Централизованная настройка vlan для ip телефонов в 3cx

Введение

Тегирование трафика VLAN (назначение VLAN сетей IP телефонам) позволяет отказаться от дополнительных кабелей и сетевых портов, т.е. не создавать две отдельные сети — для передачи голоса и данных. ПК может быть подключен во встроенный коммутатор телефона (в PC порт) в VLAN по умолчанию, либо в назначенный VLAN.

Начиная с v15.5 SP1 в интерфейсе управления 3CX можно централизованно установить приоритеты для трафика реального времени (RTP) на WAN порте и/или PC порте IP телефона пользователя. То есть, можно назначить VLAN как для самих IP телефонов, так и для ПК, подключенных через мини-коммутатор.

Что такое voice VLAN?

Voice VLAN (голосовой VLAN) — это VLAN (виртуальная локальная сеть), специально разработан для передачи клиентского голосового трафика. При настройке Voice VLANа и включении портов с VoIP оборудованием в этот VLAN, пользователь получает возможность конфигурировать параметры качества сервиса (QoS) для голосовых данных и увеличивать приоритет передачи голосового трафика, тем самым улучшая качество звонков.

Voice VLAN или голосовой VLAN используется для изоляции голосового трафика от данных по двум причинам:

1. Безопасность. Уже существует ПО, такое как Wireshark и Voice Over Misconfigured Internet Telephones (VOMIT), которое позволяет злоумышленникам распознавать и вылавливать голосовые пакеты, а затем обрабатывать и преобразовывать их в аудио-файлы с расширением WAV. Чтобы этого не произошло, необходимо изолировать голосовой трафик от прочего.

2. QoS. Используется для облегчения приоритезации голосового трафика среди прочего.

Настройка VLAN на IP телефонах

В целом, успешное внедрение VLAN тегирования требует качественного сетевого оборудования и навыков системного инженера по настройке коммутаторов / маршрутизаторов. Рекомендуется предварительно протестировать автонастройку VLAN на небольшой группе телефонов в тестовом сегменте сети.

Перед внедрением VLAN важно учитывать следующее:

  • VLAN тегирование внедрять не всегда необходимо, т.к. это усложняет сеть и работу администратора;
  • Если это доступно, вы можете просто использовать разные порты корпоративного коммутатора для ПК и IP телефона;
  • Преимущества от VLAN заметны только в достаточно крупных инсталляциях;
  • Обязательно тестируйте работу VLAN перед развертыванием технологии в рабочей сети;
  • VLAN не поможет, если ваша сеть ненормально перегружена.

Наиболее часто VLAN реализуется следующим образом:

  1. Сеть передачи данных
    • без VLAN тегирования
    • На ПК установлен веб-клиент 3CX и 3CXPhone
    • Настроена маршрутизация с сервером 3CX, который находится в сети передачи голоса
  2. Сеть передачи голоса
    • VLAN тегирование (в нашем примере Vlan ID55)
    • Сервер 3CX расположен в голосовой сети

Такая настройка  предполагает, что трафик IP телефонов тегируется VLAN, а трафик ПК проходит без тегирования. Пример топологии:

  1. Сеть передачи данных 10.10.10.0 / 24
  2. Сеть передачи голоса 10.10.20.0 / 24 (Vlan Tag 55) (тегируется трафик на WAN порту IP телефона)
    • IP сервера 3CX 10.10.20.2 / 24
    • IP телефона 10.10.20.5 / 24

DHCP Option 132

Обратите внимание: протокол LLDP на коммутаторах должен быть выключен. На DHCP сервере создайте Option 132 и укажите Vlan ID 55 (для нашего примера)

Обычно ПК игнорируют эту опцию, но IP телефон должен корректно ее интерпретировать. Получив Option 132, телефон освобождает текущий IP адрес, меняет VLAN и получает новый IP адрес из VLAN 55. После этого телефон посылает мультикаст-запрос PnP автонастройки, который обрабатывается 3CX.

