NAC认证 Voice VLAN介绍
网络中经常有数据、语音、视频等多种流量同时传输。因为丢包和时延对通话质量的影响很大,用户对语音的质量比数据或者视频的质量更为敏感,因此在带宽有限的情况下就需要优先保证通话质量。Voice VLAN是为用户的语音流专门划分的VLAN。通过配置Voice VLAN,交换机可识别语音流,将语音流加入到Voice VLAN中传输,并对其进行有针对性的QoS保障,当网络发生拥塞时可以优先保证语音流的传输。
通过NAC认证,可以对接入用户进行安全控制,提供了“端到端”的安全保证。
配置注意事项
本举例适用于S系列交换机所有产品的所有版本。
组网需求
如图1-13所示,Switch下行连接数据业务和语音业务,Switch使用VLAN200传输语音报文,使用VLAN100传输数据报文。IP Phone A和PC A串行接入Switch,IP Phone B单独接入Switch,IP Phone支持802.1x协议且可通过LLDP协议获取交换机上配置的Voice VLAN信息。用户对语音通话质量较敏感,需要提高语音数据流的传输优先级,以保证用户的通话质量。
配置NAC认证 Voice VLAN实现IP话机接入交换机示例图
配置思路
可以在交换机上启用NAC认证功能和Voice VLAN功能实现IP语音接入。采用如下的思路配置:
1.在Switch上创建VLAN,并配置各接口加入VLAN,实现二层互通。VLAN200作为语音VLAN,VLAN100作为数据VLAN且作为GE1/0/1的缺省VLAN。
2.配置Voice VLAN功能。
3.使能LLDP,实现IP Phone能通过LLDP协议获取到Voice VLAN信息。
4.配置802.1x认证和AAA认证域。
5.配置RADIUS认证服务器,如配置PC和IP Phone的用户名和密码(如果不需要认证,这一步可忽略)。
l? 本举例中使用的IP电话型号为Avaya 9620,RADIUS服务器为CiscoSecure ACS。
l? Avaya IP电话的定时器超时可能会导致IP电话不能正常接入,因此请在IP电话上设置定时器周期值为0(不超时),按如下步骤修改VLAN TEST定时器:1,按*键,输入密码,进入菜单项;2,选择VLAN TEST项,修改默认值(60s)为0。
l? RADIUS模板内配置的IP地址和共享密码要和RADIUS服务器上保持一致。
l? Switch1的配置与Switch类似,本举例略。
操作步骤
步骤一 配置Switch的VLAN和接口
# 创建VLAN。
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 100 200
# 配置接口GE1/0/1的PVID及允许通过的数据VLAN。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type hybrid
[Switch-GigabitEthernet1/0/1] port hybrid pvid vlan 100
[Switch-GigabitEthernet1/0/1] port hybrid untagged vlan 100
[Switch-GigabitEthernet1/0/1] quit
步骤二 配置Voice VLAN和OUI地址,GE1/0/2的配置与GE1/0/1类似,不再赘述
[Switch] voice-vlan mac-address 0004-0D00-0000 mask ffff-ff00-0000?? //该OUI对应IP Phone的MAC地址,组网中请以实际为准
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] voice-vlan 200 enable? //配置语音VLAN为200
[Switch-GigabitEthernet1/0/1] port hybrid tagged vlan 200
[Switch-GigabitEthernet1/0/1] voice-vlan remark-mode mac-address? //配置Voice VLAN按照话机的MAC地址识别语音报文
[Switch-GigabitEthernet1/0/1] voice-vlan security enable? //配置接口为安全模式,对于该接口收到的其他MAC地址的报文丢弃
[Switch-GigabitEthernet1/0/1] quit
步骤三 使能LLDP
[Switch] lldp enable
步骤四 配置802.1x认证和AAA认证域
# 将NAC配置模式切换成传统模式。
[Switch] undo authentication unified-mode
[Switch] quit
<Switch> save
系统会提示将当前配置保存至设备,是否继续,输入y即可。
# 重启设备
<Switch> reboot
系统会提示即将重新启动,是否继续,输入y即可。
V200R005C00及后续版本需要此配置。传统模式与统一模式相互切换后,管理员必须重启设备,新配置模式的各项功能才能生效。
# 使能802.1x认证。
<Switch> system-view
[Switch] dot1x enable
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x enable
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] dot1x enable
[Switch-GigabitEthernet1/0/2] quit
# 配置RADIUS服务器。
[Switch] radius-server template cmn? //创建名为cmn的RADIUS服务器模板
[Switch-radius-cmn] radius-server authentication 10.136.6.132 1812? //配置RADIUS认证服务器的IP地址和端口号
[Switch-radius-cmn] radius-server accounting 10.136.6.132 1813? //配置RADIUS计费服务器的IP地址和端口号
[Switch-radius-cmn] quit
# 配置AAA认证域。
[Switch] aaa
[Switch-aaa] authentication-scheme cmn? //创建名为cmn的认证方案
[Switch-aaa-authen-cmn] authentication-mode radius? //配置该认证方案的授权模式为RADIUS
[Switch-aaa-authen-cmn] quit
[Switch-aaa] accounting-scheme cmn? //创建名为cmn的计费方案
[Switch-aaa-accounting-cmn] accounting-mode radius? //配置该计费方案的计费模式为RADIUS
[Switch-aaa-accounting-cmn] quit
[Switch-aaa] domain default? //配置默认域的认证方案和计费方案以及RADIUS服务器
[Switch-aaa-domain-default] authentication-scheme cmn
[Switch-aaa-domain-default] accounting-scheme cmn
[Switch-aaa-domain-default] radius-server cmn
[Switch-aaa-domain-default] quit
[Switch-aaa] quit
步骤五 配置RADIUS服务器。对于主机与IP Phone串联的场景,在认证服务器上IP Phone的用户名和密码需要绑定voice-vlan。如图1-14所示
RADIUS认证服务器配置示意图
在V200R006版本,进行了如下优化:
在V200R006及之后版本,不再通过RADIUS服务器上voice-vlan的属性字段识别voice VLAN,变更为通过在交换机上配置voice-vlan? X enable识别voice VLAN,进行语音业务的认证。
RADIUS认证服务器配置voice-vlan属性示意图
步骤六 验证配置结果
IP Phone能正常上线并实现清晰的语音通话。
PC能正常上线。
----结束
配置文件
Switch的配置文件
#
sysname Switch
#
voice-vlan mac-address 0004-0d00-0000 mask ffff-ff00-0000
#
vlan batch 100 200
#
undo authentication unified-mode
#
dot1x enable
#
lldp enable
#
radius-server template cmn?????????????????????
?radius-server authentication 10.136.6.132 1812 weight 80
?radius-server accounting 10.136.6.132 1813 weight 80
#??
aaa???????????
?authentication-scheme cmn?????????????????????
? authentication-mode radius???????????????????
?accounting-scheme cmn?????????????????????????
? accounting-mode radius???????????????????????
?domain default??? ?????????????????????????????
? authentication-scheme cmn????????????????????
? accounting-scheme cmn????????????????????????
? radius-server cmn???
#
interface GigabitEthernet1/0/1
?port link-type hybrid
?voice-vlan 200 enable
?voice-vlan remark-mode mac-address
?voice-vlan security enable
?port hybrid pvid vlan 100?????
?port hybrid tagged vlan 200
?port hybrid untagged vlan 100????
?dot1x enable?
#
interface GigabitEthernet1/0/2
?port link-type hybrid
?voice-vlan 200 enable
?voice-vlan remark-mode mac-address
?voice-vlan security enable
?port hybrid tagged vlan 200
?dot1x enable?
#
return