Problemas de incompatibilidad de versiones de 802.1x – Teléfonos Polycom y Avaya – Parte 1

Posted on Actualizado enn

En mi primer artículo que publico quiero abordar un problema que nos encontramos con los teléfonos Polycom VVX 410 y la securizacion de red del cliente. Este artículo se compone de dos partes, en la primera parte desarrollare el problema y como conseguimos detectarlo.

En los proyectos en los que he trabajado para migrar el sistema de voz y comunicaciones a un sistema de Microsoft Lync Server me he encontrado en situaciones en las que el cliente ha planteado un despliegue más agresivo y ha ido retirando los teléfonos y sustituyéndolos por dispositivos usb y poniendo solo teléfonos de área común en salas de reuniones y zonas comunes. Sin embargo, otros clientes han planteado un despliegue menos agresivo para el usuario, y han decido sustituir los teléfonos tradicionales por teléfonos Lync sobre todo para los perfiles de directivos, secretarias, etc ….

De los modelos con los que he trabajado a parte de algún modelo de SNOM, he trabajado sobre todo con Polycom, CX3000, CX600, CX500, y los VVX410 y VVX600, en mi opinión los más fáciles de desplegar son los modelos CX, pero la impresión del usuario es que el VVX410 se manejan mejor y además muchas de sus opciones pueden ser configuradas por los administradores, en mi opinión so más potentes pero no son fáciles de desplegar, en otro artículo abordare como preparé el despliegue de unos 600 teléfonos VVX en un cliente, sobre todo las opciones del fichero de configuración que elegimos para el despliegue.

En el cliente tenían una desplegada Voz IP con una Centralitas AVAYA CS1K y aparte toda la electrónica de red es del mismo fabricante, la electrónica Avaya tiene una opción que se llama ADAC, la cual permite al Switch controlar los teléfonos IP para registrarlos en la red mediante LLDP de esta manera el Switch negocia con el teléfono y le deja registrarse en la red, evidentemente ADAC está pensado para funcionar con teléfonos propietarios del fabricante. Aquí os dejo un pequeño esquema donde se puede entender el funcionamiento de ADAC.

img1

http://www.voxns.com/understanding-ip-phone-deployment-lldp-med-provisioning/

Si necesitáis más información acerca de esto y todo lo relacionado con el mundo AVAYA, os recomiendo que leáis el blog de Michael Mcnamara http://blog.michaelfmcnamara.com

Pues bien, el cliente en concreto quería mantener con los nuevos teléfonos la autenticación en la red. Para ello se planteó inicialmente 802.1x que es soportado tanto por la electrónica de red AVAYA como por los teléfonos VVX, de esta manera podíamos autenticar contra un servidor radius los teléfonos Polycom.

Implementar 802.1x en los teléfonos nos dio muchos quebraderos de cabeza, no fue nada fácil cargar los certificados del dispositivo generándolos con la entidad certificadora del cliente. En el siguiente enlace esta toda la información oficial de Polycom para implementar 802.1x en los teléfonos.

http://support.polycom.com/global/documents/support/technical/products/voice/802_1X_TB57352.pdf

La opción que decidimos implementar fue EAP-TLS, una vez configurado el teléfono con los certificados correspondientes no fuimos capaces de ver ningún registro del teléfono en el Radius. Después de varios intentos, pusimos una traza y este fue el resultado:

  • Según la traza que capturamos el switch avaya soporta 802.1X – 2001

img2

  • Y el teléfono Polycom soporta 802.1x – 2004

img3

Este era el motivo por el cual no conseguíamos que el teléfono llegara al servidor Radius ya que la propia electrónica de red no era capaz de entenderse con el. La solución fácil pasaba por una actualización de la electrónica de red pero tras conversaciones con el fabricante no había actualización para el modelo de switch que tiene el cliente en sus instalaciones. Por ello tuvimos que encontrar otra solución, que pasaba por usar ADAC y mediante el rango de las MAC de los teléfonos registrarlos en una VLAN dedicada. En la segunda parte del articulo pasare a contar la solución que se desplego.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s