Inhaltsverzeichnis
Best Practice - Wie bekomme ich Telefone & Peripherie ans Netz
In diesem Artikel geht es darum, Endgeräte auf einfache Art und Weise an das Netzwerk anzubinden
Die Alcatel-Lucent OmniSwitch Komponenten auf Basis von AOS Release 6 bieten unterschiedliche Möglichkeiten, um auf einfache Art und Weise angeschlossenen Endgeräten ihre Netzwerkparameter zuzuordnen. Dazu gehört in jedem Falle das VLAN in welchem das Gerät betrieben werden soll. Mit erweiterten Funktionen können innerhalb eines Geräte- bzw. Nutzerprofils auch Zugangsberechtigungen in Form von ACLs, QoS- und Bandbreitenparameter zugewiesen werden. Eine häufige Anforderung ist der Umgang mit mobilen Endgeräten bzw. Nutzer. Hier sollen die Informationen und Zuordnungen zu Netzwerkressourcen ohne manuellen Eingriff des Administrators auch bei erneuter Verbindung an einem anderen Port oder Switch zur Verfügung stehen.
Diese Möglichkeiten sind nun im folgenden mit ihren Funktionen, Vorteilen und einem kurzen Konfigurationsbeispiel beschrieben.
VLAN Mobility
Bei VLAN Mobility geht es primär um die dynamische Zuweisung von VLANs zu Ports. Neben den Möglichkeiten der Konfiguration eines Default VLANs oder eines 802.1q getaggten VLANs auf einem Port bietet VLAN Mobility die Möglichkeit, dass dynamische VLAN-Port-Associations vom Switch erstellt werden. Dies kann über Regelwerke, sog. Mobility-Regeln gesteuert werden, durch welche beispielsweise Telefone anhand ihres Vendor-OUI in der MAC-Adresse dem Voice-VLAN zugeordnet werden können.
Funktion
- Flexible Zuweisung von VLAN zu Ports
- Zuordnung über Mobility-Regeln
- Switch lernt die dynamischen VLANs
Vorteile
- Flexibler Umgang mit bestimmten Gerätegruppen bspw. IP-Telefonen möglich
- Keine Konfiguration auf den Endgeräten notwendig
Konfiguration
ALU IP-Telefon mit Laptop an einem Port, beide senden ohne 802.1q Tag
-> vlan port mobile 1/1 -> vlan 10 name "Data" -> vlan 10 port default 1/1 -> vlan 20 name "Voice" -> vlan 20 mac range 00:80:9f:00:00:00 00:80:9f:ff:ff:ff
Gerät hinter dem Telefon sendet mit 802.1q Tag, bspw. Drucker
-> vlan port mobile 1/1 -> vlan 10 name "Data" -> vlan 10 port default 1/1 -> vlan 20 name "Voice" -> vlan 20 mac range 00:80:9f:00:00:00 00:80:9f:ff:ff:ff -> vlan 30 name "Printer" -> vlan 30 mobile-tag enable
Die Aktivierung des Mobile-Tags ist wichtig, damit der mobile Port Frames mit 802.1q-Tag akzeptiert und auf dem Port auch Frames mit 802.1q-Tag sendet.
