Voice VLAN

Voice VLAN技术白皮书(V1.00)

关键词：Voice VLAN，OUI，DHCP。

摘要：本文主要介绍了H3C提供的Voice VLAN功能的基本原理及实现特点，并结合实际组网介绍了应用中需要注意的配置要点。

缩略语：

目录

1 概述... 3

1.1 产生背景... 3

1.2 技术优点... 3

2 Voice VLAN技术实现方案... 3

2.1 概念介绍... 3

2.2 Voice VLAN的工作机制... 4

2.2.1 H3C系列交换机的Voice VLAN实现方式... 4

2.2.2端口与IP电话的配合工作... 5

2.2.3 Voice VLAN的其他扩展功能... 10

2.3 应用注意事项... 11

2.3.1 Voice VLAN与其他VLAN功能配合的注意事项... 11

2.3.2 Voice VLAN与其他功能配合的注意事项... 12

3 技术特色... 13

4 典型组网应用... 13

4.1 办公区域Voice VLAN典型组网... 13

1 概述

1.1 产生背景

随着语音技术的日益发展，IP电话、IAD（Integrated Access Device，综合接入设备）应用越来越广泛，尤其在宽带小区，网络中经常同时存在语音数据和业务数据两种流量。语音数据在传输时需要具有比业务数据更高的优先级，以减少传输过程中可能产生的时延和丢包现象。

提高语音数据传输优先级的传统处理方法是使用ACL对语音数据进行区分，并使用QoS保证传输质量。为简化用户配置、更方便的管理语音流的传输策略，H3C系列交换机提供了Voice VLAN功能。Voice VLAN的主要特点就是可以通过报文的源MAC地址自动识别出语音流量，并将语音流量分发到特定的VLAN（Voice VLAN）中传输。

1.2 技术优点

相对于使用ACL/QoS来区分语音流的方法，Voice VLAN对语音流的管理具有以下一些优势：

●配置简单：用户只需要在全局和端口下进行简单的配置，开启Voice VLAN功能，即可对语音数据进行分类处理，而不需要配置复杂的二层ACL和QoS，也不必关心各规则的匹配顺序以及下发至端口造成的其他问题。

●便于维护：用户可以在全局配置对语音数据的匹配规则（Voice VLAN OUI地址）进行修改，在新增IP语音设备的情况下，各端口能够迅速根据更新的匹配规则识别语音流，用户不需要配置新的二层ACL和QoS策略。

●实现灵活：相对于ACL/QoS的纯手工静态配置，Voice VLAN功能在全局提供了安全/普通两种模式，端口上又可以分为自动/手动模式，实现更为灵活，用户可以根据自己需要进行组合，最大限度满足用户的需求。

2 Voice VLAN技术实现方案

2.1 概念介绍

●Voice VLAN：专用于传输语音数据的VLAN，也指由H3C提供的一种接入层语音数据识别和分发功能。

●OUI地址：MAC地址和地址掩码相与后得到的地址范围，用来标识各厂商的语音设备发送的报文。

2.2 Voice VLAN的工作机制

2.2.1 H3C系列交换机的Voice VLAN实现方式

H3C系列交换机通过OUI地址来匹配报文的源MAC地址，符合OUI地址的报文被认为是语音报文。在缺省情况下，系统中已经预置了五个OUI地址。

表1 交换机预置的缺省OUI地址

当报文的源MAC地址匹配语音设备OUI地址时，该数据将被认为是语音数据，同时交换机将接收该报文的端口加入Voice VLAN中，并自动下发优先级规则，提高语音流的优先级，保证通话质量。

在端口上配置Voice VLAN时，用户可以选择以下两种应用模式：

●自动模式：当设备检测到接收端口有语音流通过的时候，由软件自动把端口加入Voice VLAN，并使用老化机制对Voice VLAN内的端口进行维护。在老化时间内，如果该端口没有再次接收到来自这个MAC地址的数据，将自动从Voice VLAN内退出。

