Configurando Voice VLAN em switchs Huawei e aparelhos de outro fabricante (com port security)
Recentemente precisei configurar um parque de switchs Huawei com telefones IP de marca Siemens / Unify. Como de praxe, a ideia é separar o tráfego dos telefones na VLAN de voz e permitir que os computadores se conectem pela porta do telefone em uma VLAN separada. Após longas horas lendo a documentação oficial cheguei na configuração ideal para as portas que vão se conectar aos telefones.
Este modelo OpenStage 15 da Siemens / Unify tem suporte ao LLDP, que vai descobrir a VLAN de voz informada pelo switch. Neste caso estou usando a VLAN de voz com 2211 e a VLAN de dados como 2000. Quando o aparelho for ligado ele será informado do ID da VLAN de voz por LLDP e o switch identificará o aparelho através do MAC OUI. Se o seu telefone IP não tem suporte a LLDP você terá que definir o ID da VLAN de voz manualmente na configuração dele.
Esta é uma configuração RESUMIDA, e não pretende explicar os detalhes envolvidos em VLANs de voz ou as funcionalidades específicas de cada opção disponível nesses switchs, mas creio que ela se aplique a maioria dos casos. Como não achei nenhum material em português explicando de maneira bem direta e prática, resolvi escrever.
Primeiro configure as VLANs de voz e dados no switch, e o MAC OUI dos seus aparelhos de telefonia IP:
voice-vlan mac-address 001a-e800-0000 mask ffff-ff00-0000 description Siemens-Unify
vlan 2211
name Vlan-VoIP
description VoIP-VoiceVLAN
vlan 2000
name Vlan-Dados
quit
Em seguida aplique a configuração abaixo em cada interface:
int GigabitEthernet 0/0/2
port link-type hybrid
voice-vlan 2211 enable
voice-vlan remark-mode mac-address
port hybrid pvid vlan 2000
port hybrid untagged vlan 2000
port hybrid tagged vlan 2211
undo port hybrid vlan 1
voice-vlan security enable
quit
Repare que no switch Huawei é necessário colocar a porta em modo Hybrid para que ele consiga encaminhar tráfego com e sem TAG de cada VLAN. Os frames do telefone serão marcados com TAG 802.1q da VLAN de voz e o tráfego do PC conectado será encaminhado sem.
A opção "voice-vlan security enable" garante que apenas tráfego com MAC de origem que coincida com o OUI configurado seja encaminhado para a VLAN de voz. Do contrário qualquer outro equipamento com o TAG da VLAN de voz conectado à esta porta teria o seu tráfego encaminhado normalmente, tendo acesso direto à sua Voice VLAN.
Já o comando "undo port hybrid vlan 1" remove a VLAN 1 da porta, pois é deixada por padrão em portas modo hybrid. É importante você garantir isso para que não haja mistura de VLAN e que a configuração deixe de maneira explícita cada VLAN que deve trafegar ali.
Port Secuity
Se você também usa port security tome cuidado. Em primeiro lugar, você deve garantir que os MAC address do telefone e do PC conectado a ele possam ser associados àquela porta. Mas existe uma pegadinha. O MAC do telefone acaba sendo associado às duas VLANs, por isso você deve definir o máximo de MAC addresses naquela porte como 3. Quando o telefone é ligado o switch imediatamente aprende o seu MAC na VLAN de dados(sem TAG), e só depois que o sistema é iniciado, e o telefone descobre a VLAN de voz por LLDP, ele começa a enviar os seus frames com o TAG da VLAN de voz. O switch fica com MAC do telefone associado àquela porta nas duas VLANs aumentando a quantidade de MAC addresses aprendidos naquela porta. Quando os frames do PC chegarem poderá haver uma violação do port security. Por isso é recomendado definir a contagem para 3. Veja:
int GigabitEthernet 0/0/2
port link-type hybrid
voice-vlan 2211 enable
voice-vlan remark-mode mac-address
port hybrid pvid vlan 2000
port hybrid untagged vlan 2000
port hybrid tagged vlan 2211
undo port hybrid vlan 1
voice-vlan security enable
stp edged-port enable
port-security enable
port-security protect-action shutdown
port-security mac-address sticky
port-security max-mac-num 3
q
Execute o comando "display mac-addr <interface>" e veja o resultado. Existem, portanto, 3 MAC associados à porta.
Espero ter ajudado ;-)
Comentários
Postar um comentário