Вы здесь

Практика подключения телефонов Cisco

Большинство телефонов Cisco имеют встроенный коммутатор, настройками которого можно управлять. Телефон можно подключить как к "родному" коммутатору Cisco, так и к рядовому DLink. Как настроить порт коммутатора для подключения телефона и что такое Voice VLAN - про все про это рассказывает данная статья.

Что такое Voice VLAN

Наиболее частая и рекомендуемая практика - это разделение голосового трафика от трафика данных.

Существует целый ряд несложных в использовании приложений (например Wireshark, VOMIT), которые позволяют осуществить перехват голосового трафика и конвертировать его в WAV файл.
Практический пример перехвата можно посмотреть в статье Перехват трафика RTP или телефонного разговора

Разделение трафика голосового от трафика данных обеспечивает защиту от подобных действий. Также это дает возможность внедрить QoS более простыми методами.

Большинство телефонов Cisco имеют встроенный коммутатор.
В спецификации телефона это называется Integrated 10/100 Ethernet switch, а в самом телефоне будут два гнезда "COMPUTER" и "NETWORK".
Встроенный коммутатор позволяет подключать телефон и рабочий компьютер используя только один порт коммутатора.
Phone_connect1_0.jpg
Порт "NETWORK" может отсылать и принимать тагированные пакеты 802.1Q, и по сути является транковым портом, т.е. портом принимающим пакеты принадлежащие разным VLAN-ам. Иногда такой порт называют "мини-транком", т.к. "нормальный" транк пропускает большое количество VLAN-ов, IP телефон тагирует только свои пакеты меткой голосового VLAN-а.

Как уже было сказано, порт способный получать тагируемые пакеты называется trunk port.
Cisco же рекомендует настраивать порт коммутатора для работы с телефоном следующим образом:
interface fa 0/1
spanning-tree portfast
switchport access vlan 50
switchport voice vlan 10

Т.е. мы видим что транковый порт настраивается как access port для VLAN 50 и как транковый порт для VLAN 10.
Можно считать подобный порты аксесными, но с поддержкой тагирования голосового трафика.

Справедливости ради отметим, что мы можем настроить порт коммутатора как обычный транковый порт, и телефон также прекрасно будет работать:
interface fa 0/1
spanning-tree portfast
switchport mode trunk
switchport trunk encapsulation dot1q
switchport trunk native vlan 50
switchport voice vlan 10
switchport trunk allowed vlan 10

Это старый вариант конфигурации, который считается менее секьюрным, т.к. злоумышленник может убрать телефон и подключиться своим устройством и провести атаку VLAN-hopping, иммитируя коммутатор со своей стороны. Более современный и рекомендуемый синтаксис - это первый вариант, с конфигурируемым "квази аксесным портом"

Заметим, что никаких дополнительных настроек на самом телефоне делать не требуется. Телефон получает конфигурацию от коммутатора используя CDP. После того как он получит номер голосового VLAN, он начинает тагировать собственные голосовые пакеты меткой голосового VLAN-а.
"не-цисковские" телефоны не понимают CDP, поэтому в их настройках необходимо указать номер голосового VLAN, в противном случае они будут использовать data VLAN.
То же самое произойдет и с телефоном cisco, если мы отключим на порту CDP:
interface fa 0/1
spanning-tree portfast
switchport access vlan 50
switchport voice vlan 10
no cdp enable

в этом случае телефон не воспримет команду switchport voice vlan 10. Он получит адрес по DHCP из адресного пространства VLAN 50.

Подключение телефона через неуправляемый коммутатор

Если у вас есть неуправляемый коммутатор, это значит что вы не сможете сделать отдельные, изолированные друг от друга VLAN-ы.
При подключении к неуправляемому коммутатору телефон не получит никакой конфигурации и будет выступать таким же свитчом с двумя портами. Мы можем использовать одну и туже подсеть для телефонов и компьютеров или их разделить.
В этой ситуации пожалуй наилучшим решением будет разместить две IP подсети хоть и в одном броадкастном домене.
В этом случае DHCP можно будет использовать либо для компьютеров либо для телефонов.
no-name_switch_ciscomaster.ru_0.jpg

Комментарии

Аватар пользователя akhmetov

По поводу "не-цисковских" телефонов. Можно немного облегчить жизнь эникеям и включить на портах коммутатора кроме CDP еще и LLDP. Сейчас многие телефоны его поддерживают и правильно хватают голосовой влан.
PS: Кроме порта, LLDP надо включить еще и глобально, естественно.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image