如何實現IP話機接入交換機？

組網圖形

　　　　

簡介

• 如果語音設備支持LLDP協議，並且支持通過network-policy TLV字段獲取語音VLAN，可以在交換機上配置命令lldp tlv-enable med-tlv network-policy voice-vlan為語音設備分配Voice VLAN，然后再通過Voice VLAN功能提升語音報文的優先級。

組網需求

• 如圖所示，用戶為了節省投資成本，希望通過VoIP實現IP話機接入網絡。用戶的IP話機支持LLDP協議，同時支持通過LLDP協議的network-policy TLV字段獲取語音VLAN和報文的優先級。為了保證IP話機的正常接入，用戶希望網絡規划滿足如下要求：
• IP話機發送的語音報文，可以攜帶VLAN Tag，且優先級比較高，不需要交換機再進行提升。
• 語音流使用VLAN 100進行通信。
• IP話機的IP地址通過DHCP服務器動態分配，且IP話機的IP地址和DHCP服務器的IP地址不在同一個網段。
• 網絡環境較安全，IP話機不需要認證就可以上線。

 配置思路

• 采用如下的思路配置通過LLDP_MED實現IP話機接入交換機：

1. 全局和接口使能LLDP功能，通過在接口配置network-policy TLV為IP話機分配語音VLAN和優先級。
2. 接口加入VLAN，實現語音報文的轉發。
3. IP話機發送的語音報文優先級較高，配置接口信任報文的優先級。
4. 配置DHCP Relay和DHCP Server功能，為IP話機分配IP地址。
5. 配置AAA域，對IP話機進行管理，同時使能語音設備不認證即可上線的功能。

操作步驟

• 1.使能SwitchA的LLDP功能，同時配置接口上network-policy TLV的值

　　# 全局使能LLDP功能。

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] lldp enable  //全局使能LLDP后，所有接口默認自動使能LLDP

 　　# 配置接口上network-policy TLV的值。

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] lldp tlv-enable med-tlv network-policy voice-vlan vlan 100 cos 6 dscp 60  //配置LLDP_MED分配給IP話機的語音VLAN和優先級
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] lldp tlv-enable med-tlv network-policy voice-vlan vlan 100 cos 6 dscp 60  //配置LLDP_MED分配給IP話機的語音VLAN和優先級
[SwitchA-GigabitEthernet1/0/2] quit

•  2.把SwitchA的接口加入VLAN

　　# 創建VLAN100。

[SwitchA] vlan batch 100  //語音流使用VLAN 100進行通信

 　　# 把接口加入VLAN 100。

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type hybrid   //其中V200R005C00及之后版本，默認接口類型不是hybrid，需要手動配置
[SwitchA-GigabitEthernet1/0/1] port hybrid tagged vlan 100  //接口以Tagged方式加入語音VLAN 100
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type hybrid
[SwitchA-GigabitEthernet1/0/2] port hybrid tagged vlan 100
[SwitchA-GigabitEthernet1/0/2] quit

•  3.配置接口信任報文的優先級

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] trust 8021p inner  //trust 8021p (inner)命令因設備形態不同有所區別，具體配置請以設備為准
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] trust 8021p inner  //trust 8021p (inner)命令因設備形態不同有所區別，具體配置請以設備為准
[SwitchA-GigabitEthernet1/0/2] quit

•  4.配置DHCP Relay和DHCP Server功能

1. 配置SwitchA為DHCP Relay功能

   # 配置接口的DHCP Relay功能。

[SwitchA] dhcp enable  //全局使能DHCP功能，缺省未使能
[SwitchA] interface Vlanif 100  //創建VLANIF100
[SwitchA-Vlanif100] ip address 10.20.20.1 255.255.255.0  //配置VLANIF100的IP地址
[SwitchA-Vlanif100] dhcp select relay  //使能VLANIF接口DHCP中繼功能
[SwitchA-Vlanif100] dhcp relay server-ip 10.10.20.2  //配置DHCP中繼所代理的DHCP服務器地址
[SwitchA-Vlanif100] quit

 　　# 創建VLANIF 200。

[SwitchA] vlan batch 200
[SwitchA] interface Vlanif 200
[SwitchA-Vlanif200] ip address 10.10.20.1 255.255.255.0  //配置VLANIF200的IP地址，用於和SwitchB交互
[SwitchA-Vlanif200] quit

 　　# 把上行接口加入VLAN 200。

[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type hybrid
[SwitchA-GigabitEthernet1/0/3] port hybrid pvid vlan 200
[SwitchA-GigabitEthernet1/0/3] port hybrid untagged vlan 200
[SwitchA-GigabitEthernet1/0/3] quit