Порт LAN/WAN

VLAN ID указывается непосредственно в интерфейсе автонастройки телефона. Он должен соответствовать параметру DHCP Option 132. При такой конфигурации вы получаете ряд преимуществ:

  • Настроенное устройство не пытается первоначально получать IP адрес из сети передачи данных для того, чтобы переключиться на нужный VLAN ID
  • IP телефон не использует DHCP Option 132

Опция VLAN Priority по умолчанию включена и может иметь значение от 0 до 7. Приоритет пакета определяет, как он должен обрабатываться сетевыми узлами, через которые проходит. Диапазон значений от 1 (низкий приоритет) до 6 (высокий приоритет). 7 использовать не рекомендуется, т.к. зарезервирован для аварийных случаев. Напоминаем, что неверное указание этого значения приводит к ухудшению качества связи. Трафик реального времени от IP телефонов всегда должен иметь более высокий приоритет, чем другой сетевой трафик.

Порт PC (Опционально)

Если вы не определяете VLAN для PC порта телефона, он будет работать в VLAN сети по умолчанию, т.е. в сети передачи данных (это не означает, что PC порт будет отключен — он по прежнему доступен для подключения ПК).

Иногда ПК, подключенный в PC порт, должен быть “перенесен” (т.е. тегирован) в другую VLAN, отличную от сети по умолчанию. В этом случае используется VLAN тегирование на PC интерфейсе телефона, например:

  1. Сеть по умолчанию 10.10.10.0 / 24
  2. Сеть передачи голоса 10.10.20.0 / 24 (Vlan Tag 55) ← VLAN порта WAN
    • IP сервера 3CX 10.10.20.2 / 24
    • IP телефон 10.10.20.5 / 24
  3. Сеть передачи данных 10.10.30.0 / 24 (Vlan Tag 77) ← VLAN порта PC

Как работает voice VLAN?

Чтобы установить приоритетность потоков голосовых данных, они должны быть сначала идентифицированы. Voice VLAN может идентифицировать поток голосовых данных двумя способами: один — путем определения исходного MAC-адреса принятого пакета (MAC address-based mode), а другой — путем идентификации тега VLAN принятого пакета (VLAN-based mode).

В режиме на основе MAC-адреса сетевой коммутатор может определить, является ли поток данных потоком голосовых данных, в соответствии с полем MAC-адреса источника в пакете данных, поступающем в его интерфейс. Как показано на следующем рисунке, после того, как коммутатор получает пакет данных, отправленный PC и IP-телефоном, он выполняет следующую обработку: если MAC-адрес источника соответствует OUI (уникальный идентификатор организации), настроенному на коммутаторе, к пакету добавлена голосовая метка VLAN И увеличил приоритет пакета. Если исходный MAC-адрес не соответствует OUI, тег VLAN PVID будет добавлен в пакет, и пакет не будет отправлен первым.

В режиме VLAN Ethernet коммутатор определяет, является ли пакет данных речевым пакетом данных, на основе идентификатора VLAN пакета данных, поступающего в интерфейс. Как показано на рисунке ниже, IP-телефон сначала отправляет пакет данных на сетевой коммутатор. Затем коммутатор добавляет информацию о голосовой VLAN в соответствующие поля s, принимает пакет данных и отправляет его обратно. После получения информации о голосовой VLAN IP-телефон снова отправляет помеченное голосовое сообщение. Если тег соответствует голосовой VLAN, настроенной на коммутаторе, коммутатор пересылает приоритет пакета. Таким образом, когда происходит перегрузка сети, коммутатор может обеспечить приоритетную передачу голосовых сообщений.

1.6 Настройка DHCP серверов

Чтобы компьютеры получали сетевые настройки автоматически, необходимо настроить DHCP сервера. Поскольку у нас будут две сети, то нужно настроить два DHCP сервера.

Настраиваем DHCP сервер внутренней сети предприятия:

  1. Откройте меню IP — DHCP server;
  2. Нажмите «красный плюсик»;
  3. В появившемся окне в поле Name укажите название dhcp_server_main;
  4. В списке Interface выберите интерфейс офисной сети bridge_main;
  5. В списке Address Pool выберите пул IP адресов dhcp_pool_main, которые будут присваиваться компьютерам предприятия;
  6. Нажмите кнопку OK.

