发布时间: 2015-06-19 | 浏览次数: 1117 | 下载次数: 0 | 作者: SU1001755392 | 文档编号: EKB1000079395
问题:
某局點部署近百台我司接入交换机S2700,當A厂商电话系统升级后,发现与我司的交换机无法配合,而换C厂商的无问题。
话机接交换机是A厂商 以802.1x MAC-bypass的方式接入, 在RADIUS服务器上设定MAC OUI的bypass list, PC则以802.1x接入
設備:
A 厂商 1608 phone old version: 1.300b
A 厂商 1608 phone new version: 1.350b
Huawei Switch S2700 versionV100R005C01SPC100
組網:
RADIUS --- Core --- S2700 ---- A厂商 IP Phone ---- PC
配置:
# Huawei S2700
#
voice-vlan mac-address aabb-cc00-0000 mask ffff-ff00-0000 description A 厂商
#
interface Ethernet0/0/7 // 新舊軟體的話机配置
voice-vlan 120 enable
voice-vlan mode manual
port hybrid pvid vlan 110
port hybrid tagged vlan 120
port hybrid untagged vlan 110
stp disable
stp edged-port enable
ntdp enable
ndp enable
bpdu enable
dot1x mac-bypass
dot1x reauthenticate
broadcast-suppression 50
#
# C 厂商 2960
#
interface FastEthernet0/2 // Cisco的話机配置
switchport access vlan 110
switchport mode access
switchport voice vlan 120
authentication host-mode multi-auth
authentication open
authentication port-control auto
authentication periodic
authentication timer reauthenticate 43200
mab
dot1x pae authenticator
dot1x timeout quiet-period 5
dot1x max-req 4
storm-control broadcast level 50.00
spanning-tree portfast
spanning-tree bpduguard enable
#
排查发现:
1. debug信息中看IP Phone已经认证成功了。
舊軟體IP Phone
[EAPOL_Dot1xProcessArpDhcpPacket]aabb-cc42-ce4b was online.
新軟體IP Phone
debug信息中看IP Phone已经认证成功了。
[EAPOL_AuthenSuccessPro]ulIndex:11, userType:3, ulEapSize=0.
2. 当配置port hybrid tagged vlan xx (voice vlan)时,新版本A 厂商 IP phone不能工作
3. C 厂商 交換机的話机接入方式為Multi access VLAN口
4. 尝试配置为port hybrid untagged vlan xx(voice vlan)后工作正常;
5. 老版本A 厂商 IP phone配置为port hybrid tagged vlan xx (voice vlan)工作正常。
结论:
话机升级为新版本后,无法通过协议获取VOICE VLAN,只能处理Untag报文:
· 话机报文以untag报文进入交换机后,通过认证后,认证模块会给报文打上voice vlan;
· 回程报文从交换机出去时,也需要把报文中的tag去除,话机才能正确处理;
· 所以voice vlan要以untag方式加入端口。
话机老升级时,应该是可以通过协议获取VOICE VLAN的,即话机出来的报文就是带tag的:
· 话机报文以tag方式进入交换机后,通过认证,并不需要给报文打tag;
· 回程报文从交换机出去时,仍然保留报文的Tag报文出去;
· 所以voice vlan 以Tag方式加入到端口。
解决方法:
以untagged vlan 方式接入