Bei der Nutzung von VLAN Mobility kann es vorkommen, dass sog. Silent Devices wie beispielsweise Drucker nach einer gewissen Zeit nicht mehr erreichbar sind. Im folgenden wird beschrieben, wie man bei der Nutzung von VLAN Mobility diesen Geräten umgehen kann:
Dieses Verhalten wird durch das Aging der MAC-Adresse im Switch verursacht. Da diese Geräte im Normalfall nicht oder nur selten Daten senden, kommt es bei Standardeinstellungen nach 5 Minuten zum Löschen der MAC-Adresse aus der L2-Tabelle der Switche. Dabei wird auch die dynamische VLAN-Zuordnung auf dem Port verworfen, was dazu führt, dass das Endgerät aus dem Netzwerk nicht mehr angesprochen werden kann. Es gibt zwei Möglichkeiten, diese Situation zu umgehen:
1. Statische Zuordnung von VLANs auf mobilen Ports (ohne 802.1q)
Diese Konfiguration ist persistent, d.h. die VLAN-Zuordnung wird in der boot.cfg hinterlegt und ist auch nach einem Link down/up oder einem Reboot noch vorhanden:
-> vlan vid port slot/port
2. Gelernte VLAN-Zuordnungen nicht verwerfen
Diese Methode ist nicht persistent, d.h. die VLAN-Zuordnung wird dynamisch gelernt und nach dem Austimen der MAC-Adresse nicht verworfen. Nach einem Link down/up oder einem Reboot muss die Zuordnung allerdings neu gelernt werden:
-> vlan port slot/port default vlan restore {enable | disable}
User Network Profiles
User Network Profiles (UNP) bieten eine profilbasierte Nutzerverwaltung auf dem OmniSwitch. Neben dem VLAN könne über das UNP auch QoS-Einstellungen, ACLs und Bandbreiten einem Nutzer zugeordnet werden. Voraussetzung dafür ist die Konfiguration einer Nutzer- und/oder Endgeräte-Authentifizierung über die integrierten Access Guardian Funktionen. Darüber können Nutzer und Endgeräte dynamisch und abhängig von deren unterstützten Authentifizierungsmechanismen erkannt, authentifiziert und mit Hilfe der UNPs autorisiert werden. Die Zuordnung zum jeweiligen UNP geschieht über die Rückgabe eines UNP-Namens in der Antwort des Radius-Servers. Diese Information kann beispielsweise auch über einen AD-Connector des Radius-Servers aus einem vorhanden Active Directory in Form von Gruppenzugehörigkeit der Nutzer ausgelesen werden. Diese Möglichkeiten sind allerdings maßgeblich von den Funktionen des Radius-Servers abhängig und benötigen eine entsprechende Beachtung in der Planungsphase. Durch die Verlagerung der Profilzuordnung auf den zentralen Radius-Server ist diese Lösung komfortabel in der Administration und sehr dynamisch im Hinblick auf Umzüge von Mitarbeitern oder Endgeräten.
Funktion
- Mehr als nur ein VLAN
- Profilzuweisung basierend auf Authentifizierung
- UNP als Rückgabe vom Radius-Server oder statische Zuordnung
Vorteile
- Basis für Unified Access mit ClearPass
- Neben VLANs können auch QoS & ACLs zugeordnet werden
- Zusätzliche Sicherheit durch Authentifizierung
Konfiguration
Profile für Mitarbeiter, Gast und VoIP. Mitarbeiter sollen lediglich dem VLAN 10 zugeordnet werden, Gäste sollen über eine ACL ausschließlich Zugriff auf das Internet bekommen und IP-Telefone sollen über eine QoS-Policy priorisiert werden.
Mitarbeiter:
-> aaa user-network-profile name Mitarbeiter vlan 10
Gast:
-> policy network group intranet 10.0.0.0 mask 255.0.0.0 192.168.0.0 mask 255.255.0.0 -> policy condition intranet destination network group intranet -> policy action drop disposition drop -> policy rule internet_only condition intranet action drop log no default-list -> policy list internet rules internet_only -> aaa user-network-profile name Gast vlan 20 policy-list-name "internet"
VoIP:
-> policy condition ipt_phone source mac 00:80:9F:00:00:00 mask 00:00:00:FF:FF:FF -> policy action gold priority 7 802.1p 7 -> policy rule voice_gold condition ipt_phone action gold log no default-list -> policy list qos_gold rules voice_gold -> aaa user-network-profile name VoIP vlan 30 policy-list-name qos_gold
LLDP-MED
Bei den oben beschriebenen Möglichkeiten VLAN-Mobility und User Network Profiles wird die Zuordnung zu Netzwerk-Ressourcen auf dem Switch realisiert, somit kann das Endgerät ohne VLAN-Tag senden und es bedarf folglich keiner Konfiguration auf diesem. Sollte dies aus bestimmten Gründen erforderlich sein, damit beispielsweise das Telefon bereits mit einen VLAN-Tag sendet, so können über die MED-Erweiterung des Link Layer Discovery Protocols (LLDP) bestimmte Konfigurationen automatisiert vom OmniSwitch auf das angeschlossene Endgerät übertragen werden. Dies setzt natürlich die Unterstützung von LLDP-MED auf dem Endgerät voraus, ermöglicht aber eine einfache und automatisierte Anbindung von Media-Endpunkten an das Netzwerk.