Настраиваем DHCP сервер гостевой сети аналогичным образом:

  1. Нажмите «красный плюсик»;
  2. В появившемся окне в поле Name укажите название dhcp_server_vlan2;
  3. В списке Interface выберите виртуальный интерфейс гостевой сети vlan2;
  4. В списке Address Pool выберите пул IP адресов dhcp_pool_vlan2, которые будут присваиваться гостевым ноутбукам;
  5. Нажмите кнопку OK.

Теперь переходим на вкладку Networks и добавляем наши сети:

Добавляем сеть предприятия:

  1. Нажмите «красный плюсик»;
  2. В поле Address укажите сеть предприятия 192.168.88.0/24;
  3. В поле Gateway укажите адрес шлюза 192.168.88.1;
  4. В поле Netmask укажите маску 24;
  5. В поле DNS Servers укажите адрес DNS сервера 192.168.88.1;
  6. Нажмите кнопку OK.

Добавляем гостевую сеть:

  1. Нажмите «красный плюсик»;
  2. В поле Address укажите сеть предприятия 192.168.10.0/24;
  3. В поле Gateway укажите адрес шлюза 192.168.10.1;
  4. В поле Netmask укажите маску 24;
  5. В поле DNS Servers укажите адрес DNS сервера 192.168.10.1;
  6. Нажмите кнопку OK.

Общие сведения

В этом документе объясняется конфигурация коммутаторов, соединяющих ПК и IP-телефоны через порт коммутатора. IP-телефон Cisco содержат интегрированный коммутатор 10/100 с тремя портами. Эти порты выделены для определенных подключений.

  • Порт 1 служит для подсоединения к коммутатору Catalyst или другому устройству, поддерживающему технологию передачи речи по протоколу IP.

  • Порт 2 – это внутренний интерфейс 10/100 для передачи трафика, проходящего через телефон.

  • Порт 3 служит для подсоединения к ПК или другому устройству.

Примечание: Физически можно увидеть только два порта. Третий порт является внутренним, и увидеть его нельзя. В этом разделе порт 2 не виден.

В коммутаторе используется две виртуальных локальных сети: одна для трафика данных, а другая для речевого трафика. Порт коммутатора может использовать либо виртуальную локальную сеть доступа, либо виртуальную локальную магистральную сеть, но для передачи речевого трафика необходимо настроить виртуальную локальную сеть передачи речевых сообщений.

Если в коммутаторе содержится модуль, обеспечивающий конечные станции питанием через Ethernet, то можно настроить каждый интерфейс этого модуля таким образом, чтобы он автоматически определял, что конечной станции необходимо питание и подавал на нее питание через Ethernet. По умолчанию, когда коммутатор определяет в интерфейсе устройство, на которое подается электропитание, он предполагает, что это устройство потребляет максимальную мощность, которая может быть подана через порт. В традиционных модулях максимум мощности питания через Ethernet составляет 7 Вт, а в модулях IEEE PoE, включенных в программное обеспечение Cisco IOS, выпуск 12.2(18)EW он составляет 15,4 Вт. Когда коммутатор получает пакет данных по протоколу обнаружения Cisco (CDP) от устройства, на которое подается электропитание, потребляемая мощность автоматически уменьшается в соответствии с требованиям конкретного устройства. Обычно эта автоматическая регулировка срабатывает правильно, и после нее дальнейшая регулировка не требуется и не рекомендуется. Однако можно указать потребление электропитания на устройстве для всего коммутатора (или для конкретного интерфейса), чтобы обеспечить на коммутаторе дополнительную функциональность. Это полезно, когда протокол CDP отключен или не доступен.

Поскольку при неравномерной передаче данных качество речерых вызовов на IP-телефоне может снизиться, в коммутаторе используется механизм обеспечения качества обслуживания на базе класса обслуживания IEEE 802.1p. Механизм обеспечения качества обслуживания при передаче сетевого трафика с коммутатора использует классификацию и расписания предсказуемым образом. См. дополнительные сведения по механизму обеспечения качества обслуживания в разделе . Функция Cisco AutoQoS обеспечивает автоматическое последовательное применение механизма обеспечения качества обслуживания во всех маршрутизаторах и коммутаторах Cisco. Она подключает различные компоненты обеспечения качества обслуживания Cisco в зависимости от сетевого окружения и рекомендаций Cisco.

