ИТ База знаний
Курс по Asterisk
Полезно
— Узнать IP — адрес компьютера в интернете
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Калькулятор инсталляции IP — АТС Asterisk
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
Настройка voice vlan на Cisco
4 минуты чтения
Поговорим про голосовой трафик в классических корпоративных сетях, а именно про его сегрегацию от обычного дата трафика и про включение телефонов в саму КСПД.
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
Обычно, телефоны находятся на столе рядом с компьютером на рабочем стол, подключаются такой же витой парой (UTP), что и компьютер, и тоже используют протокол Ethernet. Для подключения телефона к коммутатору существует две опции – подключение оборудования к свитчу «параллельно», используя два кабеля или же подключив телефон и компьютер «последовательно»:
Первый «параллельный» сценарий заработает, но есть несколько больших недостатков – дополнительный кабель и занятый порт на коммутаторе.
По этой причине в данный момент большинство IP – телефонов, включая Cisco, имеют маленький коммутатор на 3 порта внутри IP – телефона:
- Первый порт подключается к коммутатору;
- Второй порт подключается к компьютеру;
- Внутренний порт подключает сам телефон;
Теперь поговорим о вопросе разделения голосового трафика от любого другого – и мы можем выполнить данную задачу с помощью голосового VLANа.
Голосовой VLAN также иногда обозначается как AUX VLAN
Посмотрите на схему ниже – это то, как будет выглядеть наше подключение – все компьютеры и обычный трафик будут находиться в VLAN 10, а голосовой трафик мы поместим в VLAN 11.
Как это все работает? Между коммутатором и телефоном у нас есть так называемый «транк». Порт на телефоне, который подключается к компьютеру, является портом доступа. Телефона передает весь трафик с компьютера на коммутатор без каких — либо меток, непомеченным. Трафик с самого телефона всегда будет помечаться, и в транке будут разрешены только два вышеупомянутых VLANа.
Настройка
Если вы уже знакомы с настройкой VLANов, то создание голосового VLANа не составит для вас вообще никакого труда. Давайте настроим порт на коммутаторе, где мы будем использовать VLANы 10 и 11.
Сначала мы создаем данные VLANы:
Теперь настроим интерфейс:
Мы переключили данный порт в режим доступа и настраиваем его для VLAN 10. Команда switchport voice vlan сообщает коммутатору, чтобы он использовал VLAN 11 как голосовой VLAN.
Для того, чтобы телефон понял, какой VLAN нужно использовать, используются два протокола – Cisco Discovery Protocol (CDP) для телефонов Cisco и Link Layer Discovery Protocol (LLDP) для телефонов от других вендоров
Проверка работоспособности
Для проверки корректности настройки, мы будем использовать команду show interfaces
Как видно из вывода выше, VLANы настроились корректно. И теперь посмотрим на статус транка. Вывод скажет нам, что порт не является транком, он покажет какие VLANы в нем используются (то есть, которые мы настроили). Несмотря на то, что он показан как нетранковый, в реальности он все — таки является транком.
На этом настройка завершена – для остальных рабочих станций и телефонов данный шаг нужно выполнить точно также, но на других портах коммутатора. Голосовой трафик будет идти в приоритете перед остальным трафиком и это скажется в лучшую сторону на качестве связи.
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
VLAN + DHCP + VoIP = Cisco
В продолжение темы настройки DHCP на оборудовании Cisco с учетом VLAN, предлагаю рассмотреть вопрос вглубь: давайте скрестим описанный функционал с VoIP технологией. Что если мы решили внедрить в нашу сеть VoIP со всеми вытекающими последствиями: отдельным устройством с Communication Manager Express, VoIP телефонами и необходимостью приоретизации трафика?
Для начала коротко об изображенной здесь архитектуре Cisco VoIP. Начнем с телефонов. В VoIP телефоны Cisco встроен минисвич на два порта, который позволяет подключить телефон к розетке, а компьютер к телефону. Этим мы экономим розетки и порты на свиче, но этим же и создаем себе дополнительную проблему: VoIP трафик должен быть изолирован от трафика, предназначенного компьютеру. Во имя приоретизации, что для VoIP критично, и безопасности.
