S5120-EI系列交换机下连AVAYA IP电话通过认证后无法进入Voice VLAN的解决方法
一、 组网:
AVAYA IP电话直连S5120-EI系列交换机,交换机与Radius服务器路由可达。该电话通过EAP-MD5认证后进入Voice VLAN 2602。
二、 问题描述:
在S5120-EI系列交换机上主要配置如下。
#
interface GigabitEthernet1/0/2
port link-type hybrid
undo port hybrid vlan 1
port hybrid vlan 10 untagged
port hybrid pvid vlan 10
voice vlan 2602 enable
mac-vlan enable
stp edged-port enable
lldp compliance admin-status cdp txrx
port-security port-mode userlogin-secure-ext
dot1x guest-vlan 10
dot1x auth-fail vlan 10
undo dot1x handshake
undo dot1x multicast-trigger
dot1x unicast-trigger
#
问题现象是端口上使用auto mode 的Voice VALN模式后,发现电话可以通过认证但是MAC地址在VLAN 10(即Guest VLAN 和Authfail VLAN)里,而不是Voice VALN 2602。
三、 过程分析:
这个问题与AVAYA电话实现流程相关,具体描述如下。
对于AVAYA电话而言,它首先是要进行dot1x认证的,认证成功之后交换机就添加电话OUI的 MAC到地址表中,这时候就无法触发自动Voice VLAN的学习了(因为学习的机制是通过源未知MAC进行的,通过认证后电话的MAC就是已知而不是未知的了),因此Voice VLAN只能够采用手动方式,即强制在端口上指定Voice VLAN为端口pvid。
四、 解决方法:
正确配置如下。
interface GigabitEthernet1/0/1
port link-type hybrid
undo port hybrid vlan 1
port hybrid vlan 2602 untagged
port hybrid pvid vlan 2602
undo voice vlan mode auto
voice vlan 2602 enable
mac-vlan enable
stp edged-port enable
lldp compliance admin-status cdp txrx
port-security port-mode userlogin-secure-ext
dot1x guest-vlan 10
dot1x auth-fail vlan 10
undo dot1x handshake
undo dot1x multicast-trigger
dot1x unicast-trigger
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作