Устранение неполадок

Проблема 1

Отображается следующее сообщение об ошибке. %PM-SP-3-ERR_INCOMP_PORT: <mod/port> is set to inactive because <mod/port> is a trunk port

Объяснение. Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 10/100-Mbps ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL является магистралью, назначением SPAN или случайным портом PVLAN. (Специализированная интегральная схема COIL контролирует 12 портов на большинстве модулей и 48 портов на модуле Catalyst 6548.) В раздела данного документа представлены сведения об ограничении портов на модулях коммутаторов Catalyst 6500/6000 10/100-Mbps.

Процедура разрешения. Если нет поддержки на порте PVLAN, выберите порт в другой ASIC на данном или на другом модуле. Чтобы возобновить деятельность портов, удалите конфигурацию изолированного или общего порта VLAN и выполните команды shutdown и no shutdown.

Примечание. В ПО Cisco IOS версии 12.2(17a)SX и более поздних ограничение 12 портов не применяется к коммутирующим модулям WS-X6548-RJ-45, WS-X6548-RJ-21 и WS-X6524-100FX-MM Ethernet. Дополнительные сведения об ограничениях конфигураций сетей PVLAN с помощью других функций см. в разделе документа Конфигурация частных сетей VLAN.

Проблема 2

В процессе конфигурации PVLAN может отобразится одно из следующих сообщений.

Объяснение. Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 10/100-Mbps ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL является магистралью, назначением SPAN или случайным портом PVLAN. (Специализированная интегральная схема COIL контролирует 12 портов на большинстве модулей и 48 портов на модуле Catalyst 6548.) В раздела данного документа представлены сведения об ограничении портов на модулях коммутаторов Catalyst 6500/6000 10/100-Mbps.

Процедура разрешения. Выполните команду show pvlan capability (CatOS), которая указывает преобразование порта в порт PVLAN. Если нет поддержки для PVLAN на определенном порте, выберите порт в другой ASIC на данном или на другом модуле.

Примечание. В ПО Cisco IOS версии 12.2(17a)SX и более поздних ограничение 12 портов не применяется к коммутирующим модулям WS-X6548-RJ-45, WS-X6548-RJ-21 и WS-X6524-100FX-MM Ethernet. Дополнительные сведения об ограничениях конфигураций сетей PVLAN с помощью других функций см. в разделе документа Конфигурация частных сетей VLAN.

Проблема 3

Не удается настроить PVLAN на некоторых платформах.

Решение. Проверьте, чтобы платформа поддерживала сети PVLAN. Чтобы определить, поддерживает ли платформа или версия ПО сети PVLAN перед началом конфигурации, см. раздел Матрица поддержки коммутаторов Catalyst на частных сетях VLAN.

Проблема 4

На MSFC коммутатора Catalyst 6500/6000 невозможно выполнить запрос ICMP-эхо на устройство, которое соединено с изолированным портом на данном коммутаторе.

Решение. На модуле управления проверьте, чтобы данный порт на MSFC (15/1 или 16/1) является случайным.

Также настройте интерфейс VLAN на MSFC, как указано в разделе данного документа.

Проблема 5

С помощью команды no shutdown невозможно активировать интерфейс VLAN для изолированных или общих сетей VLAN.

Решение. Из-за сущности сетей PVLAN невозможно активировать интерфейс VLAN для изолированных или общих сетей VLAN. Можно активировать только тот интерфейс VLAN, который относится к первичной VLAN.

Проблема 6

На устройствах Catalyst 6500/6000 с MSFC/MSFC2 записи ARP, полученные на интерфейсах PVLAN уровня 3 не устаревают.

Решение. Записи ARP, полученные на интерфейсах частных VLAN уровня 3, являются фиксированными и не устаревают. С помощью подключения нового оборудования с помощью IP-адреса создается сообщение. Запись ARP не создается. Таким образом, необходимо удалить ARP-записи порта PVLAN при изменении MAC-адреса. Чтобы добавить или удалить ARP-записи PVLAN вручную, выполните следующие команды.