●手工模式下，用户需要使用命令将接入IP电话的端口直接加入Voice VLAN中。

自动模式适用于PC-IP电话串联接入（端口同时传输语音数据和普通业务数据）的组网方式（如图1所示），在用户进行语音通信时，该端口可优先传送语音数据；在没有语音流通过的时候，端口可以全力处理普通业务数据。

word/media/image1.gif

图1 主机与IP电话串联接入交换机组网示意图

手工模式适用于IP电话单独接入交换机（端口仅传输语音报文）的组网方式（如图2所示），这种静态加入的方式可以使该端口专用于传输语音数据，最大限度避免业务数据对语音数据传输的影响。

word/media/image2.gif

图2 IP电话单独接入交换机组网示意图

在Voice VLAN功能的使用中，最为重要的就是使不同类型的端口（Access、Trunk、Hybrid）在不同的Voice VLAN工作模式下能够正常传输IP电话的发送的tagged/untagged语音流。关于这几种模式的搭配使用，下文中将进行详细的介绍。

2.2.2 端口与IP电话的配合工作

1. IP电话的工作原理

与其他网络设备一样，IP电话也需要IP地址才能在网络中正常通信。IP电话获取IP地址的方式有两种：

●通过DHCP自动获取

●通过用户手工配置

在自动获取IP地址时，IP电话还可以向DHCP服务器同时请求Voice VLAN信息，如果DHCP服务器返回了Voice VLAN信息，IP电话就可以直接发送携带有Voice VLAN Tag的语音流（以下简称tagged语音流）；如果DHCP服务器没有返回Voice VLAN信息，IP电话就只能发送不带VLAN Tag的语音流（以下简称untagged语音流）。

同样，在用户在IP电话上手工设置IP地址时，也可以设置或不设置Voice VLAN信息，IP电话会根据用户的配置发出tagged/untagged语音流。

2. IP电话自动获取IP地址的过程

word/media/image3.gif

图3 IP电话自动获取IP地址过程示意图

如图3所示，在一般情况下，IP电话将使用DHCP方式自动获取IP地址和Voice VLAN信息：

第一步：IP电话发送不带VLAN Tag的DHCP请求，并在该请求中携带Option184信息，即请求软件下载服务器（也称为NCP，Network Call Processor）地址以及Voice VLAN信息。

第二步：DHCP server1收到该请求后，将根据自身的配置为IP电话分配IP地址，同时回复Voice VLAN、软件下载服务器地址及其他Option184选项信息。

第三步：IP电话向软件下载服务器发出下载申请。

第四步：软件下载服务器响应IP电话的下载请求，向IP电话发送软件。

第五步：软件下载完成后，IP电话将通知DHCP server1，释放第一次获取的IP地址。

第六步：IP电话利用从DHCP server1获取的Voice VLAN信息，重新构造DHCP请求报文，并为该报文封装Voice VLAN的标签，在Voice VLAN内进行广播。

第七步：位于Voice VLAN内的DHCP server2收到该请求后，根据自己的地址池配置，为IP电话分配新的IP地址。

第八步：IP电话使用新的IP地址与语音网关进行注册，开始语音通信过程。

说明：

以上内容仅对一般情况下IP电话获取IP地址的过程进行描述，对于不同厂商的IP电话产品，其工作原理可能与以上的描述有所差异，具体情况请参见IP电话的用户手册。

3. 各类型端口与发送tagged语音流的IP电话配合

IP电话发送tagged语音流需要具备的条件是该电话已经通过自动获取或手工配置的方式得到了Voice VLAN信息，针对这种情况，不同类型的端口需要进行相应的配置，才能使语音报文能够在Voice VLAN中正常传输，同时不影响交换机对普通业务报文的转发处理。

