IP- телефония и VLAN
В этой статье мы разберем принцип работы и настройку IP-телефонии по Ethernet сетям.
В мире IP-телефонии телефоны используют стандартные порты Ethernet для подключения к сети, и поэтому для отправки и приема голосового трафика, передаваемого посредством IP-пакетов, они используют стек протоколов TCP/IP. Чтобы это работало, необходимо, чтобы порт коммутатора работал как порт доступа, но, в то же время, этот порт работал как магистраль для передачи другого трафика.
Принцип работы VLAN для передачи данных и голоса
До IP-телефонии компьютер и телефон располагались на одном рабочем месте. Телефон подключался по специальному телефонному кабелю (телефонный UTP-кабель). Причем этот телефон был подключен к специальному голосовому устройству (часто называемому voice switch или частной телефонной станцией private branch exchange [PBX] ). ПК, конечно же, подключался с помощью Ethernet кабеля (UTP витой пары) к обычному коммутатору локальной сети, который находился в коммутационном шкафу — иногда в том же коммутационном шкафу, что и голосовой коммутатор ( voice switch ). На рисунке показана эта идея.
Предположим, что у нас есть три виртуальные сети VLAN1, VLAN2 и VLAN3. Виртуальные сети VLAN 1 и VLAN 3 содержат по две пары ПК, которые подключаются к коммутатору через отдельные интерфейсы. Для сети VLAN 1 отведены четыре интерфейса «fa0/12«, «fa0/11«, «fa0/22«, и «fa0/21» соответственно. Аналогично, 4 интерфейса отведены для сети VLAN 3 — «fa0/15«, «fa0/16«, «fa0/23«, и «fa0/24» соответственно. Сеть VLAN 2 состоит из двух ПК, которые подключаются к коммутатору через интерфейсы «Fa0/13» и » Fa0/14«. Два коммутатора соединены между собой через магистраль, и интерфейсы «Gi0/1» и «Gi0/2».
Термин IP-телефония относится к отрасли сети, в которой телефоны используют IP-пакеты для передачи и приема голоса, представленного битами в части данных IP-пакета. Телефоны подключаются к сети, как и большинство других устройств конечных пользователей, используя либо кабель Ethernet, либо Wi-Fi. Новые IP-телефоны не подключаются непосредственно по кабелю к голосовому коммутатору, а подключаются к стандартной IP-сети с помощью кабеля Ethernet и порта Ethernet, встроенного в телефон. После чего телефоны связываются по IP-сети с программным обеспечением, которое заменило операции вызова и другие функции АТС.
Переход от использования стационарных телефонов, которые работали (некоторые работают по сей день) с использованием телефонных кабелей к новым IP-телефонам (которые нуждались в UTP-кабелях, поддерживающих Ethernet) вызвал некоторые проблемы в офисах.
- Старые, не IP-телефоны, использовали категорию UTP-кабелей, у которых частотный диапазон не поддерживал скорость передачи данных в 100-Mbps или 1000-Mbps.
- В большинстве офисов был один кабель UTP, идущий от коммутационного шкафа к каждому столу. Теперь же на два устройства (ПК и IP-телефон) требовалось два кабеля от рабочего стола к коммутационному шкафу.
- Прокладка нового кабеля к каждому рабочему месту вызовет дополнительные финансовые затраты, и плюс потребуется больше портов коммутатора.
Чтобы решить эту проблему, компания Cisco встроила небольшие трехпортовые коммутаторы в каждый телефон.
IP-телефоны включают в себя небольшой коммутатор локальной сети, расположенный в нижней части телефона. На рисунке показаны основные кабели, причем кабель коммутационного шкафа подключается напрямую к одному физическому порту встроенного коммутатора телефона, ПК подключается патч-кордом к другому физическому порту телефона, а внутренний процессор телефона подсоединяется к внутреннему порту коммутатора телефона.
Компании, использующие IP-телефонию, теперь могут подключать два устройства к одному порту доступа. Кроме того, лучшие практики Cisco, для проектирования IP-телефонии, советуют поместить телефоны в один VLAN, а ПК в другой VLAN. Чтобы это работало, порт коммутатора действует частично в режиме канала доступа (для трафика ПК) и частично как магистраль (для трафика телефона).
