上海A局点华为S5700下接7910话机上线慢问题

发布时间:  2016-05-20 浏览次数:  288 下载次数:  0
问题描述
上海A局点部署采用S7700S5700部署SVF系统,下挂华为7910话机和7950话机,在S5700的接口上开启voice vlan功能及认证功能。7910话机在默认配置下长时间无法上线,7950话机无此问题
处理过程

1.    7910报文流程

ICMPv6->1LLDP(未携带话机信息)-> DHCP-> 1LLDP-> DHCP-> ->ARP->ICMP

2.     第一个LLDP未携带有效TLV字段

第一个LLDP报文TLV字段没有携带话机信息,导致话机长时间无法上线,第二个LLDP协商后才正常。

未协商到语音vlan 后发的DHCP报文就出现2中情况

1、  untag报文可以进入交换机打上用户vlan获取到地址后长时间无法上线

2、  tag报文连续发10几个交换机不允许通过。

 

次发lldp报文为正常报文

 

3.  默认使能了Dot1x认证

华为话机默认使能Dot1x认证,在未获取到语音vlan之前,发送untagDot1x文会触发一个认证失败,导致话机的后续报文全部被认证端口丢弃,直至认证探测下线才重新开始流程。对比友商,思科默认不是能Dot1x认证,可选择使能。

根因

1、  华为7910话机,上线流程中第一个LLDP是废报文导致长时间无法获取到语音vlan,直到第二个LLDP协商后才正常(局点现场实测7950话机无此问题)。

2、  华为话机默认使能Dot1x认证模式,思科话机默认不使能,从应用场景角度来看话机多数会采用免认证功能,不会做Dot1x认证,默认不应该使能。

解决方案

匹配话机源MAC地址与用户vlan的报文,丢弃话机上来的认证报文。

acl number 4000 
rule 5 permit source-mac f898-b900-0000 ffff-ff00-0000 vlan-id 201
rule 10 permit source-mac 4862-7600-0000 ffff-ff00-0000 vlan-id 201
rule 15 permit source-mac f898-b900-0000 ffff-ff00-0000 vlan-id 202
rule 20 permit source-mac 4862-7600-0000 ffff-ff00-0000 vlan-id 202
rule 25 permit source-mac f898-b900-0000 ffff-ff00-0000 vlan-id 204
rule 30 permit source-mac 4862-7600-0000 ffff-ff00-0000 vlan-id 204
rule 35 permit source-mac f898-b900-0000 ffff-ff00-0000 vlan-id 205
rule 40 permit source-mac 4862-7600-0000 ffff-ff00-0000 vlan-id 205
rule 45 permit source-mac f898-b900-0000 ffff-ff00-0000 vlan-id 225
rule 50 permit source-mac 4862-7600-0000 ffff-ff00-0000 vlan-id 225

#
cpu-defend policy test
blacklist 1 acl 4000

#
cpu-defend-policy test global
cpu-defend-policy test

END