(1)自动获取Voice VLAN信息的IP电话工作流程

word/media/image4.gif

图4 自动获取Voice VLAN信息的IP电话工作流程

如图4所示，结合2. 图3中描述的IP电话获取IP地址的过程，可以看出：

●红色线条所表示的数据需要在交换机接收端口的缺省VLAN内传输，且在从IP电话到交换机之间的传输是不带VLAN Tag的

●蓝色线条表示的数据需要在Voice VLAN内传输，且在从IP电话到交换机之间的传输是带有VLAN Tag的，

(2)手工配置Voice VLAN信息的IP电话工作流程

与自动获取Voice VLAN信息的IP电话不同，通过手工配置Voice VLAN的IP电话将不需要在缺省VLAN内进行第一次请求IP地址的过程，始终发送/接收带有Voice VLAN Tag的语音流，即图5中的蓝色线条。而手工配置了IP地址和Voice VLAN的IP电话又将省去图5中1和2两个步骤，可以直接与语音网关发起注册和通信。

word/media/image5.gif

图5 手工配置Voice VLAN信息的IP电话工作流程

因此，与已知Voice VLAN信息，并发送tagged语音流的IP电话配合使用时，交换机上连接IP电话的端口需要满足以下条件：

表2 各类型端口与自动获取Voice VLAN信息的IP电话的配合条件

说明：

以上端口配置条件中，如果用户使用手工配置IP电话的Voice VLAN信息，则接入端口是否需要允许缺省VLAN的报文通过要视端口下是否连接有普通PC而定，因为此时缺省VLAN主要用于传输PC的普通业务报文。如没有普通PC连接，则在端口的配置中，不必允许缺省VLAN的报文通过。

4. 各类型端口与发送untagged语音流的IP电话配合

IP电话在以下两种情况下会发送/接收untagged语音流：

●自动获取IP地址，但没有获取到Voice VLAN信息

●手工配置IP地址，但没有配置Voice VLAN信息

word/media/image6.gif

图6 发送untagged语音流的IP电话工作流程

IP电话在这两种情况下的工作流程比较相似，区别在于自动配置IP地址的IP电话不需要经过图6中的1、2步骤来申请IP地址。各类型端口在与此类IP电话配合时，需要满足以下条件：

注意：

●如果要使交换机接收untagged报文，用户需要配置接收端口的缺省VLAN且配置该端口允许缺省VLAN通过。

●而在IP电话发送untagged语音流的情况下，又必须将端口的缺省VLAN配置为Voice VLAN，才能使语音流在Voice VLAN中传输。这样就相当于通过手工配置将端口加入Voice VLAN。

●因此，如果IP电话发送untagged语音流，则端口的Voice VLAN工作模式只能为手工模式，不能配置为自动模式。

表3 各类型端口在手工模式下与发送untagged语音流的IP电话配合条件

2.2.3 Voice VLAN的其他扩展功能

1. 自定义OUI地址

在缺省情况下，系统中已经预置了五个OUI地址，如2.2.1 表1所示，用户还可以根据实际需要配置自定义的OUI地址，并使用掩码来修改匹配的深度。

2. Voice VLAN的安全模式与普通模式

前面介绍的自动模式及手动模式均只针对端口加入Voice VLAN的过程而言，在端口加入Voice VLAN后，交换机对于接收的语音报文则不再一一进行识别，即凡是带有Voice VLAN Tag的报文，交换机将不再检查其源MAC地址是否为语音设备的OUI，均正常接收并转发。而对于缺省VLAN就是Voice VLAN的手工模式端口，则任意的untagged报文都可以在Voice VLAN中传输。

这样的处理方式很容易使Voice VLAN收到恶意用户的流量攻击。恶意用户可以构造大量带有Voice VLAN Tag的报文，占用Voice VLAN的带宽，影响正常的语音通信。

H3C系列交换机提供了Voice VLAN的安全模式功能，可以有效避免这种情况的发生。当Voice VLAN工作在安全模式下时，交换机将对每一个要进入Voice VLAN传输的报文都进行源MAC匹配检查，对于不能匹配OUI地址的报文，则将其丢弃。而对于比较安全的网络，用户也可以配置Voice VLAN的普通模式，以减少检查报文的工作对系统资源的占用。