Особенности настройки VLAN’ов на этом порту:
- VLAN передачи данных: та же идея настройки, что и VLAN доступа на access порту, но определенная как VLAN на этом канале для пересылки трафика для устройства, подключенного к телефону на рабочем месте (обычно ПК пользователя).
- Voice VLAN: VLAN для пересылки трафика телефона. Трафик в этой VLAN обычно помечается заголовком 802.1 Q.
На рисунке изображена типичная конструкция локальной сети. Имеется коммутатор, подключенный к двум последовательным уровням сетей, VLAN 11 и VLAN 10, где сеть VLAN 11- Voice VLAN, содержащая 4 IP-телефона, и сеть VLAN 10 — Data VLAN, состоящая из 4 ПК.
Настройка и проверка работы Data и Voice VLAN
Для настройки порта коммутатора, который сможет пропускать голосовой трафик и информационные данные, необходимо применить всего несколько простых команд. Однако разобраться в командах, позволяющих просмотреть настройки режима работы порта, непросто, так как порт действует как access порт во многих отношениях.
Ниже показан пример настройки. В данном примере используются четыре порта коммутатора F0/1F0/4, которые имеют базовые настройки по умолчанию. Затем добавляются соответствующие VLAN’ы: VLAN 10 Data Vlan, VLAN 11- Voice Vlan. Далее все четыре порта настраиваются как порты доступа и определяется VLAN доступа (Vlan 10 Date Vlan). В конце настройки определяем на порт VLAN для передачи голосовых данных (Vlan 11- Voice Vlan). Данный пример иллюстрирует работу сети, изображенную на рисунке:
При проверке состояния порта коммутатора, из примера выше, увидим разницу в отображаемой информации выходных данных, по сравнению с настройками по умолчанию порта доступа и магистрального порта. Например, команда show interfaces switchport показывает подробные сведения о работе интерфейса, включая сведения о портах доступа. В примере 2 отображены эти детали (подчеркнуты) для порта F0/4 после добавления настроек из первого примера.
Первые три выделенные строки в выходных данных отображают детали настройки, соответствующие любому порту доступа. Команда switchport mode access переводит порт в режим порта доступа. Далее, как показано в третьей выделенной строке, команда switchport access vlan 10 определила режим доступа VLAN.
Четвертая выделенная строка показывает новый фрагмент информации: идентификатор Voice VLAN, активированная командой switchport voice vlan 11 . Эта небольшая строка является единственной информацией об изменении состояния порта.
Что такое VLAN?
VLAN (Virtual Local Area Network, виртуальная локальная сеть) — это функция в роутерах и коммутаторах, позволяющая на одном физическом сетевом интерфейсе (Ethernet, Wi-Fi интерфейсе) создать несколько виртуальных локальных сетей. VLAN используют для создания логической топологии сети, которая никак не зависит от физической топологии.
Примеры использования VLAN
Объединение в единую сеть компьютеров, подключенных к разным коммутаторам.
Допустим, у вас есть компьютеры, которые подключены к разным свитчам, но их нужно объединить в одну сеть. Одни компьютеры мы объединим в виртуальную локальную сеть VLAN 1, а другие — в сеть VLAN 2. Благодаря функции VLAN компьютеры в каждой виртуальной сети будут работать, словно подключены к одному и тому же свитчу. Компьютеры из разных виртуальных сетей VLAN 1 и VLAN 2 будут невидимы друг для друга.
Разделение в разные подсети компьютеров, подключенных к одному коммутатору.
На рисунке компьютеры физически подключены к одному свитчу, но разделены в разные виртуальные сети VLAN 1 и VLAN 2. Компьютеры из разных виртуальных подсетей будут невидимы друг для друга.
Разделение гостевой Wi-Fi сети и Wi-Fi сети предприятия.
На рисунке к роутеру подключена физически одна Wi-Fi точка доступа. На точке созданы две виртуальные Wi-Fi точки с названиями HotSpot и Office. К HotSpot будут подключаться по Wi-Fi гостевые ноутбуки для доступа к интернету, а к Office — ноутбуки предприятия. В целях безопасности необходимо, чтобы гостевые ноутбуки не имели доступ к сети предприятия. Для этого компьютеры предприятия и виртуальная Wi-Fi точка Office объединены в виртуальную локальную сеть VLAN 1, а гостевые ноутбуки будут находиться в виртуальной сети VLAN 2. Гостевые ноутбуки из сети VLAN 2 не будут иметь доступ к сети предприятия VLAN 1.
