Configurando Voice VLAN em switchs Huawei e aparelhos de outro fabricante (com port security)

Recentemente precisei configurar um parque de switchs Huawei com telefones IP de marca Siemens / Unify. Como de praxe, a ideia é separar o tráfego dos telefones na VLAN de voz e permitir que os computadores se conectem pela porta do telefone em uma VLAN separada. Após longas horas lendo a documentação oficial cheguei na configuração ideal para as portas que vão se conectar aos telefones. 

Este modelo OpenStage 15 da Siemens / Unify tem suporte ao LLDP, que vai descobrir a VLAN de voz informada pelo switch. Neste caso estou usando a VLAN de voz com 2211 e a VLAN de dados como 2000. Quando o aparelho for ligado ele será informado do ID da VLAN de voz por LLDP e o switch identificará o aparelho através do MAC OUI. Se o seu telefone IP não tem suporte a LLDP você terá que definir o ID da VLAN de voz manualmente na configuração dele.

Esta é uma configuração RESUMIDA, e não pretende explicar os detalhes envolvidos em VLANs de voz ou as funcionalidades específicas de cada opção disponível nesses switchs, mas creio que ela se aplique a maioria dos casos. Como não achei nenhum material em português explicando de maneira bem direta e prática, resolvi escrever.

Primeiro configure as VLANs de voz e dados no switch, e o MAC OUI dos seus aparelhos de telefonia IP:

voice-vlan mac-address 001a-e800-0000 mask ffff-ff00-0000 description Siemens-Unify
vlan 2211
 name Vlan-VoIP
 description VoIP-VoiceVLAN

vlan 2000
 name Vlan-Dados
 quit

Em seguida aplique a configuração abaixo em cada interface:

int GigabitEthernet 0/0/2
 port link-type hybrid
 voice-vlan 2211 enable
 voice-vlan remark-mode mac-address
 port hybrid pvid vlan 2000
 port hybrid untagged vlan 2000
 port hybrid tagged vlan 2211
 undo port hybrid vlan 1
 voice-vlan security enable

 quit

Repare que no switch Huawei é necessário colocar a porta em modo Hybrid para que ele consiga encaminhar tráfego com e sem TAG de cada VLAN. Os frames do telefone serão marcados com TAG 802.1q da VLAN de voz e o tráfego do PC conectado será encaminhado sem. 

A opção "voice-vlan security enable" garante que apenas tráfego com MAC de origem que coincida com o OUI configurado seja encaminhado para a VLAN de voz. Do contrário qualquer outro equipamento com o TAG da VLAN de voz conectado à esta porta teria o seu tráfego encaminhado normalmente, tendo acesso direto à sua Voice VLAN. 

Já o comando "undo port hybrid vlan 1" remove a VLAN 1 da porta, pois é deixada por padrão em portas modo hybrid. É importante você garantir isso para que não haja mistura de VLAN e que a configuração deixe de maneira explícita cada VLAN que deve trafegar ali.

Port Secuity

Se você também usa port security tome cuidado. Em primeiro lugar, você deve garantir que os  MAC address do telefone e do PC conectado a ele possam ser associados àquela porta. Mas existe uma pegadinha. O MAC do telefone acaba sendo associado às duas VLANs, por isso você deve definir o máximo de MAC addresses naquela porte como 3. Quando o telefone é ligado o switch imediatamente aprende o seu MAC na VLAN de dados(sem TAG), e só depois que o sistema é iniciado, e o telefone descobre a VLAN de voz por LLDP, ele começa a enviar os seus frames com o TAG da VLAN de voz. O switch fica com MAC do telefone associado àquela porta nas duas VLANs aumentando a quantidade de MAC addresses aprendidos naquela porta. Quando os frames do PC chegarem poderá haver uma violação do port security. Por isso é recomendado definir a contagem para 3. Veja:

int GigabitEthernet 0/0/2
 port link-type hybrid
 voice-vlan 2211 enable
 voice-vlan remark-mode mac-address
 port hybrid pvid vlan 2000
 port hybrid untagged vlan 2000
 port hybrid tagged vlan 2211
 undo port hybrid vlan 1
 voice-vlan security enable
 stp edged-port enable
 port-security enable
 port-security protect-action shutdown
 port-security mac-address sticky
 port-security max-mac-num 3
 q

Execute o comando "display mac-addr <interface>" e veja o resultado. Existem, portanto, 3 MAC associados à porta.

Espero ter ajudado ;-)