Для решения этой проблемы Cisco использует, говоря заумными словами, технологию 802.1q транков, а проще – VLAN. VoIP телефон добавляет в свой трафик тег, по которому свич распознает, что фрейм принадлежит VoIP трафику, и ему надо оказать особое внимание.
На портах свича предусмотрен отдельная команда, чтобы задать VLAN для телефона, который подключен к нему. Теперь настройка порта будет выглядеть вот так:
После этого свич по CDP передаст телефону номер его VLAN и он сможет помечать фреймы правильным тегом.
«Ага, — скажет внимательный и хитрый читатель, — но ведь весь VoIP трафик всей сети сконцентрирован в одном VLAN? Значит, наш компьютер может отключить телефон, прикинуться им и слушать все разговоры по сети?»
«И зачем вообще этот костыль c switchport voice vlan? – спросит внимательный и умный читатель, — ведь можно настроить порт на свиче как trunk, указав ему allowed vlan 10 и native vlan 50?»
Ответ на оба эти вопроса один: Cisco предусмотрела механизм, который не позволяет чужому устройству прикинуться VoIP телефоном. Именно этот механизм включается командой switchport voice vlan. Второй внимательный читатель прав, его конфигурация верна и будет работать, но она сделает правым и первого внимательного читателя. А этого нам совершенно не нужно.
Детальный рассказ про механизм Voice VLAN – это тема для отдельного поста. Те, кто заинтересовался и хочет узнать о нем прямо сейчас, могут почитать об этом на сайте Циско и, кто знает, может, в процессе заинтересоваться еще чем-то из цисковского VoIP.
Но вернемся к нашей задаче. В IP адресе нуждаются не только рабочие станции, но и IP телефоны. Однако доступ к DHCP серверу имеют только устройства из VLAN 50, то есть, компьютеры. Что же делать телефонам?
А для телефонов мы используем два интересных механизма DHCP: команду helper-address и принцип, по которому DHCP выделяет адреса.
Настроим сам DHCP сервер на маршрутизаторе с двумя пулами:
Команда network в настройке DHCP на Циско – одна из немногих, где мы можем задать маску подсети через слеш. А можем и вовсе не задавать, тогда она будет определена автоматически, в зависимости от класса сети.
Команда default-router задает шлюз по умолчанию для сети, а dns-server – соответственно, DNS сервер. 4.2.2.2 – это адрес публичного NDS сервера, который поддерживается университетом Беркли, и является надежной альтернативой, если по какой-то причине вы не доверяете DNS вашего провайдера.
Буквально парой предложений про еще одну особенность DHCP в VoIP: с его помощью телефоны получают адрес TFTP сервера, на котором хранится образ операционной системы для них. Эта функциональность известна как опция 150 и задается командой:
Если углубляться в DHCP еще больше, то все функции этого замечательного протокола являют собой опции. Так, шлюз по умолчанию можно задать как default-router, а можно как option 3. Под такими опциями скрыто множество интересной дополнительной функциональности, которая, к сожалению, тоже в один пост не поместится.
Все-все, уже заканчиваю отвлекаться: таким же образом настроим пул IP адресов для рабочих станций:
Дальше идем на сабинтерфейсы CME роутера (предполагаю, что вы знакомы с маршрутизацией между VLAN и уже настроили их самостоятельно). Все широковещательные пакеты, при помощи которых наши телефоны будут обращаться к широкой общественности: «эй, кто здесь DHCP сервер, мне нужен IP адрес» придут на сабинтерфейс Fa0/0.10 – потому что телефоны находятся во VLAN 10. Тут бы этим крикам о помощи и погибнуть – в VLAN 10 нет DHCP сервера – но это не выход. Выход – команда ip helper-address:
Этой командой мы говорим CME маршрутизатору: когда ты получаешь широковещательный DHCP пакет, отправляй его DHCP серверу по адресу 172.16.2.5. Этот сервер ответит тебе, и тогда ты передашь его тому, кто прислал тебе запрос.