Достоинства использования VLAN
Гибкое разделение устройств на группы
Как правило, одному VLAN соответствует одна подсеть. Компьютеры, находящиеся в разных VLAN, будут изолированы друг от друга. Также можно объединить в одну виртуальную сеть компьютеры, подключенные к разным коммутаторам.
Уменьшение широковещательного трафика в сети
Каждый VLAN представляет отдельный широковещательный домен. Широковещательный трафик не будет транслироваться между разными VLAN. Если на разных коммутаторах настроить один и тот же VLAN, то порты разных коммутаторов будут образовывать один широковещательный домен.
Увеличение безопасности и управляемости сети
В сети, разбитой на виртуальные подсети, удобно применять политики и правила безопасности для каждого VLAN. Политика будет применена к целой подсети, а не к отдельному устройству.
Уменьшение количества оборудования и сетевого кабеля
Для создания новой виртуальной локальной сети не требуется покупка коммутатора и прокладка сетевого кабеля. Однако вы должны использовать более дорогие управляемые коммутаторы с поддержкой VLAN.
Настройка vlan
VLAN(Virtual Local Area Network – виртуальная локальная сеть) – это объединение двух и более узлов сети, которые физически могут быть расположены в разных местах, но передавать общий трафик. Если точнее, цель VLAN состоит в том, чтобы отделить широковещательный домен 2 уровня. В магистральных соединениях тэгированный пакет будет отправлен только на порты с тем же идентификатором VLAN. Это обычно достигается с помощью коммутатора или маршрутизатора.
Пример использования VLAN:
- Безопасность: без использования VLAN,если все хосты будут включены в уникальный широковещательный домен, последствия ARP-атаки затронут все конечные устройства в организации
- Производительность: Природа сетевого вещания состоит в том, чтобы наводнять кадры в сети. В определенных условиях нет необходимости принимать широковещательный кадр. Чтобы сохранить пропускную способность лучше разделить широковещательный домен путем развертывания VLAN.
Настройки на телефоне
Настройка на IP телефоне Akuvox
1. Откройте: Menu→Setting(настройки)→Advance(расширенные)→Network(сеть)→VLAN port(порт)→PC/LAN port.
- для доступа к настройкам нужно ввести пароль
- Телефоны Akuvox поддерживают настройку и PC, и IP порта для VLAN.
2. Включите опцию VLAN, выбрав Enable.
3. Укажите VID(VLAN ID).
4. Задайте приоритет VLAN.
5. Нажмите Save для сохранения настроек.
Настройки через веб интерфейс
Процесс настройки
1. Откройте веб интерфейс, перейдите: Network(Сеть)→Advanced.
Телефон Akuvox позволяет настроить VLAN на PC или IP портах.
2. Включите VLAN, выбрав Enable(Включен).
3. Введите соответствующий VLAN ID.
4. Выберите приоритет для VLAN.
5. Нажмите Submit для сохранения настроек.
Централизованная настройка VLAN для IP телефонов в 3CX
Тегирование трафика VLAN (назначение VLAN сетей IP телефонам) позволяет отказаться от дополнительных кабелей и сетевых портов, т.е. не создавать две отдельные сети — для передачи голоса и данных. ПК может быть подключен во встроенный коммутатор телефона (в PC порт) в VLAN по умолчанию, либо в назначенный VLAN.
Начиная с v15.5 SP1 в интерфейсе управления 3CX можно централизованно установить приоритеты для трафика реального времени (RTP) на WAN порте и/или PC порте IP телефона пользователя. То есть, можно назначить VLAN как для самих IP телефонов, так и для ПК, подключенных через мини-коммутатор.
Параметры VLAN настраиваются только на поддерживаемых системой 3CX IP телефонах, при условии, что устройство имеет соответствующие возможности в прошивке. Централизованная настройка VLAN не поддерживается на устаревших телефонах (например, Cisco 7900 Series) и DECT базах.