 　　# 配置缺省靜態路由。

[SwitchA] ip route-static 0.0.0.0 0.0.0.0 10.10.20.2  //該路由的下一跳對應SwitchB VLANIF200的IP地址

 　　b.配置SwitchB為DHCP Server，為IP話機分配IP地址

　　# 配置地址池。

<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] ip pool ip-phone  //創建一個地址池
[SwitchB-ip-pool-ip-phone] gateway-list 10.20.20.1  //配置DHCP服務器的出口網關地址
[SwitchB-ip-pool-ip-phone] network 10.20.20.0 mask 255.255.255.0  //配置該地址池可以分配的網段地址
[SwitchB-ip-pool-ip-phone] quit

 　　# 配置DHCP Server功能。

[SwitchB] dhcp enable  //全局使能DHCP功能，缺省未使能
[SwitchB] vlan batch 200
[SwitchB] interface Vlanif 200  //創建VLANIF200
[SwitchB-Vlanif200] ip address 10.10.20.2 255.255.255.0  //配置VLANIF的IP地址
[SwitchB-Vlanif200] dhcp select global  //配置接口采用全局地址池方式為話機分配IP地址
[SwitchB-Vlanif200] quit

 　　# 把下行接口加入VLAN 200。

[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] port link-type hybrid
[SwitchB-GigabitEthernet1/0/3] port hybrid pvid vlan 200
[SwitchB-GigabitEthernet1/0/3] port hybrid untagged vlan 200
[SwitchB-GigabitEthernet1/0/3] quit

 　　# 配置回程路由。

[SwitchB] ip route-static 10.20.20.0 255.255.255.0 10.10.20.1

•  5.配置AAA域並使能語音設備不認證即上線的功能

1. 配置AAA認證域

   # 創建並配置RADIUS服務器模板。

[SwitchA] radius-server template cisco  //創建名為"cisco"的RADIUS服務器模板
[SwitchA-radius-cisco] radius-server authentication 192.168.6.182 1812  //配置RADIUS認證服務器的IP地址和端口號
[SwitchA-radius-cisco] radius-server accounting 192.168.6.182 1813  //配置RADIUS計費服務器的IP地址和端口號
[SwitchA-radius-cisco] quit

 　　# 配置業務方案和認證方案。

[SwitchA] aaa
[SwitchA-aaa] service-scheme cisco  //創建AAA業務方案為“cisco”
[SwitchA-aaa-service-cisco] quit
[SwitchA-aaa] authentication-scheme radius  //配置認證方案為RADIUS
[SwitchA-aaa-authen-radius] authentication-mode radius  //配置認證方式為RADIUS
[SwitchA-aaa-authen-radius] quit

 　　# 創建AAA域並配置default域。

[SwitchA-aaa] domain default  //配置default認證域
[SwitchA-aaa-domain-default] authentication-scheme radius  //綁定AAA認證方案“radius”
[SwitchA-aaa-domain-default] radius-server cisco  //綁定RADIUS服務器模板“cisco”
[SwitchA-aaa-domain-default] service-scheme cisco  //綁定業務模板“cisco”
[SwitchA-aaa-domain-default] quit
[SwitchA-aaa] quit

 　　b.使能語音設備不認證即上線的功能

　　# 將NAC配置模式切換成統一模式。

[SwitchA] authentication unified-mode  //設備默認為統一模式。傳統模式與統一模式相互切換后，管理員必須保存配置后重啟設備，新配置模式的各項功能才能生效

 # 使能語音設備不認證即上線的功能。

[SwitchA] authentication device-type voice authorize service-scheme cisco

 　　# 配置認證模板。

[SwitchA] authentication-profile name cisco  //創建認證模板“cisco”
[SwitchA-authen-profile-cisco] authentication device-type voice authorize service-scheme cisco  //使能語音終端不認證即上線功能
[SwitchA-authen-profile-cisco] quit

 　　# 在接口上應用認證模板。

[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] authentication-profile cisco  //綁定認證模板
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] authentication-profile cisco
[SwitchA-GigabitEthernet1/0/2] quit

•  6.檢查配置結果
• 通過IP話機的菜單查看IP話機可以正常獲取到正確的語音VLAN和IP地址。
• 在SwitchA上執行命令display mac-address vlan 100，可以看到IP話機的接入信息。

[SwitchA] display mac-address vlan 100
-------------------------------------------------------------------------------                                                     
MAC Address    VLAN/VSI                       Learned-From        Type                                                           
-------------------------------------------------------------------------------                                                     
001b-d4c7-1fa9 100/-                          GE1/0/1             dynamic                                                         
0021-a08f-2fa8 100/-                          GE1/0/2             dynamic                                                         
                                                                                                                                    
-------------------------------------------------------------------------------