交换机以MAC-Bypass认证接入A厂商 IP phone, 话机软体版本升级后无法上线

发布时间:  2015-06-19 浏览次数:  201 下载次数:  0
问题描述

问题:

某局點部署近百台我司接入交换机S2700,當A厂商电话系统升级后,发现与我司的交换机无法配合,而换C厂商的无问题。

话机接交换机是A厂商 802.1x MAC-bypass的方式接入, RADIUS服务器上设定MAC OUIbypass list, PC则以802.1x接入

 

設備:

A 厂商 1608 phone old version: 1.300b

A 厂商 1608 phone new version: 1.350b

Huawei Switch S2700 versionV100R005C01SPC100

 

組網:

RADIUS --- Core --- S2700 ---- A厂商 IP Phone ---- PC

 

配置:

# Huawei S2700

#

 voice-vlan mac-address aabb-cc00-0000 mask ffff-ff00-0000 description A 厂商

#

interface Ethernet0/0/7  // 新舊軟體的話机配置

 voice-vlan 120 enable

 voice-vlan mode manual

 port hybrid pvid vlan 110

 port hybrid tagged vlan 120

 port hybrid untagged vlan 110

 stp disable                             

 stp edged-port enable

 ntdp enable

 ndp enable

 bpdu enable

 dot1x mac-bypass

 dot1x reauthenticate

 broadcast-suppression 50

#

# C 厂商 2960

#

interface FastEthernet0/2    // Cisco的話机配置

 switchport access vlan 110

 switchport mode access

 switchport voice vlan 120

 authentication host-mode multi-auth

 authentication open

 authentication port-control auto

 authentication periodic

 authentication timer reauthenticate 43200

 mab

 dot1x pae authenticator

 dot1x timeout quiet-period 5

 dot1x max-req 4

 storm-control broadcast level 50.00

 spanning-tree portfast

 spanning-tree bpduguard enable

#

处理过程

排查发现:

 

1.       debug信息中看IP Phone已经认证成功了。

舊軟體IP Phone

 [EAPOL_Dot1xProcessArpDhcpPacket]aabb-cc42-ce4b was online.

 

新軟體IP Phone

debug信息中看IP Phone已经认证成功了。

 [EAPOL_AuthenSuccessPro]ulIndex:11, userType:3, ulEapSize=0.

 

2.       当配置port hybrid tagged vlan xx voice vlan)时,新版本A 厂商 IP phone不能工作

3.       C 厂商 交換机的話机接入方式為Multi access VLAN

4.       尝试配置为port hybrid untagged vlan xxvoice vlan)后工作正常;

5.       老版本A 厂商 IP phone配置为port hybrid tagged vlan xx voice vlan)工作正常。

根因

结论:

话机升级为新版本后,无法通过协议获取VOICE VLAN,只能处理Untag报文:

·         话机报文以untag报文进入交换机后,通过认证后,认证模块会给报文打上voice vlan

·         回程报文从交换机出去时,也需要把报文中的tag去除,话机才能正确处理;

·         所以voice vlan要以untag方式加入端口。

 

话机老升级时,应该是可以通过协议获取VOICE VLAN的,即话机出来的报文就是带tag的:

·         话机报文以tag方式进入交换机后,通过认证,并不需要给报文打tag

·         回程报文从交换机出去时,仍然保留报文的Tag报文出去;

·         所以voice vlan Tag方式加入到端口。

 

解决方案

解决方法:
untagged vlan 方式接入

建议与总结
DHCP server下发option 184 voice vlan

END