Zellescher Weg 12

Willers-Bau A 310

Tel. +49 351 - 463 - 37820

Markus Gusowski (markus.gusowski@tu-dresden.de)

Aspekte der Netzintegrationim VoIP-Pilot

der TU Dresden

Zentrum für Informationsdienste und Hochleistungsrechnen

Agenda

Einführung

DyPort – Dynamische VLAN-Zuordnung

– Netzkonzept allgemein

– Netzkonzept VoIP

– Integration DyPort + VoIP

Verschlüsselung und Authentifizierung

– Zertifikate und CAs

– Erfahrungen/Probleme

WLAN-Telefonie

– Provisionierung

– Betrieb mit 802.1x

– Ausblick

Einführung

VoIP-Pilot seit Mai 2011

– Installation Cisco Unified Communications Manager (CUCM), 60 IP-Telefone Neubau, IP-Telefone Betriebsteam

Eckdaten:

– CUCM v. 7.1(5), Lizenzen UCL

– IP-Telefone Cisco 6921 + 6945 (GBit) + 8961

– Break-In/-Out über ISDN-TK-Anlage (HiPath 4000)

– Redundantes Cluster (2 Standorte)

Quelle: Cisco.com

6945

8961

Einführung - CUCM-Cluster

DyPort

Einführung

DyPort – Dynamische VLAN-Zuordnung

– Netzkonzept allgemein

– Netzkonzept VoIP

– Integration DyPort + VoIP

Verschlüsselung und Authentifizierung

– Zertifikate und CAs

– Erfahrungen/Probleme

WLAN-Telefonie

– Provisionierung

– Betrieb mit 802.1x

– Ausblick

Netzkonzept allgemein

Campusnetz

– 112 Gebäude

– Backbone: 13 Router (Cisco Cat. 6509); je 1..n Gebäude

– > 1000 VLANs (Nr. nicht eindeutig, Name eindeutig)

– VLANs nicht Router-übergreifend

– Access: Cisco (2960(S), 3560, ...) - VoIP einheitlich 2960S

Konzept bisher:

– Patchen nach Bedarf

– manuelle VLAN-Zuordnung

– Institutsnetze

– zentrale + dezentrale Admins

Netzkonzept allgemein

DyPort – Netzkonzept allgemein

Neu: DyPort (bisher 4 Gebäude)

– Systematisches Patchen (Ziel: Vollbelegung, 50% PoE)

– Dynamische VLAN-Zuordnung per MAC Authentication Bypass (MAB) oder 802.1x – Switch <> Radiusserver <> DHCP

– Management dezentral• Webportal „DyPort“ - Netzauswahl, Reservierung IP-Adressen• Webportal „Minigroups“ - Gruppenverwaltung, Ressourcenzuordnung• „dezentral“ = Admins, Endnutzer

– Zusätzl. Gebäudenetze (Mitarbeiter, Gast, Public)• Namen: gebäude-[institut]-nutzergruppe, z.B. wil-zih-ma

– Rückfallkonzept (Beispiel: MAC xyz := Netz wil-zih-ma)• im Zeuner-Bau (zeu-zih-ma vorhanden)• im Chemiegebäude (chm-zih-ma nicht vorhanden, aber chm-ma)

DyPort – Webportal

DyPort – Netzkonzept VoIP

xxx.xxx.0.0/16

VoIP-Netz

xxx.xxx.2.0/24xxx.xxx.4.0/24

xxx.xxx.6.0/24...

Private Netze

– 254 Adressen (erweitert: 510)

– 1+ je Gebäude

Separat für

– CUCM (Firewall)

– Gateways (ACL)

– Telefone (ACL)

– WLAN-Tel. (ACL)

Hohe VLAN-IDs

DHCP: Router

DyPort – Integration DyPort + VoIP

Statische Ports Voice + dynamische Zuordnung für Daten nicht möglich => Voice-VLAN dynamisch (MAB)

– Festes Voice-VLAN („switchport voice vlan 1234“), Dynamische Voice-Domain-Zuordnung

Bekannte Telefone:

– Netzdatenbank (Inventar) Export DyPort-Datenbank→ →

– Authentifizierung per MAB• Erfolg: Radius sendet

„CiscoAVPair := device-traffic-class=voice“

Gastnetz

Problematisch: Critical VLAN (Radius unerreichbar)

– „gefällige“ Windows-PCs + Switchsymptome

– Critical Voice VLAN (erst ab IOS 15.0(1))

Verschlüsselung und Authentifizierung

Einführung

DyPort – Dynamische VLAN-Zuordnung

– Netzkonzept allgemein

– Netzkonzept VoIP

– Integration DyPort + VoIP

Verschlüsselung und Authentifizierung

– Zertifikate und CAs

– Erfahrungen/Probleme

WLAN-Telefonie

– Provisionierung

– Betrieb mit 802.1x

– Ausblick

Verschlüsselung – Zertifikate und CAs

Dienstvereinbarung mit Personalrat

– Verschlüsselung Signalisierung + Sprachdaten zwingend

CUCM-Cluster im Secure-Modus

– Telefone mit security profile „Authentif. + Verschlüssel.“

Zertifikatstypen (Telefon)

– MIC (Manufacturing-installed certificate)

– LSC (Locally significant certificate) Empfehlung →Cisco

– User installed – Nur WLAN-Telefone

Certificate Authorities (CA)

– Cisco Manufacturing CA

– Certificate Authority Proxy Function (CAPF)/CUCM-integriert

– DFN-CA der Einrichtung

– Eigene (lokale) CA

Cer

tific

ate

Trus

t Li

st (C

TL)

Verschlüsselung – Erfahrungen/Probleme

Schwierigkeiten bei Drittsystemen

– Beispiel: Cycos MRS/Siemens Xpressions Verschlüsselung nicht mit SIP-Trunk möglich (nur mit XCAPI)

– Workarounds z. B. mit Session Border Controller/Cisco CUBE

Inkonsistentes Verhalten bei verschiedenen Telefontypen

– Beispiel: Verschlüsselte Konfigurationsdatei

– 89xx-TelefoneKeine Probleme

– 79xx-TelefoneHenne-Ei-Problem,2-Schritte-Workaround

– 69xx-TelefoneNicht möglich,Rückfall auf Plaintext-Konfig nach 10 Min.

Drahtlostechnologie

Einführung

DyPort – Dynamische VLAN-Zuordnung

– Netzkonzept allgemein

– Netzkonzept VoIP

– Integration DyPort + VoIP

Verschlüsselung und Authentifizierung

– Zertifikate und CAs

– Erfahrungen/Probleme

WLAN-Telefonie

– Provisionierung

– Betrieb mit 802.1x

– Ausblick

WLAN-Telefonie – Provisionierung

Telefon: Cisco 7925G

Tools: Angepasstes Perlskript1, eigene CA (OpenSSL)

Schritte:

0. (Admin) Factory Reset + USB-Netzverbindung

1. Hostname auslesen

2. Hostname in Radius-DB schreiben

3. Systemzeit Telefon setzen + Reboot

4. Serverzertifikat (Radius) aufspielen

5. Zertifikatsrequest erzeugen

6. Zertifikatsrequest signieren

7. Netzwerkprofil (WLAN) konfigurieren

Quelle: Cisco.com

1 http://code.google.com/p/cisco7925g-eap-tls-deployment/

CA

Phone-Radius

Radius-DB

Provisionierungs-PC

(Perlskript)USB

WLAN-Telefonie – Betrieb mit 802.1x

WLAN-Telefonie – Ausblick

Offenes WLAN statt USB zur Provisionierung(örtlich begrenzt)

Roaming noch langsam (0,5 – 1 Sek.)=> 802.1x + CCKM (Cisco Centralized Key Management)

– Übergabezeit < 100 ms

– Accesspoint speichert Credentials zwischen

– Roamvorgang: Credentials werden auf Anforderung direkt an neuen Accesspoint gesendet

– Keine Kommunikation mit Radiusserver nötig

802.1x für schnurgebundene Telefone

– LSC/eigene CA erforderlich

– Erstauthentifizierung per MAB (spart Provisionierung)

Fragen?

Anregungen?

Widersprüche?

…!

Danke!