Особенности использования VLAN на коммутаторе IP телефона
Несмотря на то, что встроенный коммутатор позволяет сэкономить на кабелях и сетевых портах, его работа влияет на работу подключенного ПК. При перезагрузке или выключении телефона, ПК теряет связь с сетью. Если на ПК выполняются сетевые приложения, их работа может прекратиться с ошибкой. Кроме того, если ПК, подключенный к PC порту, генерирует большой трафик (работа с графикой и видео и т.п.), качество VoIP связи может заметно ухудшиться. В этом случае рекомендуется настройка приоритезации трафика приложений на ПК и на коммутаторе.
Автонастройка 3CX позволяет установить параметры VLAN только на LAN/WAN и PC портах телефона Однако настройка корпоративных коммутаторов, маршрутизаторов и DHCP сервера — зона ответственности системного администратора. Неверная автонастройка VLAN на телефоне может привести к его отключению от сети. В этом случае потребуется аппаратный сброс устройства, который обычно делается непосредственно с клавиатуры. Несоответствие настроек VLAN на телефоне и коммутаторе также может привести к заметному ухудшению качества связи и периодическим обрывам разговора.
Настройка VLAN на IP телефонах
В целом, успешное внедрение VLAN тегирования требует качественного сетевого оборудования и навыков системного инженера по настройке коммутаторов / маршрутизаторов. Рекомендуется предварительно протестировать автонастройку VLAN на небольшой группе телефонов в тестовом сегменте сети.
Перед внедрением VLAN важно учитывать следующее:
- VLAN тегирование внедрять не всегда необходимо, т.к. это усложняет сеть и работу администратора;
- Если это доступно, вы можете просто использовать разные порты корпоративного коммутатора для ПК и IP телефона;
- Преимущества от VLAN заметны только в достаточно крупных инсталляциях;
- Обязательно тестируйте работу VLAN перед развертыванием технологии в рабочей сети;
- VLAN не поможет, если ваша сеть ненормально перегружена.
- Сеть передачи данных
- без VLAN тегирования
- На ПК установлен веб-клиент 3CX и 3CXPhone
- Настроена маршрутизация с сервером 3CX, который находится в сети передачи голоса
- Сеть передачи голоса
- VLAN тегирование (в нашем примере Vlan ID55)
- Сервер 3CX расположен в голосовой сети
- Сеть передачи данных 10.10.10.0 / 24
- IP ПК 10.10.10.3 / 24
- Сеть передачи голоса 10.10.20.0 / 24 (Vlan Tag 55) (тегируется трафик на WAN порту IP телефона)
- IP сервера 3CX 10.10.20.2 / 24
- IP телефона 10.10.20.5 / 24
DHCP Option 132
Обратите внимание: протокол LLDP на коммутаторах должен быть выключен. На DHCP сервере создайте Option 132 и укажите Vlan ID 55 (для нашего примера). Обычно ПК игнорируют эту опцию, но IP телефон должен корректно ее интерпретировать. Получив Option 132, телефон освобождает текущий IP адрес, меняет VLAN и получает новый IP адрес из VLAN 55. После этого телефон посылает мультикаст-запрос PnP автонастройки, который обрабатывается 3CX.
Порт LAN/WAN
VLAN ID указывается непосредственно в интерфейсе автонастройки телефона. Он должен соответствовать параметру DHCP Option 132. При такой конфигурации вы получаете ряд преимуществ:
- Настроенное устройство не пытается первоначально получать IP адрес из сети передачи данных для того, чтобы переключиться на нужный VLAN ID
- IP телефон не использует DHCP Option 132
Опция VLAN Priority по умолчанию включена и может иметь значение от 0 до 7. Приоритет пакета определяет, как он должен обрабатываться сетевыми узлами, через которые проходит. Диапазон значений от 1 (низкий приоритет) до 6 (высокий приоритет). 7 использовать не рекомендуется, т.к. зарезервирован для аварийных случаев. Напоминаем, что неверное указание этого значения приводит к ухудшению качества связи. Трафик реального времени от IP телефонов всегда должен иметь более высокий приоритет, чем другой сетевой трафик.