表4 Voice VLAN的安全/普通模式对报文的处理

3. Voice VLAN legacy功能

某些厂商的IP电话可能会使用除DHCP的其他方式向网络中的设备请求Voice VLAN信息。在与这种IP电话进行组网时，用户可以配置Voice VLAN legacy功能，使交换机能够识别这类IP电话的请求并回复其本地配置的Voice VLAN。

说明：

各厂商生产的IP电话获取Voice VLAN的方式请参见该产品的用户手册。

2.3 应用注意事项

2.3.1 Voice VLAN与其他VLAN功能配合的注意事项

1. 与集群管理VLAN/组播VLAN配合

如果用户将一个VLAN同时配置为Voice VLAN和集群的管理VLAN，则如果端口下启动了安全模式，该VLAN中将只允许语音流通过，集群管理报文不能通过；所以，当Voice VLAN与集群管理VLAN相同时，建议用户不要配置Voice VLAN工作在安全模式。

同理，如果用户将一个VLAN同时配置为Voice VLAN和组播VLAN，则如果端口下启动了安全模式，组播报文将不能通过；所以，当Voice VLAN与组播VLAN相同时，建议用户不要配置Voice VLAN工作在安全模式。

2. 与Super VLAN配合

如果用户将一个VLAN同时配置为Voice VLAN和Super VLAN，由于Super VLAN中不能存在任何端口，因此端口无法加入Voice VLAN（Super VLAN），建议用户不要将一个VLAN同时配置为Voice VLAN和Super VLAN。

3. 与协议VLAN配合

●如果用户将某个VLAN同时配置为Voice VLAN和协议VLAN，因为工作在自动模式下的端口不能通过命令配置加入Voice VLAN，所以协议VLAN的模板将不能与自动模式的端口进行绑定。

●如果用户配置了一条匹配IP报文的协议模板，请不要将该模板应用于Voice VLAN端口，因为该模板会将所有IP报文（包括语音报文）都定向到不同于Voice VLAN的其他VLAN中传输。

4. 与Isolate-user-VLAN配合

用户不能将一个VLAN同时配置为Voice VLAN和Isolate-user-VLAN。

5. 与GVRP配合

如果在已经加入了Voice VLAN的Trunk端口上又配置了GVRP，并配置注册模式为forbidden，则除缺省VLAN外，该端口将不能接收其他VLAN的报文，会导致语音流无法被正常转发。因此，建议用户不要将Voice VLAN端口的GVRP注册模式配置为forbidden。

2.3.2 Voice VLAN与其他功能配合的注意事项

1. 与LACP配合

如果端口已经开启LACP（Link Aggregation Control Protocol，链路汇聚控制协议），则不能开启Voice VLAN特性。

2. 与手工配置MAC地址功能配合

如果用户在自动模式的端口加入Voice VLAN前在该端口上配置了动态或者静态MAC地址，且该MAC地址为某个OUI地址，则以该OUI地址作为源地址的语音报文将无法触发该端口加入Voice VLAN。

3 技术特色

H3C提供的Voice VLAN功能通过以下创新的实现方式为用户提供了安全、方便的局域网内IP语音接入方案：

●通过源MAC地址识别语音报文，安全可靠，并能够自动提高语音报文的优先级，保证通话质量。

●提供自动/手动模式，适用于不同的组网方式，用户可以根据自己需要选择使用。

●通过配置安全模式实现对语音报文的严格匹配，可以有效防止Voice VLAN内的流量攻击。

4 典型组网应用

4.1 办公区域Voice VLAN典型组网

word/media/image8.gif

图7 办公区域Voice VLAN典型组网

如图7所示，用户可以在办公区和会议室部署IP电话，在办公区可以使用PC-IP电话串联的方式接入，在会议室可以使用IP电话单独接入的方式。采用具有DHCP Option184功能的H3C交换机作为DHCP server为IP电话分配IP地址和Voice VLAN信息。

有关该Voice VLAN典型组网的配置方法，请参见《H3C 低端系列以太网交换机典型配置案例》。

本文来源：https://www.2haoxitong.net/k/doc/85cc94d576eeaeaad1f33032.html