«Подождите, — скажут наши внимательные читатели, — но ведь телефоны передают широковещательными пакетами «эй, дай нам IP адрес» точно так же, как и компьютеры – все эти устройства не имеют адресов. Как DHCP сервер узнает, что телефонам он доложен выдавать адреса из пула VOICE, а компьютерам – из пула DATA?”
Тут мы подходим ко второму интересному моменту: на самом деле DHCP сервер не знает. Если бы все телефоны и компьютеры были в одном VLAN, он бы сказал: «Я не знаю, кто вы такие. Все ваши запросы пришли ко мне через интерфейс 172.16.2.5, потому я выдам всем вам адреса из сети, к которой относится этот интерфейс, то есть 172.16.2.0/24».
Но мы использовали helper-address! Смотрите, как это работает сейчас: компьютеры шлют запрос «эй, дай мне IP адрес». Запрос попадает к DHCP серверу через интерфейс 172.16.2.5 – сервер находится в том же VLAN, что и компьютеры. И он выдает им адреса из сети 172.16.2.0/24 – нашего DATA пула. Но широковещательные пакеты телефонов идут в другом VLAN. Они приходят на сабинтерфейс Fa0/0.10, который для них является шлюзом по умолчанию, и CME шлет их на ip helper-address — 172.16.2.5.
И когда CME пересылает запросы телефонов, он не посылает их как broadcast. Он шлет их как unicast. А unicast IP пакет имеет адреса источника и получателя. И в нашем случае IP адресом источника DHCP запроса будет адрес сабинтерфейс Fa0/0.10, потому что там эти фреймы впервые вышли на третий уровень, там они впервые вообще узнали, что в мире бывают IP адреса!
Итак, DHCP сервер получает unicast запрос, source address которого значится 172.16.1.1. «Ага, — говорит сервер, — значит, источник запроса имеет связь с этим адресом. Значит, надо выдавать ему IP адрес из сети, к которой этот адрес относится». И отвечает на запрос выдачей адреса из сети 172.16.1.1/24 – нашого VOICE пула!
Таким образом, мы получаем как раз то, что хотели: все наши телефоны получили IP адреса из нужной подсети, они изолированы от VLAN с данными и имеют связь только с CME, который может соединять их с другими телефонами через PSTN или VoIP посредством Интернет. Компьютеры же получили адреса из другой сети, они теперь могут обмениваться данными с филиалами компании, server farm или чем угодно еще. Мы получили гибкую в настройке сеть, возможность приоретизации трафика на втором и третьем уровне и экономию пропускной способности и ресурсов за счет использования одного DHCP сервера для нескольких изолированных VLAN.
VoIP + Cisco Packet Tracer
Работая с программой Cisco Packet Tracer, часто замечал в ней различные телефонные устройства, а также ПО на клиентских устройствах, при помощи которого, можно организовывать телефонные звонки. В связи с этим, возникла идея смакетировать сеть, состоящую из всех устройств данного симулятора (cisco packet tracer 6.2), которые могут звонить и принимать звонки. При написании данной статьи, возник вопрос: «Можно ли подготовиться к экзамену CCNA Voice, при помощи данной программы?». И на этот вопрос, я постараюсь ответить в данной статье.
Используемые устройства:
1) Маршрутизатор 2811 (он будет являться DHCP сервером, VoIP шлюзом и TFTP сервером)
2) Коммутатор 2960 (в него будут подключены все устройства)
3) Аналоговый телефон (который будет подключен к коммутатору через шлюз)
4) IP телефон 7960
5) Клиентский компьютер (который будет работать, при помощи ПО Cisco IP Communicator)
6) Wi-Fi точка (она нужна для подключения к сети беспроводных устройств)
7) Ноутбук, планшетный компьютер и смартфон (данные устройства будут подключаться к Wi-Fi точке и работать через CIPC)
Далее понадобятся мак адреса всех устройств. Для компьютеров и других устройств (не телефонов), есть несколько способов узнать мак адрес. Например зайти в командную строку устройства и набрать ipconfig /all или зайти на вкладку config и скопировать в буфер мак адрес соответствующего интерфейса.
Для телефонов, я нашел только один способ — это навести мышкой на устройство и запомнить его мак (если кто знает еще способ, буду рад узнать).
