很多企业的IP电话和PC是共用一条网络连接的,如下图,IP电话的内部包含一个三口的10/100M交换机,P1连接到支持VoIP功能的交换机,P2是内部口,连接到电话子系统,P3用于连接用户的桌面计算机。
 
IP Phone+PC的准入控制_第1张图片
 
 
在这样的网络中,我们如何实现PC的准入控制呢?PC的准入控制主要依靠802.1x协议对用户和计算机进行验证,根据验证的结果决定是否允许PC访问网络,以及可以访问哪些资源。主要靠交换机端口的开闭或动态VLAN切换来实现。如果要通过端口开闭来实现准入控制,则对PC进行准入控制的同时也会影响到IP电话,除非关闭的端口也允许语音信息和802.1x相关的数据包通过。另一种方法是动态VLAN切换,这种方法容易实现,只要配置语音和数据分别通过不同的VLAN传递就行了,然后我们可以对数据VLAN进行动态切换,实现准入控制。如下图,不采用准入的情况下,语音VLAN为20,数据VLAN为10,采入准入控制后,把VLAN 10由静态VLAN改为动态VLAN就可以了。
 
IP Phone+PC的准入控制_第2张图片