S5700-SI接入交换机与C厂商话机互联,启动802.1X时出错,话机无法正常获取地址

发布时间:  2014-12-28 浏览次数:  246 下载次数:  0
问题描述
S5700-SI接入交换机接入C厂商IP话机,PC终端再通过IP话机接口接入网络。接入交换机启用了802.1X功能,并启动voice vlan来接入IP话机。
客户要求PC终端必须通过802.1X认证成功后接入网络;但同时要求其IP电话不需要通过802.1X认证,对于IP电话做bypass处理,且客户拒绝启用话机的802.1X认证。
启用802.1X后,PC终端接入并进行802.1X没有问题,而C厂商IP话机无法获取IP地址。
告警信息
PC终端一切正常,可以获取正确的IP地址并访问相关业务;
IP电话显示屏上始终显示IP configuring,表示没有获取IP地址。
处理过程
将交换机接口下的802.1X功能去使能后,电话机可以获取IP地址,由于将故障定位为802.1X无法自动bypass C厂商IP话机。造成其无法获取地址。
根因
由于C厂商交换机跟C厂商话机有相关的私有协议可以协商,C厂商交换机不需要任何特殊配置就能默认自动bypass C厂商话机设备;
而之前客户一直使用C厂商交换机设备;这次换成华为交换机就出现了这个兼容性问题。
解决方案
方案一:采用电话mac地址绑定在设备端口上的方式:
命令:mac-address static zzzz-zzzz-zzzz gigabitethernet 1/0/1 vlan xxx
由于802.1X认证会直接bypass与接口静态绑定了的MAC地址的设备流量,这样将每台话机的MAC地址与相对应的接口静态绑定起来,就使得IP话机不需要进行802.1X认证,成功获取IP地址接入网络。
但是这个方案配置工作量大,需要找到每台话机的MAC与交换机端口的对应表,之后的维护和增加话机设备会很麻烦。

方案二:采用802.1X mac-bypass方式使得IP话机采用MAC地址认证方式,并将话机设备MAC认证引导到另一个认证域中,并将认证域的认证方式配置为不认证,从而通过802.1X认证。
命令:
voice-vlan mac-address zzzz-0000-0000 mask ffff-0000-0000 description phone1   #配置使设备自动识别zzzz-0000-0000 mask ffff-0000-0000这个MAC地址段为IP话机的MAC地址段

mac-authen domain noauth_phone mac-address zzzz-0000-0000 mask ffff-0000-0000  #配置mac认证中zzzz-0000-0000 mask ffff-0000-0000这个MAC地址段使用noauth_phone认证域

aaa
 authentication-scheme noauth
  authentication-mode none
 domain noauth_phone
  authentication-scheme noauth   #创建noauth_phone认证域,认证动作为不认证,直接放通

interface GigabitEthernet0/0/1
voice-vlan xxx enable
voice-vlan legacy enable
port hybrid pvid vlan yyy
port hybrid tagged vlan xxx                    #ip phone是带vlan tag xxx上送的
port hybrid untagged vlan yyy             
dot1x mac-bypass       #配置当话机802.1X认证失败后,采用MAC旁路认证方式进行认证
dot1x reauthenticate

该方案相对于配置方便,比较灵活。

END