Второй способ – выполнить команду no ip sticky-arp в ПО Cisco IOS версии 12.1(11b)E и более поздних.

среда, февраля 06, 2013

Егор

Маршрутизация между vlan на коммутаторе

В прошлой статье мы обсудили с вами один из способов маршрутизации между vlan. Этот способ хорош всем кроме того факта, что для него нужен отдельный маршрутизатор =) А что если его у вас нет? Что тогда делать? Не стоит отчаиваться, маршрутизацию между vlanможно выполнить и на самом коммутаторе, правда этот коммутатор должен быть коммутатором уровня 3, то есть умеющим выполнять часть функций маршрутизатора.

Принцип, по которому осуществляется маршрутизацию между vlanна коммутаторе уровня 3, довольно прост, и в общих чертах представлен на рисунке:

Принцип маршрутизации между vlan на коммутаторе

Для того чтобы продемонстрировать как это осуществляется на практике прибегнем к всеми нам любимому PacketTracerи соберем в нем следующую простенькую схемку:

Наша схема в Packet Tracer

Компьютеру PC0 зададим IPадрес 192.168.2.2 cмаской 255.255.255.0 и шлюзом по умолчанию 192.168.2.1, а компьютеру PC1 IPадрес 192.168.3.2 cмаской 255.255.255.0 и шлюзом 192.168.3.1. После чего перейдем к конфигурации коммутатора. Для начала выполним хорошо знакомую нам конфигурацию, создающую vlan 2 и vlan 3, и назначающую им порты Fa0/1 и Fa0/2 соответственно:

  Switch(config)#vlan 2
  Switch(config-vlan)#name net_2

  Switch(config)#vlan 3

  Switch(config-vlan)#name net_3

  Switch(config)# interface fastEthernet 0/1

  Switch(config-if)#switchport mode access

  Switch(config-if)#switchport access vlan 2

  Switch(config)#interface fastEthernet 0/2

  Switch(config-if)#switchport mode access

  Switch(config-if)#switchport access vlan 3

  Switch(config)#interface vlan 2

  Switch(config-if)#no shutdown

  Switch(config)#interface vlan 3

  Switch(config-if)#no shutdown

После этого по традиции попробуем пропинговать с PCPC1, как вы наверное уже догадались, пинги не проходят, так как наши хосты находятся в разных vlan с разной ip адресацией. Для того чтобы настроить маршрутизацию между ними выполним вот такую нехитрую дополнительную конфигурацию:

  Switch(config)#interface vlan 2

  Switch(config-if)#ip address 192.168.2.1 255.255.255.0

  Switch(config)#interface vlan 3

  Switch(config-if)#ip address 192.168.3.1 255.255.255.0

  Switch(config)#ip routing

Данными командами мы назначили ipадреса vlanинтерфейсам коммутатора, а после этого командой ip routing включили маршрутизацию между ними. Для интереса можно даже посмотреть таблицу маршрутизации коммутатора выполнив на нем команду show ip route:

Вывод команды show ip route

Если же мы теперь попробуем пропинговать с PC1 PC0, то пинги будут успешно проходить, а это означает что маршрутизация между vlanработает и мы добились поставленной цели.

Как можно заметить принципы маршрутизации между vlanна коммутаторе и на выделенном маршрутизаторе достаточно похожи, только в случае использования коммутатора нам приходится присваивать IPадреса не субинтерфейсам, а vlanинтерфейсам (объединяющим группы физических интерфейсов коммутатора), ну и еще приходится отдельно включать маршрутизацию между ними, так как в отличие от маршрутизатора она не выполняется по умолчанию.

На сегодня это все. До новых встреч!

Опубликовано в: Коммутаторы, Cisco, Packet Tracer, VLAN

Особенности использования VLAN на коммутаторе IP телефона

Несмотря на то, что встроенный коммутатор позволяет сэкономить на кабелях и сетевых портах, его работа влияет на работу подключенного ПК. При перезагрузке или выключении телефона, ПК теряет связь с сетью. Если на ПК выполняются сетевые приложения, их работа может прекратиться с ошибкой. Кроме того, если ПК, подключенный к PC порту, генерирует большой трафик (работа с графикой и видео и т.п.), качество VoIP связи может заметно ухудшиться. В этом случае рекомендуется настройка приоритезации трафика приложений на ПК и на коммутаторе.