Funktion
- LLDP-MED (Media Endpoint Detection) ist eine Erweiterung des LLDP-Standards
- Per LLDP-MED können Netzwerkparameter an das Endgerät übertragen werden
- Das TLV Network-Policy enthält dazu die VLAN-ID, 802.1p- und DSCP-Werte
- Network-Policies für Voice, Soft Phone Voice, Video Conferencing uvm.
Vorteile
- Keine Konfiguration der Endgeräte notwendig
- Keine Umkonfiguration bei Umzügen notwendig
- Standardisiert, somit herstellerunabhängig
Konfiguration
Allen Endgeräten an Port 1/1, welche sich über LLDP-MED als „Application Voice“-Endgerät zu erkennen geben, soll das VLAN 10 und DSCP 46 zugewiesen werden.
-> lldp 1/1 tlv med network-policy enable -> lldp network-policy 1 application voice vlan 10 dscp 46 -> lldp 1/1 med network-policy 1
Da die Endgeräte nach Erhalt einer VLAN-Konfiguration per LLDP-MED mit VLAN-Tag senden, sollten der Port auch als 802.1q Port oder mobiler Port konfiguriert sein.
SIP Snooping
Im Bezug auf Softphones und Multimedia-Endgeräten wie dem Alcatel-Lucent MyIC-Phone kommt es häufig zu der Fragestellung wie mit diesen Teilnehmern aus Netzwerksicht umgegangen werden soll. Hierbei handelt es sich um Teilnehmer, welche von einem Gerät bzw. von einer MAC-Adresse ausgehend sowohl Best-Effort- (Email, Web-Browser, etc.) und Echtzeit-Verkehr (Voice, Video, etc.) generieren. Da man hier nicht mit der klassischen Segmentierung in Voice- und Data-VLAN arbeiten kann und die Erstellung von QoS- und ACL-Regeln aufgrund von dynamischen UDP-Ports schwer fällt, bietet sich der Einsatz des OmniSwitch 6850E und SIP Snooping an. Durch eine Deep Packet Inspection der SIP-Signalisierung werden vor Gesprächsaufbau bereits alle nötigen Regeln dynamisch angelegt, nur die tatsächlich benötigten UDP-Ports geöffnet und nur der Multimedia-Verkehr mit Echtzeit-Anforderungen priorisiert.
Funktion
- OmniSwitch 6850E erkennt Echtzeit-Anwendungen automatisch
- Dazu wird die SIP-Signalisierung analysiert
- Über das Mitlesen der RTCP Pakete können QoS-Auswertungen gemacht werden
Vorteile
- Einfacher Umgang mit multifunktionalen Geräten wie MyIC-Phones oder Softphone auf Laptops
- Einfache Konfiguration durch neue QoS Kommandos
Konfiguration
Alle SIP-Audio Anwendungen von Endgeräten, welche auf Port 1/2 angeschlossen sind, sollen unabhängig vom VLAN mit DSCP46 markiert und entsprechend priorisiert werden. Dazu wird eine Policy für die Priorisierung von VoIP Sprachdaten über das neue Keyword „sip“ innerhalb der Policy Conditions definiert:
-> policy condition voice sip audio -> policy action dscp46 dscp 46 -> policy rule voice_46 condition voice action dscp46
Zusätzlich wird SIP-Snooping inklusive der vertrauenswürdigen SIP-Server, administrativ festgelegten Port-Rollen und weiteren optionalen Parametern global auf dem Switch konfiguriert:
-> sip-snooping enable -> sip-snooping sip-control dscp 46 -> sip-snooping trusted-server 192.168.50.10 192.168.50.20 -> sip-snooping port 1/1 mode force-non-edge -> sip-snooping port 1/2 mode force-edge
Bei force-edge handelt es sich um Ports mit angeschlossenen Endgeräten und bei force-non-edge um Ports mit angeschlossenem SIP-Server oder Uplink-Ports.
Weitere Informationen
Dieser Artikel dient primär als Übersicht und Anregung im Kontext Anbindung von Endgeräten an OmniSwitches. Weiterführende Informationen und Details zu den einzelnen Funktionen sind in den jeweiligen Network Configuration Guides enthalten, welche in der Sektion Dokumentation auf der Dokuwiki-Startseite verlinkt sind.