单端口语音和数据 VLAN 的最佳实践

网络工程 VLAN 生成树 树干 交换机端口 嗓音
2021-07-05 00:21:28

我们目前在 Cisco 3750x 交换机上配置了多个接口,如下所示。

interface GigabitEthernet1/0/21
 switchport access vlan 4
 switchport trunk encapsulation dot1q
 switchport mode access
 switchport voice vlan 3
 spanning-tree portfast

连接到这些接口的是 Shoretel 电话,并且 Shoretel 电话有一个端口可以连接到笔记本电脑或台式机。如上所示,我们的工作站 VLAN 是 VLAN 4,我们的语音 VLAN 是 VLAN 3。我们在我们的交换机中运行 DHCP 池,它具有关联的选项 156,以便电话知道要拾取的 VLAN。

ip dhcp pool VOICE
 network 10.7.8.0 255.255.248.0
 option 4 ip 192.168.32.215
 default-router 10.7.8.1
 dns-server 10.7.0.101 192.168.30.205
 domain-name --omitted--
 option 156 ascii "ftpservers=10.7.8.9,layer2tagging=1,vlanid=3"
 lease 0 1
!

问题

switchport trunk encapsulation dot1q接口配置的重点是什么

还有,spanning-tree portfast真的需要吗?我们没有在交换机上运行生成树。

为什么要分离接入和语音VLAN?目的是什么?

1个回答

802.1Q 标记允许您在单个物理链路上运行多个 VLAN。对于电话,通常正常的 PC 客户端 VLAN 保持未标记 ( access VLAN),而 VoIP VLAN 被标记。

使用 DHCP 供应商选项告诉电话使用标记的 VLAN x 是避免手动配置每部电话的好方法。不过,您应该考虑将此选项限制在电话上(通过 MAC 过滤器或供应商类别),因此潜在的攻击者很难确定要进入哪个 VLAN。

我公司的“最佳实践”是不高效地使用电话集成交换机,而是将单独的电缆连接到电话和 PC 客户端。电话“直通”端口保持活动状态,作为对客户端访问 VLAN 的备用访问。

switchport trunk encapsulation dot1q使交换机端口上802.1Q标记。

spanning-tree portfast不是真的需要,但显着减少了端口的物理链接“up”和实际转发之间的延迟。STP 端口状态通常会延迟转发,直到端口角色变得明确。portfast立即开始转发,仍然使用 STP 发现冗余链路,避免桥接环路。

单独的接入和语音 VLAN 有多种用途。一方面,分离设备类型可以让您更轻松地确定语音流量的优先级,因此网络拥塞对 VoIP 没有影响或影响很小。此外,分离流量会阻碍侦听(大部分)未加密的 VoIP 流量或直接攻击电话。当与端口级身份验证(例如 802.1X 或 MACSEC)或类似措施结合使用时,这会相当安全。

其它你可能感兴趣的问题
上一篇IPv6组播中P位标志的作用 下一篇部署虚拟 Stackwise Catalyst 9400