Порт PC (Опционально)
Если вы не определяете VLAN для PC порта телефона, он будет работать в VLAN сети по умолчанию, т.е. в сети передачи данных (это не означает, что PC порт будет отключен — он по прежнему доступен для подключения ПК).
Иногда ПК, подключенный в PC порт, должен быть “перенесен” (т.е. тегирован) в другую VLAN, отличную от сети по умолчанию. В этом случае используется VLAN тегирование на PC интерфейсе телефона, например:
- Сеть по умолчанию 10.10.10.0 / 24
- DHCP пул 10.10.10.3 / 24
- Сеть передачи голоса 10.10.20.0 / 24 (Vlan Tag 55) ← VLAN порта WAN
- IP сервера 3CX 10.10.20.2 / 24
- IP телефон 10.10.20.5 / 24
- Сеть передачи данных 10.10.30.0 / 24 (Vlan Tag 77) ← VLAN порта PC
- IP ПК 10.10.30.3 / 24
Примеры конфигурации VLAN
Настройка VLAN тегирования на IP телефоне в сети передачи голоса + DHCP Option 132
- При подключении IP телефон получает IP адрес в сети передачи данных (10.10.10.5). В этой сети доступ к серверу АТС (10.10.30.2) отсутствует, и телефон не может быть настроен по технологии PnP.
- Настройте резервирование DHCP для IP адреса телефона и назначьте ему DHCP Option 132 с текстовым значением 55
- Перезагрузите IP телефон
- После перезагрузки IP телефон получит VLAN тег 55 и заново получит IP адрес из сети передачи голоса (10.10.20.5).
- В интерфейсе управления 3CX перейдите в раздел Телефоны, выберите подключенный новый телефон и присвойте его пользователю (или создайте нового пользователя для этого телефона).
- В разделе Автонастройка телефона в разделе VLAN Configuration включите опцию Enable VLAN for WAN PORT
- В поле Configure your VLAN settings below for WAN PORT VLAN ID (numeric vendor dependant — Snom can be empty, allowed values are 1-4094) установите значение 55.
- Примените изменения, нажав OK вверху.
- Телефон получит новые настройки и перезагрузится
- После перезагрузки WAN порт телефона будет тегирован VLAN ID 55
- IP телефону будет выдан IP адрес сети передачи голоса (10.10.20.5)
- DHCP Option 132 будет переопределена параметром, полученным через автонастройку.
Настройка VLAN тегирования на IP телефоне в сети передачи голоса
- При подключении IP телефон получает IP адрес в сети передачи данных (10.10.10.X).
- В разделе Автонастройка телефона в разделе VLAN Configuration включите опцию Enable VLAN for WAN PORT
- В поле Configure your VLAN settings below for WAN PORT VLAN ID (numeric vendor dependant — Snom can be empty, allowed values are 1-4094) установите значение 55.
- Примените изменения, нажав OK вверху.
- IP телефон получит новые настройки и перезагрузится
- После перезагрузки WAN порт телефона будет тегирован VLAN ID 55
- IP телефону будет выдан IP адрес сети передачи голоса (10.10.20.5)
Настройка VLAN тегирования на IP телефоне в сети передачи голоса + подключение ПК через PC порт в сеть передачи данных
- Подключите ПК с PC порту IP телефона, а WAN порт телефона — к корпоративной сети
- При подключении телефон получает IP адрес в сети передачи данных (10.10.10.5).
- PC порт телефона также получает IP адрес из пула адресов сети передачи данных (10.10.10.3).
- В разделе Автонастройка телефона в разделе VLAN Configuration включите опцию Enable VLAN for WAN PORT
- В поле Configure your VLAN settings below for WAN PORT VLAN ID (numeric vendor dependant — Snom can be empty, allowed values are 1-4094) установите значение 55.
- Не включайте параметр Enable VLAN for PC PORT
- Примените изменения, нажав OK вверху.
- IP телефон получит новые настройки и перезагрузится
- После перезагрузки, WAN порт телефона будет тегирован VLAN ID 55, а PC порт продолжит работу в сети передачи данных (10.10.10.3).
- IP телефону будет выдан IP адрес сети передачи голоса (10.10.20.5)
- Блог компании 3CX Ltd.
- Системное администрирование
- IT-инфраструктура
- Сетевые технологии
- Серверное администрирование