agile Controller中添加終端PC。

• 選擇“資源 > 終端 > 終端列表”。
• 在右側操作區域內單擊“增加”，進入“增加設備組”頁面。
• 在“增加設備組”頁面，增加終端PC組。

• 單擊左側導航中的設備組，選擇創建的設備組“pc”，然後選擇“設備列表”，單擊“增加”，添加PC。

f.添加認證規則。

選擇“策略 > 准入控制 > 認證授權 > 認證規則”，並單擊“增加”，分別為IP話機和PC創建認證規則。

選擇“策略 > 准入控制 > 認證授權 > 授權規則”，並單擊“增加”，分別為IP話機和PC創建授權規則。“授權結果”選擇為“允許接入”。

步驟六 檢查配置結果

• IP話機可以正常獲取到正確的語音VLAN和IP地址。
• 在SwitchA上執行命令display access-user，可以看到IP話機的接入信息。

----結束

配置文件

• SwitchA的配置文件（V200R007C00及其之前版本、V200R008C00）

#
sysname SwitchA
#
voice-vlan mac-address 001b-d4c7-0000 mask ffff-ffff-0000
voice-vlan mac-address 0021-a08f-0000 mask ffff-ffff-0000
#
vlan batch 100 to 101 200
#
lldp enable
#
dhcp enable
#
radius-server template cisco
?radius-server authentication 192.168.6.182 1812 weight 80
?radius-server accounting 192.168.6.182 1813 weight 80
#
aaa
authentication-scheme radius
authentication-mode radius
domain default
authentication-scheme radius
radius-server cisco
#
interface Vlanif100

101
port hybrid tagged vlan 100
port hybrid untagged vlan 101
authentication mac-authen
#
interface GigabitEthernet1/0/2
port link-type hybrid
voice-vlan 100 enable
port hybrid tagged vlan 100
authentication mac-authen
#
interface GigabitEthernet1/0/3
port link-type hybrid
port hybrid pvid vlan 200
port hybrid untagged vlan 200
#
ip route-static 0.0.0.0 0.0.0.0 10.10.20.2
#
return

• SwitchA的配置文件（V200R009C00及其之後版本）

#
sysname SwitchA
#
vlan batch 100 to 101 200
#
authentication-profile name cisco
mac-access-profile cisco
#
lldp enable
#
dhcp enable
#
radius-server template cisco

• SwitchB的配置文件

#
sysname SwitchB
#

上期鏈接：

閱讀更多 弱電Bar 的文章

關鍵字: 電信 話機 Mac電腦