1) Повесим ip адрес на интерфейс (он будет являться шлюзом)
2) Дальше будем поднимать DHCP, поэтому заранее исключим из выдачи адрес, висящем на нашем интерфейсе
3) Поднимем DHCP
4) Поднимем телефонный сервис и настроим на нем кол-во телефонов и кол-во линий (несмотря на то, что устройств у нас 6, укажем количество с запасом)
5) Теперь настроим линии
6) Теперь создадим телефоны и привяжем определенный номер к мак адресу телефона
1) Переведем 4 порта коммутатора, которые смотрят на наши устройства в голосовой влан
Настроим VoIP шлюз аналогового телефона:
Так как данный аналоговый телефон не умеет работать с IP адресами, но ему надо получить номер, он подключается к сети при помощи шлюза. Для корректной работы, шлюзу нужно прописать адрес сервера, куда обращаться.
«
Так как на данных переносных устройствах нету ethernet портов, то работать они будут при помощи wi-fi точки, соединенной с общей сеткой. Подключаем точку к коммутатору и заходим в ее настройки.
Кликаем по вкладке Config -> Port 1 и настраиваем (в целом можно оставить название Default и без пароля):
Теперь вводим эти данные на устройствах, которые будут подключаться по wi-fi. Например настроим wi-fi на смартфоне. Кликаем по вкладке Config -> Wireless0 и настраиваем. Убедитесь, что галочка напротив port status стоит в положение On, и в поле IP Configuration выбрано DHCP.
Получение адресов и настройка CIPC на устройствах:
На данном этапе телефоны уже должны зарегистрироваться и получить номера (во вкладке GUI, в правом верхнем углу должен появиться номер полученного телефона).
IP телефон 7960:
Перейдем к компьютеру и другим устройствам.После того как все устройства получат IP адреса, переходим на вкладку Desktop и выберем Cisco IP Communicator. После этого в правом верхнем углу видим, что номер присвоен (лично у меня номер не присваивался до момента, пока не запустишь сам CIPC. То ли это глюк самого симулятора, то ли Cisco хотела имитировать, что номер присваивается после запуска клиента)
Но в целом картинка такая:
Как видим, все устройства получили номера, согласно резервациям на маршрутизаторе.
Остался финальный этап, в виде организации телефонного звонка и соединения. Но проверять все 6 устройств и звонки с каждого на каждый нецелесообразно, так как получится целый диафильм. Поэтому организуем звонок с планшетного компьютера на обычный аналоговый телефон и наоборот, а также с аналогового телефона на ip телефон и обратно.
Звонок с планшета на аналоговый телефон (с номера 101 на 105):
Звонок с аналогового телефона на планшет (с номера 105 на 101):
Звонок с аналогового телефона на IP телефон (с номера 101 на 102), причем здесь трубка специально поднята для демонстрации, что соединение установлено и возможен разговор.
Звонок с IP телефона на аналоговый телефон (с номера 102 на 101):
Тем самым организовали телефонное соединение, как схожих по структуре устройств, так и совершенно разных по своей архитектуре аппаратно и программно.
P.S. И вот мы подошли к концу и остается ответить на вопрос, заданный в начале: «Можно ли подготовиться к экзамену CCNA Voice, при помощи данной программы?».
Постараюсь ответить немного развернуто. Пока писал данную статью, немного разочаровался. Так как в данном симуляторе присутствует только один роутер, на котором можно поднять CME и организовать телефонию- это 2811. Вдобавок к этому, функциональность данного роутера урезана донельзя, соответственно макетировать тут можно только самые базовые вещи. Говорить о телефонах думаю нет смысла. Ну а если говорить о самой программе Cisco IP Communicator, то здесь она не больше чем картинка с парой кнопок. Соответственно считаю, что для подготовки к экзамену, опыта, полученного в данном симуляторе, будет явно недостаточно и придется использовать более мощные инструменты. Но для базового ознакомления с тем, как работает цисковская телефония, она справляется.
В связи с этим в дальнейшем планирую выпустить урок по Cisco Call Manager или CUCM, а также более детально разобрать функционал программы CIPC.