Автонастройка 3CX позволяет установить параметры VLAN только на LAN/WAN и PC портах телефона Однако настройка корпоративных коммутаторов, маршрутизаторов и DHCP сервера — зона ответственности системного администратора. Неверная автонастройка VLAN на телефоне может привести к его отключению от сети. В этом случае потребуется аппаратный сброс устройства, который обычно делается непосредственно с клавиатуры. Несоответствие настроек VLAN на телефоне и коммутаторе также может привести к заметному ухудшению качества связи и периодическим обрывам разговора.

2.4 Настройка LAN

Можно использовать статические или динамические сетевые настройки LAN порта. Мы введем статические настройки сети, чтобы сразу знать, на каком IP адресе будет находиться точка.

  • Откройте меню Network — LAN;
  • Bridge Type выбираем Static IP — ввод сетевых настроек вручную;
  • IP Address вводим 192.168.88.100;
  • IP Subnet Mask указываем маску подсети 255.255.255.0;
  • Default Gateway — это IP адрес шлюза. Шлюзом выступает роутер 192.168.88.1;
  • First DNS Address указываем первичный DNS сервер 192.168.88.1;
  • Second DNS Address вводим альтернативный DNS сервер Google 8.8.8.8;
  • Применяем настройки кнопкой Apply.

Если вы настроили EnGenius на получение автоматических настроек по DHCP, то после подключения точки доступа к роутеру, нужно посмотреть в роутере, какой IP адрес присвоился точке EnGenius. Это можно сделать в меню IP — DHCP Server на вкладке Leases. Посмотрите по MAC адресу устройства, какой ей присвоен IP адрес.

Теперь можно отключить Wi-Fi точку доступа EnGenius от компьютера и подключить в любой порт роутера MikroTik.

Подключитесь по очереди к Wi-Fi точкам Office и HotSpot, проверьте работу интернета и какие IP адреса присваиваются клиентам.

Описанная задача и процесс настройки разделенной гостевой сети и сети организации часто применяется в кафе, ресторанах, торговых центрах и гостиницах. Надеемся, данная инструкция поможет вам в решении аналогичных задач.

Огромное спасибо:

Проверка

Используйте этот раздел для того, чтобы подтвердить, что ваша конфигурация работает правильно.

Средство Интерпретатор выходных данных (только для зарегистрированных клиентов) (OIT) поддерживает некоторые команды show. Используйте OIT для просмотра аналитики выходных данных команды show.

CatOS

  • show pvlan – отображает конфигурацию PVLAN. Проверьте связь изолированных и первичных сетей VLAN друг с другом. А также проверьте отображение портов хоста.

  • show pvlan mapping – отображает сопоставление PVLAN с конфигурацией на случайных портах.

Программное обеспечение Cisco IOS

  • show vlan private-vlan – отображает сведения о PVLAN со связанными портами.

  • show interface mod/port switchport – отображает сведения об интерфейсах. Проверьте правильность работы рабочего режима, а также рабочие параметры PVLAN.

  • show interfaces private-vlan mapping – отображает настроенное сопоставление сетей PVLAN.

Процедура проверки

Выполните следующие шаги:

  1. Проверьте конфигурацию PVLAN на коммутаторах.

    Проверьте связь/сопоставление первичных и вторичных сетей PVLAN друг с другом. А также проверьте включение необходимых портов.

  2. Проверьте правильность конфигурации случайного порта.

    Следующие выходные данные указывают, что рабочий режим портов – promiscuous, рабочие сети VLAN – 100 и 101.

  3. Запустите пакет запроса ICMP-эхо из порта хоста на случайный порт.

    Помните, что так как оба устройства находятся в первичной VLAN, они могут быть в одной сети.

  4. Выполните запрос ICMP-эхо между портами хоста.

    В следующем промере host_port_2 (10.1.1.99) отправляет запрос ICMP-эхо на host_port (10.1.1.100). Выполнение данного запроса не удалось. Однако выполнение запроса ICMP-эхо из другого порта хоста на случайный порт прошло успешно.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Техноарена
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: